Recopila hallazgos de Security Command Center

En este documento, se describe cómo puedes recopilar registros de Security Command Center mediante la configuración de Security Command Center y la transferencia de los resultados a Chronicle. En este documento, también se enumeran los eventos admitidos.

Para obtener más información, consulta Transferencia de datos a Chronicle y Exporta los resultados de Security Command Center a Chronicle. Una implementación típica consiste en Security Command Center y el feed de Chronicle configurados para enviar registros a Chronicle. Las implementaciones de cada cliente pueden ser diferentes y complejas,

La implementación contiene los siguientes componentes:

Google Cloud: Es el sistema que se supervisará en el que está instalado Security Command Center.
Resultados de la detección de eventos de amenazas de Security Command Center: Recopila información de la fuente de datos y genera resultados.
Chronicle: retiene y analiza los registros de Security Command Center.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado de UDM. La información de este documento se aplica al analizador de Security Command Center con las siguientes etiquetas de transferencia:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Configura Security Command Center y Google Cloud para enviar resultados a Chronicle

Activa Security Command Center.
Asegúrate de que todos los sistemas de la implementación estén configurados en la zona horaria UTC.
Habilita la transferencia de resultados de Security Command Center.

Hallazgos de Event Threat Detection

En esta sección, se enumeran los resultados admitidos de Event Threat Detection. Para obtener información sobre las reglas y los resultados de Event Threat Detection de Security Command Center, consulta Reglas de Event Threat Detection.

Buscando nombre	Descripción
Análisis activo: Log4j es vulnerable a RCE	Detecta las vulnerabilidades activas de Log4j mediante la identificación de consultas DNS para dominios no ofuscados que se iniciaron con escáneres de vulnerabilidades de Log4j compatibles.
Ataques de fuerza bruta: SSH	Detección de fuerza bruta SSH exitosa en un host
Acceso a la credencial: Se agregó un miembro externo al grupo con privilegios	Detecta cuando se agrega un miembro externo a un Grupo de Google con privilegios (un grupo al que se le otorgan roles o permisos sensibles). Solo se genera un resultado si el grupo no contiene otros miembros externos de la misma organización que el miembro agregado recientemente. Para obtener más información, consulta Cambios no seguros en el Grupo de Google.
Acceso a las credenciales: Grupo privilegiado abierto al público	Detecta cuándo se cambia un Grupo de Google con privilegios (un grupo al que se le otorgan roles o permisos sensibles) para que sea accesible para el público general. Para obtener más información, consulta Cambios no seguros en el Grupo de Google.
Acceso a las credenciales: Función sensible otorgada al grupo híbrido	Detecta cuándo se otorgan roles sensibles a un Grupo de Google con miembros externos. Para obtener más información, consulta Cambios no seguros en el Grupo de Google.
Defense Evasion: Modifica el Control de servicios de VPC	Detecta un cambio en un perímetro de Control del servicio de VPC existente que reduciría la protección que ofrece ese perímetro.
Discovery: Puede obtener checkPreview de objetos sensibles de Kubernetes	Un atacante malicioso intentó determinar qué objetos sensibles en Google Kubernetes Engine (GKE) puede consultar mediante el comando kubectl auth can-i get.
Descubrimiento: Autoinvestigación de cuentas de servicio	Detección de una credencial de cuenta de servicio de Identity and Access Management (IAM) que se usa para investigar los roles y permisos asociados con esa misma cuenta de servicio.
Evasión: Acceso desde un proxy de anonimización	Detección de las modificaciones del servicio de Google Cloud que se originaron a partir de direcciones IP de proxy anónimas, como las direcciones IP de Tor.
Robo de datos: Robo de datos de BigQuery	Detecta las siguientes situaciones: Recursos que pertenecen a la organización protegida que se guardan fuera de la organización, incluidas las operaciones de copia o transferencia. Se intenta acceder a los recursos de BigQuery que están protegidos por el Control del servicio de VPC.
Robo de datos: Extracción de datos de BigQuery	Detecta las siguientes situaciones: Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage fuera de la organización. Mediante operaciones de extracción, se guarda un recurso de BigQuery que pertenece a la organización protegida en un bucket de Cloud Storage de acceso público que pertenece a esa organización.
Robo de datos: datos de BigQuery en Google Drive	Detecta las siguientes situaciones: Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en una carpeta de Google Drive.
Robo de datos: Robo de datos de Cloud SQL	Detecta las siguientes situaciones: Se exportaron los datos de la instancia en vivo a un bucket de Cloud Storage fuera de la organización. Datos de instancias en vivo exportados a un bucket de Cloud Storage que pertenece a la organización y es de acceso público.
Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa	Detecta cuándo se restablece la copia de seguridad de una instancia de Cloud SQL en una instancia fuera de la organización.
Exfiltración: Otorgamiento con privilegios excesivos de SQL de Cloud SQL	Detecta cuándo se le otorgaron todos los privilegios a una base de datos o a todas las tablas, procedimientos o funciones de un esquema a un usuario o una función de Postgres de Cloud SQL.
Inhabilita las defensas: Autenticación segura inhabilitada	Se inhabilitó la verificación en dos pasos para la organización.
Inhabilita las defensas: Verificación en dos pasos inhabilitada	Un usuario inhabilitó la verificación en 2 pasos.
Acceso inicial: Usurpación de cuenta inhabilitada	Se suspendió la cuenta de un usuario debido a actividad sospechosa.
Acceso inicial: Filtrado de contraseña inhabilitada	Se inhabilitó la cuenta de un usuario porque se detectó un filtrado de contraseñas.
Acceso inicial: Ataque basado en el Gobierno	Es posible que los atacantes respaldados por el gobierno hayan intentado vulnerar una cuenta de usuario o una computadora.
Acceso inicial: Intento de compromiso de Log4j	Detecta las búsquedas de Java Naming y Directory Interface (JNDI) en encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos hallazgos son de gravedad baja, porque solo indican un intento de detección o explotación, no una vulnerabilidad o un compromiso.
Acceso inicial: Acceso sospechoso bloqueado	Se detectó y bloqueó un acceso sospechoso a la cuenta de un usuario.
Software malicioso de Log4j: Error de dominio	La detección del tráfico de explotación de Log4j en función de una conexión o una búsqueda de un dominio conocido utilizado en los ataques de Log4j.
Software malicioso de Log4j: IP incorrecta	La detección del tráfico de explotación de Log4j en función de una conexión a una dirección IP conocida utilizada en ataques de Log4j.
Software malicioso: error de dominio	Detección de software malicioso basada en una conexión o una búsqueda de un dominio malicioso conocido.
Software malicioso: error de IP	Detección de software malicioso basada en una conexión a una dirección IP incorrecta conocida.
Software malicioso: Error de criptominería en un dominio	Detección de criptominería basada en una conexión a un dominio de minería de criptomonedas conocido o una búsqueda de este.
Software malicioso: Criptominería de IP incorrecta	Detección de la minería de criptomonedas basada en una conexión a una dirección IP conocida de minería.
DoS saliente	Detección del tráfico saliente de denegación del servicio
El administrador de Compute Engine agregó la clave SSH	Detección de una modificación en el valor de la clave SSH de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana).
Administrador de Compute Engine agregó una secuencia de comandos de inicio	Detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana).
Persistencia: Otorgamiento anómalo de IAM	Detección de los privilegios otorgados a usuarios de IAM y cuentas de servicio que no son miembros de la organización. Este detector usa las políticas de IAM existentes de una organización como contexto. Si se produce un otorgamiento de IAM sensible a un miembro externo y hay menos de tres políticas de IAM existentes que son similares, este detector genera un resultado.
Persistencia: MethodPreview de API nueva	Detección de uso anómalo de los servicios de Google Cloud por cuentas de servicio de IAM
Persistencia: Nueva geografía	Detección de usuarios de IAM y cuentas de servicio que acceden a Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes.
Persistencia: Usuario-agente nuevo	Detección de cuentas de servicio de IAM que acceden a Google Cloud desde agentes de usuario anómalos o sospechosos.
Persistencia: Activación o desactivación de SSO	Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador.
Persistencia: Configuración de SSO cambiada	Se cambió la configuración de SSO para la cuenta de administrador.
Escalación de privilegios: Cambios en los objetos sensibles de RBAC de KubernetesPreview	Para derivar el privilegio, un actor malicioso intentó modificar los objetos ClusterRole y ClusterRoleBinding del cluster-admin mediante una solicitud PUT o PATCH.
Elevación de privilegios: crea la CSR de Kubernetes para el certPreview principal	Un actor potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, que le otorga acceso de administrador del clúster.
Elevación de privilegios: creación de vinculaciones sensibles de Kubernetes Preview	Un atacante malicioso intentó crear nuevos objetos RoleBinding o ClusterRoleBinding para el administrador del clúster a fin de escalar su privilegio.
Elevación de privilegios: obtén la CSR de Kubernetes con credenciales de arranque vulneradas	Un perpetrador malicioso consultó una solicitud de firma de certificado (CSR) con el comando de kubectl, utilizando credenciales de arranque vulneradas.
Elevación de privilegios: Lanzamiento de containerPreview de Kubernetes privilegiado	Un perpetrador malicioso creó Pods con contenedores privilegiados o contenedores con capacidades de elevación de privilegios. Un contenedor con privilegios tiene el campo de privilegios configurado como verdadero. Un contenedor con capacidades de elevación de privilegios tiene el campo allowPrivilegeEscalation configurado como verdadero.
Acceso inicial: se creó una clave de cuenta de servicio inactiva	Detecta eventos en los que se crea una clave para una cuenta de servicio inactiva administrada por el usuario. En este contexto, una cuenta de servicio se considera inactiva si ha estado inactiva durante más de 180 días.
Árbol de procesos	El detector verifica el árbol de procesos de todos los procesos en ejecución. Si un proceso es un objeto binario de shell, el detector verifica el proceso superior. Si el proceso superior es un objeto binario que no debe generar un proceso de shell, el detector activa un resultado.
Shell secundario inesperado	El detector verifica el árbol de procesos de todos los procesos en ejecución. Si un proceso es un objeto binario de shell, el detector verifica el proceso superior. Si el proceso superior es un objeto binario que no debe generar un proceso de shell, el detector activa un resultado.
Ejecución: Ejecución de binario malicioso agregado	El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original y se identificó como malicioso en función de la inteligencia de amenazas.
Ejecución: Ejecución de binario malicioso modificado	El detector busca un objeto binario en ejecución que se incluyó originalmente en la imagen del contenedor, pero que se modificó durante el tiempo de ejecución, y que se identificó como malicioso en función de la inteligencia de amenazas.
Elevación de privilegios: delegación anómala de cuentas de servicio de varios pasos para la actividad del administrador	Detecta cuándo se encuentra una solicitud delegada de varios pasos anómala para una actividad administrativa.
Se usó la cuenta de anulación de emergencia: break_brew_account	Detecta el uso de una cuenta de acceso de emergencia (anulación de emergencia).
Dominio incorrecto configurable: APT29_Domains	Detecta una conexión a un nombre de dominio especificado.
Otorgamiento de rol inesperado: roles prohibidos	Detecta cuándo se otorga un rol especificado a un usuario.
IP incorrecta configurable	Detecta una conexión a una dirección IP especificada.
Tipo inesperado de instancia de Compute Engine	Detecta la creación de instancias de Compute Engine que no coinciden con un tipo de instancia o una configuración especificados.
Imagen inesperada de origen de Compute Engine	Detecta la creación de una instancia de Compute Engine con una imagen o familia de imágenes que no coincide con una lista especificada.
Región inesperada de Compute Engine	Detecta la creación de una instancia de Compute Engine en una región que no está en una lista especificada.
Rol personalizado con permiso prohibido	Detecta cuándo se otorga a una principal un rol personalizado con cualquiera de los permisos de IAM especificados.
Llamada inesperada a la API de Cloud	Detecta cuándo una principal especificada llama a un método determinado a un recurso determinado. Un resultado se genera solo si todas las expresiones regulares coinciden en una sola entrada de registro.

Resultados de GCP_SECURITYCENTER_ERROR admitidos

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: ERROR.

Buscando nombre	Descripción
VPC_SC_RESTRICTION	Security Health Analytics no puede generar ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso a ese perímetro.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar los resultados a Logging.
API_DISABLED	Una API necesaria está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar los resultados a Security Command Center.
KTD_IMAGE_PULL_FAILURE	No se puede habilitar la detección de amenazas a contenedores en el clúster porque una imagen de contenedor requerida no se puede extraer (descargar) desde gcr.io, el host de la imagen de Container Registry. La imagen es necesaria para implementar el DaemonSet de Container Threat Detection que requiere Container Threat Detection.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	No se puede habilitar la detección de amenazas a contenedores en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere Container Threat Detection. Cuando se visualiza en la consola de Google Cloud, los detalles del resultado incluyen el mensaje de error que mostró Google Kubernetes Engine cuando la Detección de amenazas a contenedores intentó implementar un objeto DaemonSet de detección de amenazas a contenedores.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	A una cuenta de servicio le faltan los permisos que requiere Container Threat Detection. La Detección de amenazas a contenedores podría dejar de funcionar de forma correcta porque la instrumentación de detección no se puede habilitar, actualizar ni inhabilitar.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Container Threat Detection no puede generar resultados para un clúster de Google Kubernetes Engine porque a la cuenta de servicio predeterminada de GKE del clúster le faltan permisos. Esto evita que la detección de amenazas a contenedores se habilite correctamente en el clúster.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar correctamente. No se producen resultados.

Resultados compatibles de GCP_SECURITYCENTER_OBSERVATION

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: OBSERVATION.

Buscando nombre	Descripción
Persistencia: Se agregó la clave SSH del proyecto	Se creó una clave SSH a nivel de proyecto en un proyecto con más de 10 días de antigüedad.
Persistencia: Agregar rol sensible	Se otorgó un rol de IAM a nivel de organización sensible o con muchos privilegios en una organización con más de 10 días de antigüedad.

Resultados compatibles de GCP_SECURITYCENTER_UNSPECIFIED

Puedes encontrar la asignación de UDM en la tabla Referencia de la asignación de campo: UNSPECIFIED.

Buscando nombre	Descripción
OPEN_FIREWALL	Un firewall está configurado para ser abierto al acceso público.

Resultados de GCP_SECURITYCENTER_VULNERABILITY admitidos

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campos: VULNERABILITY.

Buscando nombre	Descripción
DISK_CSEK_DISABLED	Los discos de esta VM no se encriptan con claves de encriptación proporcionadas por el cliente (CSEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Detector de casos especiales.
ALPHA_CLUSTER_ENABLED	Las funciones del clúster Alfa están habilitadas para un clúster de GKE.
AUTO_REPAIR_DISABLED	La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado y en ejecución, está inhabilitada.
AUTO_UPGRADE_DISABLED	Se inhabilitó la función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la versión estable más reciente de Kubernetes.
CLUSTER_SHIELDED_NODES_DISABLED	Los nodos de GKE protegidos no están habilitados para un clúster
COS_NOT_USED	Las VMs de Compute Engine no usan Container-Optimized OS, que está diseñado para ejecutar contenedores de Docker en Google Cloud de forma segura.
INTEGRITY_MONITORING_DISABLED	La supervisión de integridad está inhabilitada para un clúster de GKE.
IP_ALIAS_DISABLED	Se creó un clúster de GKE con los rangos de IP de alias inhabilitados.
LEGACY_METADATA_ENABLED	Los metadatos heredados están habilitados en los clústeres de GKE.
RELEASE_CHANNEL_DISABLED	Un clúster de GKE no está suscrito a un canal de versiones.
DATAPROC_IMAGE_OUTDATED	Se creó un clúster de Dataproc con una versión de imagen de Dataproc que se ve afectada por las vulnerabilidades de seguridad de la utilidad Apache Log4j 2 (CVE-2021-44228 y CVE-2021-45046).
PUBLIC_DATASET	Un conjunto de datos está configurado para ser abierto al acceso público.
DNSSEC_DISABLED	Las DNSSEC están inhabilitadas para las zonas de Cloud DNS.
RSASHA1_FOR_SIGNING	RSASHA1 se usa para la firma de claves en las zonas de Cloud DNS.
REDIS_ROLE_USED_ON_ORG	Una función de IAM de Redis se asigna a nivel de organización o carpeta.
KMS_PUBLIC_KEY	Las claves criptográficas de Cloud KMS son de acceso público.
SQL_CONTAINED_DATABASE_AUTHENTICATION	La marca de base de datos de autenticación de la base de datos contenida para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_CROSS_DB_OWNERSHIP_CHAINING	La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_EXTERNAL_SCRIPTS_ENABLED	La marca de base de datos habilitada para secuencias de comandos externas para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_LOCAL_INFILE	La marca de base de datos local_infile para una instancia de Cloud SQL para MySQL no está desactivada.
SQL_LOG_ERROR_VERBOSITY	La marca de base de datos log_error_verbosity para una instancia de Cloud SQL para PostgreSQL no está configurada como predeterminada o más estricta.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	La marca de base de datos log_min_duration_statement para una instancia de Cloud SQL para PostgreSQL no está configurada en “-1”.
SQL_LOG_MIN_ERROR_STATEMENT	La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no está configurada correctamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.
SQL_LOG_MIN_MESSAGES	La marca de base de datos log_min_messages para una instancia de Cloud SQL para PostgreSQL no está configurada como advertencia.
SQL_LOG_EXECUTOR_STATS_ENABLED	La marca de base de datos log_executor_status para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_HOSTNAME_ENABLED	La marca de base de datos log_hostname para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_PARSER_STATS_ENABLED	La marca de base de datos log_parser_stats de una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_PLANNER_STATS_ENABLED	La marca de base de datos log_planner_stats para una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_STATEMENT_STATS_ENABLED	La marca de base de datos log_statement_stats de una instancia de Cloud SQL para PostgreSQL no está desactivada.
SQL_LOG_TEMP_FILES	La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en “0”.
SQL_REMOTE_ACCESS_ENABLED	La marca de base de datos de acceso remoto de una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_SKIP_SHOW_DATABASE_DISABLED	La marca de base de datos omit_show_database para una instancia de Cloud SQL para MySQL no está activada.
SQL_TRACE_FLAG_3625	La marca de base de datos 3625 (marca de seguimiento) de una instancia de Cloud SQL para SQL Server no está activada.
SQL_USER_CONNECTIONS_CONFIGURED	Se configuró la marca de base de datos de conexiones de usuarios para una instancia de Cloud SQL para SQL Server.
SQL_USER_OPTIONS_CONFIGURED	Se configuró la marca de base de datos de opciones de usuario de una instancia de Cloud SQL para SQL Server.
SQL_WEAK_ROOT_PASSWORD	Una base de datos de Cloud SQL tiene una contraseña poco segura configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita detectores.
PUBLIC_LOG_BUCKET	Un bucket de almacenamiento usado como receptor de registros es de acceso público.
ACCESSIBLE_GIT_REPOSITORY	Un repositorio de Git se expone públicamente. Para resolver este hallazgo, quita el acceso público no intencional al repositorio de GIT.
ACCESSIBLE_SVN_REPOSITORY	Un repositorio de SVN se expone públicamente. Para resolver este hallazgo, quita el acceso público no intencional al repositorio de SVN.
CACHEABLE_PASSWORD_INPUT	Las contraseñas ingresadas en la aplicación web se pueden almacenar en la caché de un navegador normal, en lugar de un almacenamiento seguro de contraseñas.
CLEAR_TEXT_PASSWORD	Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver este hallazgo, encripta la contraseña transmitida a través de la red.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Un extremo HTTP o HTTPS entre sitios valida solo un sufijo del encabezado de la solicitud de origen antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. Para resolver este hallazgo, valida que el dominio raíz esperado sea parte del valor del encabezado Origin antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin. En el caso de los comodines de subdominio, antepone el punto al dominio raíz; por ejemplo, .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del encabezado de la solicitud de origen antes de reflejarlo dentro del encabezado de respuesta Access-Control-Allow-Origin. Para resolver este hallazgo, valida que el dominio esperado coincida completamente con el valor del encabezado de origen antes de reflejarlo en el encabezado de respuesta Access-Control-Allow-Origin, por ejemplo, .equals("".google.com"").
INVALID_CONTENT_TYPE	Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver este resultado, establece el encabezado HTTP X-Content-Type-Options con el valor correcto.
INVALID_HEADER	Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para resolver este resultado, configura los encabezados de seguridad HTTP correctamente.
MISMATCHING_SECURITY_HEADER_VALUES	Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para resolver este resultado, configura los encabezados de seguridad HTTP correctamente.
MISSPELLED_SECURITY_HEADER_NAME	Un encabezado de seguridad está mal escrito y se ignora. Para resolver este resultado, configura los encabezados de seguridad HTTP correctamente.
MIXED_CONTENT	Los recursos se envían a través de HTTP en una página HTTPS. Para resolver este resultado, asegúrate de que todos los recursos se entreguen a través de HTTPS.
OUTDATED_LIBRARY	Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver este resultado, actualiza las bibliotecas a una versión más reciente.
SERVER_SIDE_REQUEST_FORGERY	Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este hallazgo, usa una lista de entidades permitidas para limitar los dominios y las direcciones IP a los que la aplicación web puede realizar solicitudes.
SESSION_ID_LEAK	Cuando se realiza una solicitud multidominio, la aplicación web incluye el identificador de sesión del usuario en el encabezado de la solicitud de referencia. Esta vulnerabilidad permite que el dominio receptor acceda al identificador de sesión, que se puede usar para suplantar la identidad del usuario o identificarlo de forma única.
SQL_INJECTION	Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este hallazgo, usa consultas con parámetros para evitar que las entradas del usuario influyan en la estructura de la consulta en SQL.
STRUTS_INSECURE_DESERIALIZATION	Se detectó el uso de una versión vulnerable de Apache Struts. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente.
XSS	Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver este hallazgo, valida y escapa los datos que no son de confianza proporcionados por el usuario.
XSS_ANGULAR_CALLBACK	La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver este hallazgo, valida y escapa los datos que no son de confianza proporcionados por los usuarios y controlados por el framework de Angular.
XSS_ERROR	Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver este hallazgo, valida y escapa los datos que no son de confianza proporcionados por el usuario.
XXE_REFLECTED_FILE_LEAKAGE	Se detectó una vulnerabilidad XML External Entity (XXE). Esta vulnerabilidad puede hacer que la aplicación web filtre un archivo en el host. A fin de resolver este resultado, configura tus analizadores XML para inhabilitar entidades externas.
BASIC_AUTHENTICATION_ENABLED	Se debe habilitar IAM o la autenticación de certificado de cliente en los clústeres de Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED	Los clústeres de Kubernetes se deben crear con el certificado de cliente habilitado.
LABELS_NOT_USED	Las etiquetas se pueden usar para desglosar los datos de facturación.
PUBLIC_STORAGE_OBJECT	La LCA del objeto de almacenamiento no debe otorgar acceso a allUsers.
SQL_BROAD_ROOT_LOGIN	El acceso raíz a la base de datos de SQL debe limitarse a las direcciones IP incluidas en la lista de direcciones confiables.
WEAK_CREDENTIALS	Este detector busca credenciales débiles con métodos de fuerza bruta de ncra. Servicios compatibles: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM y DICOM
ELASTICSEARCH_API_EXPOSED	La API de Elasticsearch permite que los emisores realicen consultas arbitrarias, escriban y ejecuten secuencias de comandos, y agreguen documentos adicionales al servicio.
EXPOSED_GRAFANA_ENDPOINT	En Grafana 8.0.0 a 8.3.0, los usuarios pueden acceder sin autenticación a un extremo con una vulnerabilidad de recorrido de directorio que permite a cualquier usuario leer cualquier archivo del servidor sin autenticación. Para obtener más información, consulta CVE-2021-43798.
EXPOSED_METABASE	Las versiones x.40.0 a x.40.4 de Metabase, una plataforma de análisis de datos de código abierto, contienen una vulnerabilidad en la compatibilidad con mapas GeoJSON personalizados y en la posible inclusión de archivos locales, incluidas las variables de entorno. No se validaron las URL antes de cargarse. Para obtener más información, consulta CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Este detector verifica si los extremos sensibles de Actuator de las aplicaciones de Spring Boot están expuestos. Algunos de los extremos predeterminados, como /heapdump, pueden exponer información sensible. Otros extremos, como /env, pueden conducir a la ejecución remota de código. Actualmente, solo se verifica /heapdump.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Este detector verifica si la API de Hadoop Yarn ResourceManager, que controla los recursos de procesamiento y almacenamiento de un clúster de Hadoop, está expuesta y permite la ejecución de código no autenticado.
JAVA_JMX_RMI_EXPOSED	Java Management Extension (JMX) permite la supervisión y el diagnóstico remotos para aplicaciones de Java. La ejecución de JMX con un extremo de invocación de método remoto desprotegido permite que cualquier usuario remoto cree un javax.management.loading.MLet MBean y lo use para crear MBeans nuevos a partir de URLs arbitrarias.
JUPYTER_NOTEBOOK_EXPOSED_UI	Este detector verifica si un notebook de Jupyter no autenticado está expuesto. Jupyter permite la ejecución remota de código por diseño en la máquina anfitrión. Un notebook de Jupyter no autenticado pone a la VM de hosting en riesgo de ejecución de código remoto.
KUBERNETES_API_EXPOSED	La API de Kubernetes está expuesta y las emisores no autenticados pueden acceder a ella. Esto permite la ejecución de código arbitrario en el clúster de Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION	Este detector verifica si una instalación de WordPress no finalizó. Una instalación de WordPress sin terminar expone la página /wp-admin/install.php, que permite a los atacantes establecer la contraseña de administrador y, posiblemente, comprometer el sistema.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Este detector busca una instancia de Jenkins no autenticada mediante el envío de un ping de sondeo al extremo /view/all/newJob como visitante anónimo. Una instancia autenticada de Jenkins muestra el formulario createItem, que permite la creación de trabajos arbitrarios que podrían conducir a la ejecución de código remoto.
APACHE_HTTPD_RCE	Se encontró una falla en el servidor HTTP Apache 2.4.49 que permite a un atacante utilizar un ataque de salto de directorio para asignar URL a archivos fuera de la raíz esperada del documento y ver la fuente de los archivos interpretados, como las secuencias de comandos de CGI. Se sabe que este problema se aprovecha de forma explícita. Este problema afecta a Apache 2.4.49 y 2.4.50, pero no a versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: Registro de CVE CVE-2021-41773 Vulnerabilidades del servidor HTTP 2.4 de Apache
APACHE_HTTPD_SSRF	Los atacantes pueden crear un URI para el servidor web Apache que haga que mod_proxy reenvíe la solicitud al servidor de origen que elija el atacante. Este problema afecta al servidor HTTP Apache 2.4.48 y versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: Registro de CVE CVE-2021-40438 Vulnerabilidades del servidor HTTP 2.4 de Apache
CONSUL_RCE	Los atacantes pueden ejecutar un código arbitrario en un servidor de Consul porque la instancia de Consul está configurada con -enable-script-checks establecido en true y la API HTTP de Consul no está protegida y se puede acceder a ella a través de la red. En Consul 0.9.0 y versiones anteriores, las comprobaciones de secuencias de comandos están activadas de forma predeterminada. Para obtener más información, consulta Protege Consul contra el riesgo de RCE en configuraciones específicas. Para comprobar si existe esta vulnerabilidad, la Detección rápida de vulnerabilidades registra un servicio en la instancia de Consul mediante el extremo REST /v1/health/service, que luego ejecuta una de las siguientes opciones: * Un comando curl para un servidor remoto fuera de la red. Un atacante puede usar el comando curl para robar datos del servidor. * Un comando printf. Luego, la Detección rápida de vulnerabilidades verifica el resultado del comando mediante el extremo REST /v1/health/service. * Después de la verificación, la Detección rápida de vulnerabilidades limpia y anula el registro del servicio mediante el extremo /v1/agent/service/deregister/ REST.
DRUID_RCE	Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario incorporado en varios tipos de solicitudes. Esta función está diseñada para usarse en entornos de alta confianza y está inhabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, es posible que un usuario autenticado envíe una solicitud especialmente diseñada que obliga a Druid a ejecutar un código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor de Druid. Para obtener más información, consulta los Detalles de CVE-2021-25646.
DRUPAL_RCE	Las versiones de Drupal anteriores a la 7.58, 8.x anteriores a 8.3.9, 8.4.x antes de 8.4.6 y 8.5.x anteriores a 8.5.1 son vulnerables a la ejecución remota de código en solicitudes AJAX de la API de Form. Las versiones de Drupal 8.5.x anteriores a 8.5.11 y 8.6.x anteriores a 8.6.10 son vulnerables a la ejecución de código remota cuando el módulo del servicio web RESTful o el JSON:API están habilitados. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante una solicitud POST personalizada.
FLINK_FILE_DISCLOSURE	Una vulnerabilidad en las versiones 1.11.0, 1.11.1 y 1.11.2 de Apache Flink permite que los atacantes lean cualquier archivo en el sistema de archivos local del JobManager a través de la interfaz REST del proceso de JobManager. El acceso está restringido a los archivos a los que puede acceder el proceso de JobManager.
GITLAB_RCE	En las versiones 11.9 y posteriores de GitLab Community Edition (CE) y Enterprise Edition (EE), GitLab no valida de forma adecuada los archivos de imagen que se pasan a un analizador de archivos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos remotos.
GoCD_RCE	En GoCD 21.2.0 y versiones anteriores, existe un extremo al que se puede acceder sin autenticación. Este extremo tiene una vulnerabilidad de salto de directorio que permite al usuario leer cualquier archivo del servidor sin autenticación.
JENKINS_RCE	Las versiones de Jenkins 2.56 y anteriores, y 2.46.1 LTS y anteriores son vulnerables a la ejecución de código remoto. Un atacante no autenticado puede activar esta vulnerabilidad a través de un objeto Java serializado malicioso.
JOOMLA_RCE	Las versiones 1.5.x, 2.x y 3.x de Joomla anteriores a la 3.4.6 son vulnerables a la ejecución de código remoto. Esta vulnerabilidad se puede activar con un encabezado diseñado que contenga objetos PHP serializados. Las versiones 3.0.0 a 3.4.6 de Joomla son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar enviando una solicitud POST que contenga un objeto PHP serializado elaborado.
LOG4J_RCE	En Apache Log4j2 2.14.1 y versiones anteriores, las funciones JNDI que se utilizan en configuraciones, mensajes de registro y parámetros no protegen contra LDAP controlado por atacantes y otros endpoints relacionados con JNDI. Para obtener más información, consulta CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	MantisBT a través de la versión 2.3.0 permite el restablecimiento de contraseñas arbitrario y el acceso no autenticado de administrador proporcionando un valor confirm_hash vacío para verificar.php.
OGNL_RCE	Las instancias del servidor de Confluence y del centro de datos contienen una vulnerabilidad de inyección de OGNL que permite a un atacante no autenticado ejecutar código arbitrario. Para obtener más información, consulta CVE-2021-26084.
OPENAM_RCE	OpenAM Server 14.6.2 y versiones anteriores, y ForgeRock AM 6.5.3 y versiones anteriores tienen una vulnerabilidad de deserialización Java en el parámetro jato.pageSession en varias páginas. El ataque no requiere autenticación, y la ejecución de código remoto se puede activar enviando una única solicitud /ccversion/* creada al servidor. La vulnerabilidad existe debido al uso de la aplicación Sun ONE. Para obtener más información, consulta CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Algunas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad fácilmente aprovechable permite a un atacante no autenticado con acceso a la red a través de HTTP para comprometer un Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden provocar la apropiación de Oracle WebLogic Server. Para obtener más información, consulta CVE-2020-14882.
PHPUNIT_RCE	Las versiones PHPUnit anteriores a 5.6.3 permiten la ejecución remota de código con una única solicitud POST no autenticada.
PHP_CGI_RCE	Las versiones de PHP anteriores a la 5.3.12, y las versiones 5.4.x anteriores a la 5.4.2, cuando se configuran como una secuencia de comandos de CGI, permiten la ejecución remota de código. El código vulnerable no controla correctamente las cadenas de consulta que carecen de un carácter = (signo igual). Esto permite a los atacantes agregar opciones de línea de comandos que se ejecutan en el servidor.
PORTAL_RCE	La deserialización de datos no confiables en las versiones del portal Liferay anteriores a 7.2.1 CE GA2 permite a los atacantes remotos ejecutar código arbitrario a través de servicios web JSON.
REDIS_RCE	Si una instancia de Redis no requiere autenticación para ejecutar comandos de administrador, es posible que los atacantes puedan ejecutar código arbitrario.
SOLR_FILE_EXPOSED	La autenticación no está habilitada en Apache Solr, un servidor de búsqueda de código abierto. Cuando Apache Solr no requiere autenticación, un atacante puede elaborar directamente una solicitud para habilitar una configuración específica y, finalmente, implementar una falsificación de solicitudes del servidor (SSRF) o leer archivos arbitrarios.
SOLR_RCE	Las versiones 5.0.0 de Apache Solr a Apache Solr 8.3.1 son vulnerables a la ejecución de código remoto mediante VelocityResponseWriter si params.resource.loader.enabled se establece en true. Esto permite que los atacantes creen un parámetro que contenga una plantilla de velocidad maliciosa.
STRUTS_RCE	Las versiones de Apache Struts anteriores a la 2.3.32 y la 2.5.x anteriores a la 2.5.10.1 son vulnerables a la ejecución de código remoto. La vulnerabilidad puede activarse por un atacante no autenticado que proporciona un encabezado de tipo de contenido elaborado. El complemento REST en las versiones 2.1.1 a 2.3.x de Apache Struts antes de la 2.3.34 y 2.5.x antes de la 2.5.13 son vulnerables a la ejecución de código remoto cuando se deserializan cargas útiles XML creadas. Las versiones de Apache Struts 2.3 a 2.3.34 y de 2.5 a 2.5.16 son vulnerables a la ejecución de código remoto cuando AlwaysSelectFullSpace se establece en verdadero y existen ciertas otras configuraciones de acción.
TOMCAT_FILE_DISCLOSURE	Las versiones 9.x de Apache Tomcat anteriores a la 9.0.31, 8.x antes de la 8.5.51, 7.x antes de la 7.0.100 y todas las 6.x son vulnerables al código fuente y a la divulgación de la configuración a través de un conector de protocolo de Apache JServ expuesto. En algunos casos, se aprovecha esta opción para ejecutar código remoto si se permite la carga de archivos.
VBULLETIN_RCE	Los servidores de vBulletin que ejecutan versiones 5.0.0 hasta 5.5.4 son vulnerables a la ejecución remota de código. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante un parámetro de consulta en una solicitud de cadena de ruta.
VCENTER_RCE	Las versiones 7.x de VMware vCenter Server anteriores a 7.0 U1c, 6.7 antes de 6.7 U3l y 6.5 antes de U3n 6.5 son vulnerables a la ejecución remota de código. Esta vulnerabilidad puede activarse por un atacante que sube un archivo elaborado de Java Server Pages a un directorio al que se puede acceder desde la Web y que luego activa la ejecución de ese archivo.
WEBLOGIC_RCE	Algunas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad de ejecución de código remoto, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad está relacionada con CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Para obtener más información, consulta CVE-2020-14883.
OS_VULNERABILITY	VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado para una VM de Compute Engine.
UNUSED_IAM_ROLE	El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días.

Resultados de GCP_SECURITYCENTER_MISCONFIGURATION admitidos

Puedes encontrar la asignación de UDM en la tabla Referencia de la asignación de campos: MISCONFIGURATION.

Buscando nombre	Descripción
API_KEY_APIS_UNRESTRICTED	Hay claves de API que se usan de una forma demasiado general. Para resolver este problema, limita el uso de la clave de API de modo que solo permita las APIs que necesita la aplicación.
API_KEY_APPS_UNRESTRICTED	Se usan claves de API de forma ilimitada, lo que permite que las apps no confiables puedan usarlas
API_KEY_EXISTS	Un proyecto usa claves de API en lugar de la autenticación estándar.
API_KEY_NOT_ROTATED	La clave de API no se rotó por más de 90 días.
PUBLIC_COMPUTE_IMAGE	Una imagen de Compute Engine es de acceso público.
CONFIDENTIAL_COMPUTING_DISABLED	Confidential Computing está inhabilitado en una instancia de Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Se usan claves SSH de nivel de proyecto, lo que permite acceder a todas las instancias del proyecto.
COMPUTE_SECURE_BOOT_DISABLED	Esta VM protegida no tiene habilitado el inicio seguro. El uso del inicio seguro ayuda a proteger las instancias de máquina virtual contra amenazas avanzadas, como rootkits y bootkits.
DEFAULT_SERVICE_ACCOUNT_USED	Se configura una instancia para usar la cuenta de servicio predeterminada.
FULL_API_ACCESS	Se configura una instancia para usar la cuenta de servicio predeterminada con acceso completo a todas las APIs de Google Cloud.
OS_LOGIN_DISABLED	El Acceso al SO está inhabilitado en esta instancia.
PUBLIC_IP_ADDRESS	Una instancia tiene una dirección IP pública.
SHIELDED_VM_DISABLED	La VM protegida está inhabilitada en esta instancia.
COMPUTE_SERIAL_PORTS_ENABLED	Los puertos en serie están habilitados para una instancia, lo que permite conexiones a la consola en serie de la instancia.
DISK_CMEK_DISABLED	Los discos de esta VM no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita detectores.
HTTP_LOAD_BALANCER	Una instancia usa un balanceador de cargas configurado para usar un proxy HTTP de destino en lugar de un proxy HTTPS de destino.
IP_FORWARDING_ENABLED	El reenvío de IP está habilitado en las instancias.
WEAK_SSL_POLICY	Una instancia tiene una política de SSL débil.
BINARY_AUTHORIZATION_DISABLED	La autorización binaria está inhabilitada en un clúster de GKE.
CLUSTER_LOGGING_DISABLED	Logging no está habilitado para un clúster de GKE.
CLUSTER_MONITORING_DISABLED	Monitoring está inhabilitado en los clústeres de GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Los hosts del clúster no están configurados para usar solo direcciones IP internas y privadas para acceder a las APIs de Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	La encriptación de Secrets de la capa de la aplicación está inhabilitada en un clúster de GKE.
INTRANODE_VISIBILITY_DISABLED	La visibilidad dentro de los nodos está inhabilitada para un clúster de GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED	Las redes autorizadas del plano de control no están habilitadas en los clústeres de GKE.
NETWORK_POLICY_DISABLED	La política de red está inhabilitada en los clústeres de GKE.
NODEPOOL_SECURE_BOOT_DISABLED	El inicio seguro está inhabilitado para un clúster de GKE.
OVER_PRIVILEGED_ACCOUNT	Una cuenta de servicio tiene acceso al proyecto demasiado amplio en un clúster.
OVER_PRIVILEGED_SCOPES	Una cuenta de servicio de nodo tiene permisos de acceso amplios.
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy está inhabilitada en un clúster de GKE.
PRIVATE_CLUSTER_DISABLED	Un clúster de GKE tiene un clúster privado inhabilitado.
WORKLOAD_IDENTITY_DISABLED	Un clúster de GKE no está suscrito a un canal de versiones.
LEGACY_AUTHORIZATION_ENABLED	La autorización heredada está habilitada en los clústeres de GKE.
NODEPOOL_BOOT_CMEK_DISABLED	Los discos de arranque de este grupo de nodos no están encriptados con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita detectores.
WEB_UI_ENABLED	La IU web de GKE (panel) está habilitada.
AUTO_REPAIR_DISABLED	La función de reparación automática de un clúster de GKE, que mantiene los nodos en buen estado y en ejecución, está inhabilitada.
AUTO_UPGRADE_DISABLED	Se inhabilitó la función de actualización automática de un clúster de GKE, que mantiene los clústeres y grupos de nodos en la versión estable más reciente de Kubernetes.
CLUSTER_SHIELDED_NODES_DISABLED	Los nodos de GKE protegidos no están habilitados para un clúster
RELEASE_CHANNEL_DISABLED	Un clúster de GKE no está suscrito a un canal de versiones.
BIGQUERY_TABLE_CMEK_DISABLED	Una tabla de BigQuery no está configurada para usar una clave de encriptación administrada por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo.
DATASET_CMEK_DISABLED	Un conjunto de datos de BigQuery no está configurado para usar una CMEK predeterminada. Este detector requiere configuración adicional para habilitarlo.
EGRESS_DENY_RULE_NOT_SET	Una regla de denegación de salida no está configurada en un firewall. Las reglas de denegación de salida se deben configurar para bloquear el tráfico saliente no deseado.
FIREWALL_RULE_LOGGING_DISABLED	El registro de las reglas de firewall está inhabilitado. El registro de las reglas de firewall debe estar habilitado para que puedas auditar el acceso a la red.
OPEN_CASSANDRA_PORT	Se configura un firewall para tener un puerto Cassandra abierto que permita el acceso genérico.
OPEN_SMTP_PORT	Un firewall está configurado para tener un puerto SMTP abierto que permite el acceso genérico.
OPEN_REDIS_PORT	Se configura un firewall para tener un puerto REDIS abierto que permita el acceso genérico.
OPEN_POSTGRESQL_PORT	Se configura un firewall para tener un puerto PostgreSQL abierto que permite el acceso genérico.
OPEN_POP3_PORT	Se configura un firewall para tener un puerto POP3 abierto que permite el acceso genérico.
OPEN_ORACLEDB_PORT	Se configura un firewall para tener un puerto NETBIOS abierto que permite el acceso genérico.
OPEN_NETBIOS_PORT	Se configura un firewall para tener un puerto NETBIOS abierto que permite el acceso genérico.
OPEN_MYSQL_PORT	Los firewalls están configurados para tener un puerto MySQL abierto que permite el acceso genérico.
OPEN_MONGODB_PORT	Se configura un firewall para tener un puerto MONGODB abierto que permita el acceso genérico.
OPEN_MEMCACHED_PORT	Un firewall está configurado para tener un puerto MEMCACHED abierto que permite el acceso genérico.
OPEN_LDAP_PORT	Se configura un firewall para tener un puerto LDAP abierto que permite el acceso genérico.
OPEN_FTP_PORT	Los firewalls están configurados para tener un puerto FTP abierto que permite el acceso genérico.
OPEN_ELASTICSEARCH_PORT	Se configura un firewall para tener un puerto ELASTICSEARCH abierto que permite el acceso genérico.
OPEN_DNS_PORT	Un firewall está configurado para tener un puerto DNS abierto que permite el acceso genérico.
OPEN_HTTP_PORT	Un firewall está configurado para tener un puerto HTTP abierto que permite el acceso genérico.
OPEN_DIRECTORY_SERVICES_PORT	Un firewall está configurado para tener un puerto DIRECTORY_SERVICES abierto que permite el acceso genérico.
OPEN_CISCOSECURE_WEBSM_PORT	Un firewall está configurado para tener un puerto CISCOSECURE_WEBSM abierto que permita el acceso genérico.
OPEN_RDP_PORT	Un firewall está configurado para tener un puerto RDP abierto que permite el acceso genérico.
OPEN_TELNET_PORT	Se configura un firewall para tener un puerto TELNET abierto que permite el acceso genérico.
OPEN_FIREWALL	Un firewall está configurado para ser abierto al acceso público.
OPEN_SSH_PORT	Se configura un firewall para tener un puerto SSH abierto que permite el acceso genérico.
SERVICE_ACCOUNT_ROLE_SEPARATION	Se asignó a un usuario las funciones de administrador de cuenta de servicio y usuario de cuenta de servicio. Esto infringe el principio de “separación de obligaciones”.
NON_ORG_IAM_MEMBER	Hay un usuario que no usa credenciales de organización. Según CIS para Google Cloud Foundations 1.0, actualmente, solo las identidades con direcciones de correo electrónico @gmail.com activan este detector.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Un usuario tiene el rol Usuario de cuenta de servicio o Creador de tokens de cuenta de servicio a nivel de proyecto, en lugar de hacerlo para una cuenta de servicio específica.
ADMIN_SERVICE_ACCOUNT	Una cuenta de servicio tiene privilegios de administrador, propietario o editor. Estos roles no deben asignarse a cuentas de servicio creadas por el usuario.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	No se rotó una clave de cuenta de servicio por más de 90 días.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Un usuario administra una clave de cuenta de servicio.
PRIMITIVE_ROLES_USED	Un usuario tiene el rol básico: Propietario, Escritor o Lector. Estos roles son demasiado permisivos y no deben usarse.
KMS_ROLE_SEPARATION	La separación de tareas no se aplica de manera forzosa y existe un usuario que tiene alguno de los siguientes roles de Cloud Key Management Service (Cloud KMS) al mismo tiempo: encriptador o desencriptador de CryptoKey, encriptador o desencriptador.
OPEN_GROUP_IAM_MEMBER	Una cuenta de Grupos de Google que se puede unir sin aprobación se usa como principal de la política de permisos de IAM.
KMS_KEY_NOT_ROTATED	La rotación no está configurada en una clave de encriptación de Cloud KMS. Se deben rotar las claves en un período de 90 días.
KMS_PROJECT_HAS_OWNER	Un usuario tiene permisos de propietario en un proyecto que tiene claves criptográficas.
TOO_MANY_KMS_USERS	Hay más de tres usuarios de claves criptográficas.
OBJECT_VERSIONING_DISABLED	El control de versiones de objetos no está habilitado en un bucket de almacenamiento en el que están configurados los receptores.
LOCKED_RETENTION_POLICY_NOT_SET	Una política de retención bloqueada no se establece para los registros.
BUCKET_LOGGING_DISABLED	Hay un bucket de almacenamiento sin el registro habilitado.
LOG_NOT_EXPORTED	Hay un recurso que no tiene configurado un receptor de registros apropiado.
AUDIT_LOGGING_DISABLED	Se inhabilitó el registro de auditoría para este recurso.
MFA_NOT_ENFORCED	Hay usuarios que no usan la verificación en 2 pasos.
ROUTE_NOT_MONITORED	Las métricas de registro y las alertas no están configuradas para supervisar los cambios en la ruta de la red de VPC.
OWNER_NOT_MONITORED	Las métricas y alertas de registro no están configuradas para supervisar los cambios o las asignaciones de propiedad del proyecto.
AUDIT_CONFIG_NOT_MONITORED	Las métricas y alertas de registro no están configuradas para supervisar los cambios en la configuración de auditoría.
BUCKET_IAM_NOT_MONITORED	Las métricas de registro y las alertas no están configuradas para supervisar los cambios en los permisos de IAM de Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED	Las métricas de registro y las alertas no están configuradas para supervisar los cambios en los roles personalizados.
FIREWALL_NOT_MONITORED	Las métricas y alertas de registro no están configuradas para supervisar los cambios en las reglas de firewall de la red de la nube privada virtual (VPC).
NETWORK_NOT_MONITORED	Las métricas de registro y las alertas no están configuradas para supervisar los cambios en la red de VPC.
SQL_INSTANCE_NOT_MONITORED	Las métricas de registro y las alertas no están configuradas para supervisar los cambios en la configuración de la instancia de Cloud SQL.
DEFAULT_NETWORK	La red predeterminada existe en un proyecto.
DNS_LOGGING_DISABLED	El registro de DNS en una red de VPC no está habilitado.
PUBSUB_CMEK_DISABLED	Un tema de Pub/Sub no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita detectores.
PUBLIC_SQL_INSTANCE	Una instancia de base de datos de Cloud SQL acepta conexiones de todas las direcciones IP.
SSL_NOT_ENFORCED	Una instancia de base de datos de Cloud SQL no requiere todas las conexiones entrantes para usar SSL.
AUTO_BACKUP_DISABLED	Una base de datos de Cloud SQL no tiene habilitadas las copias de seguridad automáticas.
SQL_CMEK_DISABLED	Una instancia de base de datos SQL no está encriptada con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita detectores.
SQL_LOG_CHECKPOINTS_DISABLED	La marca de base de datos log_checkpoints para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_CONNECTIONS_DISABLED	La marca de base de datos log_connections para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_DISCONNECTIONS_DISABLED	La marca de base de datos log_disconnections para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_DURATION_DISABLED	La marca de base de datos log_duration para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_LOCK_WAITS_DISABLED	La marca de base de datos log_lock_waits para una instancia de Cloud SQL para PostgreSQL no está activada.
SQL_LOG_STATEMENT	La marca de base de datos log_statement para una instancia de Cloud SQL para PostgreSQL no está configurada como Ddl (todas las declaraciones de definición de datos).
SQL_NO_ROOT_PASSWORD	Una base de datos de Cloud SQL no tiene una contraseña configurada para la cuenta raíz. Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita detectores.
SQL_PUBLIC_IP	Una base de datos de Cloud SQL tiene una dirección IP pública.
SQL_CONTAINED_DATABASE_AUTHENTICATION	La marca de base de datos de autenticación de la base de datos contenida para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_CROSS_DB_OWNERSHIP_CHAINING	La marca de base de datos cross_db_ownership_chaining para una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_LOCAL_INFILE	La marca de base de datos local_infile para una instancia de Cloud SQL para MySQL no está desactivada.
SQL_LOG_MIN_ERROR_STATEMENT	La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no está configurada correctamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	La marca de base de datos log_min_error_statement para una instancia de Cloud SQL para PostgreSQL no tiene un nivel de gravedad adecuado.
SQL_LOG_TEMP_FILES	La marca de base de datos log_temp_files para una instancia de Cloud SQL para PostgreSQL no está configurada en “0”.
SQL_REMOTE_ACCESS_ENABLED	La marca de base de datos de acceso remoto de una instancia de Cloud SQL para SQL Server no está desactivada.
SQL_SKIP_SHOW_DATABASE_DISABLED	La marca de base de datos omit_show_database para una instancia de Cloud SQL para MySQL no está activada.
SQL_TRACE_FLAG_3625	La marca de base de datos 3625 (marca de seguimiento) de una instancia de Cloud SQL para SQL Server no está activada.
SQL_USER_CONNECTIONS_CONFIGURED	Se configuró la marca de base de datos de conexiones de usuarios para una instancia de Cloud SQL para SQL Server.
SQL_USER_OPTIONS_CONFIGURED	Se configuró la marca de base de datos de opciones de usuario de una instancia de Cloud SQL para SQL Server.
PUBLIC_BUCKET_ACL	Los bucket de Cloud Storage son de acceso público.
BUCKET_POLICY_ONLY_DISABLED	El acceso uniforme a nivel de bucket, que antes se llamaba Solo política del bucket, no está configurado.
BUCKET_CMEK_DISABLED	Un bucket no está encriptado con claves de encriptación administradas por el cliente (CMEK). Este detector requiere configuración adicional para habilitarlo. Para obtener instrucciones, consulta Habilita e inhabilita detectores.
FLOW_LOGS_DISABLED	Hay una subred de VPC que tiene registros de flujo inhabilitados.
PRIVATE_GOOGLE_ACCESS_DISABLED	Hay subredes privadas que no tienen acceso a las APIs públicas de Google.
kms_key_region_europe	Debido a la política de la empresa, todas las claves de encriptación deben permanecer almacenadas en Europa.
kms_non_euro_region	Debido a la política de la empresa, todas las claves de encriptación deben permanecer almacenadas en Europa.
LEGACY_NETWORK	Existe una red heredada en un proyecto.
LOAD_BALANCER_LOGGING_DISABLED	El registro está inhabilitado para el balanceador de cargas.

Resultados compatibles de GCP_SECURITYCENTER_POSTURE_VIOLATION

Puedes encontrar la asignación de UDM en la tabla Referencia de asignación de campo: POSTURE VIOLATION.

Buscando nombre	Descripción
SECURITY_POSTURE_DRIFT	Desvíe de las políticas definidas dentro de la postura de seguridad. El servicio de postura de seguridad detecta esto.
SECURITY_POSTURE_POLICY_DRIFT	El servicio de postura de seguridad detectó un cambio en una política de la organización que ocurrió fuera de una actualización de postura.
SECURITY_POSTURE_POLICY_DELETE	El servicio de postura de seguridad detectó que se borró una política de la organización. Esta eliminación se produjo fuera de una actualización de postura.
SECURITY_POSTURE_DETECTOR_DRIFT	El servicio de postura de seguridad detectó un cambio en un detector de Security Health Analytics que ocurrió fuera de una actualización de postura.
SECURITY_POSTURE_DETECTOR_DELETE	El servicio de postura de seguridad detectó que se borró un módulo personalizado de Estadísticas del estado de seguridad. Esta eliminación se produjo fuera de una actualización de postura.

Referencia de asignación de campos

En esta sección, se explica cómo el analizador de Chronicle asigna los campos de registro de Security Command Center a los campos del Modelo de datos unificados de Chronicle (UDM) para los conjuntos de datos.

Referencia de asignación de campos: campos de registro sin procesar a campos de UDM

En la siguiente tabla, se enumeran los campos de registro y las asignaciones de UDM correspondientes para los resultados de la Detección de eventos de amenazas de Security Command Center.

Campo RawLog	Asignación de UDM	Lógica
`compliances.ids`	`about.labels.key/value [compliance_ids]`
`compliances.version`	`about.labels.key/value [compliance_version]`
`compliances.standard`	`about.labels.key/value [compliances_standard]`
`connections.destinationIp`	`about.labels[connections_destination_ip]`	Si el valor del campo de registro `connections.destinationIp` no es igual a `sourceProperties.properties.ipConnection.destIp`, el campo de registro `connections.destinationIp` se asigna al campo `about.labels.value` de UDM.
`connections.destinationPort`	`about.labels[connections_destination_port]`
`connections.protocol`	`about.labels[connections_protocol]`
`connections.sourceIp`	`about.labels[connections_source_ip]`
`connections.sourcePort`	`about.labels[connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Si el valor del campo de registro `message` coincide con la regex `kubernetes`, el campo `target.resource_ancestors.resource_type` de UDM se establece como CLUSTER.
	`about.resource.attribute.cloud.environment`	El campo `about.resource.attribute.cloud.environment` de UDM se establece en `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` o `Persistence: SSO Enablement Toggle`, el campo `extension.auth.type` de UDM se establece en `SSO`.
	`extension.mechanism`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo `extension.mechanism` de UDM se establece en `USERNAME_PASSWORD`.
	`extensions.auth.type`	Si el valor del campo de registro `principal.user.user_authentication_status` es igual a `ACTIVE`, el campo `extensions.auth.type` de UDM se establece en `SSO`.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Si el valor del campo de registro `category` es igual a `Initial Access: Log4j Compromise Attempt`, el campo de registro `sourceProperties.properties.loadBalancerName` se asigna al campo `intermediary.resource.name` de UDM.
	`intermediary.resource.resource_type`	Si el valor del campo de registro `category` es igual a `Initial Access: Log4j Compromise Attempt`, el campo `intermediary.resource.resource_type` de UDM se establece en `BACKEND_SERVICE`.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Si el valor del campo de registro `canonicalName` no está vacío, `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo de UDM `metadata.product_log_id`. Si el valor del campo de registro `canonicalName` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo de registro `metadata.product_log_id` de UDM.
	`metadata.product_name`	El campo `metadata.product_name` de UDM se establece en `Security Command Center`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	El campo `metadata.vendor_name` de UDM se establece en `Google`.
	`network.application_protocol`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de UDM `network.application_protocol` se establece en `DNS`.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.asn` se asigna al campo `network.asn` de UDM.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.carrierName` se asigna al campo `network.carrier_name` de UDM.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.reverseDnsDomain` se asigna al campo `network.dns_domain` de UDM.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.responseClass` se asigna al campo `network.dns.answers.class` de UDM.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Si el valor del campo de registro `category` coincide con la regex `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.responseValue` se asigna al campo `network.dns.answers.data` de UDM.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.domainName` se asigna al campo `network.dns.answers.name` de UDM.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.ttl` se asigna al campo `network.dns.answers.ttl` de UDM.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseData.responseType` se asigna al campo `network.dns.answers.type` de UDM.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.authAnswer` se asigna al campo `network.dns.authoritative` de UDM.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.queryName` se asigna al campo `network.dns.questions.name` de UDM.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.queryType` se asigna al campo `network.dns.questions.type` de UDM.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.responseCode` se asigna al campo `network.dns.response_code` de UDM.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.callerUserAgent` se asigna al campo `network.http.user_agent` de UDM.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.callerUserAgent` se asigna al campo `network.http.user_agent` de UDM.
`access.userAgentFamily`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` se asigna al campo `network.http.user_agent` de UDM.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, el campo `network.ip_protocol` de UDM se establece en uno de los siguientes valores: `ICMP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `1` o `ICMP`. `IGMP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `2` o `IGMP`. `TCP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `6` o `TCP`. `UDP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `17` o `UDP`. `IP6IN4` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `41` o `IP6IN4`. `GRE` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `47` o `GRE`. `ESP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `50` o `ESP`. `EIGRP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `88` o `EIGRP`. `ETHERIP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `97` o `ETHERIP`. `PIM` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `103` o `PIM`. `VRRP` cuando se cumple la siguiente condición: El valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a `112` o `VRRP`. `UNKNOWN_IP_PROTOCOL` si el valor del campo de registro `sourceProperties.properties.ipConnection.protocol` es igual a cualquier otro valor
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.organizationName` se asigna al campo `network.organization_name` de UDM.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.behaviorPeriod` se asigna al campo `network.session_duration` de UDM.
`sourceProperties.properties.sourceIp`	`principal.ip`	Si el valor del campo de registro `category` coincide con la regex `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.sourceIp` se asigna al campo `principal.ip` de UDM.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.sourceIp` se asigna al campo `principal.ip` de UDM.
`access.callerIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `access.callerIp`, `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `access.callerIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` se asigna al campo `principal.ip` de UDM.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Evasion: Access from Anonymizing Proxy`, el campo de registro `sourceProperties.properties.changeFromBadIp.ip` se asigna al campo `principal.ip` de UDM.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, el campo de registro `sourceProperties.properties.dnsContexts.sourceIp` se asigna al campo `principal.ip` de UDM.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.srcIp` se asigna al campo de UDM `principal.ip`.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, si el valor del campo de registro `sourceProperties.properties.ipConnection.srcIp` no es igual a `sourceProperties.properties.indicatorContext.ipAddress`, el campo de registro `sourceProperties.properties.indicatorContext.ipAddress` se asigna al campo `principal.ip` de UDM.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography`, el campo de registro `sourceProperties.properties.anomalousLocation.callerIp` se asigna al campo `principal.ip` de UDM.
`sourceProperties.properties.scannerDomain`	`principal.labels.key/value [sourceProperties_properties_scannerDomain]`	Si el valor del campo de registro `category` coincide con la regex `Active Scan: Log4j Vulnerable to RCE`, el campo de registro `sourceProperties.properties.scannerDomain` se asigna al campo `principal.labels.key/value` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels[sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobState` se asigna al campo `principal.labels.key/value` de UDM.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.indicatorContext.countryCode` se asigna al campo `principal.location.country_or_region` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.job.location` se asigna al campo `principal.location.country_or_region` de UDM.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.job.location` se asigna al campo `principal.location.country_or_region` de UDM.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` se asigna al campo `principal.location.country_or_region` de UDM.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.anomalousLocation.anomalousLocation` se asigna al campo `principal.location.name` de UDM.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.srcPort` se asigna al campo `principal.port` de UDM.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.jobLink` se asigna al campo `principal.process.file.full_path` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.jobLink` se asigna al campo `principal.process.file.full_path` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` se asigna al campo `principal.process.pid` de UDM.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.job.jobId` se asigna al campo `principal.process.pid` de UDM.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.srcVpc.subnetworkName` se asigna al campo `principal.resource_ancestors.attribute.labels.value` de UDM.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.srcVpc.projectId` se asigna al campo `principal.resource_ancestors.attribute.labels.value` de UDM.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.destVpc.vpcName` se asigna al campo de UDM `principal.resource_ancestors.name` y el campo `principal.resource_ancestors.resource_type` de UDM se establece en `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Si el valor del campo de registro `message` coincide con la regex `sourceProperties.sourceId.*?customerOrganizationNumber`, el campo de registro `sourceProperties.sourceId.customerOrganizationNumber` se asigna al campo `principal.resource.attribute.labels.key/value` de UDM.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Si el valor del campo de registro `sourceProperties.properties.projectId` no está vacío, el campo de registro `sourceProperties.properties.projectId` se asigna al campo `principal.resource.name` de UDM.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` se asigna al campo `principal.resource.name` de UDM.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Si el valor del campo de registro `category` es igual a `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.sourceInstanceDetails` se asigna al campo `principal.resource.name` de UDM.
	`principal.user.account_type`	Si el valor del campo de registro `access.principalSubject` coincide con la regex `serviceAccount`, el campo `principal.user.account_type` de UDM se establece en `SERVICE_ACCOUNT_TYPE`. De lo contrario, si el valor del campo de registro `access.principalSubject` coincide con la regex `user`, el campo `principal.user.account_type` de UDM se establece en `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de UDM `principal.user.attribute.labels.key` se establece en `rawUserAgent` y el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` se asigna al campo de UDM `principal.user.attribute.labels.value`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Discovery: Service Account Self-Investigation`, el campo de registro `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Evasion: Access from Anonymizing Proxy`, el campo de registro `sourceProperties.properties.changeFromBadIp.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.userEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak` o `Initial Access: Government Based Attack` o `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled` o `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de registro `sourceProperties.properties.principalEmail` se asigna al campo de registro `principal.user.email_addresses` de UDM. Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de registro `sourceProperties.properties.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`access.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization` o `Persistence: New Geography`, el campo de registro `access.principalEmail` se asigna al campo de UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography`, el campo de registro `sourceProperties.properties.anomalousLocation.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.vpcViolation.userEmail` se asigna al campo `principal.user.email_addresses` de UDM.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Two Step Verification Disabled` o `Persistence: SSO Enablement Toggle`, el campo de registro `sourceProperties.properties.ssoState` se asigna al campo de UDM `principal.user.user_authentication_status`.
`database.userName`	`principal.user.userid`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.userName` se asigna al campo `principal.user.userid` de UDM.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.threatIntelligenceSource` se asigna al campo `security_result.about.application` de UDM.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.sourceIp` se asigna al campo `security_result.about.ip` de UDM.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` se asigna al campo `security_result.about.resource.name` de UDM. Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.restrictedResources.resourceName` se asigna al campo `security_result.about.resource.name` de UDM y el campo `security_result.about.resource_type` de UDM se establece en `CLOUD_PROJECT`.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.allowedServices.serviceName` se asigna al campo `security_result.about.resource.name` de UDM y el campo `security_result.about.resource_type` de UDM se establece en `BACKEND_SERVICE`.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.restrictedServices.serviceName` se asigna al campo `security_result.about.resource.name` de UDM y el campo `security_result.about.resource_type` de UDM se establece en `BACKEND_SERVICE`.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.delta.accessLevels.policyName` se asigna al campo `security_result.about.resource.name` de UDM y el campo `security_result.about.resource_type` de UDM se establece en `ACCESS_POLICY`.
	`security_result.about.user.attribute.roles.name`	Si el valor del campo de registro `message` coincide con la regex `contacts.?security`, el campo `security_result.about.user.attribute.roles.name` de UDM se establece en `security`. Si el valor del campo de registro `message` coincide con la regex `contacts.?technical`, el campo `security_result.about.user.attribute.roles.name` de UDM se establece en `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo `security_result.action` de UDM se establece en `BLOCK`. Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, si el valor del campo de registro `sourceProperties.properties.attempts.authResult` es igual a `SUCCESS`, el campo `security_result.action` de UDM se establece en `BLOCK`. De lo contrario, el campo `security_result.action` de UDM se establece en `BLOCK`.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.restrictedResources.action` se asigna al campo `security_result.action_details` de UDM.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.restrictedServices.action` se asigna al campo `security_result.action_details` de UDM.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.allowedServices.action` se asigna al campo `security_result.action_details` de UDM.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.delta.accessLevels.action` se asigna al campo `security_result.action_details` de UDM.
	`security_result.alert_state`	Si el valor del campo de registro `state` es igual a `ACTIVE`, el campo `security_result.alert_state` de UDM se establece en `ALERTING`. De lo contrario, el campo `security_result.alert_state` de UDM se establece en `NOT_ALERTING`.
`findingClass`	`security_result.catgory_details`	El campo de registro `findingClass - category` se asigna al campo `security_result.catgory_details` de UDM.
`category`	`security_result.catgory_details`	El campo de registro `findingClass - category` se asigna al campo `security_result.catgory_details` de UDM.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteInitiator` se asigna al campo `security_result.detection_fields.value` de UDM.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteUpdateTimer` se asigna al campo `security_result.detection_fields.value` de UDM.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Si el valor del campo de registro `category` es igual a `Persistence: New User Agent`, el campo de registro `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.authResult` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.customer_industry` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.customer_name` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.lasthit` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.myVote` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.support_id` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.tag_name` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.upVotes` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.downVotes` se asigna al campo `security_result.detection_fields.value` de UDM.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization` o `Initial Access: Log4j Compromise Attempt` o `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP` o `Persistence: IAM Anomalous Grant`, entonces el campo de UDM `security_result.detection_fields.key` se establece en `sourceProperties_contextUris_relatedFindingUri_url` y el campo de registro `sourceProperties.contextUris.relatedFindingUri.url` se asigna al campo `metadata.url_back_to_product` de UDM.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key` y el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack` o `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled` o `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.contextUris.workspacesUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key` y el campo de registro `sourceProperties.contextUris.workspacesUri.url` se asigna al campo `security_result.detection_fields.key/value` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` se asigna al campo `intermediary.labels.key` de UDM.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.tags.description` se asigna al campo `intermediary.labels.value` de UDM.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, el campo de registro `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` se asigna al campo `security_result.detection_fields.value` de UDM.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `HIGH`, el campo de UDM `security_result.priority` se establece en `HIGH_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `MEDIUM`, el campo `security_result.priority` de UDM se establece en `MEDIUM_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `LOW`, el campo `security_result.priority` de UDM se establece en `LOW_PRIORITY`.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Exfiltration`, el campo de registro `sourceProperties.properties.vpcViolation.violationReason` se asigna al campo `security_result.summary` de UDM.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.query` se asigna al campo `src.process.command_line` de UDM.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.folders.resourceFolderDisplayName` se asigna al campo `src.resource_ancestors.attribute.labels.value` de UDM.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentDisplayName` se asigna al campo `src.resource_ancestors.attribute.labels.value` de UDM.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentName` se asigna al campo `src.resource_ancestors.attribute.labels.value` de UDM.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.projectDisplayName` se asigna al campo `src.resource_ancestors.attribute.labels.value` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` se asigna al campo `src.resource_ancestors.attribute.labels.value` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` se asigna al campo `src.resource_ancestors.attribute.labels.value` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` se asigna al campo `src.resource_ancestors.attribute.labels.value` de UDM.
`parent`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `parent` se asigna al campo de UDM `src.resource_ancestors.name`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` se asigna al campo `src.resource_ancestors.name` de UDM y el campo `src.resource_ancestors.resource_type` de UDM se establece en `TABLE`.
`resourceName`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `resourceName` se asigna al campo `src.resource_ancestors.name` de UDM.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.folders.resourceFolder` se asigna al campo `src.resource_ancestors.name` de UDM.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.sourceId.customerOrganizationNumber` se asigna al campo de UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.sourceId.projectNumber` se asigna al campo de UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.sourceId.organizationNumber` se asigna al campo de UDM `src.resource_ancestors.product_object_id`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.type` se asigna al campo `src.resource_ancestors.resource_subtype` de UDM.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.displayName` se asigna al campo `src.resource.attribute.labels.value` de UDM.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de UDM `src.resource.attribute.labels.key` se establece en `grantees` y el campo de registro `database.grantees` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.displayName` se asigna al campo `src.resource.attribute.labels.value` de UDM.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.display_name` se asigna al campo `src.resource.attribute.labels.value` de UDM.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` se asigna al campo `src.resource.attribute.labels.value` de UDM.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.projectId` se asigna al campo `src.resource.attribute.labels.value` de UDM.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` se asigna al campo `src.resource.attribute.labels.value` de UDM.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.backupId` se asigna al campo `src.resource.attribute.labels.value` de UDM.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `src.resource.attribute.labels.key/value` se asigna al campo `src.resource.attribute.labels.value` de UDM.
`resourceName`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.sources.name` se asigna al campo de UDM `src.resource.name` y el campo de registro `resourceName` se asigna al campo `src.resource_ancestors.name` de UDM.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` se asigna al campo `src.resource.name` de UDM y el campo `src.resource.resource_subtype` de UDM se establece en `CloudSQL`.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Restore Backup to External Organization`, el campo de registro `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` se asigna al campo de UDM `src.resource.name` y el campo de UDM `src.resource.resource_subtype` se establece en `CloudSQL`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` se asigna al campo de UDM `src.resource.name` y el campo de UDM `src.resource.resource_subtype` se establece en `CloudSQL`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `exfiltration.sources.name` se asigna al campo de UDM `src.resource.name` y el campo de registro `resourceName` se asigna al campo `src.resource_ancestors.name` de UDM.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.sourceTable.tableId` se asigna al campo `src.resource.product_object_id` de UDM.
`access.serviceName`	`target.application`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `access.serviceName` se asigna al campo de UDM `target.application`.
`sourceProperties.properties.serviceName`	`target.application`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack` o `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled`, `Impair Defenses: Two Step Verification Disabled`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.serviceName` se asigna al campo de UDM `target.application`.
`sourceProperties.properties.domainName`	`target.domain.name`	Si el valor del campo de registro `category` es igual a `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.domainName` se asigna al campo `target.domain.name` de UDM.
`sourceProperties.properties.domains.0`	`target.domain.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.domains.0` se asigna al campo de UDM `target.domain.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` se asigna al campo `target.group.attribute.labels.key/value` de UDM.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` se asigna al campo `target.group.attribute.labels.key/value` de UDM.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` se asigna al campo `target.group.attribute.labels.key/value` de UDM.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` se asigna al campo `target.group.attribute.labels.key/value` de UDM.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` se asigna al campo `target.group.attribute.permissions.name` de UDM.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.customRoleSensitivePermissions.permissions` se asigna al campo `target.group.attribute.permissions.name` de UDM.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` se asigna al campo `target.group.attribute.roles.name` de UDM.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` se asigna al campo `target.group.attribute.roles.name` de UDM.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` se asigna al campo `target.group.attribute.roles.name` de UDM.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` se asigna al campo `target.group.attribute.roles.name` de UDM.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Si el valor del campo de registro `category` es igual a `Persistence: IAM Anomalous Grant`, el campo de registro `sourceProperties.properties.customRoleSensitivePermissions.roleName` se asigna al campo `target.group.attribute.roles.name` de UDM.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` se asigna al campo `target.group.group_display_name` de UDM.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` se asigna al campo `target.group.group_display_name` de UDM.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Si el valor del campo de registro `category` es igual a `Credential Access: Sensitive Role Granted To Hybrid Group`, el campo de registro `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` se asigna al campo `target.group.group_display_name` de UDM.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.destIp` se asigna al campo de UDM `target.ip`.
`access.methodName`	`target.labels.key/value [access_methodName]`
`processes.argumentsTruncated`	`target.labels.key/value [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels.key/value [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels.key/value [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels.key/value [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels.key/value [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels.key/value [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels.key/value [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels.key/value [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels.key/value [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels.key/value [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels.key/value [processes_script_contents]`
`processes.script.hashedSize`	`target.labels.key/value [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels.key/value [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels.key/value [sourceProperties_properties_methodName]`	Si el valor del campo de registro `category` es igual a `Impair Defenses: Strong Authentication Disabled`, `Initial Access: Government Based Attack`, `Initial Access: Suspicious Login Blocked`, `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.properties.methodName` se asigna al campo de UDM `target.labels.value`.
`sourceProperties.properties.network.location`	`target.location.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad IP`, `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, el campo de registro `sourceProperties.properties.network.location` se asigna al campo de UDM `target.location.name`.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Outgoing DoS`, el campo de registro `sourceProperties.properties.ipConnection.destPort` se asigna al campo `target.port` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.query` se asigna al campo `target.process.command_line` de UDM.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	El campo de registro `containers.labels.name` se asigna al campo de UDM `target.resource_ancestors.attribute.labels.key` y el campo de registro `containers.labels.value` se asigna al campo `target.resource_ancestors.attribute.labels.value` de UDM.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.destVpc.projectId` se asigna al campo `target.resource_ancestors.attribute.labels.value` de UDM.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Si el valor del campo de registro `category` es igual a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, el campo de registro `sourceProperties.properties.destVpc.subnetworkName` se asigna al campo `target.resource_ancestors.attribute.labels.value` de UDM.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.network.subnetworkName` se asigna al campo `target.resource_ancestors.value` de UDM.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Si el valor del campo de registro `category` es igual a `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.properties.network.subnetworkId` se asigna al campo `target.resource_ancestors.value` de UDM.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	<ph-1 campo-1_la <br-2-12 <br-2-12-lo <br-2-11-la------------ Los- B3--%2‐1<br-12‐1<br class-2-1&br&br==%&br&#=%`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	<ph-1 campo-1_la <br-2-12 <br-2-12-lo <br-2-11-la------------ Los- B3--%2‐1<br-12‐1<br class-2-1&br&br==%&br&#=%`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	<ph-1 campo-1_la <br-2-12 <br-2-12-lo <br-2-11-la------------ Los- B3--%2‐1<br-12‐1<br class-2-1&br&br==%&br&#=%`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`resourceName`	`target.resource_ancestors.name`	<ph-1 campo-1_la <br-2-12 <br-2-12-lo <br-2-11-la------------ Los- B3--%2‐1<br-12‐1<br class-2-1&br&br==%&br&#=%`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	<ph-1 campo-1_la <br-2-12 <br-2-12-lo <br-2-11-la------------ Los- B3--%2‐1<br-12‐1<br class-2-1&br&br==%&br&#=%`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	<ph-1 campo-1_la <br-2-12 <br-2-12-lo <br-2-11-la------------ Los- B3--%2‐1<br-12‐1<br class-2-1&br&br==%&br&#=%`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`parent`	`target.resource_ancestors.name`	<ph-1 campo-1_la <br-2-12 <br-2-12-lo <br-2-11-la------------ Los- B3--%2‐1<br-12‐1<br class-2-1&br&br==%&br&#=%`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	<ph-1 campo-1_la <br-2-12 <br-2-12-lo <br-2-11-la------------ Los- B3--%2‐1<br-12‐1<br class-2-1&br&br==%&br&#=%`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`containers.name`	`target.resource_ancestors.name`	<ph-1 campo-1_la <br-2-12 <br-2-12-lo <br-2-11-la------------ Los- B3--%2‐1<br-12‐1<br class-2-1&br&br==%&br&#=%`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de registro `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` se asigna al campo `target.resource_ancestors.name` de UDM.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Credential Access: Privileged Group Opened To Public`, el campo de registro `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` se asigna al campo `target.resource_ancestors.name` de UDM.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	<ph-1 campo-1_la <br-2-12 <br-2-12-lo <br-2-11-la------------ Los- B3--%2‐1<br-12‐1<br class-2-1&br&br==%&br&#=%`categorycategorycategorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad DomainMalware: Bad DomainConfigurable Bad DomainsourceProperties.properties.destVpc.vpcNametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.namesourceProperties.properties.vpc.vpcNametarget.resource_ancestors.resource_typetarget.resource_ancestors.resource_typeVPC_NETWORK` `Active Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike`
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de registro `sourceProperties.properties.gceInstanceId` se asigna al campo de UDM `target.resource_ancestors.product_object_id` y el campo `target.resource_ancestors.resource_type` de UDM se establece en `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, el campo de UDM `target.resource_ancestors.resource_type` se establece en `VIRTUAL_MACHINE`.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.zone` se asigna al campo `target.resource.attribute.cloud.availability_zone` de UDM.
`canonicalName`	`metadata.product_log_id`	`finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo `metadata.product_log_id` de UDM.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo `src.resource.attribute.labels.key/value [finding_id]` de UDM. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, entonces `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo `src.resource.product_object_id` de UDM. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, entonces `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo `src.resource.attribute.labels.key/value [source_id]` de UDM. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, entonces `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo `target.resource.attribute.labels.key/value [finding_id]` de UDM. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo `target.resource.product_object_id` de UDM. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo `target.resource.attribute.labels.key/value [source_id]` de UDM. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` se asigna al campo `target.resource.attribute.labels.value` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` se asigna al campo `target.resource.attribute.labels.value` de UDM.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` se asigna al campo `target.resource.attribute.labels.value` de UDM.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de UDM `target.resource.attribute.labels.key` se establece en `exportScope` y el campo de registro `sourceProperties.properties.exportToGcs.exportScope` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.objectName` se asigna al campo `target.resource.attribute.labels.value` de UDM.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.originalUri` se asigna al campo `target.resource.attribute.labels.value` de UDM.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.metadataKeyOperation` se asigna al campo `target.resource.attribute.labels.key/value` de UDM.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `exfiltration.targets.components` se asigna al campo `target.resource.attribute.labels.key/value` de UDM.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.bucketAccess` se asigna al campo `target.resource.attribute.permissions.name` de UDM.
`sourceProperties.properties.name`	`target.resource.name`	<ph-2_lo <br <br <br class-2 log-2 class="4 class-2 auto-4 class="4 class-2 auto-2_name`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	<ph-2_lo <br <br <br class-2 log-2 class="4 class-2 auto-4 class="4 class-2 auto-2_name`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	<ph-2_lo <br <br <br class-2 log-2 class="4 class-2 auto-4 class="4 class-2 auto-2_name`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`resourceName`	`target.resource.name`	<ph-2_lo <br <br <br class-2 log-2 class="4 class-2 auto-4 class="4 class-2 auto-2_name`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	<ph-2_lo <br <br <br class-2 log-2 class="4 class-2 auto-4 class="4 class-2 auto-2_name`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.instanceDetails`	`target.resource.name`	<ph-2_lo <br <br <br class-2 log-2 class="4 class-2 auto-4 class="4 class-2 auto-2_name`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	<ph-2_lo <br <br <br class-2 log-2 class="4 class-2 auto-4 class="4 class-2 auto-2_name`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	<ph-2_lo <br <br <br class-2 log-2 class="4 class-2 auto-4 class="4 class-2 auto-2_name`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`exfiltration.targets.name`	`target.resource.name`	<ph-2_lo <br <br <br class-2 log-2 class="4 class-2 auto-4 class="4 class-2 auto-2_name`categorycategorycategorycategorycategorycategorycategoryDefense Evasion: Modify VPC Service ControlsourceProperties.properties.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.name` `Exfiltration: CloudSQL Data ExfiltrationsourceProperties.properties.exportToGcs.bucketResourceExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE`
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.instanceId` se asigna al campo `target.resource.product_object_id` de UDM.
`kubernetes.pods.containers.imageId`	`target.resource.product_object_id`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionName` se asigna al campo `target.resource.resource_subtype` de UDM. De lo contrario, si el valor del campo de registro `category` es igual a `Credential Access: External Member Added To Privileged Group`, el campo de UDM `target.resource.resource_subtype` se establece en `Privileged Group`. De lo contrario, si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration`, entonces el campo `target.resource.resource_subtype` de UDM se establece en `BigQuery`.
	`target.resource.resource_type`	Si el valor del campo de registro `sourceProperties.properties.extractionAttempt.destinations.collectionType` coincide con la regex `BUCKET`, entonces el campo `target.resource.resource_type` de UDM se establece en `STORAGE_BUCKET`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo `target.resource.resource_type` de UDM se establece en `VIRTUAL_MACHINE`. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, entonces el campo `target.resource.resource_type` de UDM se establece en `VIRTUAL_MACHINE`, De lo contrario, el campo de registro `category` es .`target.resource.resource_typeExfiltration: BigQuery Data ExfiltrationTABLE`
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `sourceProperties.properties.extractionAttempt.jobLink` se asigna al campo `target.url` de UDM. Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, el campo de registro `sourceProperties.properties.extractionAttempt.jobLink` se asigna al campo `target.url` de UDM.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration`, el campo de registro `sourceProperties.properties.exportToGcs.gcsUri` se asigna al campo `target.url` de UDM.
`sourceProperties.properties.requestUrl`	`target.url`	Si el valor del campo de registro `category` es igual a `Initial Access: Log4j Compromise Attempt`, el campo de registro `sourceProperties.properties.requestUrl` se asigna al campo `target.url` de UDM.
`sourceProperties.properties.policyLink`	`target.url`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, el campo de registro `sourceProperties.properties.policyLink` se asigna al campo `target.url` de UDM.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Si el valor del campo de registro `category` es igual a `Persistence: New Geography`, el campo de registro `sourceProperties.properties.anomalousLocation.notSeenInLast` se asigna al campo `target.user.attribute.labels.value` de UDM.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.attempts.username` se asigna al campo `target.user.userid` de UDM. Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de registro `userid` se asigna al campo `target.user.userid` de UDM.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Si el valor del campo de registro `category` es igual a `Initial Access: Suspicious Login Blocked`, el campo de registro `userid` se asigna al campo `target.user.userid` de UDM.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels.key/value [Environment_Variables_name]`
	`target.labels.key/value [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels.key/value [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels.key/value [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Added Binary Executed` o `Added Library Loaded`, el campo de registro `sourceProperties.VM_Instance_Name` se asigna al campo de UDM `target.resource_ancestors.name` y el campo `target.resource_ancestors.resource_type` de UDM se establece en `VIRTUAL_MACHINE`.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Increasing Deny Ratio`, `Allowed Traffic Spike` o `Application DDoS Attack Attempt`, el campo de registro `sourceProperties.Backend_Service` se asigna al campo de UDM `target.resource.name` y el campo de registro `resourceName` se asigna al campo `target.resource_ancestors.name` de UDM.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Si el valor del campo de registro `category` es igual a `Increasing Deny Ratio`, `Allowed Traffic Spike` o `Application DDoS Attack Attempt`, el campo `target.resource.resource_type` de UDM se establece en `BACKEND_SERVICE`. Si el valor del campo de registro `category` es igual a `Configurable Bad Domain`, el campo de UDM `target.resource.resource_type` se establece en `VIRTUAL_MACHINE`.
	`is_alert`	Si el valor del campo de registro `state` es igual a `ACTIVE`, entonces, si el valor del campo `mute_is_not_present` no es igual a verdadero y (el valor del campo de registro `mute` es igual a `UNMUTED` o el valor del campo de registro `mute` es igual a `UNDEFINED`), el campo de UDM `is_alert` se establece en `true` más y el campo de UDM `is_alert` se establece en `false`.
	`is_significant`	Si el valor del campo de registro `state` es igual a `ACTIVE`, entonces, si el valor del campo `mute_is_not_present` no es igual a verdadero y (el valor del campo de registro `mute` es igual a `UNMUTED` o el valor del campo de registro `mute` es igual a `UNDEFINED`), el campo de UDM `is_significant` se establece en `true` más y el campo de UDM `is_significant` se establece en `false`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : Se extrajo `user_id` del campo de registro `sourceProperties.properties.sensitiveRoleGrant.principalEmail`; luego, el campo `user_id` se asigna al campo `principal.user.userid` de UDM.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : Se extrajo `user_id` del campo de registro `sourceProperties.properties.customRoleSensitivePermissions.principalEmail`; luego, el campo `user_id` se asigna al campo `principal.user.userid` de UDM.
`resourceName`	`principal.asset.location.name`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, Grok : extraídos `project_name`, `region`, `zone_suffix` y `asset_prod_obj_id` del campo de registro `resourceName`, el campo de registro `region` se asigna al campo de UDM `principal.asset.location.name`.
`resourceName`	`principal.asset.product_object_id`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, Grok : extraídos `project_name`, `region`, `zone_suffix` y `asset_prod_obj_id` del campo de registro `resourceName`, entonces el campo de registro `asset_prod_obj_id` se asigna al campo de UDM `principal.asset.product_object_id`.
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, Grok : extraídos `project_name`, `region`, `zone_suffix` y `asset_prod_obj_id` del campo de registro `resourceName`, el campo de registro `zone_suffix` se asigna al campo de UDM `principal.asset.attribute.cloud.availability_zone`.
`resourceName`	`principal.asset.attribute.labels[project_name]`	Si el valor del campo de registro `parentDisplayName` es igual a `Virtual Machine Threat Detection`, Grok : extraídos `project_name`, `region`, `zone_suffix` y `asset_prod_obj_id` del campo de registro `resourceName`, el campo de registro `project_name` se asigna al campo de UDM `principal.asset.attribute.labels.value`.
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.methodName` se asigna al campo `target.labels` de UDM.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.serviceName` se asigna al campo `target.labels` de UDM.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.attemptTimes` se asigna al campo `target.labels` de UDM.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Si el valor del campo de registro `category` es igual a `Initial Access: Excessive Permission Denied Actions`, el campo de registro `sourceProperties.properties.failedActions.lastOccurredTime` se asigna al campo `target.labels` de UDM.

Referencia de asignación de campos: identificador de evento para tipo de evento

Identificador de evento	Tipo de evento	Categoría de seguridad
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLOTACIÓN
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLOTACIÓN
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

Las siguientes tablas contienen tipos de eventos de UDM y asignaciones de campos de UDM para las clases de hallazgos VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED y POSTURE_VIOLATION.

De categoría de VULNERABILITY al tipo de evento de UDM

En la siguiente tabla, se indica la categoría VULNERABILITY y sus tipos de eventos de UDM correspondientes.

Identificador de evento	Tipo de evento	Categoría de seguridad
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLOTACIÓN
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`

Categoría MISCONFIGURATION con el tipo de evento de UDM

En la siguiente tabla, se enumera la categoría MISCONFIGURATION y sus tipos de eventos de UDM correspondientes.

Identificador de evento	Tipo de evento
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
OPEN_SMTP_PORT	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

Categoría de OBSERVACIÓN como tipo de evento de UDM

En la siguiente tabla, se indica la categoría OBSERVACIÓN y sus tipos de eventos de UDM correspondientes.

Identificador de evento	Tipo de evento
Persistencia: Se agregó la clave SSH del proyecto	SETTING_MODIFICATION
Persistencia: Agregar rol sensible	RESOURCE_PERMISSIONS_CHANGE
Impacto: Se creó la instancia de GPU	USER_RESOURCE_CREATION
Impacto: se crearon muchas instancias	USER_RESOURCE_CREATION

De la categoría ERROR a tipo de evento de UDM

En la siguiente tabla, se indica la categoría ERROR y sus tipos de eventos de UDM correspondientes.

Identificador de evento	Tipo de evento
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

De categoría UNSPECIFIED a tipo de evento de UDM

En la siguiente tabla, se indica la categoría UNSPECIFIED y sus tipos de eventos de UDM correspondientes.

Identificador de evento	Tipo de evento	Categoría de seguridad
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

De la categoría POSTURE_VIOLATION al tipo de evento de UDM

La siguiente tabla incluye la categoría POSTURE_VIOLATION y sus tipos de eventos de UDM correspondientes.

Identificador de evento	Tipo de evento
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Referencia de asignación de campos: VULNERABILITY

En la siguiente tabla, se indican los campos de registro de la categoría VULNERABILITY y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM	Lógica
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [sourceProperties_name]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
category	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	Se extrajo `region` de `resourceName` con un patrón Grok y se asignó al campo `principal.asset.location.name` de UDM.
resourceName	principal.asset.product_object_id	Se extrajo `asset_prod_obj_id` de `resourceName` con un patrón Grok y se asignó al campo `principal.asset.product_object_id` de UDM.
resourceName	principal.asset.attribute.cloud.availability_zone	Se extrajo `zone_suffix` de `resourceName` con un patrón Grok y se asignó al campo `principal.asset.attribute.cloud.availability_zone` de UDM.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Referencia de asignación de campos: MISCONFIGURATION

En la siguiente tabla, se enumeran los campos de registro de la categoría MISCONFIGURATION y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Referencia de asignación de campos: OBSERVATION

La siguiente tabla enumera los campos de registro de la categoría OBSERVACIÓN y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

Referencia de asignación de campos: ERROR

En la siguiente tabla, se enumeran los campos de registro de la categoría ERROR y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referencia de asignación de campos: UNSPECIFIED

En la siguiente tabla, se indican los campos de registro de la categoría UNSPECIFIED y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Referencia de asignación de campos: POSTURE_VIOLATION

La siguiente tabla enumera los campos de registro de la categoría POSTURE_VIOLATION y sus campos de UDM correspondientes.

Campo de registro	Asignación de UDM	Lógica
`finding.resourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `finding.resourceName` no está vacío, el campo de registro `finding.resourceName` se asigna al campo `target.resource.name` de UDM. El campo `project_name` se extrae del campo de registro `finding.resourceName` con el patrón Grok. Si el valor del campo `project_name` no está vacío, el campo `project_name` se asigna al campo `target.resource_ancestors.name` de UDM.
`resourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `resourceName` no está vacío, el campo de registro `resourceName` se asigna al campo `target.resource.name` de UDM. El campo `project_name` se extrae del campo de registro `resourceName` con el patrón Grok. Si el valor del campo `project_name` no está vacío, el campo `project_name` se asigna al campo `target.resource_ancestors.name` de UDM.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Si el valor del campo de registro `finding.cloudProvider` contiene uno de los siguientes valores, el campo de registro `finding.cloudProvider` se asigna al campo `about.resource.attribute.cloud.environment` de UDM. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`cloudProvider`	`about.resource.attribute.cloud.environment`	Si el valor del campo de registro `cloudProvider` contiene uno de los siguientes valores, el campo de registro `cloudProvider` se asigna al campo `about.resource.attribute.cloud.environment` de UDM. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Si el valor del campo de registro `resource.cloudProvider` contiene uno de los siguientes valores, el campo de registro `resource.cloudProvider` se asigna al campo `target.resource.attribute.cloud.environment` de UDM. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES` .
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Campos comunes: SECURITY Command CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

En la siguiente tabla, se enumeran los campos comunes del CENTRO DE COMANDOS DE SEGURIDAD: las categorías VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION y sus campos de UDM correspondientes.

Campo RawLog	Asignación de UDM	Lógica
`compliances.ids`	`about.labels.key/value [compliance_ids]`
`compliances.version`	`about.labels.key/value [compliance_version]`
`compliances.standard`	`about.labels.key/value [compliances_standard]`
`connections.destinationIp`	`about.labels[connections_destination_ip]`	Si el valor del campo de registro `connections.destinationIp` no es igual a `sourceProperties.properties.ipConnection.destIp`, el campo de registro `connections.destinationIp` se asigna al campo `about.labels.value` de UDM.
`connections.destinationPort`	`about.labels[connections_destination_port]`
`connections.protocol`	`about.labels[connections_protocol]`
`connections.sourceIp`	`about.labels[connections_source_ip]`
`connections.sourcePort`	`about.labels[connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	El campo `target.resource_ancestors.resource_type` de UDM se establece en `CLUSTER`.
	`about.resource.attribute.cloud.environment`	El campo `about.resource.attribute.cloud.environment` de UDM se establece en `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Si el valor del campo de registro `canonicalName` no está vacío, `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo de UDM `metadata.product_log_id`. Si el valor del campo de registro `canonicalName` está vacío, el campo de registro `sourceProperties.evidence.sourceLogId.insertId` se asigna al campo de registro `metadata.product_log_id` de UDM.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Si el valor del campo de registro `message` coincide con la regex `sourceProperties.sourceId.*?customerOrganizationNumber`, el campo de registro `sourceProperties.sourceId.customerOrganizationNumber` se asigna al campo `principal.resource.attribute.labels.value` de UDM.
`resource.projectName`	`principal.resource.name`
	`principal.user.account_type`	Si el valor del campo de registro `access.principalSubject` coincide con la regex `serviceAccount`, el campo `principal.user.account_type` de UDM se establece en `SERVICE_ACCOUNT_TYPE`. De lo contrario, si el valor del campo de registro `access.principalSubject` coincide con la regex `user`, el campo `principal.user.account_type` de UDM se establece en `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Si el valor del campo de registro `message` coincide con la regex `contacts.?security`, el campo `security_result.about.user.attribute.roles.name` de UDM se establece en `security`. Si el valor del campo de registro `message` coincide con la regex `contacts.?technical`, el campo `security_result.about.user.attribute.roles.name` de UDM se establece en `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Si el valor del campo de registro `state` es igual a `ACTIVE`, el campo `security_result.alert_state` de UDM se establece en `ALERTING`. De lo contrario, el campo `security_result.alert_state` de UDM se establece en `NOT_ALERTING`.
`findingClass, category`	`security_result.catgory_details`	El campo de registro `findingClass - category` se asigna al campo `security_result.catgory_details` de UDM.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteInitiator` se asigna al campo `security_result.detection_fields.value` de UDM.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Si el valor del campo de registro `mute` es igual a `MUTED` o `UNMUTED`, el campo de registro `muteUpdateTimer` se asigna al campo `security_result.detection_fields.value` de UDM.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Si el valor del campo de registro `category` es igual a `Active Scan: Log4j Vulnerable to RCE`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Over-Privileged Grant`, `Exfiltration: CloudSQL Restore Backup to External Organization` o `Initial Access: Log4j Compromise Attempt` o `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP` o `Persistence: IAM Anomalous Grant`, entonces el campo de UDM `security_result.detection_fields.key` se establece en `sourceProperties_contextUris_relatedFindingUri_url` y el campo de registro `sourceProperties.contextUris.relatedFindingUri.url` se asigna al campo `metadata.url_back_to_product` de UDM.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP`, `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP`, el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key` y el campo de registro `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` se asigna al campo de UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Si el valor del campo de registro `category` es igual a `Initial Access: Account Disabled Hijacked`, `Initial Access: Disabled Password Leak`, `Initial Access: Government Based Attack` o `Initial Access: Suspicious Login Blocked`, `Impair Defenses: Strong Authentication Disabled` o `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, el campo de registro `sourceProperties.contextUris.workspacesUri.displayName` se asigna al campo de UDM `security_result.detection_fields.key` y el campo de registro `sourceProperties.contextUris.workspacesUri.url` se asigna al campo `security_result.detection_fields.value` de UDM.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `HIGH`, el campo de UDM `security_result.priority` se establece en `HIGH_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `MEDIUM`, el campo `security_result.priority` de UDM se establece en `MEDIUM_PRIORITY`. De lo contrario, si el valor del campo de registro `sourceProperties.detectionPriority` es igual a `LOW`, el campo `security_result.priority` de UDM se establece en `LOW_PRIORITY`.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.query` se asigna al campo `src.process.command_line` de UDM. De lo contrario, el campo de registro `database.query` se asigna al campo `target.process.command_line` de UDM.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.folders.resourceFolderDisplayName` se asigna al campo `src.resource_ancestors.attribute.labels.value` de UDM. De lo contrario, el campo de registro `resource.folders.resourceFolderDisplayName` se asigna al campo `target.resource.attribute.labels.value` de UDM.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentDisplayName` se asigna al campo `src.resource_ancestors.attribute.labels.key/value` de UDM. De lo contrario, el campo de registro `resource.parentDisplayName` se asigna al campo `target.resource.attribute.labels.value` de UDM.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.parentName` se asigna al campo `src.resource_ancestors.attribute.labels.key/value` de UDM. De lo contrario, el campo de registro `resource.parentName` se asigna al campo `target.resource.attribute.labels.value` de UDM.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.projectDisplayName` se asigna al campo `src.resource_ancestors.attribute.labels.key/value` de UDM. De lo contrario, el campo de registro `resource.projectDisplayName` se asigna al campo `target.resource.attribute.labels.value` de UDM.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.type` se asigna al campo `src.resource_ancestors.resource_subtype` de UDM.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de registro `database.displayName` se asigna al campo `src.resource.attribute.labels.value` de UDM.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Over-Privileged Grant`, el campo de UDM `src.resource.attribute.labels.key` se establece en `grantees` y el campo de registro `database.grantees` se asigna al campo de UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.displayName` se asigna al campo `src.resource.attribute.labels.value` de UDM. De lo contrario, el campo de registro `resource.displayName` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.display_name` se asigna al campo `src.resource.attribute.labels.value` de UDM. De lo contrario, el campo de registro `resource.display_name` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.type` se asigna al campo `src.resource_ancestors.resource_subtype` de UDM.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.displayName` se asigna al campo `src.resource.attribute.labels.value` de UDM. De lo contrario, el campo de registro `resource.displayName` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, el campo de registro `resource.display_name` se asigna al campo `src.resource.attribute.labels.value` de UDM. De lo contrario, el campo de registro `resource.display_name` se asigna al campo de UDM `target.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `exfiltration.sources.components` se asigna al campo `src.resource.attribute.labels.value` de UDM.
`resourceName`	`src.resource.name`	Si el valor del campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, el campo de registro `resourceName` se asigna al campo de UDM `src.resource.name`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Si el valor del campo de registro `category` es igual a `Defense Evasion: Modify VPC Service Control`, `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: CloudSQL Data Exfiltration`, `Exfiltration: CloudSQL Restore Backup to External Organization`, `Exfiltration: CloudSQL Over-Privileged Grant`, `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, el campo de registro `access.serviceName` se asigna al campo de UDM `target.application`.
`access.methodName`	`target.labels.key/value [access_methodName]`
`processes.argumentsTruncated`	`target.labels.key/value [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels.key/value [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels.key/value [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels.key/value [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels.key/value [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels.key/value [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels.key/value [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels.key/value [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels.key/value [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels.key/value [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels.key/value [processes_script_contents]`
`processes.script.hashedSize`	`target.labels.key/value [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels.key/value [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Si el valor del campo de registro `category` es igual a `Malware: Bad Domain`, `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, el campo de registro `resourceName` se asigna al campo de UDM `target.resource_ancestors.name`. De lo contrario, si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `resourceName` se asigna al campo de registro `target.resource_ancestors.name` de UDM. De lo contrario, si el valor del campo de registro `category` es igual a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, el campo de registro `sourceProperties.properties.projectId` se asigna al campo de registro `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, el campo de registro `sourceProperties.properties.zone` se asigna al campo `target.resource.attribute.cloud.availability_zone` de UDM.
`canonicalName`	`metadata.product_log_id`	`finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok. Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo `metadata.product_log_id` de UDM.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo `src.resource.attribute.labels.key/value [finding_id]` de UDM. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, entonces `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo `src.resource.product_object_id` de UDM. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, entonces `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo `src.resource.attribute.labels.key/value [source_id]` de UDM. Si el valor del campo de registro `category` es igual a uno de los siguientes valores, entonces `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Si el valor del campo de registro `finding_id` no está vacío, el campo de registro `finding_id` se asigna al campo `target.resource.attribute.labels.key/value [finding_id]` de UDM. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `finding_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo `target.resource.product_object_id` de UDM. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Si el valor del campo de registro `source_id` no está vacío, el campo de registro `source_id` se asigna al campo `target.resource.attribute.labels.key/value [source_id]` de UDM. Si el valor del campo de registro `category` no es igual a ninguno de los siguientes valores, `source_id` se extrae del campo de registro `canonicalName` con un patrón Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Si el valor del campo de registro `category` es igual a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, el campo de registro `exfiltration.targets.components` se asigna al campo `target.resource.attribute.labels.key/value` de UDM.
`resourceName exfiltration.targets.name`	`target.resource.name`	Si el valor del campo de registro `category` es igual a `Brute Force: SSH`, entonces el campo de registro `resourceName` se asigna al campo `target.resource_ancestors.name` de UDM. De lo contrario, si el valor del campo de registro `category` es igual a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, entonces el campo de registro `resourceName` se asigna al campo `target.resource_ancestors.name` de UDM y el campo de registro `target.resource.resource_type` de UDM se establece en `VIRTUAL_MACHINE`. De lo contrario, el campo de registro `category` es igual a `Exfiltration: BigQuery Data Extraction` el campo lo loga `Exfiltration: BigQuery Data to Google Drive` lo loga el campo de UDM.`categoryresourceName` `exfiltration.target.nameexfiltration.target.nametarget.resource.nametarget.resource.nametarget.resource.nameExfiltration: BigQuery Data Exfiltration`
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `RegionCode`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo `principal.location.country_or_region` de UDM.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `RemoteHost`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo `principal.ip` de UDM.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `UserAgent`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo `network.http.user_agent` de UDM.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Si el valor del campo de registro `sourceProperties.Header_Signature.name` es igual a `RequestUriPath`, el campo de registro `sourceProperties.Header_Signature.significantValues.value` se asigna al campo `principal.url` de UDM.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.compromised_account` se asigna al campo `principal.user.userid` de UDM y el campo `principal.user.account_type` de UDM se establece en `SERVICE_ACCOUNT_TYPE`.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.project_identifier` se asigna al campo `principal.resource.product_object_id` de UDM
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.private_key_identifier` se asigna al campo `principal.user.attribute.labels.value` de UDM
`sourceProperties.action_taken`	`principal.labels.key/value [action_taken]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.action_taken` se asigna al campo `principal.labels.value` de UDM
`sourceProperties.finding_type`	`principal.labels.key/value [finding_type]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.finding_type` se asigna al campo `principal.labels.value` de UDM
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.url` se asigna al campo `principal.user.attribute.labels.value` de UDM
`sourceProperties.security_result.summary`	`security_result.summary`	Si el valor del campo de registro `category` es igual a `account_has_leaked_credentials`, el campo de registro `sourceProperties.security_result.summary` se asigna al campo `security_result.summary` de UDM
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`

¿Qué sigue?

Transferencia de datos a Chronicle