Diese Seite wurde von der Cloud Translation API übersetzt.

Security Command Center-Ergebnisse erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Security Command Center-Logs durch Konfiguration von Security Command Center erfassen können und die Aufnahme von Ergebnissen in Google Security Operations. In diesem Dokument werden auch die unterstützten Ereignisse aufgeführt.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations und Security Command Center-Ergebnisse in Google Security Operations exportieren. Eine typische Bereitstellung besteht aus Security Command Center und dem Google Security Operations-Feed, der so konfiguriert ist, dass Protokolle an Google Security Operations gesendet werden. Die Bereitstellung beim Kunden kann sich unterscheiden und komplexer sein.

Das Deployment enthält die folgenden Komponenten:

Google Cloud: Das zu überwachende System, in dem Security Command Center installiert ist.
Ergebnisse von Security Command Center Event Threat Detection: Erfasst Informationen aus der Datenquelle und generiert Ergebnisse.
Google Security Operations: Bewahrt die Protokolle aus Security Command Center auf und analysiert sie.

Ein Aufnahmelabel gibt den Parser an, der Logrohdaten normalisiert in das strukturierte UDM-Format. Die Informationen in diesem Dokument gelten für den Security Command Center-Parser mit den folgenden Aufnahmelabels:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Security Command Center und Google Cloud konfigurieren, um Ergebnisse an Google Security Operations zu senden

Aktivieren Sie Security Command Center.
Achten Sie darauf, dass alle Systeme in der Bereitstellung konfiguriert sind in der Zeitzone UTC angegeben.
Aktivieren Sie die Aufnahme von Security Command Center-Ergebnissen.

Unterstützte Event Threat Detection-Ergebnisse

In diesem Abschnitt werden die unterstützten Ergebnisse von Event Threat Detection aufgeführt. Informationen zu den Regeln und Ergebnissen für Event Threat Detection von Security Command Center finden Sie unter Event Threat Detection-Regeln.

Name des Ergebnisses	Beschreibung
Aktiver Scan: Log4j-Sicherheitslücken für RCE	Erkennt aktive Log4j-Sicherheitslücken. Dazu werden DNS-Abfragen für nicht verschleierte Domains ermittelt, die von unterstützten Scannern für Log4j-Sicherheitslücken initiiert wurden.
Brute Force: SSH	Erkennung erfolgreicher SSH-Brute Force auf einem Host.
Zugriff auf Anmeldedaten: Externes Mitglied zur privilegierten Gruppe hinzugefügt	Erkennt, wenn ein externes Mitglied einer privilegierten Google-Gruppe (einer Gruppe mit vertraulichen Rollen oder Berechtigungen) hinzugefügt wird. Ein Ergebnis wird nur generiert, wenn die Gruppe keine anderen externen Mitglieder aus derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.
Zugriff auf Anmeldedaten: Privilegierte Gruppe öffentlich zugänglich gemacht	Erkennt, wenn eine privilegierte Google-Gruppe (eine Gruppe mit sensiblen Rollen oder Berechtigungen) für die Allgemeinheit zugänglich wird. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.
Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt	Erkennt, wenn einer Google-Gruppe mit externen Mitgliedern vertrauliche Rollen gewährt werden. Weitere Informationen finden Sie im Hilfeartikel Änderungen an unsicheren Google-Gruppen.
Defense Evasion: VPC Service Control modifizieren	Erkennt eine Änderung an einem vorhandenen VPC Service Control-Perimeter, die zu einer Reduzierung des durch diesen Perimeter angebotenen Schutzes führen würde.
Discovery: Kann vertrauliche Kubernetes-Objektprüfung abrufen (Vorabversion)	Ein böswilliger Akteur hat mit dem Befehl „kubectl auth can-i get“ versucht herauszufinden, welche vertraulichen Objekte in Google Kubernetes Engine (GKE) abgefragt werden können.
Erkennung: Dienstkonto-Prüfung	Erkennung von Anmeldedaten eines IAM-Dienstkontos (Identity and Access Management), mit denen die Rollen und Berechtigungen desselben Dienstkontos untersucht werden.
E-Mail: Zugriff vom Anonymisierungs-Proxy	Erkennung von Google Cloud-Dienständerungen, die von anonymen Proxy-IP-Adressen stammen, z. B. Tor-IP-Adressen.
Exfiltration: BigQuery-Daten-Exfiltration	Erkennt die folgenden Szenarien: Ressourcen, die der geschützten Organisation gehören und außerhalb der Organisation gespeichert sind, einschließlich Kopier- oder Übertragungsvorgängen. Versuche, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Control geschützt sind.
Exfiltration: BigQuery-Datenextraktion	Erkennt folgende Szenarien: Eine BigQuery-Ressource der geschützten Organisation wird durch Extraktionsvorgänge in einem Cloud Storage-Bucket außerhalb der Organisation gespeichert. Eine BigQuery-Ressource der geschützten Organisation wird über Extraktionsvorgänge in einem öffentlich zugänglichen Cloud Storage-Bucket dieser Organisation gespeichert.
Exfiltration: BigQuery-Daten in Google Drive	Erkennt folgende Szenarien: Eine BigQuery-Ressource, die der geschützten Organisation gehört, wird durch Extraktion in einem Google Drive-Ordner gespeichert.
Exfiltration: Cloud SQL-Daten-Exfiltration	Erkennt die folgenden Szenarien: Daten der Live-Instanz wurden in einen Cloud Storage-Bucket außerhalb der Organisation exportiert. Live-Instanzdaten, die in einen Cloud Storage-Bucket exportiert wurden, der der Organisation gehört und öffentlich zugänglich ist
Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation	Erkennt, wenn die Sicherung einer Cloud SQL-Instanz in einer Instanz außerhalb der Organisation wiederhergestellt wird.
Datenausschleusung: Überprivilegierte Erteilung für Cloud SQL SQL	Erkennt, wenn einem Cloud SQL-Postgres-Nutzer oder einer Postgres-Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt wurden.
Verteidigung beeinträchtigen: Starke Authentifizierung deaktiviert	Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert.
Verteidigung beeinträchtigen: Bestätigung in zwei Schritten deaktiviert	Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert.
Erstzugriff: Konto deaktiviert – Gehackt	Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt.
Erstzugriff: Deaktiviert – Passwortleck	Das Konto eines Nutzers ist deaktiviert, weil ein Passwortleck erkannt wurde.
Erstzugriff: Von staatlichen Stellen unterstützter Angriff	Angreifer, die von staatlichen Stellen unterstützt werden, haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren.
Anfangszugriff: Log4j-Kompromittierungsversuch	Erkennt JNDI-Lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen. Diese Ergebnisse haben einen geringen Schweregrad, da sie nur auf einen Erkennungs- oder Exploit-Versuch und nicht auf eine Sicherheitslücke oder einen Manipulation hindeuten.
Erstzugriff: Verdächtige Anmeldung blockiert	Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert.
Log4j-Malware: Ungültige Domain	Erkennung von Log4j-Exploits durch eine Verbindung zu einer bekannten Domain, die bei Log4j-Angriffen verwendet wird, oder einen Lookup von
Log4j-Malware: Ungültige IP-Adresse	Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung zu einer bekannten IP-Adresse, die bei Log4j-Angriffen verwendet wird.
Malware: Schädliche Domain	Erkennung von Malware anhand einer Verbindung zu einer bekannten schädlichen Domain oder dem Nachschlagen einer bekannten Domain.
Malware: Schädliche IP	Erkennung von Malware anhand einer Verbindung zu einer bekannten fehlerhaften IP-Adresse.
Malware: Ungültige Domain für Kryptomining	Erkennung von Kryptomining anhand einer Verbindung zu einer bekannten Mining-Domain für Kryptowährungen oder Nachschlagen einer bekannten Domain.
Malware: Schädliche Kryptomining-IP-Adresse	Erkennung von Kryptomining anhand einer Verbindung zu einer bekannten Mining-IP-Adresse.
Ausgehender DoS	Erkennung von ausgehendem Denial of Service-Traffic.
Persistenz: Compute Engine-Administrator hat SSH-Schlüssel hinzugefügt	Erkennung einer Änderung des SSH-Schlüsselwerts der Compute Engine-Instanzmetadaten auf einer vorhandenen Instanz (älter als 1 Woche).
Persistenz: Compute Engine-Administrator hat Startskript hinzugefügt	Erkennung einer Änderung am Wert des Startskripts der Compute Engine-Instanzmetadaten auf einer vorhandenen Instanz (älter als 1 Woche).
Persistenz: Ungewöhnliche IAM-Gewährung	Erkennung von Berechtigungen, die IAM-Nutzern und -Dienstkonten gewährt wurden, die nicht Mitglieder der Organisation sind. Dieser Detektor verwendet die vorhandenen IAM-Richtlinien einer Organisation als Kontext. Wenn eine vertrauliche IAM-Berechtigung an ein externes Mitglied erfolgt und weniger als drei ähnliche IAM-Richtlinien vorhanden sind, generiert dieser Detektor ein Ergebnis.
Persistenz: Neue API-Methodenvorschau	Erkennung anomaler Nutzung von Google Cloud-Diensten durch IAM-Dienstkonten.
Persistenz: Neue Region	Erkennung von IAM-Nutzer- und Dienstkonten, die von ungewöhnlichen Standorten aus auf Google Cloud zugreifen, basierend auf dem Standort der anfragenden IP-Adressen.
Persistenz: Neuer User-Agent	Erkennung von IAM-Dienstkonten, die über ungewöhnliche oder verdächtige User-Agents auf Google Cloud zugreifen.
Persistenz: Umschalter für SSO-Aktivierung	Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert.
Persistenz: SSO-Einstellungen geändert	Die SSO-Einstellungen für das Administratorkonto wurden geändert.
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten (Vorabversion)	Zur Rechteausweitung hat ein böswilliger Akteur versucht, die ClusterRole- und ClusterRoleBinding-Objekte cluster-admin mit einer PUT- oder PATCH-Anfrage zu ändern.
Rechteausweitung: Erstellen Sie eine Kubernetes-CSR für „master certPreview“	Ein potenziell böswilliger Akteur hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) für das Kubernetes-Masterzertifikat erstellt, die ihm den Zugriff als Clusteradministrator gewährt.
Rechteausweitung: Vorschau vertraulicher Kubernetes-Bindungen erstellen	Ein böswilliger Akteur hat versucht, neue RoleBinding- oder ClusterRoleBinding-Objekte vom Typ „cluster-admin“ zu erstellen, um seine Berechtigung auszuweiten.
Rechteausweitung: Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten abrufen (Vorabversion)	Ein böswilliger Akteur hat mit dem Befehl „kubectl“ und manipulierten Bootstrap-Anmeldedaten eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) gesendet.
Rechteausweitung: Start von privilegiertem Kubernetes containerPreview	Ein böswilliger Akteur hat Pods mit privilegierten Containern oder Containern mit der Funktion zur Rechteausweitung erstellt. Bei einem privilegierten Container ist das Feld „privileged“ auf „true“ gesetzt. Bei einem Container mit der Fähigkeit zur Rechteausweitung ist das Feld „allowPrivilegeEscalation“ auf „true“ gesetzt.
Anfänglicher Zugriff: Inaktiver Dienstkontoschlüssel erstellt	Erkennt Ereignisse, bei denen ein Schlüssel für ein inaktives, vom Nutzer verwaltetes Dienstkonto erstellt wird. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es länger als 180 Tage inaktiv ist.
Prozessstruktur	Der Detektor prüft die Prozessstruktur aller laufenden Prozesse. Wenn ein Prozess eine Shell-Binärdatei ist, prüft der Detektor den übergeordneten Prozess. Wenn der übergeordnete Prozess eine Binärdatei ist, die keinen Shell-Prozess hervorbringt, löst der Detektor ein Ergebnis aus.
Unerwartete untergeordnete Shell	Der Detektor prüft die Prozessstruktur aller laufenden Prozesse. Wenn ein Prozess eine Shell-Binärdatei ist, prüft der Detektor den übergeordneten Prozess. Wenn der übergeordnete Prozess eine Binärdatei ist, die keinen Shell-Prozess hervorbringt, löst der Detektor ein Ergebnis aus.
Ausführung: Ausgeführte schädliche Binärdatei hinzugefügt	Der Detektor sucht nach einem ausgeführten Binärprogramm, das nicht Teil des ursprünglichen Container-Images war und anhand von Bedrohungsdaten als schädlich eingestuft wurde.
Ausführung: Modifizierte schädliche Binärdatei ausgeführt	Der Detektor sucht nach einer ausgeführten Binärdatei, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde. Außerdem wurde es aufgrund von Bedrohungsdaten als schädlich erkannt.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten	Erkennt, wenn eine ungewöhnliche mehrstufige delegierte Anfrage für eine Verwaltungsaktivität gefunden wird.
Verwendetes Break-Glass-Konto: start_glass_account	Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass)
Konfigurierbare fehlerhafte Domain: APT29_Domains	Erkennt eine Verbindung zu einem angegebenen Domainnamen
Unerwartete Rollenzuweisung: Verbotene Rollen	Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird
Konfigurierbare fehlerhafte IP-Adresse	Erkennt eine Verbindung zu einer angegebenen IP-Adresse
Unerwarteter Compute Engine-Instanztyp	Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen.
Unerwartetes Compute Engine-Quell-Image	Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder einer Image-Familie, die bzw. das nicht einer angegebenen Liste entspricht
Unerwartete Compute Engine-Region	Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die nicht in einer angegebenen Liste enthalten ist.
Benutzerdefinierte Rolle mit unzulässiger Berechtigung	Erkennt, wenn einem Hauptkonto eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen gewährt wird.
Unerwarteter Cloud API-Aufruf	Erkennt, wenn ein angegebenes Hauptkonto eine bestimmte Methode für eine angegebene Ressource aufruft. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzigen Logeintrag übereinstimmen.

Unterstützte GCP_SECURITYCENTER_ERROR-Ergebnisse

Die UDM-Zuordnung finden Sie in der Tabelle Feldzuordnungsreferenz: FEHLER.

Name des Ergebnisses	Beschreibung
VPC_SC_RESTRICTION	Security Health Analytics kann bestimmte Ergebnisse für ein Projekt nicht liefern. Das Projekt ist durch einen Dienstperimeter geschützt und das Security Command Center-Dienstkonto hat keinen Zugriff auf den Perimeter.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	Das Projekt, das für den kontinuierlichen Export nach Cloud Logging konfiguriert ist, ist nicht verfügbar. Security Command Center kann keine Ergebnisse an Logging senden.
API_DISABLED	Eine erforderliche API ist für das Projekt deaktiviert. Der deaktivierte Dienst kann keine Ergebnisse an Security Command Center senden.
KTD_IMAGE_PULL_FAILURE	Container Threat Detection kann im Cluster nicht aktiviert werden, da ein erforderliches Container-Image nicht von gcr.io, dem Container Registry-Image-Host, abgerufen bzw. heruntergeladen werden kann. Das Image wird benötigt, um das von Container Threat Detection benötigte Container Threat Detection-DaemonSet bereitzustellen.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	Container Threat Detection kann nicht in einem Kubernetes-Cluster aktiviert werden. Ein Admission-Controller eines Drittanbieters verhindert die Bereitstellung eines Kubernetes DaemonSet-Objekts, das Container Threat Detection benötigt. In der Google Cloud Console enthalten die Ergebnisdetails die Fehlermeldung, die von der Google Kubernetes Engine zurückgegeben wurde, als Container Threat Detection versucht, ein Container Threat Detection DaemonSet-Objekt bereitzustellen.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Einem Dienstkonto fehlen Berechtigungen, die für Container Threat Detection erforderlich sind. Container Threat Detection funktioniert möglicherweise nicht mehr richtig, da die Erkennungsinstrumentierung nicht aktiviert, aktualisiert oder deaktiviert werden kann.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Container Threat Detection kann keine Ergebnisse für einen Google Kubernetes Engine-Cluster generieren, da dem GKE-Standarddienstkonto im Cluster Berechtigungen fehlen. Dadurch wird verhindert, dass Container Threat Detection im Cluster aktiviert wird.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Dem Security Command Center-Dienstkonto fehlen Berechtigungen, die zum ordnungsgemäßen Funktionieren erforderlich sind. Es werden keine Ergebnisse erstellt.

Unterstützte GCP_SECURITYCENTER_OBSERVATION-Ergebnisse

Die UDM-Zuordnung finden Sie in der Tabelle Feldzuordnung: OBSERVATION.

Name des Ergebnisses	Beschreibung
Persistenz: SSH-Schlüssel des Projekts hinzugefügt	In einem Projekt wurde ein SSH-Schlüssel auf Projektebene für ein Projekt erstellt, das älter als 10 Tage ist.
Persistenz: Sensible Rolle hinzufügen	In einer Organisation, die älter als 10 Tage ist, wurde eine vertrauliche oder sehr privilegierte IAM-Rolle auf Organisationsebene gewährt.

Unterstützte GCP_SECURITYCENTER_UNSPECIFIED-Ergebnisse

Sie finden die UDM-Zuordnung in der Tabelle Referenz für die Feldzuordnung: UNGEWISS.

Name des Ergebnisses	Beschreibung
OPEN_FIREWALL	Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist.

Unterstützte Ergebnisse für GCP_SECURITYCENTER_VULNERABILITY

Die UDM-Zuordnung finden Sie in der Tabelle Feldzuordnungsreferenz: VULNERABILITY.

Name des Ergebnisses	Beschreibung
DISK_CSEK_DISABLED	Laufwerke auf dieser VM werden nicht mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Sonderfalldetektor.
ALPHA_CLUSTER_ENABLED	Alphacluster-Features sind für einen GKE-Cluster aktiviert.
AUTO_REPAIR_DISABLED	Die Funktion zur automatischen Reparatur eines GKE-Clusters, die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert.
AUTO_UPGRADE_DISABLED	Die Funktion für automatische Upgrades eines GKE-Clusters, die dafür sorgt, dass Cluster und Knotenpools auf der neuesten stabilen Version von Kubernetes bleiben, ist deaktiviert.
CLUSTER_SHIELDED_NODES_DISABLED	Shielded GKE-Knoten sind für einen Cluster nicht aktiviert
COS_NOT_USED	Compute Engine-VMs verwenden nicht das Container-Optimized OS, das für die sichere Ausführung von Docker-Containern in Google Cloud entwickelt wurde.
INTEGRITY_MONITORING_DISABLED	Das Integritätsmonitoring ist für einen GKE-Cluster deaktiviert.
IP_ALIAS_DISABLED	Ein GKE-Cluster wurde mit deaktivierten Alias-IP-Bereichen erstellt.
LEGACY_METADATA_ENABLED	Legacy-Metadaten sind für GKE-Cluster aktiviert.
RELEASE_CHANNEL_DISABLED	Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.
DATAPROC_IMAGE_OUTDATED	Ein Dataproc-Cluster wurde mit einer Dataproc-Image-Version erstellt, die von Sicherheitslücken im Apache Log4j 2-Dienstprogramm (CVE-2021-44228 und CVE-2021-45046) betroffen ist.
PUBLIC_DATASET	Ein Dataset ist so konfiguriert, dass es für den öffentlichen Zugriff zugänglich ist.
DNSSEC_DISABLED	DNSSEC ist für Cloud DNS-Zonen deaktiviert.
RSASHA1_FOR_SIGNING	RSASHA1 wird für die Schlüsselsignierung in Cloud DNS-Zonen verwendet.
REDIS_ROLE_USED_ON_ORG	Eine Redis-IAM-Rolle wird auf der Organisations- oder Ordnerebene zugewiesen.
KMS_PUBLIC_KEY	Ein kryptografischer Cloud KMS-Schlüssel ist öffentlich zugänglich.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Das Datenbank-Flag „contained database authentication“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Das Datenbank-Flag „cross_db_ownership_chaining“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_EXTERNAL_SCRIPTS_ENABLED	Das Datenbank-Flag „external scripts enabled“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOCAL_INFILE	Das Datenbank-Flag „local_infile“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_ERROR_VERBOSITY	Das Datenbank-Flag „log_error_verbosity“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Standard“ oder einen strikteren Wert festgelegt.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	Das Datenbank-Flag „log_min_duration_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „-1“ festgelegt.
SQL_LOG_MIN_ERROR_STATEMENT	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht korrekt festgelegt.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz hat keinen geeigneten Schweregrad.
SQL_LOG_MIN_MESSAGES	Das Datenbank-Flag „log_min_messages“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „warning“ festgelegt.
SQL_LOG_EXECUTOR_STATS_ENABLED	Das Datenbank-Flag „log_executor_status“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_HOSTNAME_ENABLED	Das Datenbank-Flag „log_hostname“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_PARSER_STATS_ENABLED	Das Datenbank-Flag „log_parser_stats“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ gesetzt.
SQL_LOG_PLANNER_STATS_ENABLED	Das Datenbank-Flag „log_planner_stats“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_STATEMENT_STATS_ENABLED	Das Datenbank-Flag „log_statement_stats“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_TEMP_FILES	Das Datenbank-Flag „log_temp_files“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „0“ festgelegt.
SQL_REMOTE_ACCESS_ENABLED	Das Datenbank-Flag „remote access“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_SKIP_SHOW_DATABASE_DISABLED	Das Datenbank-Flag „skip_show_database“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_TRACE_FLAG_3625	Das Datenbank-Flag 3625 (Trace-Flag) für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Ein“ festgelegt.
SQL_USER_CONNECTIONS_CONFIGURED	Das Datenbank-Flag „user connections“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
SQL_USER_OPTIONS_CONFIGURED	Das Datenbank-Flag „user options“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
SQL_WEAK_ROOT_PASSWORD	Für eine Cloud SQL-Datenbank ist für das Root-Konto ein schwaches Passwort konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
PUBLIC_LOG_BUCKET	Ein als Logsenke verwendeter Storage-Bucket ist öffentlich zugänglich.
ACCESSIBLE_GIT_REPOSITORY	Ein Git-Repository ist öffentlich zugänglich. Entferne unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository, um dieses Ergebnis zu beheben.
ACCESSIBLE_SVN_REPOSITORY	Ein SVN-Repository ist öffentlich zugänglich. Entfernen Sie unbeabsichtigten öffentlichen Zugriff auf das SVN-Repository, um dieses Ergebnis zu beheben.
CACHEABLE_PASSWORD_INPUT	In der Webanwendung eingegebene Passwörter können in einem normalen Browser-Cache statt in einem sicheren Passwortspeicher gespeichert werden.
CLEAR_TEXT_PASSWORD	Passwörter werden in Klartext übertragen und können abgefangen werden. Verschlüsseln Sie das über das Netzwerk übertragene Passwort, um dieses Ergebnis zu beheben.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Suffix des Origin-Anfrageheaders, bevor es in den „Access-Control-Allow-Origin“-Antwortheader eingefügt wird. Um dieses Ergebnis zu beheben, überprüfen Sie, ob die erwartete Stammdomain Teil des Headerwerts „Origin“ ist, bevor Sie sie im Antwortheader „Access-Control-Allow-Origin“ wiedergeben. Stellen Sie bei Subdomain-Platzhaltern der Stammdomain den Punkt voran, z. B. .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Ein websiteübergreifender HTTP- oder HTTPS-Endpunkt validiert nur ein Präfix des „Origin“-Anfrageheaders, bevor er im „Access-Control-Allow-Origin“-Antwortheader widergespiegelt wird. Um dieses Ergebnis zu lösen, überprüfen Sie, ob die erwartete Domain vollständig mit dem Wert des Headers „Origin“ übereinstimmt, bevor Sie ihn im Antwortheader „Access-Control-Allow-Origin“ wiedergeben, z. B. „.equals("".google.com"“).
INVALID_CONTENT_TYPE	Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Ergebnis zu beheben, geben Sie den X-Content-Type-Options-HTTP-Header mit dem richtigen Wert an.
INVALID_HEADER	Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um das Problem zu beheben.
MISMATCHING_SECURITY_HEADER_VALUES	Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben.
MISSPELLED_SECURITY_HEADER_NAME	Ein Sicherheitsheader wurde falsch geschrieben und wird ignoriert. Legen Sie die HTTP-Sicherheitsheader richtig fest, um dieses Ergebnis zu beheben.
MIXED_CONTENT	Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie darauf, dass alle Ressourcen über HTTPS bereitgestellt werden, um dieses Ergebnis zu beheben.
OUTDATED_LIBRARY	Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisiere die Bibliotheken auf eine neuere Version, um dieses Ergebnis zu beheben.
SERVER_SIDE_REQUEST_FORGERY	Es wurde eine serverseitige Fälschungsanfrage (SSRF) erkannt. Um dieses Ergebnis zu beheben, verwenden Sie eine Zulassungsliste, um die Domains und IP-Adressen einzuschränken, an die die Webanwendung Anfragen stellen kann.
SESSION_ID_LEAK	Wenn eine domainübergreifende Anfrage gestellt wird, fügt die Webanwendung die Sitzungs-ID des Nutzers in den Header der Verweisanfrage ein. Über diese Sicherheitslücke erhält die Empfängerdomain Zugriff auf die Sitzungs-ID, mit der der Nutzer imitiert oder eindeutig identifiziert werden kann.
SQL_INJECTION	Ein potenzielles SQL-Einschleusungsproblem wurde erkannt. Um dieses Ergebnis zu lösen, verwenden Sie parametrisierte Abfragen, um zu verhindern, dass Nutzereingaben die Struktur der SQL-Abfrage beeinflussen.
STRUTS_INSECURE_DESERIALIZATION	Die Verwendung einer anfälligen Version von Apache Struts wurde erkannt. Aktualisieren Sie Apache Struts auf die neueste Version, um dieses Ergebnis zu korrigieren.
XSS	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Ergebnis zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten.
XSS_ANGULAR_CALLBACK	Ein vom Nutzer bereitgestellter String ist nicht maskiert und AngularJS kann ihn interpolieren. Um dieses Ergebnis zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden.
XSS_ERROR	Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Ergebnis zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten.
XXE_REFLECTED_FILE_LEAKAGE	Eine XXE-Sicherheitslücke (XML External Entity) wurde erkannt. Diese Sicherheitslücke kann dazu führen, dass die Webanwendung eine Datei auf dem Host leckt. Um dieses Ergebnis zu beheben, konfigurieren Sie Ihre XML-Parser so, dass externe Entitäten nicht zugelassen werden.
BASIC_AUTHENTICATION_ENABLED	IAM oder Clientzertifikat-Authentifizierung sollte auf Kubernetes-Clustern aktiviert sein.
CLIENT_CERT_AUTHENTICATION_DISABLED	Kubernetes-Cluster sollten mit aktiviertem Clientzertifikat erstellt werden.
LABELS_NOT_USED	Mit Labels können Zahlungsinformationen aufgeschlüsselt werden
PUBLIC_STORAGE_OBJECT	Die Speicherobjekt-ACL sollte allUsers keinen Zugriff gewähren.
SQL_BROAD_ROOT_LOGIN	Der Root-Zugriff auf eine SQL-Datenbank sollte auf als erlaubt gelistete, vertrauenswürdige IP-Adressen beschränkt werden
WEAK_CREDENTIALS	Dieser Detektor sucht mithilfe von ncrack-Brute-Force-Methoden nach schwachen Anmeldedaten. Unterstützte Dienste: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	Mit der Elasticsearch API können Aufrufer beliebige Abfragen ausführen, Skripts schreiben und ausführen und dem Dienst zusätzliche Dokumente hinzufügen.
EXPOSED_GRAFANA_ENDPOINT	In Grafana 8.0.0 bis 8.3.0 können Nutzer ohne Authentifizierung auf einen Endpunkt zugreifen, der eine Sicherheitslücke beim Verzeichnisdurchlauf aufweist, durch die jeder Nutzer beliebige Dateien auf dem Server ohne Authentifizierung lesen kann. Weitere Informationen finden Sie unter CVE-2021-43798.
EXPOSED_METABASE	Die Versionen x.40.0 bis x.40.4 von Metabase, einer Open-Source-Datenanalyseplattform, enthalten eine Sicherheitslücke in der Unterstützung benutzerdefinierter GeoJSON-Karten und potenzieller lokaler Dateien, einschließlich Umgebungsvariablen. URLs wurden vor dem Laden nicht validiert. Weitere Informationen finden Sie unter CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Dieser Detektor prüft, ob vertrauliche Bedienelemente von Spring Boot-Anwendungen verfügbar gemacht werden. Einige der Standardendpunkte, z. B. /heapdump, enthalten möglicherweise vertrauliche Informationen. Andere Endpunkte wie /env können dazu führen, dass Code remote ausgeführt wird. Derzeit ist nur „/heapdump“ aktiviert.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Dieser Detektor prüft, ob die Hadoop Yarn ResourceManager API, die die Rechen- und Speicherressourcen eines Hadoop-Clusters steuert, verfügbar ist und die nicht authentifizierte Codeausführung zulässt.
JAVA_JMX_RMI_EXPOSED	Die Java Management Extension (JMX) ermöglicht Remote-Monitoring und -Diagnose für Java-Anwendungen. Wenn Sie JMX mit einem ungeschützten Remote Method Invocation-Endpunkt ausführen, können alle Remote-Nutzer eine javax.management.loading.MLet MBean erstellen und damit neue MBeans aus beliebigen URLs erstellen.
JUPYTER_NOTEBOOK_EXPOSED_UI	Dieser Detektor prüft, ob ein nicht authentifiziertes Jupyter-Notebook verfügbar gemacht wird. Jupyter ermöglicht Remote-Codeausführung auf dem Hostcomputer. Ein nicht authentifiziertes Jupyter-Notebook gefährdet die Ausführung der Hosting-VM.
KUBERNETES_API_EXPOSED	Die Kubernetes API ist verfügbar und nicht authentifizierte Aufrufer können auf sie zugreifen. Dies ermöglicht die beliebige Codeausführung auf dem Kubernetes-Cluster.
UNFINISHED_WORDPRESS_INSTALLATION	Dieser Detektor prüft, ob eine WordPress-Installation abgeschlossen ist. Durch eine noch nicht abgeschlossene WordPress-Installation wird die Seite /wp-admin/install.php offengelegt, über die Angreifer das Administratorpasswort festlegen und möglicherweise das System manipulieren können.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Dieser Detektor sucht nach einer nicht authentifizierten Jenkins-Instanz. Dazu wird ein Prüfungs-Ping als anonymer Besucher an den Endpunkt /view/all/newJob gesendet. Eine authentifizierte Jenkins-Instanz zeigt das „createItem“-Formular an. Damit können beliebige Jobs erstellt werden, die zu einer Remotecodeausführung führen können.
APACHE_HTTPD_RCE	In Apache HTTP Server 2.4.49 wurde eine Schwachstelle gefunden, die es einem Angreifer ermöglicht, mithilfe eines Path Traversal-Angriffs URLs Dateien außerhalb des erwarteten Dokumentenstamms zuzuordnen und die Quelle interpretierter Dateien wie CGI-Skripts zu sehen. Dieses Problem wird bekanntermaßen ausgenutzt. Dieses Problem betrifft Apache 2.4.49 und 2.4.50, jedoch nicht ältere Versionen. Weitere Informationen zu dieser Sicherheitslücke finden Sie hier: CVE-Eintrag CVE-2021-41773 Sicherheitslücken in Apache HTTP Server 2.4
APACHE_HTTPD_SSRF	Angreifer können einen URI zum Apache-Webserver erstellen, der dazu führt, dass mod_proxy die Anfrage an einen vom Angreifer ausgewählten Ursprungsserver weiterleitet. Dieses Problem betrifft Apache HTTP Server 2.4.48 und frühere Versionen. Weitere Informationen zu dieser Sicherheitslücke finden Sie unter: CVE-Eintrag CVE-2021-40438 Sicherheitslücken im Apache HTTP Server 2.4
CONSUL_RCE	Angreifer können beliebigen Code auf einem Consul-Server ausführen, da die Consul-Instanz mit -enable-script-checks auf „wahr“ konfiguriert ist und die Consul HTTP API nicht gesichert ist und über das Netzwerk zugänglich ist. In Consul 0.9.0 und früheren Versionen sind die Skriptprüfungen standardmäßig aktiviert. Weitere Informationen finden Sie unter Consul vor RCE-Risiko in bestimmten Konfigurationen schützen. Um nach dieser Sicherheitslücke zu suchen, registriert Rapid Vulnerability Detection einen Dienst bei der Consul-Instanz über den REST-Endpunkt „/v1/health/service“. Daraufhin wird einer der folgenden Schritte ausgeführt: * Ein Curl-Befehl an einen Remote-Server außerhalb des Netzwerks. Ein Angreifer kann den Befehl „curl“ verwenden, um Daten vom Server zu exfiltrieren. * Einen printf-Befehl. Rapid Vulnerability Detection überprüft dann die Ausgabe des Befehls mithilfe des REST-Endpunkts /v1/health/service. * Nach der Prüfung wird der Dienst von Rapid Vulnerability Detection mithilfe des REST-Endpunkts /v1/agent/service/deregister/ bereinigt und seine Registrierung aufgehoben.
DRUID_RCE	Apache Druid bietet die Möglichkeit, von Nutzern bereitgestellter JavaScript-Code auszuführen, der in verschiedene Arten von Anfragen eingebettet ist. Diese Funktion ist für die Verwendung in Umgebungen mit hoher Vertrauenswürdigkeit vorgesehen und standardmäßig deaktiviert. In Druid 0.20.0 und früheren Versionen kann ein authentifizierter Nutzer jedoch eine speziell entwickelte Anfrage senden, die Druid zwingt, den vom Nutzer bereitgestellten JavaScript-Code unabhängig von der Serverkonfiguration auszuführen. Damit kann Code auf dem Zielcomputer mit den Berechtigungen des Druid-Serverprozesses ausgeführt werden. Weitere Informationen finden Sie unter CVE-2021-25646 Details.
DRUPAL_RCE	Drupal-Versionen vor 7.58, 8.x vor 8.3.9, 8.4.x vor 8.4.6 und 8.5.x vor 8.5.1 sind anfällig für die Remote-Codeausführung bei AJAX-Anfragen des Formular-APIs. Die Drupal-Versionen 8.5.x vor 8.5.11 und 8.6.x vor 8.6.10 sind anfällig für Remote-Codeausführung, wenn entweder das RESTful-Webdienstmodul oder die JSON:API aktiviert ist. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer mithilfe einer benutzerdefinierten POST-Anfrage ausgenutzt werden.
FLINK_FILE_DISCLOSURE	Durch eine Sicherheitslücke in den Apache Flink-Versionen 1.11.0, 1.11.1 und 1.11.2 können Angreifer jede Datei im lokalen Dateisystem des JobManagers über die REST-Schnittstelle des JobManager-Prozesses lesen. Der Zugriff ist auf Dateien beschränkt, auf die über den JobManager-Prozess zugegriffen werden kann.
GITLAB_RCE	In GitLab Community Edition (CE) und Enterprise Edition (EE) Version 11.9 und höher validiert GitLab die Bilddateien, die an einen Dateiparser übergeben werden, nicht ordnungsgemäß. Ein Angreifer kann diese Sicherheitslücke zur Remoteausführung von Befehlen ausnutzen.
GoCD_RCE	In GoCD 21.2.0 und früheren Versionen gibt es einen Endpunkt, auf den ohne Authentifizierung zugegriffen werden kann. Dieser Endpunkt weist eine Sicherheitslücke beim Durchsuchen von Verzeichnissen auf, die es einem Nutzer ermöglicht, jede Datei auf dem Server ohne Authentifizierung zu lesen.
JENKINS_RCE	Die Jenkins-Versionen 2.56 und niedriger sowie 2.46.1 LTS und frühere Versionen sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann auch durch einen nicht authentifizierten Angreifer ausgelöst werden, der ein schädliches serialisiertes Java-Objekt verwendet.
JOOMLA_RCE	Die Joomla-Versionen 1.5.x, 2.x und 3.x vor 3.4.6 sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann mit einem erstellten Header mit serialisierten PHP-Objekten ausgelöst werden. Die Joomla-Versionen 3.0.0 bis 3.4.6 sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann durch das Senden einer POST-Anfrage mit einem gefälschten serialisierten PHP-Objekt ausgelöst werden.
LOG4J_RCE	In Apache Log4j2 2.14.1 und früheren Versionen bieten JNDI-Funktionen, die in Konfigurationen, Lognachrichten und Parametern verwendet werden, keinen Schutz vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Weitere Informationen finden Sie unter CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	In der Version 2.3.0 von MantisBT können Passwörter jederzeit zurückgesetzt und nicht authentifiziert werden. Dazu wird ein leerer „confirm_hash“-Wert für „verify.php“ angegeben.
OGNL_RCE	Confluence Server- und Data Center-Instanzen enthalten eine OGNL-Injection-Sicherheitslücke, die es einem nicht authentifizierten Angreifer ermöglicht, beliebigen Code auszuführen. Weitere Informationen finden Sie unter CVE-2021-26084.
OPENAM_RCE	Der OpenAM-Server 14.6.2 und niedriger sowie der ForgeRock-AM-Server 6.5.3 und niedriger weisen auf mehreren Seiten eine Sicherheitslücke bei der Java-Deserialisierung im Parameter jato.pageSession auf. Für die Ausnutzung ist keine Authentifizierung erforderlich. Die Remote-Codeausführung kann durch Senden einer einzelnen manipulierten /ccversion/*-Anfrage an den Server ausgelöst werden. Die Sicherheitslücke ergibt sich durch die Verwendung der Sun ONE-Anwendung. Weitere Informationen finden Sie unter CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke, einschließlich der Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese leicht ausnutzbare Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP, einen Oracle WebLogic Server zu manipulieren. Erfolgreiche Angriffe auf diese Sicherheitslücke können zu einer Übernahme von Oracle WebLogic Server führen. Weitere Informationen finden Sie unter CVE-2020-14882.
PHPUNIT_RCE	In den PHPUnit-Versionen vor 5.6.3 ist die Remote-Ausführung von Code mit einer einzigen nicht authentifizierten POST-Anfrage möglich.
PHP_CGI_RCE	PHP-Versionen vor 5.3.12 und Versionen 5.4.x vor 5.4.2, wenn sie als CGI-Skript konfiguriert sind, ermöglichen die Remote-Ausführung von Code. Abfragestrings ohne das Zeichen = (Gleichheitszeichen) werden vom anfälligen Code nicht ordnungsgemäß verarbeitet. Dadurch können Angreifer Befehlszeilenoptionen hinzufügen, die auf dem Server ausgeführt werden.
PORTAL_RCE	Die Deserialisierung nicht vertrauenswürdiger Daten in Liferay Portal-Versionen vor 7.2.1 CE GA2 ermöglicht es Remote-Angreifern, über JSON-Webdienste beliebigen Code auszuführen.
REDIS_RCE	Wenn für die Ausführung von Administratorbefehlen in einer Redis-Instanz keine Authentifizierung erforderlich ist, können Angreifer möglicherweise beliebigen Code ausführen.
SOLR_FILE_EXPOSED	Die Authentifizierung ist in Apache Solr, einem Open-Source-Suchserver, nicht aktiviert. Wenn für Apache Solr keine Authentifizierung erforderlich ist, kann ein Angreifer direkt eine Anfrage erstellen, um eine bestimmte Konfiguration zu aktivieren, und schließlich eine serverseitige Anfragefälschung (SSRF) implementieren oder beliebige Dateien lesen.
SOLR_RCE	Apache Solr-Versionen 5.0.0 bis Apache Solr 8.3.1 sind anfällig für die Remote-Codeausführung über den VelocityResponseWriter, wenn params.resource.loader.enabled auf "true" gesetzt ist. Dadurch können Angreifer einen Parameter erstellen, der eine schädliche Velocity-Vorlage enthält.
STRUTS_RCE	Apache Struts-Versionen vor 2.3.32 und 2.5.x vor 2.5.10.1 sind anfällig für die Remote-Codeausführung. Die Sicherheitslücke kann auch durch einen nicht authentifizierten Angreifer ausgelöst werden, der einen erstellten Content-Type-Header bereitstellt. Das REST-Plug-in in den Apache Struts-Versionen 2.1.1 bis 2.3.x vor 2.3.34 und 2.5.x vor 2.5.13 ist bei der Deserialisierung von erstellten XML-Nutzlasten anfällig für Remote-Codeausführung. Die Apache Struts-Versionen 2.3 bis 2.3.34 und 2.5 bis 2.5.16 sind anfällig für Remote-Codeausführung, wenn immerSelectFullNamespace auf „true“ gesetzt ist und bestimmte andere Aktionskonfigurationen vorhanden sind.
TOMCAT_FILE_DISCLOSURE	Apache Tomcat-Versionen 9.x vor 9.0.31, 8.x vor 8.5.51, 7.x vor 7.0.100 und alle 6.x-Versionen sind anfällig für Quellcode und Konfigurationsoffenlegung über einen offenen Apache JServ Protocol-Connector. In einigen Fällen wird diese Methode genutzt, um Code per Fernzugriff auszuführen, sofern das Hochladen von Dateien erlaubt ist.
VBULLETIN_RCE	vBulletin-Server mit den Versionen 5.0.0 bis 5.5.4 sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer mithilfe eines Abfrageparameters in einer Routingstring-Anfrage ausgenutzt werden.
VCENTER_RCE	VMware vCenter Server-Versionen 7.x vor 7.0 U1c, 6.7 vor 6.7 U3l und 6.5 vor 6.5 U3n sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann durch einen Angreifer ausgelöst werden, der eine vorgefertigte Java Server Pages-Datei in ein Verzeichnis hochlädt, auf das über das Internet zugegriffen werden kann, und dann die Ausführung dieser Datei auslöst.
WEBLOGIC_RCE	Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke zur Remote-Codeausführung, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese Sicherheitslücke steht im Zusammenhang mit CVE-2020-14750, CVE-2020-14882 und CVE-2020-14883. Weitere Informationen finden Sie unter CVE-2020-14883.
OS_VULNERABILITY	VM Manager hat eine Sicherheitslücke im installierten Betriebssystempaket für eine Compute Engine-VM erkannt.
UNUSED_IAM_ROLE	Der IAM-Recommender hat ein Nutzerkonto mit einer IAM-Rolle erkannt, die in den letzten 90 Tagen nicht verwendet wurde.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE	Der IAM-Recommender hat erkannt, dass die ursprüngliche IAM-Standardrolle, die einem Dienst-Agent zugewiesen wurde, durch eine der einfachen IAM-Rollen ersetzt wurde: Inhaber, Bearbeiter oder Betrachter. Einfache Rollen sind Legacy-Rollen mit zu umfangreichen Berechtigungen und sollten Dienst-Agents nicht gewährt werden.

Unterstützte Ergebnisse für GCP_SECURITYCENTER_MISCONFIGURATION

Sie finden die UDM-Zuordnung in der Tabelle Feldzuordnungsreferenz: MISCONFIGURATION.

Name des Ergebnisses	Beschreibung
API_KEY_APIS_UNRESTRICTED	API-Schlüssel werden zu umfassend verwendet. Zur Behebung dieses Problems beschränken Sie die Nutzung der API-Schlüssel so, dass nur die von der Anwendung benötigten APIs zugelassen werden.
API_KEY_APPS_UNRESTRICTED	Es gibt API-Schlüssel, die uneingeschränkt verwendet werden, sodass sie von jeder nicht vertrauenswürdigen App verwendet werden können
API_KEY_EXISTS	Ein Projekt nutzt API-Schlüssel anstelle der Standardauthentifizierung.
API_KEY_NOT_ROTATED	Der API-Schlüssel wurde seit mehr als 90 Tagen nicht rotiert.
PUBLIC_COMPUTE_IMAGE	Ein Compute Engine-Image ist öffentlich zugänglich.
CONFIDENTIAL_COMPUTING_DISABLED	Confidential Computing ist auf einer Compute Engine-Instanz deaktiviert.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Es werden projektweite SSH-Schlüssel verwendet, sodass eine Anmeldung bei allen Instanzen im Projekt möglich ist.
COMPUTE_SECURE_BOOT_DISABLED	Für diese Shielded VM ist Secure Boot nicht aktiviert. Mit Secure Boot können Sie VM-Instanzen vor komplexen Bedrohungen wie Rootkits und Bootkits schützen.
DEFAULT_SERVICE_ACCOUNT_USED	Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto verwendet.
FULL_API_ACCESS	Eine Instanz ist so konfiguriert, dass sie das Standarddienstkonto mit uneingeschränktem Zugriff auf alle Google Cloud APIs verwendet.
OS_LOGIN_DISABLED	OS Login ist für diese Instanz deaktiviert.
PUBLIC_IP_ADDRESS	Eine Instanz hat eine öffentliche IP-Adresse.
SHIELDED_VM_DISABLED	Shielded VM ist für diese Instanz deaktiviert.
COMPUTE_SERIAL_PORTS_ENABLED	Serielle Ports sind für eine Instanz aktiviert und ermöglichen Verbindungen zur seriellen Konsole der Instanz.
DISK_CMEK_DISABLED	Laufwerke auf dieser VM sind nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
HTTP_LOAD_BALANCER	Eine Instanz verwendet einen Load-Balancer, der so konfiguriert ist, dass er einen Ziel-HTTP-Proxy anstelle eines Ziel-HTTPS-Proxys verwendet.
IP_FORWARDING_ENABLED	Die IP-Weiterleitung ist für Instanzen aktiviert.
WEAK_SSL_POLICY	Eine Instanz hat eine schwache SSL-Richtlinie.
BINARY_AUTHORIZATION_DISABLED	Die Binärautorisierung ist in einem GKE-Cluster deaktiviert.
CLUSTER_LOGGING_DISABLED	Logging ist für einen GKE-Cluster nicht aktiviert.
CLUSTER_MONITORING_DISABLED	Monitoring ist auf GKE-Clustern deaktiviert.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Clusterhosts sind nicht dafür konfiguriert, nur private, interne IP-Adressen für den Zugriff auf Google APIs zu verwenden.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	Die Verschlüsselung von Secrets auf Anwendungsebene ist in einem GKE-Cluster deaktiviert.
INTRANODE_VISIBILITY_DISABLED	Knoteninterne Sichtbarkeit ist für einen GKE-Cluster deaktiviert.
MASTER_AUTHORIZED_NETWORKS_DISABLED	Autorisierte Netzwerke auf Steuerungsebene sind in GKE-Clustern nicht aktiviert.
NETWORK_POLICY_DISABLED	Die Netzwerkrichtlinie ist auf GKE-Clustern deaktiviert.
NODEPOOL_SECURE_BOOT_DISABLED	Secure Boot ist für einen GKE-Cluster deaktiviert.
OVER_PRIVILEGED_ACCOUNT	Ein Dienstkonto hat in einem Cluster übermäßigen Projektzugriff.
OVER_PRIVILEGED_SCOPES	Ein Knotendienstkonto hat übermäßige Zugriffsbereiche.
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy ist auf einem GKE-Cluster deaktiviert.
PRIVATE_CLUSTER_DISABLED	Bei einem GKE-Cluster ist der private Cluster deaktiviert.
WORKLOAD_IDENTITY_DISABLED	Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.
LEGACY_AUTHORIZATION_ENABLED	Die Legacy-Autorisierung ist für GKE-Cluster aktiviert.
NODEPOOL_BOOT_CMEK_DISABLED	Bootlaufwerke in diesem Knotenpool werden nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren.
WEB_UI_ENABLED	Die GKE-Web-UI (Dashboard) ist aktiviert.
AUTO_REPAIR_DISABLED	Die Funktion zur automatischen Reparatur eines GKE-Clusters, die Knoten in einem fehlerfreien, laufenden Zustand beibehält, ist deaktiviert.
AUTO_UPGRADE_DISABLED	Die Funktion für automatische Upgrades eines GKE-Clusters, die dafür sorgt, dass Cluster und Knotenpools auf der neuesten stabilen Version von Kubernetes bleiben, ist deaktiviert.
CLUSTER_SHIELDED_NODES_DISABLED	Shielded GKE-Knoten sind für einen Cluster nicht aktiviert
RELEASE_CHANNEL_DISABLED	Ein GKE-Cluster ist nicht auf einer Release-Version abonniert.
BIGQUERY_TABLE_CMEK_DISABLED	Eine BigQuery-Tabelle ist nicht für die Verwendung eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich.
DATASET_CMEK_DISABLED	Ein BigQuery-Dataset ist nicht für die Verwendung eines Standard-CMEK konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich.
EGRESS_DENY_RULE_NOT_SET	In einer Firewall ist keine Regel zum Ablehnen von ausgehendem Traffic festgelegt. Regeln zum Ablehnen von ausgehendem Traffic sollten so festgelegt werden, dass unerwünschter ausgehender Traffic blockiert wird.
FIREWALL_RULE_LOGGING_DISABLED	Firewallregel-Logging ist deaktiviert. Das Logging von Firewallregeln sollte aktiviert sein, damit Sie Netzwerkzugriffe prüfen können.
OPEN_CASSANDRA_PORT	Eine Firewall ist für einen offenen Cassandra-Port mit generischem Zugriff konfiguriert.
Offener SMTP-Port	Eine Firewall ist für einen offenen SMTP-Port mit generischem Zugriff konfiguriert.
OPEN_REDIS_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen REDIS-Port hat, der generischen Zugriff ermöglicht.
OPEN_POSTGRESQL_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen PostgreSQL-Port hat, der generischen Zugriff ermöglicht.
OPEN_POP3_PORT	Eine Firewall ist so konfiguriert, dass sie über einen offenen POP3-Port verfügt, der allgemeinen Zugriff ermöglicht.
OPEN_ORACLEDB_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff ermöglicht.
OPEN_NETBIOS_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen NETBIOS-Port hat, der generischen Zugriff ermöglicht.
OPEN_MYSQL_PORT	Eine Firewall ist so konfiguriert, dass sie über einen offenen MYSQL-Port verfügt, der generischen Zugriff ermöglicht.
OPEN_MONGODB_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen MONGODB-Port hat, der generischen Zugriff ermöglicht.
OPEN_MEMCACHED_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen MEMCACHED-Port hat, der generischen Zugriff ermöglicht.
OPEN_LDAP_PORT	Eine Firewall ist so konfiguriert, dass sie über einen offenen LDAP-Port verfügt, der generischen Zugriff ermöglicht.
OPEN_FTP_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen FTP-Port bietet, der allgemeinen Zugriff ermöglicht.
OPEN_ELASTICSEARCH_PORT	Eine Firewall ist für einen offenen ELASTICSEARCH-Port mit generischem Zugriff konfiguriert.
OPEN_DNS_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen DNS-Port hat, der generischen Zugriff ermöglicht.
OPEN_HTTP_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen HTTP-Port hat, der allgemeinen Zugriff ermöglicht.
OPEN_DIRECTORY_SERVICES_PORT	Eine Firewall ist für einen offenen DIRECTORY_SERVICES-Port mit generischem Zugriff konfiguriert.
OPEN_CISCOSECURE_WEBSM_PORT	Eine Firewall ist für einen offenen CISCOSECURE_WEBSM-Port mit generischem Zugriff konfiguriert.
OPEN_RDP_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen RDP-Port hat, der allgemeinen Zugriff ermöglicht.
OPEN_TELNET_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen TELNET-Port bietet, der generischen Zugriff ermöglicht.
OPEN_FIREWALL	Eine Firewall ist so konfiguriert, dass sie öffentlich zugänglich ist.
OPEN_SSH_PORT	Eine Firewall ist so konfiguriert, dass sie einen offenen SSH-Port bietet, der allgemeinen Zugriff ermöglicht.
SERVICE_ACCOUNT_ROLE_SEPARATION	Einem Nutzer wurden die Rollen "Dienstkontoadministrator" und "Dienstkontonutzer" zugewiesen. Dies verstößt gegen das Prinzip der „Aufgabentrennung“.
NON_ORG_IAM_MEMBER	Ein Nutzer verwendet keine organisationsgebundenen Anmeldedaten. Gemäß CIS Google Cloud Foundations 1.0 wird dieser Detektor derzeit nur von Identitäten mit @gmail.com-E-Mail-Adressen ausgelöst.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Ein Nutzer hat die Rolle „Dienstkontonutzer“ oder „Ersteller von Dienstkonto-Tokens“ auf Projektebene, nicht für ein bestimmtes Dienstkonto.
ADMIN_SERVICE_ACCOUNT	Ein Dienstkonto hat Administrator-, Inhaber- oder Bearbeiterberechtigungen. Diese Rollen sollten keinen von Nutzern erstellten Dienstkonten zugewiesen werden.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	Ein Dienstkontoschlüssel wurde seit mehr als 90 Tagen nicht rotiert.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Ein Nutzer verwaltet einen Dienstkontoschlüssel.
PRIMITIVE_ROLES_USED	Ein Nutzer hat die einfache Rolle „Inhaber“, „Autor“ oder „Leser“. Diese Rollen sind zu moderat und sollten nicht verwendet werden.
KMS_ROLE_SEPARATION	Die Aufgabentrennung wird nicht erzwungen und es gibt einen Nutzer, der gleichzeitig eine der folgenden Rollen für den Cloud Key Management Service (Cloud KMS) hat: CryptoKey-Verschlüsseler/Entschlüsseler, Verschlüsseler oder Entschlüsseler.
OPEN_GROUP_IAM_MEMBER	Ein Google Groups-Konto, das ohne Genehmigung verknüpft werden kann, wird als Hauptkonto auf einer IAM-Zulassungsrichtlinie verwendet.
KMS_KEY_NOT_ROTATED	Für einen Cloud KMS-Verschlüsselungsschlüssel ist keine Rotation konfiguriert. Schlüssel sollten innerhalb von 90 Tagen rotiert werden.
KMS_PROJECT_HAS_OWNER	Ein Nutzer hat Inhaberberechtigungen für ein Projekt mit kryptografischen Schlüsseln.
TOO_MANY_KMS_USERS	Es gibt mehr als drei Nutzer kryptografischer Schlüssel.
OBJECT_VERSIONING_DISABLED	Die Objektversionsverwaltung ist für einen Storage-Bucket, in dem Senken konfiguriert sind, nicht aktiviert.
LOCKED_RETENTION_POLICY_NOT_SET	Für ein Log ist keine gesperrte Aufbewahrungsrichtlinie festgelegt.
BUCKET_LOGGING_DISABLED	Es ist ein Storage-Bucket vorhanden, für den kein Logging aktiviert ist.
LOG_NOT_EXPORTED	Für eine Ressource ist keine geeignete Logsenke konfiguriert.
AUDIT_LOGGING_DISABLED	Audit-Logging wurde für diese Ressource deaktiviert.
MFA_NOT_ENFORCED	Es gibt Nutzer, die die Bestätigung in zwei Schritten nicht verwenden.
ROUTE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert.
OWNER_NOT_MONITORED	Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Zuweisungen oder Änderungen der Projektinhaberschaft konfiguriert.
AUDIT_CONFIG_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht so konfiguriert, dass Änderungen an der Audit-Konfiguration überwacht werden.
BUCKET_IAM_NOT_MONITORED	Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen der Cloud Storage-IAM-Berechtigungen konfiguriert.
CUSTOM_ROLE_NOT_MONITORED	Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen an benutzerdefinierten Rollen konfiguriert.
FIREWALL_NOT_MONITORED	Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von Änderungen an Firewallregeln des VPC-Netzwerks (Virtual Private Cloud) konfiguriert.
NETWORK_NOT_MONITORED	Logmesswerte und -benachrichtigungen sind nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert.
SQL_INSTANCE_NOT_MONITORED	Logmesswerte und Benachrichtigungen sind nicht für das Monitoring von Änderungen an der Konfiguration von Cloud SQL-Instanzen konfiguriert.
DEFAULT_NETWORK	Das Standardnetzwerk ist in einem Projekt vorhanden.
DNS_LOGGING_DISABLED	Das DNS-Logging in einem VPC-Netzwerk ist nicht aktiviert.
PUBSUB_CMEK_DISABLED	Ein Pub/Sub-Thema wird nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung finden Sie unter Detektoren aktivieren und deaktivieren.
PUBLIC_SQL_INSTANCE	Eine Cloud SQL-Datenbankinstanz akzeptiert Verbindungen von allen IP-Adressen.
SSL_NOT_ENFORCED	Bei einer Cloud SQL-Datenbankinstanz müssen nicht alle eingehenden Verbindungen SSL verwenden.
AUTO_BACKUP_DISABLED	In einer Cloud SQL-Datenbank sind keine automatischen Sicherungen aktiviert.
SQL_CMEK_DISABLED	Eine SQL-Datenbankinstanz ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren.
SQL_LOG_CHECKPOINTS_DISABLED	Das Datenbank-Flag „log_checkpoints“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ gesetzt.
SQL_LOG_CONNECTIONS_DISABLED	Das Datenbank-Flag „log_connections“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ gesetzt.
SQL_LOG_DISCONNECTIONS_DISABLED	Das Datenbank-Flag „log_disconnections“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ gesetzt.
SQL_LOG_DURATION_DISABLED	Das Datenbank-Flag „log_duration“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_LOG_LOCK_WAITS_DISABLED	Das Datenbank-Flag „log_lock_waits“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_LOG_STATEMENT	Das Datenbank-Flag „log_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „Ddl“ (alle Datendefinitionsanweisungen) gesetzt.
SQL_NO_ROOT_PASSWORD	Für eine Cloud SQL-Datenbank ist für das Root-Konto kein Passwort konfiguriert. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren.
SQL_PUBLIC_IP	Eine Cloud SQL-Datenbank hat eine öffentliche IP-Adresse.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Das Datenbank-Flag „contained database authentication“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Das Datenbank-Flag „cross_db_ownership_chaining“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOCAL_INFILE	Das Datenbank-Flag „local_infile“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Aus“ festgelegt.
SQL_LOG_MIN_ERROR_STATEMENT	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht korrekt festgelegt.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Das Datenbank-Flag „log_min_error_statement“ für eine Cloud SQL for PostgreSQL-Instanz hat keinen angemessenen Schweregrad.
SQL_LOG_TEMP_FILES	Das Datenbank-Flag „log_temp_files“ für eine Cloud SQL for PostgreSQL-Instanz ist nicht auf „0“ festgelegt.
SQL_REMOTE_ACCESS_ENABLED	Das Datenbank-Flag „remote access“ für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Aus“ festgelegt.
SQL_SKIP_SHOW_DATABASE_DISABLED	Das Datenbank-Flag „skip_show_database“ für eine Cloud SQL for MySQL-Instanz ist nicht auf „Ein“ festgelegt.
SQL_TRACE_FLAG_3625	Das Datenbank-Flag 3625 (Trace-Flag) für eine Cloud SQL for SQL Server-Instanz ist nicht auf „Ein“ festgelegt.
SQL_USER_CONNECTIONS_CONFIGURED	Das Datenbank-Flag „user connections“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
SQL_USER_OPTIONS_CONFIGURED	Das Datenbank-Flag „user options“ für eine Cloud SQL for SQL Server-Instanz ist konfiguriert.
PUBLIC_BUCKET_ACL	Ein Cloud Storage-Bucket ist öffentlich zugänglich.
BUCKET_POLICY_ONLY_DISABLED	Der einheitliche Zugriff auf Bucket-Ebene, der zuvor als „Nur Bucket-Richtlinie“ bezeichnet wurde, ist nicht konfiguriert.
BUCKET_CMEK_DISABLED	Ein Bucket ist nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt. Für diesen Detektor ist zum Aktivieren eine zusätzliche Konfiguration erforderlich. Eine Anleitung dazu finden Sie unter Detektoren aktivieren und deaktivieren.
FLOW_LOGS_DISABLED	Es gibt ein VPC-Subnetzwerk, in dem Flusslogs deaktiviert sind.
PRIVATE_GOOGLE_ACCESS_DISABLED	Es gibt private Subnetzwerke, die keinen Zugriff auf öffentliche Google-APIs haben.
kms_key_region_europe	Gemäß den Unternehmensrichtlinien müssen alle Verschlüsselungsschlüssel in Europa gespeichert bleiben.
kms_non_euro_region	Aufgrund der Unternehmensrichtlinien sollten alle Verschlüsselungsschlüssel in Europa gespeichert bleiben.
LEGACY_NETWORK	Ein Legacy-Netzwerk ist in einem Projekt vorhanden.
LOAD_BALANCER_LOGGING_DISABLED	Logging ist für den Load-Balancer deaktiviert.

Unterstützte GCP_SECURITYCENTER_POSTURE_VIOLATION-Ergebnisse

Die UDM-Zuordnung finden Sie in der Tabelle Feldzuordnungsreferenz: POSTURE VIOLATION.

Name des Ergebnisses	Beschreibung
SECURITY_POSTURE_DRIFT	Abweichungen von den definierten Richtlinien im Rahmen des Sicherheitsstatus. Dies wird vom Dienst zur Sicherheitslage erkannt.
SECURITY_POSTURE_POLICY_DRIFT	Der Dienst für den Sicherheitsstatus hat eine Änderung an einer Organisationsrichtlinie erkannt, die außerhalb einer Statusaktualisierung aufgetreten ist.
SECURITY_POSTURE_POLICY_DELETE	Der Dienst für den Sicherheitsstatus hat erkannt, dass eine Organisationsrichtlinie gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung.
SECURITY_POSTURE_DETECTOR_DRIFT	Der Dienst zur Bewertung der Sicherheitskonfiguration hat eine Änderung an einem Security Health Analytics-Detektor erkannt, die nicht im Rahmen eines Aktualisierungsvorgangs der Sicherheitskonfiguration stattgefunden hat.
SECURITY_POSTURE_DETECTOR_DELETE	Der Dienst für den Sicherheitsstatus hat erkannt, dass ein benutzerdefiniertes Modul für Security Health Analytics gelöscht wurde. Dieses Löschen erfolgte außerhalb einer Statusaktualisierung.

Feldzuordnungsreferenz

In diesem Abschnitt wird erläutert, wie der Google Security Operations-Parser die Protokollfelder des Security Command Center den Feldern von Google Security Operations Unified Data Model (UDM) für die Datensätze zuordnet.

Referenz zur Feldzuordnung: Rohlogfelder zu UDM-Feldern

In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Ergebnisse der Event Threat Detection von Security Command Center aufgeführt.

Feld „RawLog“	UDM-Zuordnung	Logik
`compliances.ids`	`about.labels [compliance_ids]` (verworfen)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (verworfen)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (verworfen)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (verworfen)	Wenn der Wert des Logfelds `connections.destinationIp` nicht gleich `sourceProperties.properties.ipConnection.destIp` ist, wird das Logfeld `connections.destinationIp` dem UDM-Feld `about.labels.value` zugeordnet.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Wenn der Wert des Logfelds `connections.destinationIp` nicht gleich `sourceProperties.properties.ipConnection.destIp` ist, wird das Logfeld `connections.destinationIp` dem UDM-Feld `additional.fields.value.string_value` zugeordnet.
`connections.destinationPort`	`about.labels [connections_destination_port]` (verworfen)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (verworfen)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (verworfen)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (verworfen)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Wenn der Wert des Logfelds `message` mit dem Muster des regulären Ausdrucks `kubernetes` übereinstimmt, wird das UDM-Feld `target.resource_ancestors.resource_type` auf CLUSTER festgelegt. Else: Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `kubernetes.*?pods` übereinstimmt, wird das UDM-Feld `target.resource_ancestors.resource_type` auf POD festgelegt.
	`about.resource.attribute.cloud.environment`	Das UDM-Feld `about.resource.attribute.cloud.environment` ist auf `GOOGLE_CLOUD_PLATFORM` gesetzt.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.pods.containers.createTime`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Wenn der Wert des `category`-Logfelds `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` oder `Persistence: SSO Enablement Toggle` ist, wird das `extension.auth.type`-UDM-Feld auf `SSO` gesetzt.
	`extension.mechanism`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das UDM-Feld `extension.mechanism` auf `USERNAME_PASSWORD` festgelegt.
	`extensions.auth.type`	Wenn der Wert des Logfelds `principal.user.user_authentication_status` gleich `ACTIVE` ist, wird das UDM-Feld `extensions.auth.type` auf `SSO` festgelegt.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (verworfen)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (verworfen)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (verworfen)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (verworfen)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (verworfen)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (verworfen)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (verworfen)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (verworfen)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (verworfen)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (verworfen)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Log4j Compromise Attempt` ist, wird das Logfeld `sourceProperties.properties.loadBalancerName` dem UDM-Feld `intermediary.resource.name` zugeordnet.
	`intermediary.resource.resource_type`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Log4j Compromise Attempt` ist, wird das UDM-Feld `intermediary.resource.resource_type` auf `BACKEND_SERVICE` festgelegt.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Wenn der Wert des Logfelds `canonicalName` nicht leer ist, wird `finding_id` mithilfe eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert. Wenn der Wert des Logfelds `finding_id` leer ist, wird das Logfeld `sourceProperties.evidence.sourceLogId.insertId` dem UDM-Feld `metadata.product_log_id` zugeordnet. Wenn der Wert des Logfelds `canonicalName` leer ist, wird das Logfeld `sourceProperties.evidence.sourceLogId.insertId` dem UDM-Feld `metadata.product_log_id` zugeordnet.
	`metadata.product_name`	Das UDM-Feld `metadata.product_name` ist auf `Security Command Center` gesetzt.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	Das UDM-Feld `metadata.vendor_name` ist auf `Google` gesetzt.
	`network.application_protocol`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das UDM-Feld `network.application_protocol` auf `DNS` festgelegt.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.asn` dem UDM-Feld `network.asn` zugeordnet.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.carrierName` dem UDM-Feld `network.carrier_name` zugeordnet.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.reverseDnsDomain` dem UDM-Feld `network.dns_domain` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.responseData.responseClass` dem UDM-Feld `network.dns.answers.class` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Wenn der Wert des `category`-Logfelds mit dem regulären Ausdruck `Malware: Bad Domain` übereinstimmt, wird das `sourceProperties.properties.dnsContexts.responseData.responseValue`-Logfeld dem UDM-Feld `network.dns.answers.data` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain` entspricht, wird das `sourceProperties.properties.dnsContexts.responseData.domainName`-Logfeld dem `network.dns.answers.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.responseData.ttl` dem UDM-Feld `network.dns.answers.ttl` zugeordnet.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.responseData.responseType` dem UDM-Feld `network.dns.answers.type` zugeordnet.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.authAnswer` dem UDM-Feld `network.dns.authoritative` zugeordnet.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.queryName` dem UDM-Feld `network.dns.questions.name` zugeordnet.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.queryType` dem UDM-Feld `network.dns.questions.type` zugeordnet.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.responseCode` dem UDM-Feld `network.dns.response_code` zugeordnet.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Wenn der Wert des Logfelds `category` gleich `Persistence: New User Agent` ist, wird das Logfeld `sourceProperties.properties.anomalousSoftware.callerUserAgent` dem UDM-Feld `network.http.user_agent` zugeordnet.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.callerUserAgent` dem UDM-Feld `network.http.user_agent` zugeordnet.
`access.userAgentFamily`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Wenn der Wert des `category`-Logfelds `Discovery: Service Account Self-Investigation` entspricht, wird das `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`-Logfeld dem `network.http.user_agent`-UDM-Feld zugeordnet.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP`, `Malware: Cryptomining Bad IP` oder `Malware: Outgoing DoS` ist, wird das UDM-Feld `network.ip_protocol` auf einen der folgenden Werte festgelegt: `ICMP`, wenn folgende Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `1` oder `ICMP`. `IGMP`, wenn die folgende Bedingung erfüllt ist: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `2` oder `IGMP`. `TCP`, wenn die folgende Bedingung erfüllt ist: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `6` oder `TCP`. `UDP`, wenn folgende Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `17` oder `UDP`. `IP6IN4`, wenn die folgende Bedingung erfüllt ist: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `41` oder `IP6IN4`. `GRE`, wenn die folgende Bedingung erfüllt ist: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `47` oder `GRE`. `ESP`, wenn die folgende Bedingung erfüllt ist: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `50` oder `ESP`. `EIGRP`, wenn die folgende Bedingung erfüllt ist: Der Wert des `sourceProperties.properties.ipConnection.protocol`-Logfelds ist `88` oder `EIGRP`. `ETHERIP`, wenn die folgende Bedingung erfüllt ist: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `97` oder `ETHERIP`. `PIM`, wenn die folgende Bedingung erfüllt ist: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `103` oder `PIM`. `VRRP`, wenn folgende Bedingungen erfüllt sind: Der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` ist gleich `112` oder `VRRP`. `UNKNOWN_IP_PROTOCOL`, wenn der Wert des Logfelds `sourceProperties.properties.ipConnection.protocol` mit einem beliebigen anderen Wert übereinstimmt.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das `sourceProperties.properties.indicatorContext.organizationName`-Logfeld dem `network.organization_name`-UDM-Feld zugeordnet.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Wenn der Wert des Logfelds `category` gleich `Persistence: New User Agent` ist, wird das Logfeld `sourceProperties.properties.anomalousSoftware.behaviorPeriod` dem UDM-Feld `network.session_duration` zugeordnet.
`sourceProperties.properties.sourceIp`	`principal.ip`	Wenn der Wert des `category`-Logfelds mit dem regulären Ausdruck `Active Scan: Log4j Vulnerable to RCE` übereinstimmt, wird das `sourceProperties.properties.sourceIp`-Logfeld dem `principal.ip`-UDM-Feld zugeordnet.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht, wird das `sourceProperties.properties.attempts.sourceIp`-Logfeld dem `principal.ip`-UDM-Feld zugeordnet.
`access.callerIp`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` oder `access.callerIp` oder `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: CloudSQL Restore Backup to External Organization` oder `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `access.callerIp` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Wenn der Wert des `category`-Logfelds `Discovery: Service Account Self-Investigation` entspricht, wird das `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`-Logfeld dem `principal.ip`-UDM-Feld zugeordnet.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Evasion: Access from Anonymizing Proxy` ist, wird das Logfeld `sourceProperties.properties.changeFromBadIp.ip` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Cryptomining Bad Domain` ist, wird das Logfeld `sourceProperties.properties.dnsContexts.sourceIp` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP`, `Malware: Cryptomining Bad IP` oder `Malware: Outgoing DoS` ist, wird das Logfeld `sourceProperties.properties.ipConnection.srcIp` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist und der Wert des Logfelds `sourceProperties.properties.ipConnection.srcIp` nicht gleich `sourceProperties.properties.indicatorContext.ipAddress` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.ipAddress` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Wenn der Wert des Logfelds `category` gleich `Persistence: New Geography` ist, wird das Logfeld `sourceProperties.properties.anomalousLocation.callerIp` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.properties.scannerDomain`	`principal.labels [sourceProperties_properties_scannerDomain]` (verworfen)	Wenn der Wert des Logfelds `category` mit dem regulären Ausdruck `Active Scan: Log4j Vulnerable to RCE` übereinstimmt, wird das Logfeld `sourceProperties.properties.scannerDomain` dem UDM-Feld `principal.labels.key/value` zugeordnet.
`sourceProperties.properties.scannerDomain`	`additional.fields [sourceProperties_properties_scannerDomain]`	Wenn der Wert des Logfelds `category` mit dem regulären Ausdruck `Active Scan: Log4j Vulnerable to RCE` übereinstimmt, wird das Logfeld `sourceProperties.properties.scannerDomain` dem UDM-Feld `additional.fields.value.string_value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState]` (verworfen)	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.jobState` dem `principal.labels.key/value`- und dem UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.jobState` dem UDM-Feld `additional.fields.value.string_value` zugeordnet.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.indicatorContext.countryCode` dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.job.location` dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.job.location` dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Wenn der Wert des Logfelds `category` gleich `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.anomalousLocation.anomalousLocation`-Logfeld dem `principal.location.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` oder `Malware: Outgoing DoS` ist, wird das `sourceProperties.properties.ipConnection.srcPort`-Logfeld dem `principal.port`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.jobLink`-Logfeld dem `principal.process.file.full_path`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.jobLink` dem UDM-Feld `principal.process.file.full_path` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` dem UDM-Feld `principal.process.pid` zugeordnet.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.job.jobId` dem UDM-Feld `principal.process.pid` zugeordnet.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.srcVpc.subnetworkName` dem UDM-Feld `principal.resource_ancestors.attribute.labels.value` zugeordnet.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.srcVpc.projectId` dem UDM-Feld `principal.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `principal.resource_ancestors.name`-UDM-Feld zugeordnet und das `principal.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `sourceProperties.sourceId.*?customerOrganizationNumber` übereinstimmt, wird das Logfeld `sourceProperties.sourceId.customerOrganizationNumber` dem UDM-Feld `principal.resource.attribute.labels.key/value` zugeordnet.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Wenn der Wert des Logfelds `sourceProperties.properties.projectId` nicht leer ist, wird das Logfeld `sourceProperties.properties.projectId` dem UDM-Feld `principal.resource.name` zugeordnet.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Wenn der Wert des Logfelds `category` gleich `Discovery: Service Account Self-Investigation` ist, wird das Logfeld `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` dem UDM-Feld `principal.resource.name` zugeordnet.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Outgoing DoS` ist, wird das Logfeld `sourceProperties.properties.sourceInstanceDetails` dem UDM-Feld `principal.resource.name` zugeordnet.
	`principal.user.account_type`	Wenn der Wert des Logfelds `access.principalSubject` mit dem regulären Ausdruck `serviceAccount` übereinstimmt, wird das UDM-Feld `principal.user.account_type` auf `SERVICE_ACCOUNT_TYPE` gesetzt. Else: Wenn der Wert des Logfelds `access.principalSubject` mit dem regulären Ausdruck `user` übereinstimmt, wird das UDM-Feld `principal.user.account_type` auf `CLOUD_ACCOUNT_TYPE` gesetzt.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Wenn der Wert des Logfelds `category` gleich `Discovery: Service Account Self-Investigation` ist, wird das UDM-Feld `principal.user.attribute.labels.key` auf `rawUserAgent` festgelegt und das Logfeld `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` dem UDM-Feld `principal.user.attribute.labels.value` zugeordnet.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Discovery: Service Account Self-Investigation` ist, wird das Logfeld `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Evasion: Access from Anonymizing Proxy` ist, wird das Logfeld `sourceProperties.properties.changeFromBadIp.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.userEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` oder `Initial Access: Account Disabled Hijacked` oder `Initial Access: Disabled Password Leak` oder `Initial Access: Government Based Attack` oder `Impair Defenses: Strong Authentication Disabled` oder `Impair Defenses: Two Step Verification Disabled` oder `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` ist, wird das Logfeld `sourceProperties.properties.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet. Wenn der Wert des Logfelds `category` gleich `Initial Access: Suspicious Login Blocked` ist, wird das Logfeld `sourceProperties.properties.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`access.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` oder `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: CloudSQL Restore Backup to External Organization` oder `Persistence: New Geography` ist, wird das Logfeld `access.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleGrant.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Persistence: New User Agent` entspricht, wird das `sourceProperties.properties.anomalousSoftware.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Persistence: New Geography` ist, wird das Logfeld `sourceProperties.properties.anomalousLocation.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Credential Access: External Member Added To Privileged Group` ist, wird das Logfeld `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des `category`-Logfelds `Credential Access: Privileged Group Opened To Public` entspricht, wird das `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`-Logfeld dem `principal.user.email_addresses`-UDM-Feld zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Sensitive Role Granted To Hybrid Group` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.vpcViolation.userEmail` dem UDM-Feld `principal.user.email_addresses` zugeordnet.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Account Disabled Hijacked` oder `Initial Access: Disabled Password Leak` oder `Initial Access: Government Based Attack` oder `Initial Access: Suspicious Login Blocked` oder `Impair Defenses: Two Step Verification Disabled` oder `Persistence: SSO Enablement Toggle` ist, wird das Logfeld `sourceProperties.properties.ssoState` dem UDM-Feld `principal.user.user_authentication_status` zugeordnet.
`database.userName`	`principal.user.userid`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das Logfeld `database.userName` dem UDM-Feld `principal.user.userid` zugeordnet.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.threatIntelligenceSource` dem UDM-Feld `security_result.about.application` zugeordnet.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.sourceIp` dem UDM-Feld `security_result.about.ip` zugeordnet.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` dem UDM-Feld `security_result.about.resource.name` zugeordnet. Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.delta.restrictedResources.resourceName` dem UDM-Feld `security_result.about.resource.name` und das UDM-Feld `security_result.about.resource_type` auf `CLOUD_PROJECT` festgelegt.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.delta.allowedServices.serviceName`-Logfeld dem `security_result.about.resource.name`-UDM-Feld zugeordnet und das `security_result.about.resource_type`-UDM-Feld auf `BACKEND_SERVICE` gesetzt.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.delta.restrictedServices.serviceName` dem UDM-Feld `security_result.about.resource.name` zugeordnet und das UDM-Feld `security_result.about.resource_type` auf `BACKEND_SERVICE` festgelegt.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.delta.accessLevels.policyName` dem UDM-Feld `security_result.about.resource.name` zugeordnet und das UDM-Feld `security_result.about.resource_type` auf `ACCESS_POLICY` festgelegt.
	`security_result.about.user.attribute.roles.name`	Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `contacts.?security` übereinstimmt, wird das UDM-Feld `security_result.about.user.attribute.roles.name` auf `security` gesetzt. Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `contacts.?technical` übereinstimmt, wird das UDM-Feld `security_result.about.user.attribute.roles.name` auf `Technical` festgelegt.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Wenn der Wert des `category`-Logfelds `Initial Access: Suspicious Login Blocked` entspricht, wird das `security_result.action`-UDM-Feld auf `BLOCK` gesetzt. Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht und der Wert des `sourceProperties.properties.attempts.authResult`-Logfelds `SUCCESS` entspricht, wird das `security_result.action`-UDM-Feld auf `BLOCK` gesetzt. Andernfalls wird das `security_result.action`-UDM-Feld auf `BLOCK` gesetzt.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.delta.restrictedResources.action` dem UDM-Feld `security_result.action_details` zugeordnet.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.delta.restrictedServices.action` dem UDM-Feld `security_result.action_details` zugeordnet.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` entspricht, wird das `sourceProperties.properties.delta.allowedServices.action`-Logfeld dem `security_result.action_details`-UDM-Feld zugeordnet.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` ist, wird das Logfeld `sourceProperties.properties.delta.accessLevels.action` dem UDM-Feld `security_result.action_details` zugeordnet.
	`security_result.alert_state`	Wenn der Wert des Logfelds `state` gleich `ACTIVE` ist, wird das UDM-Feld `security_result.alert_state` auf `ALERTING` gesetzt. Else wird das UDM-Feld `security_result.alert_state` auf `NOT_ALERTING` gesetzt.
`findingClass`	`security_result.catgory_details`	Das Logfeld `findingClass - category` ist dem UDM-Feld `security_result.catgory_details` zugeordnet.
`category`	`security_result.catgory_details`	Das Logfeld `findingClass - category` ist dem UDM-Feld `security_result.catgory_details` zugeordnet.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Wenn der Wert des Logfelds `mute` gleich `MUTED` oder `UNMUTED` ist, wird das Logfeld `muteInitiator` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Wenn der Wert des Logfelds `mute` gleich `MUTED` oder `UNMUTED` ist, wird das Logfeld `muteUpdateTimer` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Wenn der Wert des `category`-Logfelds `Persistence: New User Agent` entspricht, wird das `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht, wird das `sourceProperties.properties.attempts.authResult`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Wenn der Wert des `category`-Logfelds `Malware: Bad IP` entspricht, wird das `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.customer_industry` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.customer_name` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.lasthit` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.myVote` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.support_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.tag_name` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.upVotes` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.downVotes` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Initial Access: Log4j Compromise Attempt`, `Malware: Cryptomining Bad Domain`, `Malware: Cryptomining Bad IP` oder `Persistence: IAM Anomalous Grant` ist, wird das `security_result.detection_fields.key`-UDM-Feld auf `sourceProperties_contextUris_relatedFindingUri_url` gesetzt und das `sourceProperties.contextUris.relatedFindingUri.url`-Logfeld wird dem `metadata.url_back_to_product`-UDM-Feld zugeordnet.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` dem UDM-Feld `security_result.detection_fields.key` und das Logfeld `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Account Disabled Hijacked` oder `Initial Access: Disabled Password Leak` oder `Initial Access: Government Based Attack` oder `Initial Access: Suspicious Login Blocked` oder `Impair Defenses: Strong Authentication Disabled` oder `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das Logfeld `sourceProperties.contextUris.workspacesUri.displayName` dem UDM-Feld `security_result.detection_fields.key` und das Logfeld `sourceProperties.contextUris.workspacesUri.url` dem UDM-Feld `security_result.detection_fields.key/value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` dem UDM-Feld `intermediary.labels.key` zugeordnet.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.tags.description` dem UDM-Feld `intermediary.labels.value` zugeordnet.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `HIGH` ist, wird das UDM-Feld `security_result.priority` auf `HIGH_PRIORITY` festgelegt. Else, wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `MEDIUM` ist, dann wird das UDM-Feld `security_result.priority` auf `MEDIUM_PRIORITY` gesetzt. Else, wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `LOW` ist, dann wird das UDM-Feld `security_result.priority` auf `LOW_PRIORITY` festgelegt.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Exfiltration` ist, wird das Logfeld `sourceProperties.properties.vpcViolation.violationReason` dem UDM-Feld `security_result.summary` zugeordnet.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Over-Privileged Grant` entspricht, wird das `database.query`-Logfeld dem `src.process.command_line`-UDM-Feld zugeordnet.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.folders.resourceFolderDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.parentDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.parentName` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.projectDisplayName`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` dem UDM-Feld `src.resource_ancestors.attribute.labels.value` zugeordnet.
`parent`	`src.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `parent` dem UDM-Feld `src.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` entspricht, wird das `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet und das `src.resource_ancestors.resource_type`-UDM-Feld auf `TABLE` gesetzt.
`resourceName`	`src.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `resourceName` dem UDM-Feld `src.resource_ancestors.name` zugeordnet.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.folders.resourceFolder`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.sourceId.customerOrganizationNumber` dem UDM-Feld `src.resource_ancestors.product_object_id` zugeordnet.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.sourceId.projectNumber` dem UDM-Feld `src.resource_ancestors.product_object_id` zugeordnet.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.sourceId.organizationNumber` dem UDM-Feld `src.resource_ancestors.product_object_id` zugeordnet.
`resource.type`	`src.resource_ancestors.resource_subtype`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.type` dem UDM-Feld `src.resource_ancestors.resource_subtype` zugeordnet.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das Logfeld `database.displayName` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das UDM-Feld `src.resource.attribute.labels.key` auf `grantees` festgelegt und das Logfeld `database.grantees` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `resource.displayName`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.displayName`	`principal.hostname`	Wenn der Wert des Logfelds `resource.type` mit dem Muster des regulären Ausdrucks `(?i)google.compute.Instance or google.container.Cluster` übereinstimmt, wird das Logfeld `resource.displayName` dem UDM-Feld `principal.hostname` zugeordnet.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `resource.display_name`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `sourceProperties.properties.extractionAttempt.sourceTable.projectId`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.backupId` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das Logfeld `src.resource.attribute.labels.key/value` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`resourceName`	`src.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `exfiltration.sources.name` dem UDM-Feld `src.resource.name` und das Logfeld `resourceName` dem UDM-Feld `src.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` dem UDM-Feld `src.resource.name` zugeordnet und das UDM-Feld `src.resource.resource_subtype` auf `CloudSQL` festgelegt.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Restore Backup to External Organization` ist, wird das Logfeld `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` dem UDM-Feld `src.resource.name` und das UDM-Feld `src.resource.resource_subtype` auf `CloudSQL` festgelegt. Else: Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` dem UDM-Feld `src.resource.name` zugeordnet und das UDM-Feld `src.resource.resource_subtype` ist auf `CloudSQL` festgelegt.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das `exfiltration.sources.name`-Logfeld dem `src.resource.name`-UDM-Feld und das `resourceName`-Logfeld dem `src.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.sourceTable.tableId` dem UDM-Feld `src.resource.product_object_id` zugeordnet.
`access.serviceName`	`target.application`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` oder `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: CloudSQL Restore Backup to External Organization` oder `Exfiltration: CloudSQL Over-Privileged Grant` oder `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `access.serviceName` dem UDM-Feld `target.application` zugeordnet.
`sourceProperties.properties.serviceName`	`target.application`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Account Disabled Hijacked` oder `Initial Access: Disabled Password Leak` oder `Initial Access: Government Based Attack` oder `Initial Access: Suspicious Login Blocked` oder `Impair Defenses: Strong Authentication Disabled` oder `Impair Defenses: Two Step Verification Disabled` oder `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das Logfeld `sourceProperties.properties.serviceName` dem UDM-Feld `target.application` zugeordnet.
`sourceProperties.properties.domainName`	`target.domain.name`	Wenn der Wert des Logfelds `category` gleich `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das Logfeld `sourceProperties.properties.domainName` dem UDM-Feld `target.domain.name` zugeordnet.
`sourceProperties.properties.domains.0`	`target.domain.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain`, `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.domains.0` dem UDM-Feld `target.domain.name` zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` dem UDM-Feld `target.group.attribute.labels.key/value` zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Sensitive Role Granted To Hybrid Group` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` dem UDM-Feld `target.group.attribute.labels.key/value` zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`-Logfeld dem `target.group.attribute.labels.key/value`-UDM-Feld zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Sensitive Role Granted To Hybrid Group` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` dem UDM-Feld `target.group.attribute.labels.key/value` zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Privileged Group Opened To Public` ist, wird das Logfeld `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` dem UDM-Feld `target.group.attribute.permissions.name` zugeordnet.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.customRoleSensitivePermissions.permissions`-Logfeld dem `target.group.attribute.permissions.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: External Member Added To Privileged Group` ist, wird das Logfeld `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` dem UDM-Feld `target.group.attribute.roles.name` zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Sensitive Role Granted To Hybrid Group` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` dem UDM-Feld `target.group.attribute.roles.name` zugeordnet.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Wenn der Wert des `category`-Logfelds `Persistence: IAM Anomalous Grant` entspricht, wird das `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`-Logfeld dem `target.group.attribute.roles.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Privileged Group Opened To Public` ist, wird das Logfeld `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` dem UDM-Feld `target.group.attribute.roles.name` zugeordnet.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Wenn der Wert des Logfelds `category` gleich `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `sourceProperties.properties.customRoleSensitivePermissions.roleName` dem UDM-Feld `target.group.attribute.roles.name` zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: External Member Added To Privileged Group` ist, wird das Logfeld `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` dem UDM-Feld `target.group.group_display_name` zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Privileged Group Opened To Public` ist, wird das Logfeld `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` dem UDM-Feld `target.group.group_display_name` zugeordnet.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: Sensitive Role Granted To Hybrid Group` ist, wird das Logfeld `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` dem UDM-Feld `target.group.group_display_name` zugeordnet.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP`, `Malware: Cryptomining Bad IP` oder `Malware: Outgoing DoS` ist, wird das Logfeld `sourceProperties.properties.ipConnection.destIp` dem UDM-Feld `target.ip` zugeordnet.
`access.methodName`	`target.labels [access_methodName]` (verworfen)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (verworfen)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (verworfen)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (verworfen)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (verworfen)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (verworfen)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (verworfen)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (verworfen)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (verworfen)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (verworfen)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (verworfen)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (verworfen)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (verworfen)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (verworfen)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels [sourceProperties_properties_methodName]` (verworfen)	Wenn der Wert des `category`-Logfelds `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das `sourceProperties.properties.methodName`-Logfeld dem UDM-Feld `target.labels.value` zugeordnet.
`sourceProperties.properties.methodName`	`additional.fields [sourceProperties_properties_methodName]`	Wenn der Wert des Logfelds `category` gleich `Impair Defenses: Strong Authentication Disabled` oder `Initial Access: Government Based Attack` oder `Initial Access: Suspicious Login Blocked` oder `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das Logfeld `sourceProperties.properties.methodName` dem UDM-Feld `additional.fields.value.string_value` zugeordnet.
`sourceProperties.properties.network.location`	`target.location.name`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist, wird das Logfeld `sourceProperties.properties.network.location` dem UDM-Feld `target.location.name` zugeordnet.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` oder `Malware: Outgoing DoS` ist, wird das Logfeld `sourceProperties.properties.ipConnection.destPort` dem UDM-Feld `target.port` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.query` dem UDM-Feld `target.process.command_line` zugeordnet.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	Das Logfeld `containers.labels.name` ist dem UDM-Feld `target.resource_ancestors.attribute.labels.key` und das Logfeld `containers.labels.value` dem UDM-Feld `target.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.destVpc.projectId` dem UDM-Feld `target.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Wenn der Wert des Logfelds `category` gleich `Malware: Cryptomining Bad IP` oder `Malware: Bad IP` ist, wird das Logfeld `sourceProperties.properties.destVpc.subnetworkName` dem UDM-Feld `target.resource_ancestors.attribute.labels.value` zugeordnet.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.properties.network.subnetworkName` dem UDM-Feld `target.resource_ancestors.value` zugeordnet.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.properties.network.subnetworkId` dem UDM-Feld `target.resource_ancestors.value` zugeordnet.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`resourceName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`parent`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`containers.name`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Credential Access: External Member Added To Privileged Group` ist, wird das Logfeld `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Credential Access: Privileged Group Opened To Public` entspricht, wird das `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Cryptomining Bad IP`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain`, `Malware: Bad Domain` oder `Configurable Bad Domain` ist, wird das `sourceProperties.properties.destVpc.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `sourceProperties.properties.vpc.vpcName`-Logfeld wird dem `target.resource_ancestors.name`-UDM-Feld zugeordnet und das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VPC_NETWORK` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Active Scan: Log4j Vulnerable to RCE` ist, wird das `sourceProperties.properties.vpcName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource_ancestors.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls, wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Increasing Deny Ratio` oder `Allowed Traffic Spike` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` ist, wird das Logfeld `sourceProperties.properties.gceInstanceId` dem UDM-Feld `target.resource_ancestors.product_object_id` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` festgelegt.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` ist, wird das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` festgelegt.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` entspricht, wird das `target.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` entspricht, wird das `target.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added Startup Script` oder `Persistence: GCE Admin Added SSH Key` entspricht, wird das `target.resource_ancestors.resource_type`-UDM-Feld auf `VIRTUAL_MACHINE` gesetzt.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Wenn der Wert des `category`-Logfelds `Brute Force: SSH` entspricht, wird das `sourceProperties.properties.zone`-Logfeld dem `target.resource.attribute.cloud.availability_zone`-UDM-Feld zugeordnet.
`canonicalName`	`metadata.product_log_id`	`finding_id` wird mithilfe eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert. Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `metadata.product_log_id` zugeordnet.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `src.resource.attribute.labels.key/value [finding_id]` zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `finding_id` anhand eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `src.resource.product_object_id`-UDM-Feld zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `source_id` anhand eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `src.resource.attribute.labels.key/value [source_id]`-UDM-Feld zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `source_id` anhand eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `target.resource.attribute.labels.key/value [finding_id]` zugeordnet. Wenn der Wert des Logfelds `category` nicht mit einem der folgenden Werte übereinstimmt, wird `finding_id` mithilfe eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `target.resource.product_object_id` zugeordnet. Wenn der Wert des `category`-Logfelds nicht mit einem der folgenden Werte übereinstimmt, wird der `source_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `target.resource.attribute.labels.key/value [source_id]` zugeordnet. Wenn der Wert des Logfelds `category` nicht mit einem der folgenden Werte übereinstimmt, wird `source_id` mithilfe eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das UDM-Feld `target.resource.attribute.labels.key` auf `exportScope` festgelegt und das Logfeld `sourceProperties.properties.exportToGcs.exportScope` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.objectName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.originalUri` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Wenn der Wert des Logfelds `category` gleich `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das Logfeld `sourceProperties.properties.metadataKeyOperation` dem UDM-Feld `target.resource.attribute.labels.key/value` zugeordnet.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das Logfeld `exfiltration.targets.components` dem UDM-Feld `target.resource.attribute.labels.key/value` zugeordnet.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` ist, wird das Logfeld `sourceProperties.properties.exportToGcs.bucketAccess` dem UDM-Feld `target.resource.attribute.permissions.name` zugeordnet.
`sourceProperties.properties.name`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`resourceName`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.instanceDetails`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`exfiltration.targets.name`	`target.resource.name`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` ist, wird das `sourceProperties.properties.name`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.exportToGcs.bucketResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` ist. Andernfalls wird das `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Restore Backup to External Organization` ist. Andernfalls wird das `sourceProperties.properties.attempts.vmName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls wird das `sourceProperties.properties.instanceDetails`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds „Malware: Bad Domain“ oder `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Configurable Bad Domain` ist. Das `resourceName`-Logfeld wird dann dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `VIRTUAL_MACHINE` gesetzt. Andernfalls wird das `sourceProperties.properties.extractionAttempt.destinations.collectionName`-Logfeld dem `target.resource.attribute.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist. Das `exfiltration.target.name`-Logfeld wird dann dem `target.resource.name`-UDM-Feld zugeordnet. Andernfalls wird das `Exfiltration: BigQuery Data Exfiltration`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet, wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` ist. Das `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`-Logfeld wird dann dem `target.resource.attribute.labels`-UDM-Feld zugeordnet. Das `target.resource.resource_type`-UDM-Feld wird auf `TABLE` gesetzt. Andernfalls wird das `resourceName`-Logfeld dem `target.resource.name`-UDM-Feld zugeordnet.
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.instanceId` dem UDM-Feld `target.resource.product_object_id` zugeordnet.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.destinations.collectionName` dem UDM-Feld `target.resource.resource_subtype` zugeordnet. Falls der Wert des Logfelds `category` gleich `Credential Access: External Member Added To Privileged Group` ist, wird das UDM-Feld `target.resource.resource_subtype` auf `Privileged Group` festgelegt. Falls der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` ist, wird das UDM-Feld `target.resource.resource_subtype` auf `BigQuery` festgelegt.
	`target.resource.resource_type`	Wenn der Wert des Logfelds `sourceProperties.properties.extractionAttempt.destinations.collectionType` mit dem regulären Ausdruck `BUCKET` übereinstimmt, wird das UDM-Feld `target.resource.resource_type` auf `STORAGE_BUCKET` gesetzt. Else, wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, dann wird das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` gesetzt. Else if, the `category` log Field value is gleich `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP`, dann ist das UDM Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE`/ Else if, the `category`/Else if, the `category`/ `category`.`target.resource.resource_type` `Exfiltration: BigQuery Data ExfiltrationTABLE`
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.jobLink` dem UDM-Feld `target.url` zugeordnet. Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction` ist, wird das Logfeld `sourceProperties.properties.extractionAttempt.jobLink` dem UDM-Feld `target.url` zugeordnet.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Wenn der Wert des `category`-Logfelds `Exfiltration: CloudSQL Data Exfiltration` entspricht, wird das `sourceProperties.properties.exportToGcs.gcsUri`-Logfeld dem `target.url`-UDM-Feld zugeordnet.
`sourceProperties.properties.requestUrl`	`target.url`	Wenn der Wert des `category`-Logfelds `Initial Access: Log4j Compromise Attempt` entspricht, wird das `sourceProperties.properties.requestUrl`-Logfeld dem `target.url`-UDM-Feld zugeordnet.
`sourceProperties.properties.policyLink`	`target.url`	Wenn der Wert des `category`-Logfelds `Defense Evasion: Modify VPC Service Control` entspricht, wird das `sourceProperties.properties.policyLink`-Logfeld dem `target.url`-UDM-Feld zugeordnet.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Wenn der Wert des Logfelds `category` gleich `Persistence: New Geography` ist, wird das Logfeld `sourceProperties.properties.anomalousLocation.notSeenInLast` dem UDM-Feld `target.user.attribute.labels.value` zugeordnet.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.attempts.username` dem UDM-Feld `target.user.userid` zugeordnet. Wenn der Wert des Logfelds `category` gleich `Initial Access: Suspicious Login Blocked` ist, wird das Logfeld `userid` dem UDM-Feld `target.user.userid` zugeordnet.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Wenn der Wert des Logfelds `category` gleich `Initial Access: Suspicious Login Blocked` ist, wird das Logfeld `userid` dem UDM-Feld `target.user.userid` zugeordnet.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels [Environment_Variables_name]` (verworfen)
`sourceProperties.Environment_Variables`	`additional.fields [Environment_Variables_name]`
	`target.labels [Environment_Variables_val]` (verworfen)
	`additional.fields [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels [sourceProperties_Process_Creation_Timestamp_nanos]` (verworfen)
`sourceProperties.Process_Creation_Timestamp.nanos`	`additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels [sourceProperties_Process_Creation_Timestamp_seconds]` (verworfen)
`sourceProperties.Process_Creation_Timestamp.seconds`	`additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `category` gleich `Added Binary Executed` oder `Added Library Loaded` ist, wird das Logfeld `sourceProperties.VM_Instance_Name` dem UDM-Feld `target.resource_ancestors.name` zugeordnet und das UDM-Feld `target.resource_ancestors.resource_type` auf `VIRTUAL_MACHINE` festgelegt.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio`, `Allowed Traffic Spike` oder `Application DDoS Attack Attempt` ist, wird das Logfeld `sourceProperties.Backend_Service` dem UDM-Feld `target.resource.name` und das Logfeld `resourceName` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Wenn der Wert des Logfelds `category` gleich `Increasing Deny Ratio`, `Allowed Traffic Spike` oder `Application DDoS Attack Attempt` ist, wird das UDM-Feld `target.resource.resource_type` auf `BACKEND_SERVICE` festgelegt. Wenn der Wert des Logfelds `category` gleich `Configurable Bad Domain` ist, wird das UDM-Feld `target.resource.resource_type` auf `VIRTUAL_MACHINE` festgelegt.
	`is_alert`	Wenn der Wert des Logfelds `state` gleich `ACTIVE` ist und der Wert des Logfelds `mute_is_not_present` nicht gleich „true“ ist und (der Wert des Logfelds `mute` gleich `UNMUTED` oder der Wert des Logfelds `mute` gleich `UNDEFINED` ist), wird das UDM-Feld `is_alert` auf `true` festgelegt. Andernfalls wird das UDM-Feld „`is_alert`“ auf `false` festgelegt.
	`is_significant`	Wenn der Wert des Logfelds `state` gleich `ACTIVE` ist und der Wert des Logfelds `mute_is_not_present` nicht gleich „true“ ist und (der Wert des Logfelds `mute` gleich `UNMUTED` oder der Wert des Logfelds `mute` gleich `UNDEFINED` ist), wird das UDM-Feld `is_significant` auf `true` festgelegt. Andernfalls wird das UDM-Feld „`is_significant`“ auf `false` festgelegt.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : `user_id` wurde aus dem Logfeld `sourceProperties.properties.sensitiveRoleGrant.principalEmail` extrahiert. Anschließend wird das Feld `user_id` dem UDM-Feld `principal.user.userid` zugeordnet.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : `user_id` wurde aus dem Logfeld `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` extrahiert. Anschließend wird das Feld `user_id` dem UDM-Feld `principal.user.userid` zugeordnet.
`resourceName`	`principal.asset.location.name`	Wenn der Wert des Logfelds `parentDisplayName` gleich `Virtual Machine Threat Detection` ist, dann wird Grok : `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` aus dem Logfeld `resourceName` extrahiert, dann wird das Logfeld `region` dem UDM-Feld `principal.asset.location.name` zugeordnet.
`resourceName`	`principal.asset.product_object_id`	Wenn der Wert des Logfelds `parentDisplayName` gleich `Virtual Machine Threat Detection` ist und Grok : `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` aus dem Logfeld `resourceName` extrahiert hat, wird das Logfeld `asset_prod_obj_id` dem UDM-Feld `principal.asset.product_object_id` zugeordnet.
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Wenn der Wert des Logfelds `parentDisplayName` gleich `Virtual Machine Threat Detection` ist, dann wird Grok : `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` aus dem Logfeld `resourceName` extrahiert, dann wird das Logfeld `zone_suffix` dem UDM-Feld `principal.asset.attribute.cloud.availability_zone` zugeordnet.
`resourceName`	`principal.asset.attribute.labels[project_name]`	Wenn der Wert des Logfelds `parentDisplayName` gleich `Virtual Machine Threat Detection` ist, dann wird Grok : `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` aus dem Logfeld `resourceName` extrahiert, dann wird das Logfeld `project_name` dem UDM-Feld `principal.asset.attribute.labels.value` zugeordnet.
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Wenn der Wert des `category`-Logfelds `Initial Access: Excessive Permission Denied Actions` entspricht, wird das `sourceProperties.properties.failedActions.methodName`-Logfeld dem UDM-Feld `target.labels` zugeordnet.
additional.fields[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions`, dann der Log-Feld `sourceProperties.properties.failedActions.methodName` ist ist dem UDM-Feld `additional.fields` zugeordnet.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions`, dann der Log-Feld `sourceProperties.properties.failedActions.serviceName` ist ist dem UDM-Feld `target.labels` zugeordnet.
additional.fields[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions`, dann der Log-Feld `sourceProperties.properties.failedActions.serviceName` ist ist dem UDM-Feld `additional.fields` zugeordnet.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Wenn der Wert des `category`-Logfelds `Initial Access: Excessive Permission Denied Actions` entspricht, wird das `sourceProperties.properties.failedActions.attemptTimes`-Logfeld dem UDM-Feld `target.labels` zugeordnet.
additional.fields[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions`, dann der Log-Feld `sourceProperties.properties.failedActions.attemptTimes` ist ist dem UDM-Feld `additional.fields` zugeordnet.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions`, dann der Logfeld `sourceProperties.properties.failedActions.lastOccurredTime` dem UDM-Feld `target.labels` zugeordnet.
additional.fields[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Wenn der Wert des Logfelds `category` gleich `Initial Access: Excessive Permission Denied Actions`, dann der `sourceProperties.properties.failedActions.lastOccurredTime`-Logfeld. dem UDM-Feld `additional.fields` zugeordnet.

Referenz für die Feldzuordnung: Ereignis-ID zum Ereignistyp

Ereignis-ID	Ereignistyp	Sicherheitskategorie
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	ENTDECKEN
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	ENTDECKEN
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

Die folgenden Tabellen enthalten eine Zuordnung von UDM-Ereignistypen und UDM-Feldern für Security Command Center – VULNERABILITY-, MISCONFIGURATION-, OBSERVATION-, ERROR-, UNSPECIFIED- und POSTURE_VIOLATION-Suchergebnisse.

VULNERABILITY-Kategorie zum UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „VULNERABILITY“ (Sicherheitslücken) und die entsprechenden UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp	Sicherheitskategorie
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	ENTDECKEN
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`
`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS

MISCONFIGURATION-Kategorie in UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „FEHLERBEHANDLUNG“ und die zugehörigen UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
Offener SMTP-Port	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

Kategorie „BEOBACHTUNG“ zu UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „OBSERVATION“ und die entsprechenden UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
Persistenz: SSH-Schlüssel für Projekt hinzugefügt	SETTING_MODIFICATION
Persistenz: Sensible Rolle hinzufügen	RESOURCE_PERMISSIONS_CHANGE
Auswirkungen: GPU-Instanz erstellt	USER_RESOURCE_CREATION
Auswirkungen: Viele Instanzen erstellt	USER_RESOURCE_CREATION

Kategorie ERROR in UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie „Fehler“ und die zugehörigen UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

Kategorie UNSPECIFIED zum UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie UNSPECIFIED und die entsprechenden UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp	Sicherheitskategorie
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

Kategorie POSTURE_VIOLATION in UDM-Ereignistyp

In der folgenden Tabelle sind die Kategorie POSTURE_VIOLATION und die zugehörigen UDM-Ereignistypen aufgeführt.

Ereignis-ID	Ereignistyp
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Referenz zur Feldzuordnung: VULNERABILITY

In der folgenden Tabelle sind die Logfelder der Kategorie VULNERABILITY und die zugehörigen UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung	Logik
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [sourceProperties_name]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
category	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	`region` wurde mit einem Grok-Muster aus `resourceName` extrahiert und dem UDM-Feld `principal.asset.location.name` zugeordnet.
resourceName	principal.asset.product_object_id	`asset_prod_obj_id` wurde mithilfe eines Grok-Musters aus `resourceName` extrahiert und dem UDM-Feld `principal.asset.product_object_id` zugeordnet.
resourceName	principal.asset.attribute.cloud.availability_zone	`zone_suffix` wurde mithilfe eines Grok-Musters aus `resourceName` extrahiert und dem UDM-Feld `principal.asset.attribute.cloud.availability_zone` zugeordnet.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[Aktion]

Referenz zur Feldzuordnung: MISCONFIGURATION

In der folgenden Tabelle sind die Logfelder der Kategorie MISCONFIGURATION und die zugehörigen UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [Deaktivierungsgrund]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/Wert [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] (Ziel)
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] aus
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_recommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/Wert [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Referenz zur Feldzuordnung: OBSERVATION

In der folgenden Tabelle sind die Logfelder der Kategorie OBSERVATION und die zugehörigen UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

Feldzuordnungsreferenz: ERROR

In der folgenden Tabelle sind die Logfelder der Kategorie FEHLER und ihre entsprechenden UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referenz zur Feldzuordnung: UNSPECIFIED

In der folgenden Tabelle sind die Protokollfelder der Kategorie „UNBESCHRIEBEN“ und die zugehörigen UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] (Ziel)
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] aus
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referenz für die Feldzuordnung: POSTURE_VIOLATION

In der folgenden Tabelle sind die Protokollfelder der Kategorie „POSTURE_VIOLATION“ und die zugehörigen UDM-Felder aufgeführt.

Logfeld	UDM-Zuordnung	Logik
`finding.resourceName`	`target.resource_ancestors.name`	Wenn der Wert des Logfelds `finding.resourceName` nicht leer ist, wird das Logfeld `finding.resourceName` dem UDM-Feld `target.resource.name` zugeordnet. Das Feld `project_name` wird anhand des Grok-Musters aus dem `finding.resourceName`-Logfeld extrahiert. Wenn der Wert des Felds `project_name` nicht leer ist, wird das Feld `project_name` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`resourceName`	`target.resource_ancestors.name`	Wenn der Logfeldwert `resourceName` nicht leer ist, wird das Logfeld `resourceName` dem UDM-Feld `target.resource.name` zugeordnet. Das Feld `project_name` wird mithilfe des Grok-Musters aus dem Logfeld `resourceName` extrahiert. Wenn der Wert des Felds `project_name` nicht leer ist, wird das Feld `project_name` dem UDM-Feld `target.resource_ancestors.name` zugeordnet.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Wenn der Wert des `finding.cloudProvider`-Logfelds einen der folgenden Werte enthält, wird das `finding.cloudProvider`-Logfeld dem `about.resource.attribute.cloud.environment`-UDM-Feld zugeordnet. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`cloudProvider`	`about.resource.attribute.cloud.environment`	Wenn der Wert des Logfelds `cloudProvider` einen der folgenden Werte enthält, wird das Logfeld `cloudProvider` dem UDM-Feld `about.resource.attribute.cloud.environment` zugeordnet. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Wenn der Wert des Logfelds `resource.cloudProvider` einen der folgenden Werte enthält, wird das Logfeld `resource.cloudProvider` dem UDM-Feld `target.resource.attribute.cloud.environment` zugeordnet. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Gängige Felder: SECURITY COMMAND CENTER – VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

In der folgenden Tabelle sind gängige Felder der Kategorien VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION und TOXIC_COMBINATION von SECURITY COMMAND CENTER und die zugehörigen UDM-Felder aufgeführt.

Feld „RawLog“	UDM-Zuordnung	Logik
`compliances.ids`	`about.labels [compliance_ids]` (verworfen)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (verworfen)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (verworfen)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (verworfen)	Wenn der Wert des Logfelds `connections.destinationIp` nicht gleich `sourceProperties.properties.ipConnection.destIp` ist, wird das Logfeld `connections.destinationIp` dem UDM-Feld `about.labels.value` zugeordnet.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Wenn der Wert des Logfelds `connections.destinationIp` nicht gleich `sourceProperties.properties.ipConnection.destIp` ist, wird das Logfeld `connections.destinationIp` dem UDM-Feld `additional.fields.value` zugeordnet.
`connections.destinationPort`	`about.labels [connections_destination_port]` (verworfen)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (verworfen)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (verworfen)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (verworfen)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Das UDM-Feld `target.resource_ancestors.resource_type` ist auf `CLUSTER` gesetzt.
	`about.resource.attribute.cloud.environment`	Das UDM-Feld `about.resource.attribute.cloud.environment` ist auf `GOOGLE_CLOUD_PLATFORM` gesetzt.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (verworfen)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (verworfen)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (verworfen)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (verworfen)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (verworfen)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (verworfen)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (verworfen)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (verworfen)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (verworfen)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (verworfen)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`vulnerability.cve.impact`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]`
`vulnerability.cve.exploitationActivity`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Wenn der Wert des `canonicalName`-Logfelds nicht leer ist, wird der `finding_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert. Wenn der Wert des `finding_id`-Logfelds leer ist, wird das `sourceProperties.evidence.sourceLogId.insertId`-Logfeld dem `metadata.product_log_id`-UDM-Feld zugeordnet. Wenn der Wert des `canonicalName`-Logfelds leer ist, wird das `sourceProperties.evidence.sourceLogId.insertId`-Logfeld dem `metadata.product_log_id`-UDM-Feld zugeordnet.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `sourceProperties.sourceId.*?customerOrganizationNumber` übereinstimmt, wird das Logfeld `sourceProperties.sourceId.customerOrganizationNumber` dem UDM-Feld `principal.resource.attribute.labels.value` zugeordnet.
`resource.projectName`	`principal.resource.name`
	`principal.user.account_type`	Wenn der Wert des `access.principalSubject`-Logfelds mit dem regulären Ausdruck `serviceAccount` übereinstimmt, wird das `principal.user.account_type`-UDM-Feld auf `SERVICE_ACCOUNT_TYPE` festgelegt. Andernfalls wird das `principal.user.account_type`-UDM-Feld auf `CLOUD_ACCOUNT_TYPE` festgelegt, wenn der Wert des `access.principalSubject`-Logfelds mit dem regulären Ausdruck `user` übereinstimmt.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `contacts.?security` übereinstimmt, wird das UDM-Feld `security_result.about.user.attribute.roles.name` auf `security` gesetzt. Wenn der Wert des Logfelds `message` mit dem regulären Ausdruck `contacts.?technical` übereinstimmt, wird das UDM-Feld `security_result.about.user.attribute.roles.name` auf `Technical` festgelegt.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Wenn der Wert des Logfelds `state` gleich `ACTIVE` ist, wird das UDM-Feld `security_result.alert_state` auf `ALERTING` gesetzt. Else wird das UDM-Feld `security_result.alert_state` auf `NOT_ALERTING` gesetzt.
`findingClass, category`	`security_result.catgory_details`	Das Logfeld `findingClass - category` ist dem UDM-Feld `security_result.catgory_details` zugeordnet.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Wenn der Wert des Logfelds `mute` gleich `MUTED` oder `UNMUTED` ist, wird das Logfeld `muteInitiator` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Wenn der Wert des Logfelds `mute` gleich `MUTED` oder `UNMUTED` ist, wird das Logfeld `muteUpdateTimer` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Wenn der Wert des Logfelds `category` gleich `Active Scan: Log4j Vulnerable to RCE` oder `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: CloudSQL Over-Privileged Grant` oder `Exfiltration: CloudSQL Restore Backup to External Organization` oder `Initial Access: Log4j Compromise Attempt` oder `Malware: Cryptomining Bad Domain` oder `Malware: Cryptomining Bad IP` oder `Persistence: IAM Anomalous Grant` ist, wird das UDM-Feld `security_result.detection_fields.key` auf `sourceProperties_contextUris_relatedFindingUri_url` und das Logfeld `sourceProperties.contextUris.relatedFindingUri.url` dem UDM-Feld `metadata.url_back_to_product` zugeordnet.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Wenn der Wert des Logfelds `category` gleich `Malware: Bad Domain` oder `Malware: Bad IP` oder `Malware: Cryptomining Bad Domain` oder `Malware: Cryptomining Bad IP` ist, wird das Logfeld `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` dem UDM-Feld `security_result.detection_fields.key` und das Logfeld `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` dem UDM-Feld `security_result.detection_fields.value` zugeordnet.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Wenn der Wert des `category`-Logfelds `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Persistence: SSO Enablement Toggle` oder `Persistence: SSO Settings Changed` ist, wird das `sourceProperties.contextUris.workspacesUri.displayName`-Logfeld dem `security_result.detection_fields.key`-UDM-Feld und das `sourceProperties.contextUris.workspacesUri.url`-Logfeld dem `security_result.detection_fields.value`-UDM-Feld zugeordnet.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `HIGH` ist, wird das UDM-Feld `security_result.priority` auf `HIGH_PRIORITY` festgelegt. Else, wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `MEDIUM` ist, dann wird das UDM-Feld `security_result.priority` auf `MEDIUM_PRIORITY` gesetzt. Else, wenn der Wert des Logfelds `sourceProperties.detectionPriority` gleich `LOW` ist, dann wird das UDM-Feld `security_result.priority` auf `LOW_PRIORITY` festgelegt.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das Logfeld `database.query` dem UDM-Feld `src.process.command_line` zugeordnet. Else wird das Logfeld `database.query` dem UDM-Feld `target.process.command_line` zugeordnet.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.folders.resourceFolderDisplayName`-Logfeld dem `src.resource_ancestors.attribute.labels.value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.folders.resourceFolderDisplayName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.parentDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.key/value` zugeordnet. Else wird das Logfeld `resource.parentDisplayName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data to Google Drive` entspricht, wird das `resource.parentName`-Logfeld dem `src.resource_ancestors.attribute.labels.key/value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.parentName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.projectDisplayName` dem UDM-Feld `src.resource_ancestors.attribute.labels.key/value` zugeordnet. Else wird das Logfeld `resource.projectDisplayName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.type`	`src.resource_ancestors.resource_subtype`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.type` dem UDM-Feld `src.resource_ancestors.resource_subtype` zugeordnet.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das Logfeld `database.displayName` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Over-Privileged Grant` ist, wird das UDM-Feld `src.resource.attribute.labels.key` auf `grantees` festgelegt und das Logfeld `database.grantees` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.displayName` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet. Else wird das Logfeld `resource.displayName` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.display_name` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet. Else wird das Logfeld `resource.display_name` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`resource.type`	`src.resource_ancestors.resource_subtype`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.type` dem UDM-Feld `src.resource_ancestors.resource_subtype` zugeordnet.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Wenn der Wert des `category`-Logfelds `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das `resource.displayName`-Logfeld dem `src.resource.attribute.labels.value`-UDM-Feld zugeordnet. Andernfalls wird das `resource.displayName`-Logfeld dem `target.resource.attribute.labels.value`-UDM-Feld zugeordnet.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Exfiltration` oder `Exfiltration: BigQuery Data to Google Drive` ist, wird das Logfeld `resource.display_name` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet. Else wird das Logfeld `resource.display_name` dem UDM-Feld `target.resource.attribute.labels.value` zugeordnet.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das Logfeld `exfiltration.sources.components` dem UDM-Feld `src.resource.attribute.labels.value` zugeordnet.
`resourceName`	`src.resource.name`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: BigQuery Data Exfiltration` ist, wird das Logfeld `resourceName` dem UDM-Feld `src.resource.name` zugeordnet.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Wenn der Wert des Logfelds `category` gleich `Defense Evasion: Modify VPC Service Control` oder `Exfiltration: BigQuery Data Extraction` oder `Exfiltration: BigQuery Data to Google Drive` oder `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: CloudSQL Restore Backup to External Organization` oder `Exfiltration: CloudSQL Over-Privileged Grant` oder `Persistence: New Geography` oder `Persistence: IAM Anomalous Grant` ist, wird das Logfeld `access.serviceName` dem UDM-Feld `target.application` zugeordnet.
`access.methodName`	`target.labels [access_methodName]` (verworfen)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (verworfen)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (verworfen)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (verworfen)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (verworfen)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (verworfen)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (verworfen)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (verworfen)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (verworfen)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (verworfen)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (verworfen)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (verworfen)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (verworfen)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (verworfen)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Wenn der Wert des `category`-Logfelds `Malware: Bad Domain`, `Malware: Bad IP` oder `Malware: Cryptomining Bad IP` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Brute Force: SSH` ist, wird das `resourceName`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet. Andernfalls, wenn der Wert des `category`-Logfelds `Persistence: GCE Admin Added SSH Key` oder `Persistence: GCE Admin Added Startup Script` ist, wird das `sourceProperties.properties.projectId`-Logfeld dem `target.resource_ancestors.name`-UDM-Feld zugeordnet.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Wenn der Wert des Logfelds `category` gleich `Brute Force: SSH` ist, wird das Logfeld `sourceProperties.properties.zone` dem UDM-Feld `target.resource.attribute.cloud.availability_zone` zugeordnet.
`canonicalName`	`metadata.product_log_id`	`finding_id` wird mithilfe eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert. Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `metadata.product_log_id` zugeordnet.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `src.resource.attribute.labels.key/value [finding_id]` zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `finding_id` anhand eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `src.resource.product_object_id`-UDM-Feld zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `source_id` anhand eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des `source_id`-Logfelds nicht leer ist, wird das `source_id`-Logfeld dem `src.resource.attribute.labels.key/value [source_id]`-UDM-Feld zugeordnet. Wenn der Wert des Logfelds `category` einem der folgenden Werte entspricht, wird `source_id` anhand eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Wenn der Wert des Logfelds `finding_id` nicht leer ist, wird das Logfeld `finding_id` dem UDM-Feld `target.resource.attribute.labels.key/value [finding_id]` zugeordnet. Wenn der Wert des Logfelds `category` nicht mit einem der folgenden Werte übereinstimmt, wird `finding_id` mithilfe eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `target.resource.product_object_id` zugeordnet. Wenn der Wert des `category`-Logfelds nicht mit einem der folgenden Werte übereinstimmt, wird der `source_id` mithilfe eines Grok-Musters aus dem `canonicalName`-Logfeld extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Wenn der Wert des Logfelds `source_id` nicht leer ist, wird das Logfeld `source_id` dem UDM-Feld `target.resource.attribute.labels.key/value [source_id]` zugeordnet. Wenn der Wert des Logfelds `category` nicht mit einem der folgenden Werte übereinstimmt, wird `source_id` mithilfe eines Grok-Musters aus dem Logfeld `canonicalName` extrahiert: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Wenn der Wert des Logfelds `category` gleich `Exfiltration: CloudSQL Data Exfiltration` oder `Exfiltration: BigQuery Data Extraction` ist, wird das Logfeld `exfiltration.targets.components` dem UDM-Feld `target.resource.attribute.labels.key/value` zugeordnet.
`resourceName exfiltration.targets.name`	`target.resource.name`	`categorycategorycategorycategoryBrute Force: SSHresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.name` `Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad IPtarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Driveexfiltration.target.nameexfiltration.target.nametarget.resource.nametarget.resource.nametarget.resource.nameExfiltration: BigQuery Data Exfiltration`
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Wenn der Wert des Logfelds `sourceProperties.Header_Signature.name` gleich `RegionCode` ist, wird das Logfeld `sourceProperties.Header_Signature.significantValues.value` dem UDM-Feld `principal.location.country_or_region` zugeordnet.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Wenn der Wert des Logfelds `sourceProperties.Header_Signature.name` gleich `RemoteHost` ist, wird das Logfeld `sourceProperties.Header_Signature.significantValues.value` dem UDM-Feld `principal.ip` zugeordnet.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Wenn der Wert des Logfelds `sourceProperties.Header_Signature.name` gleich `UserAgent` ist, wird das Logfeld `sourceProperties.Header_Signature.significantValues.value` dem UDM-Feld `network.http.user_agent` zugeordnet.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Wenn der Wert des Logfelds `sourceProperties.Header_Signature.name` gleich `RequestUriPath` ist, wird das Logfeld `sourceProperties.Header_Signature.significantValues.value` dem UDM-Feld `principal.url` zugeordnet.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.compromised_account` dem UDM-Feld `principal.user.userid` zugeordnet und das UDM-Feld `principal.user.account_type` auf `SERVICE_ACCOUNT_TYPE` festgelegt.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Wenn der Wert des `category`-Logfelds mit `account_has_leaked_credentials` übereinstimmt, wird das `sourceProperties.project_identifier`-Logfeld dem UDM-Feld `principal.resource.product_object_id` zugeordnet.
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.private_key_identifier` dem UDM-Feld `principal.user.attribute.labels.value` zugeordnet.
`sourceProperties.action_taken`	`principal.labels [action_taken]` (verworfen)	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.action_taken` dem UDM-Feld `principal.labels.value` zugeordnet.
`sourceProperties.action_taken`	`additional.fields [action_taken]`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.action_taken` dem UDM-Feld `additional.fields.value` zugeordnet.
`sourceProperties.finding_type`	`principal.labels [finding_type]` (verworfen)	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.finding_type` dem UDM-Feld `principal.labels.value` zugeordnet.
`sourceProperties.finding_type`	`additional.fields [finding_type]`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.finding_type` dem UDM-Feld `additional.fields.value` zugeordnet.
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.url` dem UDM-Feld `principal.user.attribute.labels.value` zugeordnet.
`sourceProperties.security_result.summary`	`security_result.summary`	Wenn der Wert des Logfelds `category` gleich `account_has_leaked_credentials` ist, wird das Logfeld `sourceProperties.security_result.summary` dem UDM-Feld `security_result.summary` zugeordnet.
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName]`	`vulnerability.offendingPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri]`	`vulnerability.offendingPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType]`	`vulnerability.offendingPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion]`	`vulnerability.offendingPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName]`	`vulnerability.fixedPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri]`	`vulnerability.fixedPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType]`	`vulnerability.fixedPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion]`	`vulnerability.fixedPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId]`	`vulnerability.securityBulletin.bulletinId`
`security_result.detection_fields[vulnerability_securityBulletin_submissionTime]`	`vulnerability.securityBulletin.submissionTime`
`security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion]`	`vulnerability.securityBulletin.suggestedUpgradeVersion`
`target.location.name`	`resource.location`
`additional.fields[resource_service]`	`resource.service`
`target.resource_ancestors.attribute.labels[kubernetes_object_kind]`	`kubernetes.objects.kind`
`target.resource_ancestors.name`	`kubernetes.objects.name`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns]`	`kubernetes.objects.ns`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group]`	`kubernetes.objects.group`

Nächste Schritte

Datenaufnahme in Google Security Operations