Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i risultati di Security Command Center

Supportato in:

Google SecOps SIEM

Questo documento descrive come raccogliere i log di Security Command Center configurando Security Command Center e importando i risultati in Google Security Operations. Questo documento elenca anche gli eventi supportati.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations ed Esportazione dei risultati di Security Command Center in Google Security Operations. Un deployment tipico è costituito da Security Command Center e dal feed di Google Security Operations configurato per inviare i log a Google Security Operations. Ogni implementazione del cliente potrebbe essere diversa e più complessa.

Il deployment contiene i seguenti componenti:

Google Cloud: il sistema da monitorare in cui è installato Security Command Center.
Risultati di rilevamento delle minacce basate su eventi di Security Command Center: raccoglie le informazioni dall'origine dati e genera risultati.
Google Security Operations: conserva e analizza i log di Security Command Center.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser di Security Command Center con le seguenti etichette di importazione:

GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION

Configurare Security Command Center e Google Cloud per inviare i risultati a Google Security Operations

Attiva Security Command Center.
Assicurati che tutti i sistemi di cui è composto il deployment siano configurati nel fuso orario UTC.
Attiva l'importazione dei risultati di Security Command Center.

Risultati di Event Threat Detection supportati

Questa sezione elenca i risultati di Event Threat Detection supportati. Per informazioni sulle regole e sui risultati di Event Threat Detection di Security Command Center, vedi Regole di Event Threat Detection.

Nome risultato	Descrizione
Scansione attiva: Log4j vulnerabile a RCE	Rileva le vulnerabilità Log4j attive identificando le query DNS per i domini non offuscati avviate dagli scanner delle vulnerabilità Log4j supportati.
Forza bruta: SSH	Rilevamento di un attacco di forza bruta SSH riuscito su un host.
Accesso con credenziali: membro esterno aggiunto al gruppo con privilegi	Rileva quando un membro esterno viene aggiunto a un gruppo Google con privilegi (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili). Un rilevamento viene generato solo se il gruppo non contiene già altri membri esterni della stessa organizzazione del membro appena aggiunto. Per saperne di più, vedi Modifiche non sicure a Google Gruppi.
Accesso alle credenziali: gruppo con privilegi aperto al pubblico	Rileva quando un gruppo Google privilegiato (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili) viene modificato in modo da essere accessibile al pubblico in generale. Per saperne di più, vedi Modifiche non sicure a Google Gruppi.
Accesso con credenziali: ruolo sensibile concesso a un gruppo ibrido	Rileva quando i ruoli sensibili vengono concessi a un gruppo Google con membri esterni. Per saperne di più, vedi Modifiche non sicure a Google Gruppi.
Evasione della difesa: modifica del Controllo di servizio VPC	Rileva una modifica a un perimetro dei Controlli di servizio VPC esistente che potrebbe comportare una riduzione della protezione offerta dal perimetro.
Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili (anteprima)	Un utente malintenzionato ha tentato di determinare su quali oggetti sensibili in Google Kubernetes Engine (GKE) può eseguire query utilizzando il comando kubectl auth can-i get.
Discovery: auto-indagine sull'account di servizio	Rilevamento di una credenziale dell'account di servizio Identity and Access Management (IAM) utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.
Evasione: accesso da proxy con anonimizzazione	Rilevamento di modifiche ai servizi Google Cloud originate da indirizzi IP proxy anonimi, come gli indirizzi IP di Tor.
Esfiltrazione: esfiltrazione dei dati di BigQuery	Rileva i seguenti scenari: Risorse di proprietà dell'organizzazione protetta salvate all'esterno dell'organizzazione, incluse le operazioni di copia o trasferimento. Tenta di accedere alle risorse BigQuery protette da Controlli di servizio VPC.
Esfiltrazione: estrazione di dati di BigQuery	Rileva i seguenti scenari: Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite operazioni di estrazione, in un bucket Cloud Storage esterno all'organizzazione. Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite operazioni di estrazione, in un bucket Cloud Storage accessibile pubblicamente di proprietà dell'organizzazione.
Esfiltrazione: dati di BigQuery su Google Drive	Rileva i seguenti scenari: Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite operazioni di estrazione, in una cartella di Google Drive.
Esfiltrazione: esfiltrazione dei dati di Cloud SQL	Rileva i seguenti scenari: Dati delle istanze attive esportati in un bucket Cloud Storage esterno all'organizzazione. Dati delle istanze in tempo reale esportati in un bucket Cloud Storage di proprietà dell'organizzazione e accessibile pubblicamente.
Esfiltrazione: backup di ripristino Cloud SQL in un'organizzazione esterna	Rileva quando il backup di un'istanza Cloud SQL viene ripristinato in un'istanza esterna all'organizzazione.
Esfiltrazione: concessione di privilegi eccessivi per Cloud SQL SQL	Rileva quando a un utente o ruolo Cloud SQL Postgres sono stati concessi tutti i privilegi per un database o per tutte le tabelle, procedure o funzioni in uno schema.
Indebolimento difese: autenticazione avanzata disattivata	La verifica in due passaggi è stata disattivata per l'organizzazione.
Indebolimento delle difese: verifica in due passaggi disattivata	Un utente ha disattivato la verifica in due passaggi.
Accesso iniziale: account compromesso e disattivato	L'account di un utente è stato sospeso a causa di attività sospette.
Accesso iniziale: fuga di password disattivata	L'account di un utente è stato disattivato perché è stata rilevata una fuga di password.
Accesso iniziale: attacco supportato da un governo	Alcuni soggetti vicini a un governo potrebbero aver cercato di compromettere un account utente o un computer.
Accesso iniziale: tentativo di compromissione di Log4j	Rileva le ricerche JNDI (Java Naming and Directory Interface) all'interno di intestazioni o parametri URL. Queste ricerche potrebbero indicare tentativi di sfruttamento di Log4Shell. Questi risultati hanno una bassa gravità, perché indicano solo un rilevamento o un tentativo di sfruttamento, non una vulnerabilità o un compromesso.
Accesso iniziale: accesso sospetto bloccato	È stato rilevato e bloccato un accesso sospetto all'account di un utente.
Malware Log4j: dominio non valido	Rilevamento del traffico di exploit Log4j in base a una connessione o a una ricerca di un dominio noto utilizzato negli attacchi Log4j.
Malware Log4j: IP non valido	Rilevamento del traffico di exploit Log4j in base a una connessione a un indirizzo IP noto utilizzato negli attacchi Log4j.
Malware: dominio non valido	Rilevamento di malware in base a una connessione o una ricerca di un dominio con problemi noti.
Malware: IP non valido	Rilevamento di malware in base a una connessione a un indirizzo IP noto come non valido.
Malware: dominio non valido per il cryptomining	Rilevamento del cryptomining in base a una connessione a un dominio di mining di criptovalute noto o a una ricerca in questo dominio.
Malware: IP non valido per il cryptomining	Rilevamento del mining di criptovalute in base a una connessione a un indirizzo IP di mining noto.
DoS in uscita	Rilevamento di traffico Denial of Service in uscita.
Persistenza: amministratore Compute Engine ha aggiunto una chiave SSH	Rilevamento di una modifica al valore della chiave SSH dei metadati dell'istanza Compute Engine in un'istanza stabilita (più vecchia di 1 settimana).
Persistenza: l'amministratore Compute Engine ha aggiunto lo script di avvio	Rilevamento di una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine in un'istanza stabilita (più vecchia di 1 settimana).
Persistenza: concessione IAM anomala	Rilevamento dei privilegi concessi a utenti IAM e account di servizio che non sono membri dell'organizzazione. Questo rilevatore utilizza i criteri IAM esistenti di un'organizzazione come contesto. Se viene concessa una concessione IAM sensibile a un membro esterno e sono presenti meno di tre criteri IAM simili, questo rilevatore genera un risultato.
Persistenza: nuovo metodo API di anteprima	Rilevamento di un utilizzo anomalo dei servizi Google Cloud da parte degli account di servizio IAM.
Persistenza: nuova geografia	Rilevamento di account utente e di servizio IAM che accedono a Google Cloud da località anomale, in base alla geolocalizzazione degli indirizzi IP che effettuano la richiesta.
Persistenza: nuovo user agent	Rilevamento di account di servizio IAM che accedono a Google Cloud da agenti utente anomali o sospetti.
Persistenza: pulsante di attivazione/disattivazione SSO	L'impostazione Attiva SSO (Single Sign-On) nell'account amministratore è stata disattivata.
Persistenza: impostazioni SSO modificate	Le impostazioni del Single Sign-On per l'account amministratore sono state modificate.
Anteprima di escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili	Per eseguire l'escalation del privilegio, un utente malintenzionato ha tentato di modificare gli oggetti ClusterRole e ClusterRoleBinding cluster-admin utilizzando una richiesta PUT o PATCH.
Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale (anteprima)	Un utente potenzialmente malintenzionato ha creato una richiesta di firma del certificato (CSR) master di Kubernetes, che concede l'accesso con il ruolo cluster-admin.
Anteprima di Escalation dei privilegi: creazione di associazioni Kubernetes sensibili	Un utente malintenzionato ha tentato di creare nuovi oggetti RoleBinding o ClusterRoleBinding con ruolo cluster-admin per eseguire l'escalation del privilegio.
Anteprima di Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesse	Un utente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando kubectl utilizzando credenziali di bootstrap compromesse.
Escalation dei privilegi: avvia un container Kubernetes con privilegi (anteprima)	Un utente malintenzionato ha creato pod contenenti container con privilegi o con funzionalità di escalation dei privilegi. Il campo privileged di un container con privilegi è impostato su true. Il campo allowPrivilegeEscalation di un container con funzionalità di escalation dei privilegi è impostato su true.
Accesso iniziale: chiave dell'account di servizio inattivo creata	Rileva gli eventi in cui viene creata una chiave per un account di servizio gestito dall'utente inattivo. In questo contesto, un account di servizio è considerato inattivo se è rimasto inattivo per più di 180 giorni.
Albero dei processi	Il rilevatore controlla l'albero dei processi di tutti i processi in esecuzione. Se un processo è un file binario della shell, il rilevatore controlla il processo principale. Se il processo principale è un file binario che non deve generare un processo shell, il rilevatore attiva un rilevamento.
Shell secondario imprevisto	Il rilevatore controlla l'albero dei processi di tutti i processi in esecuzione. Se un processo è un file binario della shell, il rilevatore controlla il processo principale. Se il processo principale è un file binario che non deve generare un processo shell, il rilevatore attiva un rilevamento.
Esecuzione: programma binario dannoso aggiuntivo eseguito	Il rilevatore cerca un file binario in esecuzione che non faceva parte dell'immagine del contenitore originale ed è stato identificato come dannoso in base alle informazioni sulle minacce.
Esecuzione: programma binario dannoso modificato eseguito	Il rilevatore cerca un file binario in esecuzione che era originariamente incluso nell'immagine del contenitore, ma è stato modificato in fase di esecuzione ed è stato identificato come dannoso in base alle informazioni sulle minacce.
Riassegnazione dei privilegi: delega anomala del service account con più passaggi per l'attività di amministrazione	Rileva quando viene trovata una richiesta delegata con più passaggi anomala per un'attività di amministrazione.
Account deployment di emergenza utilizzato: break_glass_account	Rileva l'utilizzo di un account di accesso di emergenza (deployment di emergenza)
Dominio non valido configurabile: APT29_Domains	Rileva la connessione a un nome di dominio specificato
Concessione di ruoli imprevista: ruoli vietati	Rileva quando un ruolo specificato viene concesso a un utente
IP non valido configurabile	Rileva la connessione a un indirizzo IP specificato
Tipo di istanza Compute Engine imprevisto	Rileva la creazione di istanze Compute Engine che non corrispondono al tipo di istanza o alla configurazione specificata.
Immagine di origine Compute Engine imprevista	Rileva la creazione di un'istanza Compute Engine con un'immagine o una famiglia di immagini che non corrisponde a un elenco specificato
Regione Compute Engine imprevista	Rileva la creazione di un'istanza Compute Engine in una regione che non si trova in un elenco specificato.
Ruolo personalizzato con autorizzazione vietata	Rileva quando a un'entità viene concesso un ruolo personalizzato con una qualsiasi delle autorizzazioni IAM specificate.
Chiamata API Cloud imprevista	Rileva quando un'entità specificata chiama un metodo specificato per una risorsa specificata. Un risultato viene generato solo se tutte le espressioni regolari corrispondono in una singola voce di log.

Risultati GCP_SECURITYCENTER_ERROR supportati

Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: ERRORE.

Nome risultato	Descrizione
VPC_SC_RESTRICTION	Security Health Analytics non può produrre determinati risultati per un progetto. Il progetto è protetto da un perimetro di servizio e l'account di servizio Security Command Center non ha accesso al perimetro.
MISCONFIGURED_CLOUD_LOGGING_EXPORT	Il progetto configurato per l'esportazione continua in Cloud Logging non è disponibile. Security Command Center non può inviare i risultati a Logging.
API_DISABLED	Un'API richiesta è disattivata per il progetto. Il servizio disattivato non può inviare i risultati a Security Command Center.
KTD_IMAGE_PULL_FAILURE	Il rilevamento delle minacce ai container non può essere attivato nel cluster perché non è possibile estrarre (scaricare) un'immagine del contenitore richiesta da gcr.io, l'host dell'immagine di Container Registry. L'immagine è necessaria per eseguire il deployment del DaemonSet di Container Threat Detection richiesto da Container Threat Detection.
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	Container Threat Detection non può essere attivato su un cluster Kubernetes. Un controller di ammissione di terze parti impedisce il deployment di un oggetto DaemonSet Kubernetes richiesto da Container Threat Detection. Se visualizzati nella console Google Cloud, i dettagli del rilevamento includono il messaggio di errore restituito da Google Kubernetes Engine quando Container Threat Detection ha tentato di eseguire il deployment di un oggetto DaemonSet di Container Threat Detection.
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Un account di servizio non dispone delle autorizzazioni richieste da Container Threat Detection. Il rilevamento delle minacce nei contenitori potrebbe non funzionare correttamente perché la relativa strumentazione non può essere attivata, disattivata o sottoposta ad upgrade.
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	Container Threat Detection non può generare risultati per un cluster Google Kubernetes Engine perché all'account di servizio predefinito GKE del cluster mancano le autorizzazioni. In questo modo, l'abilitazione di Container Threat Detection sul cluster non andrà a buon fine.
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	All'account di servizio Security Command Center mancano le autorizzazioni necessarie per il funzionamento corretto. Non vengono prodotti risultati.

Risultati di GCP_SECURITYCENTER_OBSERVATION supportati

Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: OSSERVAZIONE.

Nome risultato	Descrizione
Persistenza: chiave SSH del progetto aggiunta	È stata creata una chiave SSH a livello di progetto in un progetto di oltre 10 giorni fa.
Persistenza: aggiungi ruolo sensibile	È stato concesso un ruolo IAM sensibile o con accesso elevato a livello di organizzazione in un'organizzazione di oltre 10 giorni fa.

Risultati GCP_SECURITYCENTER_UNSPECIFIED supportati

Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: UNSPECIFIED.

Nome risultato	Descrizione
OPEN_FIREWALL	Un firewall è configurato per essere aperto all'accesso pubblico.

Risultati GCP_SECURITYCENTER_VULNERABILITY supportati

Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: VULNERABILITY.

Nome risultato	Descrizione
DISK_CSEK_DISABLED	I dischi di questa VM non sono criptati con chiavi di crittografia fornite dal cliente (CSEK). L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi Rilevatore di casi speciali.
ALPHA_CLUSTER_ENABLED	Le funzionalità alpha del cluster sono abilitate per un cluster GKE.
AUTO_REPAIR_DISABLED	La funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi in uno stato di esecuzione e integrità, è disabilitata.
AUTO_UPGRADE_DISABLED	La funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster e i pool di nodi nell'ultima versione stabile di Kubernetes, è disabilitata.
CLUSTER_SHIELDED_NODES_DISABLED	I nodi GKE schermati non sono abilitati per un cluster
COS_NOT_USED	Le VM Compute Engine non utilizzano il sistema operativo Container-Optimized OS progettato per l'esecuzione sicura di container Docker su Google Cloud.
INTEGRITY_MONITORING_DISABLED	Il monitoraggio dell'integrità è disattivato per un cluster GKE.
IP_ALIAS_DISABLED	È stato creato un cluster GKE con gli intervalli IP alias disattivati.
LEGACY_METADATA_ENABLED	I metadati legacy sono abilitati sui cluster GKE.
RELEASE_CHANNEL_DISABLED	Un cluster GKE non è iscritto a un canale di rilascio.
DATAPROC_IMAGE_OUTDATED	È stato creato un cluster Dataproc con una versione dell'immagine Dataproc interessata da vulnerabilità di sicurezza nell'utilità Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).
PUBLIC_DATASET	Un set di dati è configurato per essere aperto all'accesso pubblico.
DNSSEC_DISABLED	DNSSEC è disabilitato per le zone Cloud DNS.
RSASHA1_FOR_SIGNING	RSASHA1 viene utilizzato per la firma delle chiavi nelle zone Cloud DNS.
REDIS_ROLE_USED_ON_ORG	Un ruolo IAM Redis viene assegnato a livello di organizzazione o cartella.
KMS_PUBLIC_KEY	Una chiave di crittografia Cloud KMS è accessibile pubblicamente.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Il flag di database "autenticazione di database indipendente" per un'istanza di Cloud SQL per SQL Server non è impostato su Off.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Il flag di database cross_db_ownership_chaining per un'istanza Cloud SQL per SQL Server non è impostato su Off.
SQL_EXTERNAL_SCRIPTS_ENABLED	Il flag di database degli script esterni abilitati per un'istanza Cloud SQL per SQL Server non è impostato su Off.
SQL_LOCAL_INFILE	Il flag di database local_infile per un'istanza Cloud SQL per MySQL non è impostato su off.
SQL_LOG_ERROR_VERBOSITY	Il flag di database log_error_verbosity per un'istanza Cloud SQL per PostgreSQL non è impostato su default o su un valore più restrittivo.
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED	Il flag di database log_min_duration_statement per un'istanza Cloud SQL per PostgreSQL non è impostato su "-1".
SQL_LOG_MIN_ERROR_STATEMENT	Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non è impostato correttamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.
SQL_LOG_MIN_MESSAGES	Il flag di database log_min_messages per un'istanza Cloud SQL per PostgreSQL non è impostato su warning.
SQL_LOG_EXECUTOR_STATS_ENABLED	Il flag di database log_executor_status per un'istanza Cloud SQL per PostgreSQL non è impostato su off.
SQL_LOG_HOSTNAME_ENABLED	Il flag di database log_hostname per un'istanza Cloud SQL per PostgreSQL non è impostato su off.
SQL_LOG_PARSER_STATS_ENABLED	Il flag di database log_parser_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su off.
SQL_LOG_PLANNER_STATS_ENABLED	Il flag di database log_planner_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su off.
SQL_LOG_STATEMENT_STATS_ENABLED	Il flag di database log_statement_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su off.
SQL_LOG_TEMP_FILES	Il flag di database log_temp_files per un'istanza Cloud SQL per PostgreSQL non è impostato su "0".
SQL_REMOTE_ACCESS_ENABLED	Il flag di database di accesso remoto per un'istanza Cloud SQL per SQL Server non è impostato su Off.
SQL_SKIP_SHOW_DATABASE_DISABLED	Il flag di database skip_show_database per un'istanza Cloud SQL per MySQL non è impostato su On.
SQL_TRACE_FLAG_3625	Il flag di database 3625 (flag di traccia) per un'istanza Cloud SQL per SQL Server non è impostato su On.
SQL_USER_CONNECTIONS_CONFIGURED	Il flag di database user connections per un'istanza Cloud SQL per SQL Server è configurato.
SQL_USER_OPTIONS_CONFIGURED	Il flag di database user options per un'istanza Cloud SQL per SQL Server è configurato.
SQL_WEAK_ROOT_PASSWORD	Un database Cloud SQL ha una password debole configurata per l'account root. L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
PUBLIC_LOG_BUCKET	Un bucket di archiviazione utilizzato come sink di log è accessibile pubblicamente.
ACCESSIBLE_GIT_REPOSITORY	Un repository Git è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico involontario al repository GIT.
ACCESSIBLE_SVN_REPOSITORY	Un repository SVN è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico involontario al repository SVN.
CACHEABLE_PASSWORD_INPUT	Le password inserite nell'applicazione web possono essere memorizzate nella cache di un normale browser anziché in uno spazio di archiviazione sicuro delle password.
CLEAR_TEXT_PASSWORD	Le password vengono trasmesse in chiaro e possono essere intercettate. Per risolvere questo problema, cripta la password trasmessa sulla rete.
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION	Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo problema, verifica che il dominio principale previsto faccia parte del valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin. Per i caratteri jolly nel sottodominio, anteponi il punto al dominio principale, ad esempio .endsWith("".google.com"").
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION	Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo problema, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin, ad esempio .equals("".google.com"").
INVALID_CONTENT_TYPE	È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere il problema, imposta l'intestazione HTTP X-Content-Type-Options con il valore corretto.
INVALID_HEADER	Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP.
MISMATCHING_SECURITY_HEADER_VALUES	Un'intestazione di sicurezza ha valori duplicati e non corrispondenti, che comportano un comportamento indefinito. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP.
MISSPELLED_SECURITY_HEADER_NAME	Un'intestazione di sicurezza contiene un errore ortografico e viene ignorata. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP.
MIXED_CONTENT	Le risorse vengono pubblicate tramite HTTP in una pagina HTTPS. Per risolvere questo problema, assicurati che tutte le risorse vengano pubblicate tramite HTTPS.
OUTDATED_LIBRARY	È stata rilevata una libreria con vulnerabilità note. Per risolvere questo problema, esegui l'upgrade delle librerie a una versione più recente.
SERVER_SIDE_REQUEST_FORGERY	È stata rilevata una vulnerabilità di falsificazione delle richieste lato server (SSRF). Per risolvere questo problema, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può inviare richieste.
SESSION_ID_LEAK	Quando effettua una richiesta tra domini, l'applicazione web include l'identificatore della sessione dell'utente nell'intestazione della richiesta Referer. Questa vulnerabilità consente al dominio di destinazione di accedere all'identificatore di sessione, che può essere utilizzato per rubare l'identità o identificare in modo univoco l'utente.
SQL_INJECTION	È stata rilevata una potenziale vulnerabilità SQL injection. Per risolvere questo problema, utilizza query con parametri per impedire che gli input degli utenti influenzino la struttura della query SQL.
STRUTS_INSECURE_DESERIALIZATION	È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo problema, esegui l'upgrade di Apache Struts all'ultima versione.
XSS (cross-site scripting)	Un campo in questa applicazione web è vulnerabile a un attacco di tipo cross-site scripting (XSS). Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente.
XSS_ANGULAR_CALLBACK	Una stringa fornita dall'utente non è codificata ed AngularJS può interpolare. Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente e gestiti dal framework di Angular.
XSS_ERROR	Un campo in questa applicazione web è vulnerabile a un attacco di cross-site scripting. Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente.
XXE_REFLECTED_FILE_LEAKAGE	È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare la fuga di un file sull'host da parte dell'applicazione web. Per risolvere questo problema, configura i tuoi analizzatori XML in modo che non consentano entità esterne.
BASIC_AUTHENTICATION_ENABLED	L'autenticazione del certificato client o IAM deve essere attivata sui cluster di Kubernetes.
CLIENT_CERT_AUTHENTICATION_DISABLED	I cluster Kubernetes devono essere creati con il certificato client abilitato.
LABELS_NOT_USED	Le etichette possono essere utilizzate per suddividere i dati di fatturazione.
PUBLIC_STORAGE_OBJECT	L'ACL dell'oggetto di archiviazione non deve concedere l'accesso ad allUsers.
SQL_BROAD_ROOT_LOGIN	L'accesso root a un database SQL deve essere limitato a un elenco di IP attendibili e autorizzati.
WEAK_CREDENTIALS	Questo rilevatore controlla la presenza di credenziali deboli utilizzando i metodi di forza bruta di ncrack. Servizi supportati: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM
ELASTICSEARCH_API_EXPOSED	L'API Elasticsearch consente agli utenti di eseguire query arbitrarie, scrivere ed eseguire script e aggiungere altri documenti al servizio.
EXPOSED_GRAFANA_ENDPOINT	In Grafana 8.0.0-8.3.0, gli utenti possono accedere senza autenticazione a un endpoint con una vulnerabilità di attraversamento di directory che consente a qualsiasi utente di leggere qualsiasi file sul server senza autenticazione. Per ulteriori informazioni, consulta CVE-2021-43798.
EXPOSED_METABASE	Le versioni da x.40.0 a x.40.4 di Metabase, una piattaforma di analisi dei dati open source, contengono una vulnerabilità nel supporto delle mappe GeoJSON personalizzate e una potenziale inclusione di file locali, incluse le variabili di ambiente. Gli URL non sono stati convalidati prima del caricamento. Per ulteriori informazioni, consulta CVE-2021-41277.
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT	Questo rilevatore controlla se gli endpoint Actuator sensibili delle applicazioni Spring Boot sono esposti. Alcuni endpoint predefiniti, come /heapdump, potrebbero esporre informazioni sensibili. Altri endpoint, come /env, potrebbero portare all'esecuzione di codice da remoto. Al momento viene controllato solo /heapdump.
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API	Questo rilevatore controlla se l'API ResourceManager di Hadoop Yarn, che controlla le risorse di calcolo e archiviazione di un cluster Hadoop, è esposta e consente l'esecuzione di codice non autenticato.
JAVA_JMX_RMI_EXPOSED	L'estensione di gestione Java (JMX) consente il monitoraggio e la diagnostica da remoto delle applicazioni Java. L'esecuzione di JMX con un endpoint di chiamata di metodo remoto non protetto consente a qualsiasi utente remoto di creare un MBean javax.management.loading.MLet e di utilizzarlo per creare nuovi MBean da URL arbitrari.
JUPYTER_NOTEBOOK_EXPOSED_UI	Questo rilevatore controlla se è esposto un notebook Jupyter non autenticato. Jupyter consente l'esecuzione di codice remoto sulla macchina host per progettazione. Un Jupyter Notebook non autenticato mette a rischio la VM di hosting di un'esecuzione di codice da remoto.
KUBERNETES_API_EXPOSED	L'API Kubernetes è esposta e può essere accessibile da chiamanti non autenticati. Ciò consente l'esecuzione di codice arbitrario sul cluster Kubernetes.
UNFINISHED_WORDPRESS_INSTALLATION	Questo rilevatore controlla se un'installazione di WordPress è incompleta. Un'installazione di WordPress non completata espone la pagina /wp-admin/install.php, che consente all'aggressore di impostare la password di amministratore e, eventualmente, compromettere il sistema.
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE	Questo rilevatore controlla la presenza di un'istanza Jenkins non autenticata inviando un ping di prova all'endpoint /view/all/newJob come visitatore anonimo. Un'istanza Jenkins autenticata mostra il modulo createItem, che consente la creazione di job arbitrari che potrebbero portare all'esecuzione di codice remoto.
APACHE_HTTPD_RCE	In Apache HTTP Server 2.4.49 è stato rilevato un difetto che consente a un malintenzionato di utilizzare un attacco di attraversamento del percorso per mappare gli URL ai file esterni alla home directory del documento prevista e visualizzare il codice sorgente dei file interpretati, come gli script CGI. È noto che questo problema viene sfruttato in natura. Questo problema riguarda Apache 2.4.49 e 2.4.50, ma non le versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta: Record CVE CVE-2021-41773 Vulnerabilità di Apache HTTP Server 2.4
APACHE_HTTPD_SSRF	Gli utenti malintenzionati possono creare un URI per il server web Apache che induca mod_proxy a inoltrare la richiesta a un server di origine scelto dall'utente malintenzionato. Questo problema riguarda Apache HTTP Server 2.4.48 e versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta: Record CVE CVE-2021-40438 Vulnerabilità di Apache HTTP Server 2.4
CONSUL_RCE	Gli attaccanti possono eseguire codice arbitrario su un server Consul perché l'istanza di Consul è configurata con -enable-script-checks impostato su true e l'API HTTP di Consul non è protetta ed è accessibile tramite la rete. In Consul 0.9.0 e versioni precedenti, i controlli degli script sono attivi per impostazione predefinita. Per ulteriori informazioni, consulta Proteggere Consul dal rischio di attacco RCE in configurazioni specifiche. Per verificare la presenza di questa vulnerabilità, il rilevamento rapido delle vulnerabilità registra un servizio nell'istanza Consul utilizzando l'endpoint REST /v1/health/service, che poi esegue una delle seguenti operazioni: * Un comando curl a un server remoto esterno alla rete. Un malintenzionato può utilizzare il comando curl per esfiltrare i dati dal server. * Un comando printf. Il rilevamento rapido delle vulnerabilità verifica quindi l'output del comando utilizzando l'endpoint REST /v1/health/service. * Dopo il controllo, Rapid Vulnerability Detection esegue la pulizia e la disregistrazione del servizio utilizzando l'endpoint REST /v1/agent/service/deregister/.
DRUID_RCE	Apache Druid include la possibilità di eseguire codice JavaScript fornito dall'utente incorporato in vari tipi di richieste. Questa funzionalità è pensata per essere utilizzata in ambienti ad alta affidabilità ed è disattivata per impostazione predefinita. Tuttavia, in Druid 0.20.0 e versioni precedenti, è possibile che un utente autenticato invii una richiesta appositamente creata che costringa Druid a eseguire il codice JavaScript fornito dall'utente per quella richiesta, indipendentemente dalla configurazione del server. Questo può essere utilizzato per eseguire codice sulla macchina di destinazione con i privilegi del processo del server Druid. Per ulteriori informazioni, consulta la descrizione della vulnerabilità CVE-2021-25646.
DRUPAL_RCE	Le versioni di Drupal precedenti alla 7.58, 8.x precedenti alla 8.3.9, 8.4.x precedenti alla 8.4.6 e 8.5.x precedenti alla 8.5.1 sono vulnerabili all'esecuzione di codice remoto nelle richieste AJAX dell'API Form. Le versioni di Drupal 8.5.x precedenti alla 8.5.11 e 8.6.x precedenti alla 8.6.10 sono vulnerabili all'esecuzione di codice remoto quando è abilitato il modulo del servizio web RESTful o l'API JSON:. Questa vulnerabilità può essere sfruttata da un malintenzionato non autenticato utilizzando una richiesta POST personalizzata.
FLINK_FILE_DISCLOSURE	Una vulnerabilità nelle versioni 1.11.0, 1.11.1 e 1.11.2 di Apache Flink consente agli aggressori di leggere qualsiasi file sul file system locale di JobManager tramite l'interfaccia REST del processo JobManager. L'accesso è limitato ai file accessibili dal processo JobManager.
GITLAB_RCE	Nelle versioni 11.9 e successive di GitLab Community Edition (CE) ed Enterprise Edition (EE), GitLab non convalida correttamente i file immagine trasmessi a un'analisi file. Un malintenzionato può sfruttare questa vulnerabilità per l'esecuzione di comandi remoti.
GoCD_RCE	In GoCD 21.2.0 e versioni precedenti, è presente un endpoint a cui è possibile accedere senza autenticazione. Questo endpoint presenta una vulnerabilità di attraversamento di directory che consente a un utente di leggere qualsiasi file sul server senza autenticazione.
JENKINS_RCE	Le versioni 2.56 e precedenti di Jenkins e 2.46.1 LTS e precedenti sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata da un malintenzionato non autenticato che utilizza un oggetto Java serializzato dannoso.
JOOMLA_RCE	Le versioni di Joomla 1.5.x, 2.x e 3.x precedenti alla 3.4.6 sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata con un'intestazione creata appositamente contenente oggetti PHP serializzati. Le versioni di Joomla dalla 3.0.0 alla 3.4.6 sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata inviando una richiesta POST contenente un oggetto PHP serializzato creato appositamente.
LOG4J_RCE	In Apache Log4j2 2.14.1 e versioni precedenti, le funzionalità JNDI utilizzate nelle configurazioni, nei messaggi di log e nei parametri non proteggono dai protocolli LDAP controllati da LDAP e da altri endpoint correlati a JNDI. Per ulteriori informazioni, consulta CVE-2021-44228.
MANTISBT_PRIVILEGE_ESCALATION	MantisBT fino alla versione 2.3.0 consente il ripristino arbitrario della password e l'accesso amministrativo non autenticato fornendo un valore confirm_hash vuoto a verify.php.
OGNL_RCE	Le istanze di Confluence Server e Data Center contengono una vulnerabilità di attacco di tipo OGNL che consente a un malintenzionato non autenticato di eseguire codice arbitrario. Per ulteriori informazioni, consulta CVE-2021-26084.
OPENAM_RCE	Il server OpenAM 14.6.2 e versioni precedenti e il server ForgeRock AM 6.5.3 e versioni precedenti presentano una vulnerabilità di deserializzazione Java nel parametro jato.pageSession su più pagine. Lo sfruttamento non richiede autenticazione e l'esecuzione di codice remoto può essere attivata inviando una singola richiesta /ccversion/* creata appositamente al server. La vulnerabilità esiste a causa dell'utilizzo dell'applicazione Sun ONE. Per ulteriori informazioni, consulta CVE-2021-35464.
ORACLE_WEBLOGIC_RCE	Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità, tra cui le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità facilmente sfruttabile consente a un utente malintenzionato non autenticato con accesso di rete tramite HTTP di compromettere un server Oracle WebLogic. Gli attacchi riusciti a questa vulnerabilità possono comportare il controllo di Oracle WebLogic Server. Per ulteriori informazioni, consulta CVE-2020-14882.
PHPUNIT_RCE	Le versioni di PHPUnit precedenti alla 5.6.3 consentono l'esecuzione di codice remoto con una singola richiesta POST non autenticata.
PHP_CGI_RCE	Le versioni di PHP precedenti alla 5.3.12 e le versioni 5.4.x precedenti alla 5.4.2, se configurate come script CGI, consentono l'esecuzione di codice da remoto. Il codice vulnerabile non gestisce correttamente le stringhe di query che non contengono il carattere = (segno di uguale). In questo modo, gli utenti malintenzionati possono aggiungere opzioni a riga di comando che vengono eseguite sul server.
PORTAL_RCE	La deserializzazione di dati non attendibili nelle versioni di Liferay Portal precedenti alla 7.2.1 CE GA2 consente agli utenti malintenzionati di eseguire codice arbitrario tramite i servizi web JSON.
REDIS_RCE	Se un'istanza Redis non richiede l'autenticazione per eseguire i comandi di amministrazione, gli attaccanti potrebbero essere in grado di eseguire codice arbitrario.
SOLR_FILE_EXPOSED	L'autenticazione non è abilitata in Apache Solr, un server di ricerca open source. Quando Apache Solr non richiede l'autenticazione, un malintenzionato può creare direttamente una richiesta per attivare una configurazione specifica e, eventualmente, implementare una falsificazione delle richieste lato server (SSRF) o leggere file arbitrari.
SOLR_RCE	Le versioni di Apache Solr da 5.0.0 ad Apache Solr 8.3.1 sono vulnerabili all'esecuzione di codice remoto tramite VelocityResponseWriter se params.resource.loader.enabled è impostato su true. Ciò consente agli attaccanti di creare un parametro contenente un modello Velocity dannoso.
STRUTS_RCE	Le versioni di Apache Struts precedenti alla 2.3.32 e 2.5.x precedenti alla 2.5.10.1 sono vulnerabili all'esecuzione di codice remoto. La vulnerabilità può essere attivata da un utente malintenzionato non autenticato che fornisce un'intestazione Content-Type creata appositamente. Il plug-in REST nelle versioni di Apache Struts da 2.1.1 a 2.3.x precedenti alla 2.3.34 e 2.5.x precedenti alla 2.5.13 è vulnerabile all'esecuzione di codice remoto durante la deserializzazione di payload XML appositamente creati. Le versioni di Apache Struts da 2.3 a 2.3.34 e da 2.5 a 2.5.16 sono vulnerabili all'esecuzione di codice remoto quando alwaysSelectFullNamespace è impostato su true ed esistono determinate altre configurazioni di azioni.
TOMCAT_FILE_DISCLOSURE	Le versioni 9.x di Apache Tomcat precedenti alla 9.0.31, le versioni 8.x precedenti alla 8.5.51, le versioni 7.x precedenti alla 7.0.100 e tutte le versioni 6.x sono vulnerabili alla divulgazione del codice sorgente e della configurazione tramite un connettore Apache JServ Protocol esposto. In alcuni casi, questa funzionalità viene sfruttata per eseguire codice remoto se è consentito il caricamento di file.
VBULLETIN_RCE	I server vBulletin che eseguono le versioni da 5.0.0 a 5.5.4 sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere sfruttata da un malintenzionato non autenticato che utilizza un parametro di query in una richiesta routestring.
VCENTER_RCE	Le versioni 7.x di VMware vCenter Server precedenti alla 7.0 U1c, 6.7 precedenti alla 6.7 U3l e 6.5 precedenti alla 6.5 U3n sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata da un utente malintenzionato che carica un file Java Server Pages creato appositamente in una directory accessibile tramite web, quindi attiva l'esecuzione del file.
WEBLOGIC_RCE	Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità di esecuzione di codice remoto, tra cui le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità è correlata a CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Per ulteriori informazioni, consulta CVE-2020-14883.
OS_VULNERABILITY	VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo (OS) installato per una VM Compute Engine.
UNUSED_IAM_ROLE	Il Recommender IAM ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni.
GKE_RUNTIME_OS_VULNERABILITY
GKE_SECURITY_BULLETIN
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE	Il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale concesso a un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio.

Risultati di GCP_SECURITYCENTER_MISCONFIGURATION supportati

Puoi trovare la mappatura UDM nella tabella Field mapping reference: MISCONFIGURATION (Riferimento alla mappatura dei campi: MISCONFIGURATION).

Nome risultato	Descrizione
API_KEY_APIS_UNRESTRICTED	Esistono chiavi API utilizzate in modo troppo generico. Per risolvere il problema, limita l'utilizzo della chiave API in modo da consentire solo le API necessarie all'applicazione.
API_KEY_APPS_UNRESTRICTED	Esistono chiavi API utilizzate senza restrizioni, il che consente l'utilizzo da parte di qualsiasi app non attendibile
API_KEY_EXISTS	Un progetto utilizza chiavi API anziché l'autenticazione standard.
API_KEY_NOT_ROTATED	La chiave API non è stata ruotata da più di 90 giorni
PUBLIC_COMPUTE_IMAGE	Un'immagine Compute Engine è accessibile pubblicamente.
CONFIDENTIAL_COMPUTING_DISABLED	Confidential Computing è disabilitato su un'istanza Compute Engine.
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	Vengono utilizzate chiavi SSH a livello di progetto, che consentono di accedere a tutte le istanze del progetto.
COMPUTE_SECURE_BOOT_DISABLED	In questa VM protetta non è abilitato l'avvio protetto. L'utilizzo dell'avvio protetto aiuta a proteggere le istanze di macchine virtuali da minacce avanzate come rootkit e bootkit.
DEFAULT_SERVICE_ACCOUNT_USED	Un'istanza è configurata per utilizzare l'account di servizio predefinito.
FULL_API_ACCESS	Un'istanza è configurata per utilizzare l'account di servizio predefinito con accesso completo a tutte le API Google Cloud.
OS_LOGIN_DISABLED	L'OS Login è disabilitato su questa istanza.
PUBLIC_IP_ADDRESS	Un'istanza ha un indirizzo IP pubblico.
SHIELDED_VM_DISABLED	Shielded VM è disabilitata in questa istanza.
COMPUTE_SERIAL_PORTS_ENABLED	Le porte seriali sono abilitate per un'istanza, consentendo le connessioni alla console seriale dell'istanza.
DISK_CMEK_DISABLED	I dischi di questa VM non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
HTTP_LOAD_BALANCER	Un'istanza utilizza un bilanciatore del carico configurato per utilizzare un proxy HTTP di destinazione anziché un proxy HTTPS di destinazione.
IP_FORWARDING_ENABLED	L'IP forwarding è abilitato sulle istanze.
WEAK_SSL_POLICY	Un'istanza ha un criterio SSL debole.
BINARY_AUTHORIZATION_DISABLED	L'autorizzazione binaria è disattivata su un cluster GKE.
CLUSTER_LOGGING_DISABLED	Il logging non è abilitato per un cluster GKE.
CLUSTER_MONITORING_DISABLED	Il monitoraggio è disabilitato sui cluster GKE.
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	Gli host del cluster non sono configurati per utilizzare solo indirizzi IP interni privati per accedere alle API Google.
CLUSTER_SECRETS_ENCRYPTION_DISABLED	La crittografia dei secret a livello di applicazione è disabilitata in un cluster GKE.
INTRANODE_VISIBILITY_DISABLED	La visibilità tra nodi è disabilitata per un cluster GKE.
MASTER_AUTHORIZED_NETWORKS_DISABLED	Le reti autorizzate del piano di controllo non sono abilitate sui cluster GKE.
NETWORK_POLICY_DISABLED	Il criterio di rete è disabilitato nei cluster GKE.
NODEPOOL_SECURE_BOOT_DISABLED	L'avvio protetto è disabilitato per un cluster GKE.
OVER_PRIVILEGED_ACCOUNT	Un account di servizio ha accesso a un progetto in modo eccessivamente ampio in un cluster.
OVER_PRIVILEGED_SCOPES	Un account di servizio del nodo ha ambiti di accesso ampi.
POD_SECURITY_POLICY_DISABLED	PodSecurityPolicy è disattivato in un cluster GKE.
PRIVATE_CLUSTER_DISABLED	Un cluster GKE ha un cluster privato disabilitato.
WORKLOAD_IDENTITY_DISABLED	Un cluster GKE non è iscritto a un canale di rilascio.
LEGACY_AUTHORIZATION_ENABLED	L'autorizzazione precedente è abilitata sui cluster GKE.
NODEPOOL_BOOT_CMEK_DISABLED	I dischi di avvio in questo pool di nodi non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
WEB_UI_ENABLED	L'interfaccia utente web (dashboard) di GKE è abilitata.
AUTO_REPAIR_DISABLED	La funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi in uno stato di esecuzione e integrità, è disabilitata.
AUTO_UPGRADE_DISABLED	La funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster e i pool di nodi nell'ultima versione stabile di Kubernetes, è disabilitata.
CLUSTER_SHIELDED_NODES_DISABLED	I nodi GKE schermati non sono abilitati per un cluster
RELEASE_CHANNEL_DISABLED	Un cluster GKE non è iscritto a un canale di rilascio.
BIGQUERY_TABLE_CMEK_DISABLED	Una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). L'attivazione di questo rilevatore richiede una configurazione aggiuntiva.
DATASET_CMEK_DISABLED	Un set di dati BigQuery non è configurato per utilizzare un CMEK predefinito. L'attivazione di questo rilevatore richiede una configurazione aggiuntiva.
EGRESS_DENY_RULE_NOT_SET	Una regola di negazione per il traffico in uscita non è impostata su un firewall. Le regole di negazione per il traffico in uscita devono essere impostate per bloccare il traffico in uscita indesiderato.
FIREWALL_RULE_LOGGING_DISABLED	Il logging delle regole firewall è disattivato. Il logging delle regole firewall deve essere abilitato per poter eseguire l'audit dell'accesso alla rete.
OPEN_CASSANDRA_PORT	Un firewall è configurato in modo da avere una porta Cassandra aperta che consenta l'accesso generico.
OPEN_SMTP_PORT	Un firewall è configurato per avere una porta SMTP aperta che consente l'accesso generico.
OPEN_REDIS_PORT	Un firewall è configurato per avere una porta REDIS aperta che consente l'accesso generico.
OPEN_POSTGRESQL_PORT	Un firewall è configurato per avere una porta PostgreSQL aperta che consenta l'accesso generico.
OPEN_POP3_PORT	Un firewall è configurato per avere una porta POP3 aperta che consente l'accesso generico.
OPEN_ORACLEDB_PORT	Un firewall è configurato per avere una porta NETBIOS aperta che consente l'accesso generico.
OPEN_NETBIOS_PORT	Un firewall è configurato per avere una porta NETBIOS aperta che consente l'accesso generico.
OPEN_MYSQL_PORT	Un firewall è configurato per avere una porta MYSQL aperta che consenta l'accesso generico.
OPEN_MONGODB_PORT	Un firewall è configurato per avere una porta MONGODB aperta che consenta l'accesso generico.
OPEN_MEMCACHED_PORT	Un firewall è configurato per avere una porta MEMCACHED aperta che consente l'accesso generico.
OPEN_LDAP_PORT	Un firewall è configurato in modo da avere una porta LDAP aperta che consenta l'accesso generico.
OPEN_FTP_PORT	Un firewall è configurato in modo da avere una porta FTP aperta che consenta l'accesso generico.
OPEN_ELASTICSEARCH_PORT	Un firewall è configurato per avere una porta ELASTICSEARCH aperta che consenta l'accesso generico.
OPEN_DNS_PORT	Un firewall è configurato per avere una porta DNS aperta che consenta l'accesso generico.
OPEN_HTTP_PORT	Un firewall è configurato per avere una porta HTTP aperta che consente l'accesso generico.
OPEN_DIRECTORY_SERVICES_PORT	Un firewall è configurato in modo da avere una porta DIRECTORY_SERVICES aperta che consenta l'accesso generico.
OPEN_CISCOSECURE_WEBSM_PORT	Un firewall è configurato per avere una porta CISCOSECURE_WEBSM aperta che consente l'accesso generico.
OPEN_RDP_PORT	Un firewall è configurato in modo da avere una porta RDP aperta che consenta l'accesso generico.
OPEN_TELNET_PORT	Un firewall è configurato per avere una porta TELNET aperta che consente l'accesso generico.
OPEN_FIREWALL	Un firewall è configurato per essere aperto all'accesso pubblico.
OPEN_SSH_PORT	Un firewall è configurato in modo da avere una porta SSH aperta che consenta l'accesso generico.
SERVICE_ACCOUNT_ROLE_SEPARATION	A un utente sono stati assegnati i ruoli Amministratore account di servizio e Utente account di servizio. Ciò viola il principio di "separazione dei compiti".
NON_ORG_IAM_MEMBER	Un utente non utilizza le credenziali dell'organizzazione. In base a CIS Google Cloud Foundations 1.0, al momento solo le identità con indirizzi email @gmail.com attivano questo rilevatore.
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	Un utente dispone del ruolo Utente del service account o Creatore di token del service account a livello di progetto, anziché per un account di servizio specifico.
ADMIN_SERVICE_ACCOUNT	Un account di servizio dispone dei privilegi di Amministratore, Proprietario o Editor. Questi ruoli non devono essere assegnati agli account di servizio creati dall'utente.
SERVICE_ACCOUNT_KEY_NOT_ROTATED	Una chiave dell'account di servizio non è stata ruotata da più di 90 giorni.
USER_MANAGED_SERVICE_ACCOUNT_KEY	Un utente gestisce una chiave dell'account di servizio.
PRIMITIVE_ROLES_USED	Un utente ha il ruolo di base Proprietario, Writer o Reader. Questi ruoli sono troppo permissivi e non devono essere utilizzati.
KMS_ROLE_SEPARATION	La separazione dei compiti non è impostata ed esiste un utente che dispone contemporaneamente di uno dei seguenti ruoli Cloud Key Management Service (Cloud KMS): Encrypter/Decrypter di CryptoKey, Encrypter o Decrypter.
OPEN_GROUP_IAM_MEMBER	Un account Google Gruppi a cui è possibile iscriversi senza approvazione viene utilizzato come entità dei criteri IAM Allow.
KMS_KEY_NOT_ROTATED	La rotazione non è configurata su una chiave di crittografia Cloud KMS. Le chiavi devono essere ruotate entro un periodo di 90 giorni.
KMS_PROJECT_HAS_OWNER	Un utente dispone delle autorizzazioni di proprietario per un progetto protetto da chiavi di crittografia.
TOO_MANY_KMS_USERS	Esistono più di tre utenti delle chiavi di crittografia.
OBJECT_VERSIONING_DISABLED	Il controllo delle versioni degli oggetti non è abilitato in un bucket di archiviazione in cui sono configurati i sink.
LOCKED_RETENTION_POLICY_NOT_SET	Non è impostato un criterio di conservazione bloccato per i log.
BUCKET_LOGGING_DISABLED	Esiste un bucket di archiviazione senza il logging abilitato.
LOG_NOT_EXPORTED	Per una risorsa non è configurato un sink di log appropriato.
AUDIT_LOGGING_DISABLED	La registrazione degli audit è stata disattivata per questa risorsa.
MFA_NOT_ENFORCED	Alcuni utenti non utilizzano la verifica in due passaggi.
ROUTE_NOT_MONITORED	Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alle route di rete VPC.
OWNER_NOT_MONITORED	Le metriche e gli avvisi dei log non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto.
AUDIT_CONFIG_NOT_MONITORED	Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla configurazione di controllo.
BUCKET_IAM_NOT_MONITORED	Le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche alle autorizzazioni IAM di Cloud Storage.
CUSTOM_ROLE_NOT_MONITORED	Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche ai ruoli personalizzati.
FIREWALL_NOT_MONITORED	Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alle regole del firewall di rete Virtual Private Cloud (VPC).
NETWORK_NOT_MONITORED	Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla rete VPC.
SQL_INSTANCE_NOT_MONITORED	Le metriche e gli avvisi dei log non sono configurati per monitorare le modifiche alla configurazione delle istanze Cloud SQL.
DEFAULT_NETWORK	La rete predefinita esiste in un progetto.
DNS_LOGGING_DISABLED	Il logging DNS su una rete VPC non è abilitato.
PUBSUB_CMEK_DISABLED	Un argomento Pub/Sub non è criptato con chiavi di crittografia gestite dal cliente (CMEK). L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
PUBLIC_SQL_INSTANCE	Un'istanza del database Cloud SQL accetta connessioni da tutti gli indirizzi IP.
SSL_NOT_ENFORCED	Un'istanza del database Cloud SQL non richiede che tutte le connessioni in entrata utilizzino SSL.
AUTO_BACKUP_DISABLED	Per un database Cloud SQL non sono abilitati i backup automatici.
SQL_CMEK_DISABLED	Un'istanza del database SQL non è criptata con chiavi di crittografia gestite dal cliente (CMEK). L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
SQL_LOG_CHECKPOINTS_DISABLED	Il flag di database log_checkpoints per un'istanza Cloud SQL per PostgreSQL non è impostato su On.
SQL_LOG_CONNECTIONS_DISABLED	Il flag di database log_connections per un'istanza Cloud SQL per PostgreSQL non è impostato su On.
SQL_LOG_DISCONNECTIONS_DISABLED	Il flag di database log_disconnections per un'istanza Cloud SQL per PostgreSQL non è impostato su On.
SQL_LOG_DURATION_DISABLED	Il flag di database log_duration per un'istanza Cloud SQL per PostgreSQL non è impostato su On.
SQL_LOG_LOCK_WAITS_DISABLED	Il flag di database log_lock_waits per un'istanza Cloud SQL per PostgreSQL non è impostato su On.
SQL_LOG_STATEMENT	Il flag di database log_statement per un'istanza Cloud SQL per PostgreSQL non è impostato su Ddl (tutte le istruzioni di definizione dei dati).
SQL_NO_ROOT_PASSWORD	Un database Cloud SQL non ha una password configurata per l'account root. L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
SQL_PUBLIC_IP	Un database Cloud SQL ha un indirizzo IP pubblico.
SQL_CONTAINED_DATABASE_AUTHENTICATION	Il flag di database "autenticazione di database indipendente" per un'istanza di Cloud SQL per SQL Server non è impostato su Off.
SQL_CROSS_DB_OWNERSHIP_CHAINING	Il flag di database cross_db_ownership_chaining per un'istanza Cloud SQL per SQL Server non è impostato su Off.
SQL_LOCAL_INFILE	Il flag di database local_infile per un'istanza Cloud SQL per MySQL non è impostato su off.
SQL_LOG_MIN_ERROR_STATEMENT	Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non è impostato correttamente.
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.
SQL_LOG_TEMP_FILES	Il flag di database log_temp_files per un'istanza Cloud SQL per PostgreSQL non è impostato su "0".
SQL_REMOTE_ACCESS_ENABLED	Il flag di database di accesso remoto per un'istanza Cloud SQL per SQL Server non è impostato su Off.
SQL_SKIP_SHOW_DATABASE_DISABLED	Il flag di database skip_show_database per un'istanza Cloud SQL per MySQL non è impostato su On.
SQL_TRACE_FLAG_3625	Il flag di database 3625 (flag di traccia) per un'istanza Cloud SQL per SQL Server non è impostato su On.
SQL_USER_CONNECTIONS_CONFIGURED	Il flag di database user connections per un'istanza Cloud SQL per SQL Server è configurato.
SQL_USER_OPTIONS_CONFIGURED	Il flag di database user options per un'istanza Cloud SQL per SQL Server è configurato.
PUBLIC_BUCKET_ACL	Un bucket Cloud Storage è accessibile pubblicamente.
BUCKET_POLICY_ONLY_DISABLED	L'accesso uniforme a livello di bucket, precedentemente chiamato Solo criterio bucket, non è configurato.
BUCKET_CMEK_DISABLED	Un bucket non è criptato con chiavi di crittografia gestite dal cliente (CMEK). L'attivazione di questo rilevatore richiede una configurazione aggiuntiva. Per le istruzioni, vedi Attivare e disattivare i rilevatori.
FLOW_LOGS_DISABLED	Esiste una subnet VPC in cui i log di flusso sono disabilitati.
PRIVATE_GOOGLE_ACCESS_DISABLED	Esistono sottoreti private senza accesso alle API pubbliche di Google.
kms_key_region_europe	In base alle norme aziendali, tutte le chiavi di crittografia devono rimanere archiviate in Europa.
kms_non_euro_region	In base alle norme aziendali, tutte le chiavi di crittografia devono rimanere archiviate in Europa.
LEGACY_NETWORK	In un progetto esiste una rete legacy.
LOAD_BALANCER_LOGGING_DISABLED	Il logging è disabilitato per il bilanciatore del carico.

Risultati GCP_SECURITYCENTER_POSTURE_VIOLATION supportati

Puoi trovare la mappatura UDM nella tabella Riferimento alla mappatura dei campi: VIOLAZIONE POSTURA.

Nome risultato	Descrizione
SECURITY_POSTURE_DRIFT	Deviazione dai criteri definiti all'interno della postura di sicurezza. Questo viene rilevato dal servizio di postura di sicurezza.
SECURITY_POSTURE_POLICY_DRIFT	Il servizio di postura di sicurezza ha rilevato una modifica a un criterio dell'organizzazione avvenuta al di fuori di un aggiornamento della postura.
SECURITY_POSTURE_POLICY_DELETE	Il servizio di analisi della postura di sicurezza ha rilevato che è stato eliminato un criterio dell'organizzazione. Questa eliminazione è avvenuta al di fuori di un aggiornamento della posizione.
SECURITY_POSTURE_DETECTOR_DRIFT	Il servizio di stato di sicurezza ha rilevato una modifica a un rilevatore di Security Health Analytics avvenuta al di fuori di un aggiornamento dello stato.
SECURITY_POSTURE_DETECTOR_DELETE	Il servizio di analisi della postura di sicurezza ha rilevato che un modulo personalizzato di Security Health Analytics è stato eliminato. Questa eliminazione è avvenuta al di fuori di un aggiornamento della posizione.

Riferimento alla mappatura dei campi

Questa sezione spiega in che modo il parser di Google Security Operations mappa i campi dei log di Security Command Center ai campi del modello di dati unificato (UDM) di Google Security Operations per i set di dati.

Riferimento alla mappatura dei campi: campi dei log non elaborati ai campi UDM

La tabella seguente elenca i campi dei log e le mappature UDM corrispondenti per i risultati di Event Threat Detection di Security Command Center.

Campo RawLog	Mappatura UDM	Logica
`compliances.ids`	`about.labels [compliance_ids]` (deprecato)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (deprecato)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (deprecato)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (deprecato)	Se il valore del campo log `connections.destinationIp` non è uguale a `sourceProperties.properties.ipConnection.destIp`, il campo log `connections.destinationIp` viene mappato al campo UDM `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Se il valore del campo log `connections.destinationIp` non è uguale a `sourceProperties.properties.ipConnection.destIp`, il campo log `connections.destinationIp` viene mappato al campo UDM `additional.fields.value.string_value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (deprecato)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (deprecato)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (deprecato)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (deprecato)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Se il valore del campo log `message` corrisponde al pattern di espressione regolare `kubernetes`, il campo UDM `target.resource_ancestors.resource_type` viene impostato su CLUSTER. In caso contrario, se il valore del campo log `message` corrisponde all'espressione regolare `kubernetes.*?pods`, il campo UDM `target.resource_ancestors.resource_type` viene impostato su POD.
	`about.resource.attribute.cloud.environment`	Il campo UDM `about.resource.attribute.cloud.environment` è impostato su `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.pods.containers.createTime`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
	`extension.auth.type`	Se il valore del campo log `category` è uguale a `Initial Access: Account Disabled Hijacked` o `Initial Access: Disabled Password Leak` o `Initial Access: Government Based Attack` o `Initial Access: Suspicious Login Blocked` o `Impair Defenses: Two Step Verification Disabled` o `Persistence: SSO Enablement Toggle`, il campo UDM `extension.auth.type` viene impostato su `SSO`.
	`extension.mechanism`	Se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo UDM `extension.mechanism` è impostato su `USERNAME_PASSWORD`.
	`extensions.auth.type`	Se il valore del campo log `principal.user.user_authentication_status` è uguale a `ACTIVE`, il campo UDM `extensions.auth.type` è impostato su `SSO`.
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (deprecato)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (deprecato)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (deprecato)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (deprecato)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (deprecato)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (deprecato)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (deprecato)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (deprecato)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (deprecato)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (deprecato)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`sourceProperties.properties.loadBalancerName`	`intermediary.resource.name`	Se il valore del campo log `category` è uguale a `Initial Access: Log4j Compromise Attempt`, il campo log `sourceProperties.properties.loadBalancerName` viene mappato al campo UDM `intermediary.resource.name`.
	`intermediary.resource.resource_type`	Se il valore del campo log `category` è uguale a `Initial Access: Log4j Compromise Attempt`, il campo UDM `intermediary.resource.resource_type` è impostato su `BACKEND_SERVICE`.
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Se il valore del campo log `canonicalName` non è vuoto, `finding_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok. Se il valore del campo log `finding_id` è vuoto, il campo log `sourceProperties.evidence.sourceLogId.insertId` viene mappato al campo UDM `metadata.product_log_id`. Se il valore del campo log `canonicalName` è vuoto, il campo log `sourceProperties.evidence.sourceLogId.insertId` viene mappato al campo UDM `metadata.product_log_id`.
	`metadata.product_name`	Il campo UDM `metadata.product_name` è impostato su `Security Command Center`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
	`metadata.vendor_name`	Il campo UDM `metadata.vendor_name` è impostato su `Google`.
	`network.application_protocol`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, il campo UDM `network.application_protocol` viene impostato su `DNS`.
`sourceProperties.properties.indicatorContext.asn`	`network.asn`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP`, il campo log `sourceProperties.properties.indicatorContext.asn` viene mappato al campo UDM `network.asn`.
`sourceProperties.properties.indicatorContext.carrierName`	`network.carrier_name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP`, il campo log `sourceProperties.properties.indicatorContext.carrierName` viene mappato al campo UDM `network.carrier_name`.
`sourceProperties.properties.indicatorContext.reverseDnsDomain`	`network.dns_domain`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, il campo log `sourceProperties.properties.indicatorContext.reverseDnsDomain` viene mappato al campo UDM `network.dns_domain`.
`sourceProperties.properties.dnsContexts.responseData.responseClass`	`network.dns.answers.class`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain`, il campo log `sourceProperties.properties.dnsContexts.responseData.responseClass` viene mappato al campo UDM `network.dns.answers.class`.
`sourceProperties.properties.dnsContexts.responseData.responseValue`	`network.dns.answers.data`	Se il valore del campo del log `category` corrisponde all'espressione regolare `Malware: Bad Domain`, il campo del log `sourceProperties.properties.dnsContexts.responseData.responseValue` viene mappato al campo UDM `network.dns.answers.data`.
`sourceProperties.properties.dnsContexts.responseData.domainName`	`network.dns.answers.name`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain`, il campo log `sourceProperties.properties.dnsContexts.responseData.domainName` viene mappato al campo UDM `network.dns.answers.name`.
`sourceProperties.properties.dnsContexts.responseData.ttl`	`network.dns.answers.ttl`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain`, il campo log `sourceProperties.properties.dnsContexts.responseData.ttl` viene mappato al campo UDM `network.dns.answers.ttl`.
`sourceProperties.properties.dnsContexts.responseData.responseType`	`network.dns.answers.type`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain`, il campo log `sourceProperties.properties.dnsContexts.responseData.responseType` viene mappato al campo UDM `network.dns.answers.type`.
`sourceProperties.properties.dnsContexts.authAnswer`	`network.dns.authoritative`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, il campo log `sourceProperties.properties.dnsContexts.authAnswer` viene mappato al campo UDM `network.dns.authoritative`.
`sourceProperties.properties.dnsContexts.queryName`	`network.dns.questions.name`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, il campo log `sourceProperties.properties.dnsContexts.queryName` viene mappato al campo UDM `network.dns.questions.name`.
`sourceProperties.properties.dnsContexts.queryType`	`network.dns.questions.type`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, il campo log `sourceProperties.properties.dnsContexts.queryType` è mappato al campo UDM `network.dns.questions.type`.
`sourceProperties.properties.dnsContexts.responseCode`	`network.dns.response_code`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, il campo log `sourceProperties.properties.dnsContexts.responseCode` viene mappato al campo UDM `network.dns.response_code`.
`sourceProperties.properties.anomalousSoftware.callerUserAgent`	`network.http.user_agent`	Se il valore del campo log `category` è uguale a `Persistence: New User Agent`, il campo log `sourceProperties.properties.anomalousSoftware.callerUserAgent` viene mappato al campo UDM `network.http.user_agent`.
`sourceProperties.properties.callerUserAgent`	`network.http.user_agent`	Se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.callerUserAgent` viene mappato al campo UDM `network.http.user_agent`.
`access.userAgentFamily`	`network.http.user_agent`
`finding.access.userAgent`	`network.http.user_agent`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent`	`network.http.user_agent`	Se il valore del campo log `category` è uguale a `Discovery: Service Account Self-Investigation`, il campo log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent` viene mappato al campo UDM `network.http.user_agent`.
sourceProperties.properties.ipConnection.protocol	network.ip_protocol	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, il campo UDM `network.ip_protocol` è impostato su uno dei seguenti valori: `ICMP` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `1` o `ICMP`. `IGMP` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `2` o `IGMP`. `TCP` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `6` o `TCP`. `UDP` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `17` o `UDP`. `IP6IN4` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `41` o `IP6IN4`. `GRE` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `47` o `GRE`. `ESP` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `50` o `ESP`. `EIGRP` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `88` o `EIGRP`. `ETHERIP` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `97` o `ETHERIP`. `PIM` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `103` o `PIM`. `VRRP` quando sono soddisfatte le seguenti condizioni: Il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a `112` o `VRRP`. `UNKNOWN_IP_PROTOCOL` se il valore del campo log `sourceProperties.properties.ipConnection.protocol` è uguale a qualsiasi altro valore.
`sourceProperties.properties.indicatorContext.organizationName`	`network.organization_name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, il campo log `sourceProperties.properties.indicatorContext.organizationName` viene mappato al campo UDM `network.organization_name`.
`sourceProperties.properties.anomalousSoftware.behaviorPeriod`	`network.session_duration`	Se il valore del campo log `category` è uguale a `Persistence: New User Agent`, il campo log `sourceProperties.properties.anomalousSoftware.behaviorPeriod` viene mappato al campo UDM `network.session_duration`.
`sourceProperties.properties.sourceIp`	`principal.ip`	Se il valore del campo del log `category` corrisponde all'espressione regolare `Active Scan: Log4j Vulnerable to RCE`, il campo del log `sourceProperties.properties.sourceIp` viene mappato al campo UDM `principal.ip`.
`sourceProperties.properties.attempts.sourceIp`	`principal.ip`	Se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.sourceIp` viene mappato al campo UDM `principal.ip`.
`access.callerIp`	`principal.ip`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control` o `access.callerIp` o `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Restore Backup to External Organization` o `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, il campo log `access.callerIp` è mappato al campo UDM `principal.ip`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp`	`principal.ip`	Se il valore del campo log `category` è uguale a `Discovery: Service Account Self-Investigation`, il campo log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp` viene mappato al campo UDM `principal.ip`.
`sourceProperties.properties.changeFromBadIp.ip`	`principal.ip`	Se il valore del campo log `category` è uguale a `Evasion: Access from Anonymizing Proxy`, il campo log `sourceProperties.properties.changeFromBadIp.ip` viene mappato al campo UDM `principal.ip`.
`sourceProperties.properties.dnsContexts.sourceIp`	`principal.ip`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Cryptomining Bad Domain`, il campo log `sourceProperties.properties.dnsContexts.sourceIp` viene mappato al campo UDM `principal.ip`.
`sourceProperties.properties.ipConnection.srcIp`	`principal.ip`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, il campo log `sourceProperties.properties.ipConnection.srcIp` è mappato al campo UDM `principal.ip`.
`sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress`	`principal.ip`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` e il valore del campo log `sourceProperties.properties.ipConnection.srcIp` non è uguale a `sourceProperties.properties.indicatorContext.ipAddress`, il campo log `sourceProperties.properties.indicatorContext.ipAddress` è mappato al campo UDM `principal.ip`.
`sourceProperties.properties.anomalousLocation.callerIp`	`principal.ip`	Se il valore del campo log `category` è uguale a `Persistence: New Geography`, il campo log `sourceProperties.properties.anomalousLocation.callerIp` viene mappato al campo UDM `principal.ip`.
`sourceProperties.properties.scannerDomain`	`principal.labels [sourceProperties_properties_scannerDomain]` (deprecato)	Se il valore del campo del log `category` corrisponde all'espressione regolare `Active Scan: Log4j Vulnerable to RCE`, il campo del log `sourceProperties.properties.scannerDomain` viene mappato al campo UDM `principal.labels.key/value`.
`sourceProperties.properties.scannerDomain`	`additional.fields [sourceProperties_properties_scannerDomain]`	Se il valore del campo del log `category` corrisponde all'espressione regolare `Active Scan: Log4j Vulnerable to RCE`, il campo del log `sourceProperties.properties.scannerDomain` viene mappato al campo UDM `additional.fields.value.string_value`.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState]` (deprecato)	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.jobState` viene mappato al campo `principal.labels.key/value` e UDM.
`sourceProperties.properties.dataExfiltrationAttempt.jobState`	`additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.jobState` viene mappato al campo UDM `additional.fields.value.string_value`.
`access.callerIpGeo.regionCode`	`principal.location.country_or_region`
`sourceProperties.properties.indicatorContext.countryCode`	`principal.location.country_or_region`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, il campo log `sourceProperties.properties.indicatorContext.countryCode` viene mappato al campo UDM `principal.location.country_or_region`.
`sourceProperties.properties.dataExfiltrationAttempt.job.location`	`principal.location.country_or_region`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.job.location` viene mappato al campo UDM `principal.location.country_or_region`.
`sourceProperties.properties.extractionAttempt.job.location`	`principal.location.country_or_region`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.job.location` è mappato al campo UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier`	`principal.location.country_or_region`	Se il valore del campo log `category` è uguale a `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, il campo log `sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier` viene mappato al campo UDM `principal.location.country_or_region`.
`sourceProperties.properties.anomalousLocation.anomalousLocation`	`principal.location.name`	Se il valore del campo log `category` è uguale a `Persistence: IAM Anomalous Grant`, il campo log `sourceProperties.properties.anomalousLocation.anomalousLocation` viene mappato al campo UDM `principal.location.name`.
`sourceProperties.properties.ipConnection.srcPort`	`principal.port`	Se il valore del campo log `category` è uguale a `Malware: Bad IP` o `Malware: Outgoing DoS`, il campo log `sourceProperties.properties.ipConnection.srcPort` viene mappato al campo UDM `principal.port`.
`sourceProperties.properties.extractionAttempt.jobLink`	`principal.process.file.full_path`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.jobLink` viene mappato al campo UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.jobLink`	`principal.process.file.full_path`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.jobLink` viene mappato al campo UDM `principal.process.file.full_path`.
`sourceProperties.properties.dataExfiltrationAttempt.job.jobId`	`principal.process.pid`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.job.jobId` viene mappato al campo UDM `principal.process.pid`.
`sourceProperties.properties.extractionAttempt.job.jobId`	`principal.process.pid`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.job.jobId` viene mappato al campo UDM `principal.process.pid`.
`sourceProperties.properties.srcVpc.subnetworkName`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, il campo log `sourceProperties.properties.srcVpc.subnetworkName` viene mappato al campo UDM `principal.resource_ancestors.attribute.labels.value`.
`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	`principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId]`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, il campo log `sourceProperties.properties.srcVpc.projectId` viene mappato al campo UDM `principal.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.srcVpc.vpcName`	`principal.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `principal.resource_ancestors.name` e il campo UDM `principal.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Se il valore del campo del log `message` corrisponde all'espressione regolare `sourceProperties.sourceId.*?customerOrganizationNumber`, il campo del log `sourceProperties.sourceId.customerOrganizationNumber` viene mappato al campo UDM `principal.resource.attribute.labels.key/value`.
`resource.projectName`	`principal.resource.name`
`sourceProperties.properties.projectId`	`principal.resource.name`	Se il valore del campo log `sourceProperties.properties.projectId` non è vuoto, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `principal.resource.name`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId`	`principal.resource.name`	Se il valore del campo log `category` è uguale a `Discovery: Service Account Self-Investigation`, il campo log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId` viene mappato al campo UDM `principal.resource.name`.
`sourceProperties.properties.sourceInstanceDetails`	`principal.resource.name`	Se il valore del campo log `category` è uguale a `Malware: Outgoing DoS`, il campo log `sourceProperties.properties.sourceInstanceDetails` viene mappato al campo UDM `principal.resource.name`.
	`principal.user.account_type`	Se il valore del campo log `access.principalSubject` corrisponde all'espressione regolare `serviceAccount`, il campo UDM `principal.user.account_type` viene impostato su `SERVICE_ACCOUNT_TYPE`. In caso contrario, se il valore del campo log `access.principalSubject` corrisponde all'espressione regolare `user`, il campo UDM `principal.user.account_type` viene impostato su `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent`	`principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent]`	Se il valore del campo log `category` è uguale a `Discovery: Service Account Self-Investigation`, il campo UDM `principal.user.attribute.labels.key` viene impostato su `rawUserAgent` e il campo log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent` viene mappato al campo UDM `principal.user.attribute.labels.value`.
`sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Discovery: Service Account Self-Investigation`, il campo log `sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.changeFromBadIp.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Evasion: Access from Anonymizing Proxy`, il campo log `sourceProperties.properties.changeFromBadIp.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.dataExfiltrationAttempt.userEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.userEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive` o `Initial Access: Account Disabled Hijacked` o `Initial Access: Disabled Password Leak` o `Initial Access: Government Based Attack` o `Impair Defenses: Strong Authentication Disabled` o `Impair Defenses: Two Step Verification Disabled` o `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, il campo log `sourceProperties.properties.principalEmail` è mappato al campo UDM `principal.user.email_addresses`. Se il valore del campo log `category` è uguale a `Initial Access: Suspicious Login Blocked`, il campo log `sourceProperties.properties.principalEmail` è mappato al campo UDM `principal.user.email_addresses`.
`access.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control` o `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Restore Backup to External Organization` o `Persistence: New Geography`, il campo log `access.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Persistence: IAM Anomalous Grant`, il campo log `sourceProperties.properties.sensitiveRoleGrant.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousSoftware.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Persistence: New User Agent`, il campo log `sourceProperties.properties.anomalousSoftware.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.exportToGcs.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.restoreToExternalInstance.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`access.serviceAccountDelegationInfo.principalEmail`	`principal.user.email_addresses`
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Persistence: IAM Anomalous Grant`, il campo log `sourceProperties.properties.customRoleSensitivePermissions.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.anomalousLocation.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Persistence: New Geography`, il campo log `sourceProperties.properties.anomalousLocation.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Credential Access: External Member Added To Privileged Group`, il campo log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Credential Access: Privileged Group Opened To Public`, il campo log `sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Credential Access: Sensitive Role Granted To Hybrid Group`, il campo log `sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.vpcViolation.userEmail`	`principal.user.email_addresses`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.vpcViolation.userEmail` viene mappato al campo UDM `principal.user.email_addresses`.
`sourceProperties.properties.ssoState`	`principal.user.user_authentication_status`	Se il valore del campo log `category` è uguale a `Initial Access: Account Disabled Hijacked` o `Initial Access: Disabled Password Leak` o `Initial Access: Government Based Attack` o `Initial Access: Suspicious Login Blocked` o `Impair Defenses: Two Step Verification Disabled` o `Persistence: SSO Enablement Toggle`, il campo log `sourceProperties.properties.ssoState` è mappato al campo UDM `principal.user.user_authentication_status`.
`database.userName`	`principal.user.userid`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Over-Privileged Grant`, il campo log `database.userName` viene mappato al campo UDM `principal.user.userid`.
`sourceProperties.properties.threatIntelligenceSource`	`security_result.about.application`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.threatIntelligenceSource` viene mappato al campo UDM `security_result.about.application`.
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.properties.attempts.sourceIp`	`security_result.about.ip`	Se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.sourceIp` viene mappato al campo UDM `security_result.about.ip`.
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
`sourceProperties.properties.delta.restrictedResources.resourceName`	`security_result.about.resource.name`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName` viene mappato al campo UDM `security_result.about.resource.name`. Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.delta.restrictedResources.resourceName` viene mappato al campo UDM `security_result.about.resource.name` e il campo UDM `security_result.about.resource_type` viene impostato su `CLOUD_PROJECT`.
`sourceProperties.properties.delta.allowedServices.serviceName`	`security_result.about.resource.name`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.delta.allowedServices.serviceName` viene mappato al campo UDM `security_result.about.resource.name` e il campo UDM `security_result.about.resource_type` viene impostato su `BACKEND_SERVICE`.
`sourceProperties.properties.delta.restrictedServices.serviceName`	`security_result.about.resource.name`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.delta.restrictedServices.serviceName` viene mappato al campo UDM `security_result.about.resource.name` e il campo UDM `security_result.about.resource_type` viene impostato su `BACKEND_SERVICE`.
`sourceProperties.properties.delta.accessLevels.policyName`	`security_result.about.resource.name`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.delta.accessLevels.policyName` viene mappato al campo UDM `security_result.about.resource.name` e il campo UDM `security_result.about.resource_type` viene impostato su `ACCESS_POLICY`.
	`security_result.about.user.attribute.roles.name`	Se il valore del campo log `message` corrisponde all'espressione regolare `contacts.?security`, il campo UDM `security_result.about.user.attribute.roles.name` viene impostato su `security`. Se il valore del campo log `message` corrisponde all'espressione regolare `contacts.?technical`, il campo UDM `security_result.about.user.attribute.roles.name` viene impostato su `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.action`	Se il valore del campo log `category` è uguale a `Initial Access: Suspicious Login Blocked`, il campo UDM `security_result.action` viene impostato su `BLOCK`. Se il valore del campo log `category` è uguale a `Brute Force: SSH` e il valore del campo log `sourceProperties.properties.attempts.authResult` è uguale a `SUCCESS`, il campo UDM `security_result.action` viene impostato su `BLOCK`. In caso contrario, il campo UDM `security_result.action` viene impostato su `BLOCK`.
`sourceProperties.properties.delta.restrictedResources.action`	`security_result.action_details`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.delta.restrictedResources.action` viene mappato al campo UDM `security_result.action_details`.
`sourceProperties.properties.delta.restrictedServices.action`	`security_result.action_details`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.delta.restrictedServices.action` viene mappato al campo UDM `security_result.action_details`.
`sourceProperties.properties.delta.allowedServices.action`	`security_result.action_details`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.delta.allowedServices.action` viene mappato al campo UDM `security_result.action_details`.
`sourceProperties.properties.delta.accessLevels.action`	`security_result.action_details`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.delta.accessLevels.action` viene mappato al campo UDM `security_result.action_details`.
	`security_result.alert_state`	Se il valore del campo log `state` è uguale a `ACTIVE`, il campo UDM `security_result.alert_state` viene impostato su `ALERTING`. In caso contrario, il campo UDM `security_result.alert_state` viene impostato su `NOT_ALERTING`.
`findingClass`	`security_result.catgory_details`	Il campo del log `findingClass - category` è mappato al campo UDM `security_result.catgory_details`.
`category`	`security_result.catgory_details`	Il campo del log `findingClass - category` è mappato al campo UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Se il valore del campo log `mute` è uguale a `MUTED` o `UNMUTED`, il campo log `muteInitiator` viene mappato al campo UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Se il valore del campo log `mute` è uguale a `MUTED` o `UNMUTED`, il campo log `muteUpdateTimer` viene mappato al campo UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification`	`security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification]`	Se il valore del campo log `category` è uguale a `Persistence: New User Agent`, il campo log `sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.attempts.authResult`	`security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult]`	Se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.authResult` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.indicatorType`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.indicator.indicatorType` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_industry`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.customer_industry` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.customer_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.customer_name` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.lasthit`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.lasthit` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.myVote`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.source`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.myVote` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.support_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.support_id` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_class_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.tag_class_id` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_id` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.tag_name`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.tag_name` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.upVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.upVotes` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.properties.autofocusContextCards.tags.downVotes`	`security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.downVotes` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE` o `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Over-Privileged Grant` o `Exfiltration: CloudSQL Restore Backup to External Organization` o `Initial Access: Log4j Compromise Attempt` o `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP` o `Persistence: IAM Anomalous Grant`, il campo UDM `security_result.detection_fields.key` è impostato su `sourceProperties_contextUris_relatedFindingUri_url` e il campo log `sourceProperties.contextUris.relatedFindingUri.url` è mappato al campo UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP`, il campo log `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` viene mappato al campo UDM `security_result.detection_fields.key` e il campo log `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Se il valore del campo log `category` è uguale a `Initial Access: Account Disabled Hijacked` o `Initial Access: Disabled Password Leak` o `Initial Access: Government Based Attack` o `Initial Access: Suspicious Login Blocked` o `Impair Defenses: Strong Authentication Disabled` o `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, il campo log `sourceProperties.contextUris.workspacesUri.displayName` viene mappato al campo UDM `security_result.detection_fields.key` e il campo log `sourceProperties.contextUris.workspacesUri.url` viene mappato al campo UDM `security_result.detection_fields.key/value`.
`sourceProperties.properties.autofocusContextCards.tags.public_tag_name`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.public_tag_name` viene mappato al campo UDM `intermediary.labels.key`.
`sourceProperties.properties.autofocusContextCards.tags.description`	`security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.tags.description` viene mappato al campo UDM `intermediary.labels.value`.
`sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal`	`security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, il campo log `sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal` viene mappato al campo UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value[create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Se il valore del campo log `sourceProperties.detectionPriority` è uguale a `HIGH`, il campo UDM `security_result.priority` viene impostato su `HIGH_PRIORITY`. In caso contrario, se il valore del campo log `sourceProperties.detectionPriority` è uguale a `MEDIUM`, il campo UDM `security_result.priority` viene impostato su `MEDIUM_PRIORITY`. In caso contrario, se il valore del campo log `sourceProperties.detectionPriority` è uguale a `LOW`, il campo UDM `security_result.priority` viene impostato su `LOW_PRIORITY`.
`sourceProperties.detectionPriority`	`security_result.priority_details`
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`sourceProperties.properties.vpcViolation.violationReason`	`security_result.summary`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Exfiltration`, il campo log `sourceProperties.properties.vpcViolation.violationReason` viene mappato al campo UDM `security_result.summary`.
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Over-Privileged Grant`, il campo log `database.query` viene mappato al campo UDM `src.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.folders.resourceFolderDisplayName` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.parentDisplayName` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.parentName` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.projectDisplayName` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri`	`src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.value`.
`parent`	`src.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, il campo log `parent` è mappato al campo UDM `src.resource_ancestors.name`.
`sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId`	`src.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId` viene mappato al campo UDM `src.resource_ancestors.name` e il campo UDM `src.resource_ancestors.resource_type` viene impostato su `TABLE`.
`resourceName`	`src.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `resourceName` viene mappato al campo UDM `src.resource_ancestors.name`.
`resource.folders.resourceFolder`	`src.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.folders.resourceFolder` viene mappato al campo UDM `src.resource_ancestors.name`.
`sourceProperties.sourceId.customerOrganizationNumber`	`src.resource_ancestors.product_object_id`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.sourceId.customerOrganizationNumber` è mappato al campo UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.projectNumber`	`src.resource_ancestors.product_object_id`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.sourceId.projectNumber` è mappato al campo UDM `src.resource_ancestors.product_object_id`.
`sourceProperties.sourceId.organizationNumber`	`src.resource_ancestors.product_object_id`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.sourceId.organizationNumber` è mappato al campo UDM `src.resource_ancestors.product_object_id`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.type` viene mappato al campo UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Over-Privileged Grant`, il campo log `database.displayName` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Over-Privileged Grant`, il campo UDM `src.resource.attribute.labels.key` viene impostato su `grantees` e il campo log `database.grantees` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.displayName` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`principal.hostname`	Se il valore del campo di log `resource.type` corrisponde al pattern di espressione regolare `(?i)google.compute.Instance or google.container.Cluster`, il campo di log `resource.displayName` viene mappato al campo UDM `principal.hostname`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.display_name` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.datasetId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.sourceTable.datasetId` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.projectId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.sourceTable.projectId` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.sourceTable.resourceUri`	`src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.sourceTable.resourceUri` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`sourceProperties.properties.restoreToExternalInstance.backupId`	`src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId]`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.backupId` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, il campo log `src.resource.attribute.labels.key/value` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.sources.name` viene mappato al campo UDM `src.resource.name` e il campo log `resourceName` viene mappato al campo UDM `src.resource_ancestors.name`.
`sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource`	`src.resource.name`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` viene mappato al campo UDM `src.resource.name` e il campo UDM `src.resource.resource_subtype` viene impostato su `CloudSQL`.
`sourceProperties.properties.exportToGcs.cloudsqlInstanceResource`	`src.resource.name`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource` viene mappato al campo UDM `src.resource.name` e il campo UDM `src.resource.resource_subtype` viene impostato su `CloudSQL`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.cloudsqlInstanceResource` viene mappato al campo UDM `src.resource.name` e il campo UDM `src.resource.resource_subtype` viene impostato su `CloudSQL`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.sources.name` viene mappato al campo UDM `src.resource.name` e il campo log `resourceName` viene mappato al campo UDM `src.resource_ancestors.name`.
`sourceProperties.properties.extractionAttempt.sourceTable.tableId`	`src.resource.product_object_id`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.sourceTable.tableId` viene mappato al campo UDM `src.resource.product_object_id`.
`access.serviceName`	`target.application`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control` o `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Restore Backup to External Organization` o `Exfiltration: CloudSQL Over-Privileged Grant` o `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, il campo log `access.serviceName` è mappato al campo UDM `target.application`.
`sourceProperties.properties.serviceName`	`target.application`	Se il valore del campo log `category` è uguale a `Initial Access: Account Disabled Hijacked` o `Initial Access: Disabled Password Leak` o `Initial Access: Government Based Attack` o `Initial Access: Suspicious Login Blocked` o `Impair Defenses: Strong Authentication Disabled` o `Impair Defenses: Two Step Verification Disabled` o `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, il campo log `sourceProperties.properties.serviceName` è mappato al campo UDM `target.application`.
`sourceProperties.properties.domainName`	`target.domain.name`	Se il valore del campo log `category` è uguale a `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, il campo log `sourceProperties.properties.domainName` viene mappato al campo UDM `target.domain.name`.
`sourceProperties.properties.domains.0`	`target.domain.name`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain`, `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.domains.0` è mappato al campo UDM `target.domain.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action]`	Se il valore del campo log `category` è uguale a `Persistence: IAM Anomalous Grant`, il campo log `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action` viene mappato al campo UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action`	`target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action]`	Se il valore del campo log `category` è uguale a `Credential Access: Sensitive Role Granted To Hybrid Group`, il campo log `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action` viene mappato al campo UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member]`	Se il valore del campo log `category` è uguale a `Persistence: IAM Anomalous Grant`, il campo log `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member` viene mappato al campo UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member`	`target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup]`	Se il valore del campo log `category` è uguale a `Credential Access: Sensitive Role Granted To Hybrid Group`, il campo log `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member` viene mappato al campo UDM `target.group.attribute.labels.key/value`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin`	`target.group.attribute.permissions.name`	Se il valore del campo log `category` è uguale a `Credential Access: Privileged Group Opened To Public`, il campo log `sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin` viene mappato al campo UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.customRoleSensitivePermissions.permissions`	`target.group.attribute.permissions.name`	Se il valore del campo log `category` è uguale a `Persistence: IAM Anomalous Grant`, il campo log `sourceProperties.properties.customRoleSensitivePermissions.permissions` viene mappato al campo UDM `target.group.attribute.permissions.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Se il valore del campo log `category` è uguale a `Credential Access: External Member Added To Privileged Group`, il campo log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName` viene mappato al campo UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role`	`target.group.attribute.roles.name`	Se il valore del campo log `category` è uguale a `Credential Access: Sensitive Role Granted To Hybrid Group`, il campo log `sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role` viene mappato al campo UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role`	`target.group.attribute.roles.name`	Se il valore del campo log `category` è uguale a `Persistence: IAM Anomalous Grant`, il campo log `sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role` viene mappato al campo UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName`	`target.group.attribute.roles.name`	Se il valore del campo log `category` è uguale a `Credential Access: Privileged Group Opened To Public`, il campo log `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName` viene mappato al campo UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.customRoleSensitivePermissions.roleName`	`target.group.attribute.roles.name`	Se il valore del campo log `category` è uguale a `Persistence: IAM Anomalous Grant`, il campo log `sourceProperties.properties.customRoleSensitivePermissions.roleName` viene mappato al campo UDM `target.group.attribute.roles.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName`	`target.group.group_display_name`	Se il valore del campo log `category` è uguale a `Credential Access: External Member Added To Privileged Group`, il campo log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName` viene mappato al campo UDM `target.group.group_display_name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.groupName`	`target.group.group_display_name`	Se il valore del campo log `category` è uguale a `Credential Access: Privileged Group Opened To Public`, il campo log `sourceProperties.properties.privilegedGroupOpenedToPublic.groupName` viene mappato al campo UDM `target.group.group_display_name`.
`sourceProperties.properties.sensitiveRoleToHybridGroup.groupName`	`target.group.group_display_name`	Se il valore del campo log `category` è uguale a `Credential Access: Sensitive Role Granted To Hybrid Group`, il campo log `sourceProperties.properties.sensitiveRoleToHybridGroup.groupName` viene mappato al campo UDM `target.group.group_display_name`.
`sourceProperties.properties.ipConnection.destIp`	`target.ip`	Se il valore del campo log `category` è uguale a `Malware: Bad IP`, `Malware: Cryptomining Bad IP` o `Malware: Outgoing DoS`, il campo log `sourceProperties.properties.ipConnection.destIp` è mappato al campo UDM `target.ip`.
`access.methodName`	`target.labels [access_methodName]` (deprecato)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (deprecato)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (deprecato)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (deprecato)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (deprecato)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (deprecato)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (deprecato)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (deprecato)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (deprecato)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (deprecato)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (deprecato)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (deprecato)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (deprecato)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (deprecato)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`sourceProperties.properties.methodName`	`target.labels [sourceProperties_properties_methodName]` (deprecato)	Se il valore del campo log `category` è uguale a `Impair Defenses: Strong Authentication Disabled` o `Initial Access: Government Based Attack` o `Initial Access: Suspicious Login Blocked` o `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, il campo log `sourceProperties.properties.methodName` viene mappato al campo UDM `target.labels.value`.
`sourceProperties.properties.methodName`	`additional.fields [sourceProperties_properties_methodName]`	Se il valore del campo log `category` è uguale a `Impair Defenses: Strong Authentication Disabled` o `Initial Access: Government Based Attack` o `Initial Access: Suspicious Login Blocked` o `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, il campo log `sourceProperties.properties.methodName` è mappato al campo UDM `additional.fields.value.string_value`.
`sourceProperties.properties.network.location`	`target.location.name`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.network.location` è mappato al campo UDM `target.location.name`.
`processes.parentPid`	`target.parent_process.pid`
`sourceProperties.properties.ipConnection.destPort`	`target.port`	Se il valore del campo log `category` è uguale a `Malware: Bad IP` o `Malware: Outgoing DoS`, il campo log `sourceProperties.properties.ipConnection.destPort` viene mappato al campo UDM `target.port`.
`sourceProperties.properties.dataExfiltrationAttempt.query`	`target.process.command_line`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.query` viene mappato al campo UDM `target.process.command_line`.
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`	Il campo di log `containers.labels.name` è mappato al campo UDM `target.resource_ancestors.attribute.labels.key` e il campo di log `containers.labels.value` è mappato al campo UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.projectId`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId]`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, il campo log `sourceProperties.properties.destVpc.projectId` viene mappato al campo UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.destVpc.subnetworkName`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName]`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP`, il campo log `sourceProperties.properties.destVpc.subnetworkName` viene mappato al campo UDM `target.resource_ancestors.attribute.labels.value`.
`sourceProperties.properties.network.subnetworkName`	`target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `sourceProperties.properties.network.subnetworkName` viene mappato al campo UDM `target.resource_ancestors.value`.
`sourceProperties.properties.network.subnetworkId`	`target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId]`	Se il valore del campo log `category` è uguale a `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `sourceProperties.properties.network.subnetworkId` viene mappato al campo UDM `target.resource_ancestors.value`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo log `sourceProperties.properties.vpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VPC_NETWORK`. In caso contrario, se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE`, il campo log `sourceProperties.properties.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Increasing Deny Ratio` o `Allowed Traffic Spike`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`sourceProperties.properties.destVpc.vpcName`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo log `sourceProperties.properties.vpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VPC_NETWORK`. In caso contrario, se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE`, il campo log `sourceProperties.properties.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Increasing Deny Ratio` o `Allowed Traffic Spike`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`sourceProperties.properties.vpcName`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo log `sourceProperties.properties.vpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VPC_NETWORK`. In caso contrario, se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE`, il campo log `sourceProperties.properties.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Increasing Deny Ratio` o `Allowed Traffic Spike`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo log `sourceProperties.properties.vpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VPC_NETWORK`. In caso contrario, se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE`, il campo log `sourceProperties.properties.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Increasing Deny Ratio` o `Allowed Traffic Spike`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`sourceProperties.properties.projectId`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo log `sourceProperties.properties.vpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VPC_NETWORK`. In caso contrario, se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE`, il campo log `sourceProperties.properties.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Increasing Deny Ratio` o `Allowed Traffic Spike`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`sourceProperties.properties.vpc.vpcName`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo log `sourceProperties.properties.vpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VPC_NETWORK`. In caso contrario, se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE`, il campo log `sourceProperties.properties.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Increasing Deny Ratio` o `Allowed Traffic Spike`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo log `sourceProperties.properties.vpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VPC_NETWORK`. In caso contrario, se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE`, il campo log `sourceProperties.properties.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Increasing Deny Ratio` o `Allowed Traffic Spike`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo log `sourceProperties.properties.vpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VPC_NETWORK`. In caso contrario, se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE`, il campo log `sourceProperties.properties.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Increasing Deny Ratio` o `Allowed Traffic Spike`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`containers.name`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo log `sourceProperties.properties.vpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VPC_NETWORK`. In caso contrario, se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE`, il campo log `sourceProperties.properties.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Increasing Deny Ratio` o `Allowed Traffic Spike`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Credential Access: External Member Added To Privileged Group`, il campo log `sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource` viene mappato al campo UDM `target.resource_ancestors.name`.
`sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Credential Access: Privileged Group Opened To Public`, il campo log `sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource` viene mappato al campo UDM `target.resource_ancestors.name`.
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Cryptomining Bad IP` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.destVpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo log `sourceProperties.properties.vpc.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VPC_NETWORK`. In caso contrario, se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE`, il campo log `sourceProperties.properties.vpcName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Increasing Deny Ratio` o `Allowed Traffic Spike`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`sourceProperties.properties.gceInstanceId`	`target.resource_ancestors.product_object_id`	Se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, il campo log `sourceProperties.properties.gceInstanceId` viene mappato al campo UDM `target.resource_ancestors.product_object_id` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`	Se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`	Se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`.
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`	Se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`.
`containers.imageId`	`target.resource_ancestors.product_object_id`	Se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added Startup Script` o `Persistence: GCE Admin Added SSH Key`, il campo UDM `target.resource_ancestors.resource_type` è impostato su `VIRTUAL_MACHINE`.
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.zone` viene mappato al campo UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	`finding_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok. Se il valore del campo log `finding_id` è non vuoto, il campo log `finding_id` viene mappato al campo UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Se il valore del campo log `finding_id` non è vuoto, il campo log `finding_id` viene mappato al campo UDM `src.resource.attribute.labels.key/value [finding_id]`. Se il valore del campo del log `category` è uguale a uno dei seguenti valori, `finding_id` viene estratto dal campo del log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Se il valore del campo log `source_id` non è vuoto, il campo log `source_id` viene mappato al campo UDM `src.resource.product_object_id`. Se il valore del campo log `category` è uguale a uno dei seguenti valori, `source_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Se il valore del campo log `source_id` non è vuoto, il campo log `source_id` viene mappato al campo UDM `src.resource.attribute.labels.key/value [source_id]`. Se il valore del campo log `category` è uguale a uno dei seguenti valori, `source_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Se il valore del campo log `finding_id` non è vuoto, il campo log `finding_id` viene mappato al campo UDM `target.resource.attribute.labels.key/value [finding_id]`. Se il valore del campo log `category` non è uguale a uno dei seguenti valori, `finding_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Se il valore del campo log `source_id` non è vuoto, il campo log `source_id` viene mappato al campo UDM `target.resource.product_object_id`. Se il valore del campo log `category` non è uguale a uno dei seguenti valori, `source_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Se il valore del campo log `source_id` non è vuoto, il campo log `source_id` viene mappato al campo UDM `target.resource.attribute.labels.key/value [source_id]`. Se il valore del campo log `category` non è uguale a uno dei seguenti valori, `source_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.exportToGcs.exportScope`	`target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope]`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo UDM `target.resource.attribute.labels.key` viene impostato su `exportScope` e il campo log `sourceProperties.properties.exportToGcs.exportScope` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.objectName`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.objectName` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.extractionAttempt.destinations.originalUri`	`target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.originalUri` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`sourceProperties.properties.metadataKeyOperation`	`target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation]`	Se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.metadataKeyOperation` viene mappato al campo UDM `target.resource.attribute.labels.key/value`.
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, il campo log `exfiltration.targets.components` viene mappato al campo UDM `target.resource.attribute.labels.key/value`.
`sourceProperties.properties.exportToGcs.bucketAccess`	`target.resource.attribute.permissions.name`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.bucketAccess` viene mappato al campo UDM `target.resource.attribute.permissions.name`.
`sourceProperties.properties.name`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.bucketResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.vmName` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.instanceDetails` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.collectionName` è mappato al campo UDM `target.resource.attribute.name` e il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name` e il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` è mappato al campo UDM `target.resource.attribute.labels` e il campo UDM `target.resource.resource_type` è impostato su `TABLE`. In caso contrario, il campo log `resourceName` è mappato al campo UDM `target.resource.name`.
`sourceProperties.properties.exportToGcs.bucketResource`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.bucketResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.vmName` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.instanceDetails` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.collectionName` è mappato al campo UDM `target.resource.attribute.name` e il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name` e il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` è mappato al campo UDM `target.resource.attribute.labels` e il campo UDM `target.resource.resource_type` è impostato su `TABLE`. In caso contrario, il campo log `resourceName` è mappato al campo UDM `target.resource.name`.
`sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.bucketResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.vmName` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.instanceDetails` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.collectionName` è mappato al campo UDM `target.resource.attribute.name` e il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name` e il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` è mappato al campo UDM `target.resource.attribute.labels` e il campo UDM `target.resource.resource_type` è impostato su `TABLE`. In caso contrario, il campo log `resourceName` è mappato al campo UDM `target.resource.name`.
`resourceName`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.bucketResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.vmName` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.instanceDetails` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.collectionName` è mappato al campo UDM `target.resource.attribute.name` e il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name` e il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` è mappato al campo UDM `target.resource.attribute.labels` e il campo UDM `target.resource.resource_type` è impostato su `TABLE`. In caso contrario, il campo log `resourceName` è mappato al campo UDM `target.resource.name`.
`sourceProperties.properties.attempts.vmName`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.bucketResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.vmName` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.instanceDetails` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.collectionName` è mappato al campo UDM `target.resource.attribute.name` e il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name` e il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` è mappato al campo UDM `target.resource.attribute.labels` e il campo UDM `target.resource.resource_type` è impostato su `TABLE`. In caso contrario, il campo log `resourceName` è mappato al campo UDM `target.resource.name`.
`sourceProperties.properties.instanceDetails`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.bucketResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.vmName` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.instanceDetails` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.collectionName` è mappato al campo UDM `target.resource.attribute.name` e il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name` e il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` è mappato al campo UDM `target.resource.attribute.labels` e il campo UDM `target.resource.resource_type` è impostato su `TABLE`. In caso contrario, il campo log `resourceName` è mappato al campo UDM `target.resource.name`.
`sourceProperties.properties.extractionAttempt.destinations.collectionName`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.bucketResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.vmName` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.instanceDetails` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.collectionName` è mappato al campo UDM `target.resource.attribute.name` e il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name` e il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` è mappato al campo UDM `target.resource.attribute.labels` e il campo UDM `target.resource.resource_type` è impostato su `TABLE`. In caso contrario, il campo log `resourceName` è mappato al campo UDM `target.resource.name`.
`sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.bucketResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.vmName` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.instanceDetails` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.collectionName` è mappato al campo UDM `target.resource.attribute.name` e il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name` e il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` è mappato al campo UDM `target.resource.attribute.labels` e il campo UDM `target.resource.resource_type` è impostato su `TABLE`. In caso contrario, il campo log `resourceName` è mappato al campo UDM `target.resource.name`.
`exfiltration.targets.name`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.bucketResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Restore Backup to External Organization`, il campo log `sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.vmName` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a Malware: Bad Domain o `Malware: Bad IP` o `Malware: Cryptomining Bad IP` o `Malware: Cryptomining Bad Domain` o `Configurable Bad Domain`, il campo log `sourceProperties.properties.instanceDetails` è mappato al campo UDM `target.resource.name` e il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource.resource_type` è impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.collectionName` è mappato al campo UDM `target.resource.attribute.name` e il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.target.name` è mappato al campo UDM `target.resource.name` e il campo log `sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId` è mappato al campo UDM `target.resource.attribute.labels` e il campo UDM `target.resource.resource_type` è impostato su `TABLE`. In caso contrario, il campo log `resourceName` è mappato al campo UDM `target.resource.name`.
`sourceProperties.properties.instanceId`	`target.resource.product_object_id`	Se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.instanceId` viene mappato al campo UDM `target.resource.product_object_id`.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]`
`sourceProperties.properties.extractionAttempt.destinations.collectionType`	`target.resource.resource_subtype`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.destinations.collectionName` viene mappato al campo UDM `target.resource.resource_subtype`. In caso contrario, se il valore del campo log `category` è uguale a `Credential Access: External Member Added To Privileged Group`, il campo UDM `target.resource.resource_subtype` viene impostato su `Privileged Group`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo UDM `target.resource.resource_subtype` viene impostato su `BigQuery`.
	`target.resource.resource_type`	Se il valore del campo log `sourceProperties.properties.extractionAttempt.destinations.collectionType` corrisponde all'espressione regolare `BUCKET`, il campo UDM `target.resource.resource_type` viene impostato su `STORAGE_BUCKET`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo UDM `target.resource.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo UDM `target.resource.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo UDM `target.resource.resource_type` viene impostato su `TABLE`.
`sourceProperties.properties.extractionAttempt.jobLink`	`target.url`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `sourceProperties.properties.extractionAttempt.jobLink` viene mappato al campo UDM `target.url`. Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction`, il campo log `sourceProperties.properties.extractionAttempt.jobLink` viene mappato al campo UDM `target.url`.
`sourceProperties.properties.exportToGcs.gcsUri`	`target.url`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration`, il campo log `sourceProperties.properties.exportToGcs.gcsUri` viene mappato al campo UDM `target.url`.
`sourceProperties.properties.requestUrl`	`target.url`	Se il valore del campo log `category` è uguale a `Initial Access: Log4j Compromise Attempt`, il campo log `sourceProperties.properties.requestUrl` viene mappato al campo UDM `target.url`.
`sourceProperties.properties.policyLink`	`target.url`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control`, il campo log `sourceProperties.properties.policyLink` viene mappato al campo UDM `target.url`.
`sourceProperties.properties.anomalousLocation.notSeenInLast`	`target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast]`	Se il valore del campo log `category` è uguale a `Persistence: New Geography`, il campo log `sourceProperties.properties.anomalousLocation.notSeenInLast` viene mappato al campo UDM `target.user.attribute.labels.value`.
`sourceProperties.properties.attempts.username`	`target.user.userid`	Se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.attempts.username` viene mappato al campo UDM `target.user.userid`. Se il valore del campo log `category` è uguale a `Initial Access: Suspicious Login Blocked`, il campo log `userid` viene mappato al campo UDM `target.user.userid`.
`sourceProperties.properties.principalEmail`	`target.user.userid`	Se il valore del campo log `category` è uguale a `Initial Access: Suspicious Login Blocked`, il campo log `userid` viene mappato al campo UDM `target.user.userid`.
`sourceProperties.Added_Binary_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]`
`sourceProperties.Container_Creation_Timestamp.nanos`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]`
`sourceProperties.Container_Creation_Timestamp.seconds`	`target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]`
`sourceProperties.Container_Image_Id`	`target.resource_ancestors.product_object_id`
`sourceProperties.Container_Image_Uri`	`target.resource.attribute.labels[sourceProperties_Container_Image_Uri]`
`sourceProperties.Container_Name`	`target.resource_ancestors.name`
`sourceProperties.Environment_Variables`	`target.labels [Environment_Variables_name]` (deprecato)
`sourceProperties.Environment_Variables`	`additional.fields [Environment_Variables_name]`
	`target.labels [Environment_Variables_val]` (deprecato)
	`additional.fields [Environment_Variables_val]`
`sourceProperties.Kubernetes_Labels`	`target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]`
`sourceProperties.Parent_Pid`	`target.process.parent_process.pid`
`sourceProperties.Pid`	`target.process.pid`
`sourceProperties.Pod_Name`	`target.resource_ancestors.name`
`sourceProperties.Pod_Namespace`	`target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]`
`sourceProperties.Process_Arguments`	`target.process.command_line`
`sourceProperties.Process_Binary_Fullpath`	`target.process.file.full_path`
`sourceProperties.Process_Creation_Timestamp.nanos`	`target.labels [sourceProperties_Process_Creation_Timestamp_nanos]` (deprecato)
`sourceProperties.Process_Creation_Timestamp.nanos`	`additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]`
`sourceProperties.Process_Creation_Timestamp.seconds`	`target.labels [sourceProperties_Process_Creation_Timestamp_seconds]` (deprecato)
`sourceProperties.Process_Creation_Timestamp.seconds`	`additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]`
`sourceProperties.VM_Instance_Name`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Added Binary Executed` o `Added Library Loaded`, il campo log `sourceProperties.VM_Instance_Name` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource_ancestors.resource_type` viene impostato su `VIRTUAL_MACHINE`.
	`target.resource_ancestors.resource_type`
`resource.parent`	`target.resource_ancestors.attribute.labels.key/value [resource_project]`
`resource.project`	`target.resource_ancestors.attribute.labels.key/value [resource_parent]`
`sourceProperties.Added_Library_Fullpath`	`target.process.file.full_path`
`sourceProperties.Added_Library_Kind`	`target.resource.attribute.labels[sourceProperties_Added_Library_Kind`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`sourceProperties.Backend_Service`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Increasing Deny Ratio`, `Allowed Traffic Spike` o `Application DDoS Attack Attempt`, il campo log `sourceProperties.Backend_Service` viene mappato al campo UDM `target.resource.name` e il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`.
`sourceProperties.Long_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]`
`sourceProperties.Long_Term_Denied_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]`
`sourceProperties.Long_Term_Incoming_RPS`	`target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]`
`sourceProperties.properties.customProperties.domain_category`	`target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]`
`sourceProperties.Security_Policy`	`target.resource.attribute.labels[sourceProperties_Security_Policy]`
`sourceProperties.Short_Term_Allowed_RPS`	`target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]`
	`target.resource.resource_type`	Se il valore del campo log `category` è uguale a `Increasing Deny Ratio`, `Allowed Traffic Spike` o `Application DDoS Attack Attempt`, il campo UDM `target.resource.resource_type` viene impostato su `BACKEND_SERVICE`. Se il valore del campo log `category` è uguale a `Configurable Bad Domain`, il campo UDM `target.resource.resource_type` viene impostato su `VIRTUAL_MACHINE`.
	`is_alert`	Se il valore del campo log `state` è uguale a `ACTIVE`, se il valore del campo `mute_is_not_present` non è uguale a true e (il valore del campo log `mute` è uguale a `UNMUTED` o il valore del campo log `mute` è uguale a `UNDEFINED`), il campo UDM `is_alert` è impostato su `true`, altrimenti il campo UDM `is_alert` è impostato su `false`.
	`is_significant`	Se il valore del campo log `state` è uguale a `ACTIVE`, se il valore del campo `mute_is_not_present` non è uguale a true e (il valore del campo log `mute` è uguale a `UNMUTED` o il valore del campo log `mute` è uguale a `UNDEFINED`), il campo UDM `is_significant` è impostato su `true`, altrimenti il campo UDM `is_significant` è impostato su `false`.
`sourceProperties.properties.sensitiveRoleGrant.principalEmail`	`principal.user.userid`	Grok : `user_id` estratto dal campo del log `sourceProperties.properties.sensitiveRoleGrant.principalEmail`, quindi il campo `user_id` viene mappato al campo UDM `principal.user.userid`.
`sourceProperties.properties.customRoleSensitivePermissions.principalEmail`	`principal.user.userid`	Grok : `user_id` estratto dal campo del log `sourceProperties.properties.customRoleSensitivePermissions.principalEmail`, quindi il campo `user_id` viene mappato al campo UDM `principal.user.userid`.
`resourceName`	`principal.asset.location.name`	Se il valore del campo log `parentDisplayName` è uguale a `Virtual Machine Threat Detection`, Grok : estratto `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` dal campo log `resourceName`, il campo log `region` è mappato al campo UDM `principal.asset.location.name`.
`resourceName`	`principal.asset.product_object_id`	Se il valore del campo log `parentDisplayName` è uguale a `Virtual Machine Threat Detection`, Grok : estratto `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` dal campo log `resourceName`, il campo log `asset_prod_obj_id` viene mappato al campo UDM `principal.asset.product_object_id`.
`resourceName`	`principal.asset.attribute.cloud.availability_zone`	Se il valore del campo log `parentDisplayName` è uguale a `Virtual Machine Threat Detection`, Grok : estratto `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` dal campo log `resourceName`, il campo log `zone_suffix` viene mappato al campo UDM `principal.asset.attribute.cloud.availability_zone`.
`resourceName`	`principal.asset.attribute.labels[project_name]`	Se il valore del campo log `parentDisplayName` è uguale a `Virtual Machine Threat Detection`, Grok : estratto `project_name`, `region`, `zone_suffix`, `asset_prod_obj_id` dal campo log `resourceName`, il campo log `project_name` viene mappato al campo UDM `principal.asset.attribute.labels.value`.
`sourceProperties.threats.memory_hash_detector.detections.binary_name`	`security_result.detection_fields[binary_name]`
`sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched`	`security_result.detection_fields[percent_pages_matched]`
`sourceProperties.threats.memory_hash_detector.binary`	`security_result.detection_fields[memory_hash_detector_binary]`
`sourceProperties.threats.yara_rule_detector.yara_rule_name`	`security_result.detection_fields[yara_rule_name]`
`sourceProperties.Script_SHA256`	`target.resource.attribute.labels[script_sha256]`
`sourceProperties.Script_Content`	`target.resource.attribute.labels[script_content]`
`state`	`security_result.detection_fields[state]`
`assetDisplayName`	`target.asset.attribute.labels[asset_display_name]`
`assetId`	`target.asset.asset_id`
`findingProviderId`	`target.resource.attribute.labels[finding_provider_id]`
`sourceDisplayName`	`target.resource.attribute.labels[source_display_name]`
`processes.name`	`target.process.file.names`
target.labels[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Se il valore del campo log `category` è uguale a `Initial Access: Excessive Permission Denied Actions`, il campo log `sourceProperties.properties.failedActions.methodName` è mappato al campo UDM `target.labels`.
additional.fields[failedActions_methodName]	sourceProperties.properties.failedActions.methodName	Se il valore del campo log `category` è uguale a `Initial Access: Excessive Permission Denied Actions`, il campo log `sourceProperties.properties.failedActions.methodName` è mappato al campo UDM `additional.fields`.
target.labels[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Se il valore del campo log `category` è uguale a `Initial Access: Excessive Permission Denied Actions`, il campo log `sourceProperties.properties.failedActions.serviceName` è mappato al campo UDM `target.labels`.
additional.fields[failedActions_serviceName]	sourceProperties.properties.failedActions.serviceName	Se il valore del campo log `category` è uguale a `Initial Access: Excessive Permission Denied Actions`, il campo log `sourceProperties.properties.failedActions.serviceName` è mappato al campo UDM `additional.fields`.
target.labels[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Se il valore del campo log `category` è uguale a `Initial Access: Excessive Permission Denied Actions`, il campo log `sourceProperties.properties.failedActions.attemptTimes` è mappato al campo UDM `target.labels`.
additional.fields[failedActions_attemptTimes]	sourceProperties.properties.failedActions.attemptTimes	Se il valore del campo log `category` è uguale a `Initial Access: Excessive Permission Denied Actions`, il campo log `sourceProperties.properties.failedActions.attemptTimes` è mappato al campo UDM `additional.fields`.
target.labels[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Se il valore del campo log `category` è uguale a `Initial Access: Excessive Permission Denied Actions`, il `sourceProperties.properties.failedActions.lastOccurredTime` campo log viene mappato al campo UDM `target.labels`.
additional.fields[failedActions_lastOccurredTime]	sourceProperties.properties.failedActions.lastOccurredTime	Se il valore del campo log `category` è uguale a `Initial Access: Excessive Permission Denied Actions`, il campo log `sourceProperties.properties.failedActions.lastOccurredTime` viene mappato al campo UDM `additional.fields`.

Riferimento alla mappatura dei campi: identificatore evento al tipo di evento

Identificatore evento	Tipo di evento	Categoria di sicurezza
`Active Scan: Log4j Vulnerable to RCE`	`SCAN_UNCATEGORIZED`
`Brute Force: SSH`	`USER_LOGIN`	AUTH_VIOLATION
`Credential Access: External Member Added To Privileged Group`	`GROUP_MODIFICATION`
`Credential Access: Privileged Group Opened To Public`	`GROUP_MODIFICATION`
`Credential Access: Sensitive Role Granted To Hybrid Group`	`GROUP_MODIFICATION`
`Defense Evasion: Modify VPC Service Control`	`SERVICE_MODIFICATION`
`Discovery: Can get sensitive Kubernetes object checkPreview`	`SCAN_UNCATEGORIZED`
`Discovery: Service Account Self-Investigation`	`USER_UNCATEGORIZED`
`Evasion: Access from Anonymizing Proxy`	`SERVICE_MODIFICATION`
`Exfiltration: BigQuery Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data Extraction`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: BigQuery Data to Google Drive`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Data Exfiltration`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Over-Privileged Grant`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Exfiltration: CloudSQL Restore Backup to External Organization`	`USER_RESOURCE_ACCESS`	DATA_EXFILTRATION
`Impair Defenses: Strong Authentication Disabled`	`USER_CHANGE_PERMISSIONS`
`Impair Defenses: Two Step Verification Disabled`	`USER_CHANGE_PERMISSIONS`
`Initial Access: Account Disabled Hijacked`	`SETTING_MODIFICATION`
`Initial Access: Disabled Password Leak`	`SETTING_MODIFICATION`
`Initial Access: Government Based Attack`	`USER_UNCATEGORIZED`
`Initial Access: Log4j Compromise Attempt`	`SCAN_UNCATEGORIZED`	EXPLOIT
`Initial Access: Suspicious Login Blocked`	`USER_LOGIN`	ACL_VIOLATION
`Initial Access: Dormant Service Account Action`	`SCAN_UNCATEGORIZED`
`Log4j Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Log4j Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Bad IP`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad Domain`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Cryptomining Bad IP`	`NETWORK_CONNECTION`	SOFTWARE_MALICIOUS
`Malware: Outgoing DoS`	`NETWORK_CONNECTION`	NETWORK_DENIAL_OF_SERVICE
`Persistence: GCE Admin Added SSH Key`	`SETTING_MODIFICATION`
`Persistence: GCE Admin Added Startup Script`	`SETTING_MODIFICATION`
`Persistence: IAM Anomalous Grant`	`USER_UNCATEGORIZED`	POLICY_VIOLATION
`Persistence: New API MethodPreview`	`SCAN_UNCATEGORIZED`
`Persistence: New Geography`	`USER_RESOURCE_ACCESS`	NETWORK_SUSPICIOUS
`Persistence: New User Agent`	`USER_RESOURCE_ACCESS`
`Persistence: SSO Enablement Toggle`	`SETTING_MODIFICATION`
`Persistence: SSO Settings Changed`	`SETTING_MODIFICATION`
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview`	`RESOURCE_PERMISSIONS_CHANGE`
`Privilege Escalation: Create Kubernetes CSR for master certPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview`	`RESOURCE_CREATION`
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview`	`USER_RESOURCE_ACCESS`
`Privilege Escalation: Launch of privileged Kubernetes containerPreview`	`RESOURCE_CREATION`
`Added Binary Executed`	`USER_RESOURCE_ACCESS`
`Added Library Loaded`	`USER_RESOURCE_ACCESS`
`Allowed Traffic Spike`	`USER_RESOURCE_ACCESS`
`Increasing Deny Ratio`	`USER_RESOURCE_UPDATE_CONTENT`
`Configurable bad domain`	`NETWORK_CONNECTION`
`Execution: Cryptocurrency Mining Hash Match`	`SCAN_UNCATEGORIZED`
`Execution: Cryptocurrency Mining YARA Rule`	`SCAN_UNCATEGORIZED`
`Malicious Script Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Malicious URL Observed`	`SCAN_UNCATEGORIZED`	NETWORK_MALICIOUS
`Execution: Cryptocurrency Mining Combined Detection`	`SCAN_UNCATEGORIZED`
`Application DDoS Attack Attempt`	`SCAN_NETWORK`
`Defense Evasion: Unexpected ftrace handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected interrupt handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel code modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel modules`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kernel read-only data modification`	`USER_RESOURCE_UPDATE_CONTENT`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected kprobe handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected processes in runqueue`	`PROCESS_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Defense Evasion: Unexpected system call handler`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Reverse Shell`	`SCAN_UNCATEGORIZED`	EXPLOIT
`account_has_leaked_credentials`	`SCAN_UNCATEGORIZED`	DATA_AT_REST
`Initial Access: Dormant Service Account Key Created`	`RESOURCE_CREATION`
`Process Tree`	`PROCESS_UNCATEGORIZED`
`Unexpected Child Shell`	`PROCESS_UNCATEGORIZED`
`Execution: Added Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Execution: Modified Malicious Binary Executed`	`SCAN_UNCATEGORIZED`	SOFTWARE_MALICIOUS
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	`SCAN_UNCATEGORIZED`
`Breakglass Account Used: break_glass_account`	`SCAN_UNCATEGORIZED`
`Configurable Bad Domain: APT29_Domains`	`SCAN_UNCATEGORIZED`
`Unexpected Role Grant: Forbidden roles`	`SCAN_UNCATEGORIZED`
`Configurable Bad IP`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine instance type`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine source image`	`SCAN_UNCATEGORIZED`
`Unexpected Compute Engine region`	`SCAN_UNCATEGORIZED`
`Custom role with prohibited permission`	`SCAN_UNCATEGORIZED`
`Unexpected Cloud API Call`	`SCAN_UNCATEGORIZED`

Le seguenti tabelle contengono i tipi di eventi UDM e la mappatura dei campi UDM per le classi di risultati di Security Command Center: VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION.

Categoria VULNERABILITY al tipo di evento UDM

La tabella seguente elenca la categoria VULNERABILITY e i relativi tipi di eventi UDM.

Identificatore evento	Tipo di evento	Categoria di sicurezza
`DISK_CSEK_DISABLED`	`SCAN_UNCATEGORIZED`
`ALPHA_CLUSTER_ENABLED`	`SCAN_UNCATEGORIZED`
`AUTO_REPAIR_DISABLED`	`SCAN_UNCATEGORIZED`
`AUTO_UPGRADE_DISABLED`	`SCAN_UNCATEGORIZED`
`CLUSTER_SHIELDED_NODES_DISABLED`	`SCAN_UNCATEGORIZED`
`COS_NOT_USED`	`SCAN_UNCATEGORIZED`
`INTEGRITY_MONITORING_DISABLED`	`SCAN_UNCATEGORIZED`
`IP_ALIAS_DISABLED`	`SCAN_UNCATEGORIZED`
`LEGACY_METADATA_ENABLED`	`SCAN_UNCATEGORIZED`
`RELEASE_CHANNEL_DISABLED`	`SCAN_UNCATEGORIZED`
`DATAPROC_IMAGE_OUTDATED`	`SCAN_VULN_NETWORK`
`PUBLIC_DATASET`	`SCAN_UNCATEGORIZED`
`DNSSEC_DISABLED`	`SCAN_UNCATEGORIZED`
`RSASHA1_FOR_SIGNING`	`SCAN_UNCATEGORIZED`
`REDIS_ROLE_USED_ON_ORG`	`SCAN_UNCATEGORIZED`
`KMS_PUBLIC_KEY`	`SCAN_UNCATEGORIZED`
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	`SCAN_UNCATEGORIZED`
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	`SCAN_UNCATEGORIZED`
`SQL_EXTERNAL_SCRIPTS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOCAL_INFILE`	`SCAN_UNCATEGORIZED`
`SQL_LOG_ERROR_VERBOSITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	`SCAN_UNCATEGORIZED`
`SQL_LOG_MIN_MESSAGES`	`SCAN_UNCATEGORIZED`
`SQL_LOG_EXECUTOR_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_HOSTNAME_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PARSER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_PLANNER_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_STATEMENT_STATS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_LOG_TEMP_FILES`	`SCAN_UNCATEGORIZED`
`SQL_REMOTE_ACCESS_ENABLED`	`SCAN_UNCATEGORIZED`
`SQL_SKIP_SHOW_DATABASE_DISABLED`	`SCAN_UNCATEGORIZED`
`SQL_TRACE_FLAG_3625`	`SCAN_UNCATEGORIZED`
`SQL_USER_CONNECTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_USER_OPTIONS_CONFIGURED`	`SCAN_UNCATEGORIZED`
`SQL_WEAK_ROOT_PASSWORD`	`SCAN_UNCATEGORIZED`
`PUBLIC_LOG_BUCKET`	`SCAN_UNCATEGORIZED`
`ACCESSIBLE_GIT_REPOSITORY`	`SCAN_UNCATEGORIZED`	DATA_EXFILTRATION
`ACCESSIBLE_SVN_REPOSITORY`	`SCAN_NETWORK`	DATA_EXFILTRATION
`CACHEABLE_PASSWORD_INPUT`	`SCAN_NETWORK`	NETWORK_SUSPICIOUS
`CLEAR_TEXT_PASSWORD`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	`SCAN_UNCATEGORIZED`
`INVALID_CONTENT_TYPE`	`SCAN_UNCATEGORIZED`
`INVALID_HEADER`	`SCAN_UNCATEGORIZED`
`MISMATCHING_SECURITY_HEADER_VALUES`	`SCAN_UNCATEGORIZED`
`MISSPELLED_SECURITY_HEADER_NAME`	`SCAN_UNCATEGORIZED`
`MIXED_CONTENT`	`SCAN_UNCATEGORIZED`
`OUTDATED_LIBRARY`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`SERVER_SIDE_REQUEST_FORGERY`	`SCAN_NETWORK`	NETWORK_MALICIOUS
`SESSION_ID_LEAK`	`SCAN_NETWORK`	DATA_EXFILTRATION
`SQL_INJECTION`	`SCAN_NETWORK`	EXPLOIT
`STRUTS_INSECURE_DESERIALIZATION`	`SCAN_VULN_HOST`	SOFTWARE_SUSPICIOUS
`XSS`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ANGULAR_CALLBACK`	`SCAN_NETWORK`	SOFTWARE_SUSPICIOUS
`XSS_ERROR`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`XXE_REFLECTED_FILE_LEAKAGE`	`SCAN_HOST`	SOFTWARE_SUSPICIOUS
`BASIC_AUTHENTICATION_ENABLED`	`SCAN_UNCATEGORIZED`
`CLIENT_CERT_AUTHENTICATION_DISABLED`	`SCAN_UNCATEGORIZED`
`LABELS_NOT_USED`	`SCAN_UNCATEGORIZED`
`PUBLIC_STORAGE_OBJECT`	`SCAN_UNCATEGORIZED`
`SQL_BROAD_ROOT_LOGIN`	`SCAN_UNCATEGORIZED`
`WEAK_CREDENTIALS`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`ELASTICSEARCH_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_GRAFANA_ENDPOINT`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_METABASE`	`SCAN_VULN_NETWORK`	NETWORK_MALICIOUS
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	`SCAN_VULN_NETWORK`
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JAVA_JMX_RMI_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`JUPYTER_NOTEBOOK_EXPOSED_UI`	`SCAN_VULN_NETWORK`
`KUBERNETES_API_EXPOSED`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNFINISHED_WORDPRESS_INSTALLATION`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`APACHE_HTTPD_SSRF`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`CONSUL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`DRUID_RCE`	`SCAN_VULN_NETWORK`
`DRUPAL_RCE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`FLINK_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	NETWORK_SUSPICIOUS
`GITLAB_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`GoCD_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JENKINS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`JOOMLA_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`LOG4J_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`MANTISBT_PRIVILEGE_ESCALATION`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OGNL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OPENAM_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`ORACLE_WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHPUNIT_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PHP_CGI_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`PORTAL_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`REDIS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_FILE_EXPOSED`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`SOLR_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`STRUTS_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`TOMCAT_FILE_DISCLOSURE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VBULLETIN_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`VCENTER_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`WEBLOGIC_RCE`	`SCAN_VULN_NETWORK`	SOFTWARE_SUSPICIOUS
`OS_VULNERABILITY`	`SCAN_VULN_HOST`
`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`SERVICE_AGENT_GRANTED_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS
`UNUSED_IAM_ROLE`	`SCAN_UNCATEGORIZED`
`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	`SCAN_UNCATEGORIZED`	SOFTWARE_SUSPICIOUS

Categoria MISCONFIGURATION al tipo di evento UDM

La tabella seguente elenca la categoria MISCONFIGURATION e i relativi tipi di eventi UDM.

Identificatore evento	Tipo di evento
API_KEY_APIS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_APPS_UNRESTRICTED	SCAN_UNCATEGORIZED
API_KEY_EXISTS	SCAN_UNCATEGORIZED
API_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
PUBLIC_COMPUTE_IMAGE	SCAN_HOST
CONFIDENTIAL_COMPUTING_DISABLED	SCAN_HOST
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	SCAN_UNCATEGORIZED
COMPUTE_SECURE_BOOT_DISABLED	SCAN_HOST
DEFAULT_SERVICE_ACCOUNT_USED	SCAN_UNCATEGORIZED
FULL_API_ACCESS	SCAN_UNCATEGORIZED
OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_IP_ADDRESS	SCAN_UNCATEGORIZED
SHIELDED_VM_DISABLED	SCAN_UNCATEGORIZED
COMPUTE_SERIAL_PORTS_ENABLED	SCAN_NETWORK
DISK_CMEK_DISABLED	SCAN_UNCATEGORIZED
HTTP_LOAD_BALANCER	SCAN_NETWORK
IP_FORWARDING_ENABLED	SCAN_UNCATEGORIZED
WEAK_SSL_POLICY	SCAN_NETWORK
BINARY_AUTHORIZATION_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_LOGGING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_MONITORING_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SECRETS_ENCRYPTION_DISABLED	SCAN_UNCATEGORIZED
INTRANODE_VISIBILITY_DISABLED	SCAN_UNCATEGORIZED
MASTER_AUTHORIZED_NETWORKS_DISABLED	SCAN_UNCATEGORIZED
NETWORK_POLICY_DISABLED	SCAN_UNCATEGORIZED
NODEPOOL_SECURE_BOOT_DISABLED	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_ACCOUNT	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SCOPES	SCAN_UNCATEGORIZED
POD_SECURITY_POLICY_DISABLED	SCAN_UNCATEGORIZED
PRIVATE_CLUSTER_DISABLED	SCAN_UNCATEGORIZED
WORKLOAD_IDENTITY_DISABLED	SCAN_UNCATEGORIZED
LEGACY_AUTHORIZATION_ENABLED	SCAN_UNCATEGORIZED
NODEPOOL_BOOT_CMEK_DISABLED	SCAN_UNCATEGORIZED
WEB_UI_ENABLED	SCAN_UNCATEGORIZED
AUTO_REPAIR_DISABLED	SCAN_UNCATEGORIZED
AUTO_UPGRADE_DISABLED	SCAN_UNCATEGORIZED
CLUSTER_SHIELDED_NODES_DISABLED	SCAN_UNCATEGORIZED
RELEASE_CHANNEL_DISABLED	SCAN_UNCATEGORIZED
BIGQUERY_TABLE_CMEK_DISABLED	SCAN_UNCATEGORIZED
DATASET_CMEK_DISABLED	SCAN_UNCATEGORIZED
EGRESS_DENY_RULE_NOT_SET	SCAN_NETWORK
FIREWALL_RULE_LOGGING_DISABLED	SCAN_NETWORK
OPEN_CASSANDRA_PORT	SCAN_NETWORK
OPEN_SMTP_PORT	SCAN_NETWORK
OPEN_REDIS_PORT	SCAN_NETWORK
OPEN_POSTGRESQL_PORT	SCAN_NETWORK
OPEN_POP3_PORT	SCAN_NETWORK
OPEN_ORACLEDB_PORT	SCAN_NETWORK
OPEN_NETBIOS_PORT	SCAN_NETWORK
OPEN_MYSQL_PORT	SCAN_NETWORK
OPEN_MONGODB_PORT	SCAN_NETWORK
OPEN_MEMCACHED_PORT	SCAN_NETWORK
OPEN_LDAP_PORT	SCAN_NETWORK
OPEN_FTP_PORT	SCAN_NETWORK
OPEN_ELASTICSEARCH_PORT	SCAN_NETWORK
OPEN_DNS_PORT	SCAN_NETWORK
OPEN_HTTP_PORT	SCAN_NETWORK
OPEN_DIRECTORY_SERVICES_PORT	SCAN_NETWORK
OPEN_CISCOSECURE_WEBSM_PORT	SCAN_NETWORK
OPEN_RDP_PORT	SCAN_NETWORK
OPEN_TELNET_PORT	SCAN_NETWORK
OPEN_FIREWALL	SCAN_NETWORK
OPEN_SSH_PORT	SCAN_NETWORK
SERVICE_ACCOUNT_ROLE_SEPARATION	SCAN_UNCATEGORIZED
NON_ORG_IAM_MEMBER	SCAN_UNCATEGORIZED
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	SCAN_UNCATEGORIZED
ADMIN_SERVICE_ACCOUNT	SCAN_UNCATEGORIZED
SERVICE_ACCOUNT_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
USER_MANAGED_SERVICE_ACCOUNT_KEY	SCAN_UNCATEGORIZED
PRIMITIVE_ROLES_USED	SCAN_UNCATEGORIZED
KMS_ROLE_SEPARATION	SCAN_UNCATEGORIZED
OPEN_GROUP_IAM_MEMBER	SCAN_UNCATEGORIZED
KMS_KEY_NOT_ROTATED	SCAN_UNCATEGORIZED
KMS_PROJECT_HAS_OWNER	SCAN_UNCATEGORIZED
TOO_MANY_KMS_USERS	SCAN_UNCATEGORIZED
OBJECT_VERSIONING_DISABLED	SCAN_UNCATEGORIZED
LOCKED_RETENTION_POLICY_NOT_SET	SCAN_UNCATEGORIZED
BUCKET_LOGGING_DISABLED	SCAN_UNCATEGORIZED
LOG_NOT_EXPORTED	SCAN_UNCATEGORIZED
AUDIT_LOGGING_DISABLED	SCAN_UNCATEGORIZED
MFA_NOT_ENFORCED	SCAN_UNCATEGORIZED
ROUTE_NOT_MONITORED	SCAN_NETWORK
OWNER_NOT_MONITORED	SCAN_NETWORK
AUDIT_CONFIG_NOT_MONITORED	SCAN_UNCATEGORIZED
BUCKET_IAM_NOT_MONITORED	SCAN_UNCATEGORIZED
CUSTOM_ROLE_NOT_MONITORED	SCAN_UNCATEGORIZED
FIREWALL_NOT_MONITORED	SCAN_NETWORK
NETWORK_NOT_MONITORED	SCAN_NETWORK
SQL_INSTANCE_NOT_MONITORED	SCAN_UNCATEGORIZED
DEFAULT_NETWORK	SCAN_NETWORK
DNS_LOGGING_DISABLED	SCAN_NETWORK
PUBSUB_CMEK_DISABLED	SCAN_UNCATEGORIZED
PUBLIC_SQL_INSTANCE	SCAN_NETWORK
SSL_NOT_ENFORCED	SCAN_NETWORK
AUTO_BACKUP_DISABLED	SCAN_UNCATEGORIZED
SQL_CMEK_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CHECKPOINTS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_CONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DISCONNECTIONS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_DURATION_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_LOCK_WAITS_DISABLED	SCAN_UNCATEGORIZED
SQL_LOG_STATEMENT	SCAN_UNCATEGORIZED
SQL_NO_ROOT_PASSWORD	SCAN_UNCATEGORIZED
SQL_PUBLIC_IP	SCAN_NETWORK
SQL_CONTAINED_DATABASE_AUTHENTICATION	SCAN_UNCATEGORIZED
SQL_CROSS_DB_OWNERSHIP_CHAINING	SCAN_UNCATEGORIZED
SQL_LOCAL_INFILE	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT	SCAN_UNCATEGORIZED
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY	SCAN_UNCATEGORIZED
SQL_LOG_TEMP_FILES	SCAN_UNCATEGORIZED
SQL_REMOTE_ACCESS_ENABLED	SCAN_UNCATEGORIZED
SQL_SKIP_SHOW_DATABASE_DISABLED	SCAN_UNCATEGORIZED
SQL_TRACE_FLAG_3625	SCAN_UNCATEGORIZED
SQL_USER_CONNECTIONS_CONFIGURED	SCAN_UNCATEGORIZED
SQL_USER_OPTIONS_CONFIGURED	SCAN_UNCATEGORIZED
PUBLIC_BUCKET_ACL	SCAN_UNCATEGORIZED
BUCKET_POLICY_ONLY_DISABLED	SCAN_UNCATEGORIZED
BUCKET_CMEK_DISABLED	SCAN_UNCATEGORIZED
FLOW_LOGS_DISABLED	SCAN_NETWORK
PRIVATE_GOOGLE_ACCESS_DISABLED	SCAN_NETWORK
kms_key_region_europe	SCAN_UNCATEGORIZED
kms_non_euro_region	SCAN_UNCATEGORIZED
LEGACY_NETWORK	SCAN_NETWORK
LOAD_BALANCER_LOGGING_DISABLED	SCAN_NETWORK
INSTANCE_OS_LOGIN_DISABLED	SCAN_UNCATEGORIZED
GKE_PRIVILEGE_ESCALATION	SCAN_UNCATEGORIZED
GKE_RUN_AS_NONROOT	SCAN_UNCATEGORIZED
GKE_HOST_PATH_VOLUMES	SCAN_UNCATEGORIZED
GKE_HOST_NAMESPACES	SCAN_UNCATEGORIZED
GKE_PRIVILEGED_CONTAINERS	SCAN_UNCATEGORIZED
GKE_HOST_PORTS	SCAN_UNCATEGORIZED
GKE_CAPABILITIES	SCAN_UNCATEGORIZED

Categoria OBSERVATION al tipo di evento UDM

La tabella seguente elenca la categoria OBSERVATION e i relativi tipi di eventi UDM.

Identificatore evento	Tipo di evento
Persistenza: chiave SSH del progetto aggiunta	SETTING_MODIFICATION
Persistenza: aggiungi ruolo sensibile	RESOURCE_PERMISSIONS_CHANGE
Impatto: istanza GPU creata	USER_RESOURCE_CREATION
Impatto: molte istanze create	USER_RESOURCE_CREATION

Categoria ERRORE al tipo di evento UDM

La tabella seguente elenca la categoria ERROR e i relativi tipi di eventi UDM.

Identificatore evento	Tipo di evento
VPC_SC_RESTRICTION	SCAN_UNCATEGORIZED
MISCONFIGURED_CLOUD_LOGGING_EXPORT	SCAN_UNCATEGORIZED
API_DISABLED	SCAN_UNCATEGORIZED
KTD_IMAGE_PULL_FAILURE	SCAN_UNCATEGORIZED
KTD_BLOCKED_BY_ADMISSION_CONTROLLER	SCAN_UNCATEGORIZED
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS	SCAN_UNCATEGORIZED

Categoria UNSPECIFIED al tipo di evento UDM

La tabella seguente elenca la categoria UNSPECIFIED e i relativi tipi di eventi UDM.

Identificatore evento	Tipo di evento	Categoria di sicurezza
`OPEN_FIREWALL`	`SCAN_VULN_HOST`	POLICY_VIOLATION

Categoria POSTURE_VIOLATION al tipo di evento UDM

La tabella seguente elenca la categoria POSTURE_VIOLATION e i relativi tipi di eventi UDM.

Identificatore evento	Tipo di evento
`SECURITY_POSTURE_DRIFT`	`SERVICE_MODIFICATION`
`SECURITY_POSTURE_POLICY_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_POLICY_DELETE`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DRIFT`	`SCAN_UNCATEGORIZED`
`SECURITY_POSTURE_DETECTOR_DELETE`	`SCAN_UNCATEGORIZED`

Riferimento alla mappatura dei campi: VULNERABILITY

La tabella seguente elenca i campi dei log della categoria VULNERABILITY e i relativi campi UDM.

Campo RawLog	Mappatura UDM	Logica
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
findingProviderId	target.resource.attribute.labels.key/value [findings_findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
sourceProperties.description	extensions.vuln.vulnerabilities.description
sourceProperties.finalUrl	network.http.referral_url
sourceProperties.form.fields	target.resource.attribute.labels.key/value [sourceProperties_form_fields]
sourceProperties.httpMethod	network.http.method
sourceProperties.name	target.resource.attribute.labels.key/value [sourceProperties_name]
sourceProperties.outdatedLibrary.learnMoreUrls	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
sourceProperties.outdatedLibrary.libraryName	target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
sourceProperties.outdatedLibrary.version	target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
externalUri	about.url
categoria	extensions.vuln.vulnerabilities.name
resourceName	principal.asset.location.name	`region` è stato estratto da `resourceName` utilizzando un pattern Grok e mappato al campo UDM `principal.asset.location.name`.
resourceName	principal.asset.product_object_id	`asset_prod_obj_id` è stato estratto da `resourceName` utilizzando un pattern Grok e mappato al campo UDM `principal.asset.product_object_id`.
resourceName	principal.asset.attribute.cloud.availability_zone	`zone_suffix` è stato estratto da `resourceName` utilizzando un pattern Grok e mappato al campo UDM `principal.asset.attribute.cloud.availability_zone`.
sourceProperties.RevokedIamPermissionsCount	security_result.detection_fields.key/value[revoked_Iam_permissions_count]
sourceProperties.TotalRecommendationsCount	security_result.detection_fields.key/value[total_recommendations_count]
sourceProperties.DeactivationReason	security_result.detection_fields.key/value[deactivation_reason]
iamBindings.role	about.user.attribute.roles.name
iamBindings.member	about.user.email_addresses
iamBindings.action	about.user.attribute.labels.key/value[action]

Riferimento alla mappatura dei campi: MISCONFIGURATION

La tabella seguente elenca i campi dei log della categoria MISCONFIGURATION e i relativi campi UDM.

Campo RawLog	Mappatura UDM
assetDisplayName	target.asset.attribute.labels.key/value [assetDisplayName]
assetId	target.asset.asset_id
externalUri	about.url
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels[sourceDisplayName]
sourceProperties.Recommendation	security_result.detection_fields.key/value[sourceProperties_Recommendation]
sourceProperties.ExceptionInstructions	security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
sourceProperties.ScannerName	principal.labels.key/value[sourceProperties_ScannerName]
sourceProperties.ResourcePath	target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.DeactivationReason	target.resource.attribute.labels.key/value [DeactivationReason]
sourceProperties.ActionRequiredOnProject	target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
sourceProperties.VulnerableNetworkInterfaceNames	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
sourceProperties.VulnerableNodePools	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
sourceProperties.VulnerableNodePoolsList	target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
sourceProperties.AllowedOauthScopes	target.resource.attribute.permissions.name
sourceProperties.ExposedService	target.application
sourceProperties.OpenPorts.TCP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
sourceProperties.OffendingIamRolesList.member	about.user.email_addresses
sourceProperties.OffendingIamRolesList.roles	about.user.attribute.roles.name
sourceProperties.ActivationTrigger	target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
sourceProperties.MfaDetails.users	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
sourceProperties.MfaDetails.enrolled	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
sourceProperties.MfaDetails.enforced	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
sourceProperties.MfaDetails.advancedProtection	target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
sourceProperties.cli_remediation	target.process.command_line_history
sourceProperties.OpenPorts.UDP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
sourceProperties.HasAdminRoles	target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
sourceProperties.HasEditRoles	target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternalSourceRanges	target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.OpenPorts.SCTP	target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
sourceProperties.RecommendedLogFilter	target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
sourceProperties.QualifiedLogMetricNames	target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
sourceProperties.HasDefaultPolicy	target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
sourceProperties.CompatibleFeatures	target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
sourceProperties.TargetProxyUrl	target.url
sourceProperties.OffendingIamRolesList.description	about.user.attribute.roles.description
sourceProperties.DatabaseVersion	target.resource.attribute.label[sourceProperties_DatabaseVersion]

Riferimento alla mappatura dei campi: OBSERVATION

La tabella seguente elenca i campi dei log della categoria OBSERVATION e i relativi campi UDM.

Campo RawLog	Mappatura UDM
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]
assetDisplayName	target.asset.attribute.labels.key/value [asset_display_name]
assetId	target.asset.asset_id

Riferimento mappatura campi: ERROR

La tabella seguente elenca i campi dei log della categoria ERROR e i relativi campi UDM.

Campo RawLog	Mappatura UDM
externalURI	about.url
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
findingProviderId	target.resource.attribute.labels[findingProviderId]
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Riferimento mappatura campi: UNSPECIFIED

La tabella seguente elenca i campi dei log della categoria UNSPECIFIED e i relativi campi UDM.

Campo RawLog	Mappatura UDM
sourceProperties.ScannerName	principal.labels.key/value [sourceProperties_ScannerName]
sourceProperties.ResourcePath	src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
sourceProperties.ReactivationCount	target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
sourceProperties.AllowedIpRange	target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports	target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
sourceDisplayName	target.resource.attribute.labels.key/value [sourceDisplayName]

Riferimento alla mappatura dei campi: POSTURE_VIOLATION

La tabella seguente elenca i campi dei log della categoria POSTURE_VIOLATION e i relativi campi UDM.

Campo log	Mappatura UDM	Logica
`finding.resourceName`	`target.resource_ancestors.name`	Se il valore del campo log `finding.resourceName` non è vuoto, il campo log `finding.resourceName` viene mappato al campo UDM `target.resource.name`. Il campo `project_name` viene estratto dal campo del log `finding.resourceName` utilizzando il pattern Grok. Se il valore del campo `project_name` è diverso da vuoto, il campo `project_name` viene mappato al campo UDM `target.resource_ancestors.name`.
`resourceName`	`target.resource_ancestors.name`	Se il valore del campo log `resourceName` non è vuoto, il campo log `resourceName` viene mappato al campo UDM `target.resource.name`. Il campo `project_name` viene estratto dal campo log `resourceName` utilizzando il pattern Grok. Se il valore del campo `project_name` non è vuoto, il campo `project_name` viene mappato al campo UDM `target.resource_ancestors.name`.
`finding.sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.posture_revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`sourceProperties.revision_id`	`security_result.detection_fields[source_properties_posture_revision_id]`
`finding.sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`sourceProperties.policy_drift_details.drift_details.expected_configuration`	`security_result.rule_labels[policy_drift_details_expected_configuration]`
`finding.sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`sourceProperties.policy_drift_details.drift_details.detected_configuration`	`security_result.rule_labels[policy_drift_details_detected_configuration]`
`finding.sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`sourceProperties.policy_drift_details.field_name`	`security_result.rule_labels[policy_drift_details_field_name]`
`finding.sourceProperties.changed_policy`	`security_result.rule_name`
`sourceProperties.changed_policy`	`security_result.rule_name`
`finding.sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`sourceProperties.posture_deployment_resource`	`security_result.detection_fields[source_properties_posture_deployment_resource]`
`finding.sourceProperties.posture_name`	`target.application`
`sourceProperties.posture_name`	`target.application`
`sourceProperties.name`	`target.application`
`finding.sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment_name`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`sourceProperties.posture_deployment`	`security_result.detection_fields[source_properties_posture_deployment_name]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType`	`security_result.rule_labels[expected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType`	`security_result.rule_labels[detected_configuration_primitive_data_type]`
`finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType`	`security_result.rule_labels[field_name_primitive_data_type]`
`finding.propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`propertyDataTypes.changed_policy.primitiveDataType`	`security_result.rule_labels[changed_policy_primitive_data_type]`
`finding.propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`propertyDataTypes.posture_revision_id.primitiveDataType`	`security_result.detection_fields[posture_revision_id_primitiveDataType]`
`finding.propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`propertyDataTypes.posture_name.primitiveDataType`	`security_result.detection_fields[posture_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`propertyDataTypes.posture_deployment_name.primitiveDataType`	`security_result.detection_fields[posture_deployment_name_primitiveDataType]`
`finding.propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`propertyDataTypes.posture_deployment_resource.primitiveDataType`	`security_result.detection_fields[posture_deployment_resource_primitiveDataType]`
`finding.originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`originalProviderId`	`target.resource.attribute.labels[original_provider_id]`
`finding.securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`securityPosture.name`	`security_result.detection_fields[security_posture_name]`
`finding.securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`securityPosture.revisionId`	`security_result.detection_fields[security_posture_revision_id]`
`finding.securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`securityPosture.postureDeploymentResource`	`security_result.detection_fields[posture_deployment_resource]`
`finding.securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`securityPosture.postureDeployment`	`security_result.detection_fields[posture_deployment]`
`finding.securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`securityPosture.changedPolicy`	`security_result.rule_labels[changed_policy]`
`finding.cloudProvider`	`about.resource.attribute.cloud.environment`	Se il valore del campo log `finding.cloudProvider` contiene uno dei seguenti valori, il campo log `finding.cloudProvider` viene mappato al campo UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES`
`cloudProvider`	`about.resource.attribute.cloud.environment`	Se il valore del campo log `cloudProvider` contiene uno dei seguenti valori, il campo log `cloudProvider` viene mappato al campo UDM `about.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES`
`resource.cloudProvider`	`target.resource.attribute.cloud.environment`	Se il valore del campo log `resource.cloudProvider` contiene uno dei seguenti valori, il campo log `resource.cloudProvider` viene mappato al campo UDM `target.resource.attribute.cloud.environment`. `MICROSOFT_AZURE` `GOOGLE_CLOUD_PLATFORM` `AMAZON_WEB_SERVICES`
`resource.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.gcpMetadata.organization`	`target.resource.attribute.labels[resource_organization]`
`resource.service`	`target.resource_ancestors.name`
`resource.resourcePath.nodes.nodeType`	`target.resource_ancestors.resource_subtype`
`resource.resourcePath.nodes.id`	`target.resource_ancestors.product_object_id`
`resource.resourcePath.nodes.displayName`	`target.resource_ancestors.name`
`resource.resourcePathString`	`target.resource.attribute.labels[resource_path_string]`
`finding.risks.riskCategory`	`security_result.detection_fields[risk_category]`
`finding.securityPosture.policyDriftDetails.field`	`security_result.rule_labels[policy_drift_details_field]`
`finding.securityPosture.policyDriftDetails.expectedValue`	`security_result.rule_labels[policy_drift_details_expected_value]`
`finding.securityPosture.policyDriftDetails.detectedValue`	`security_result.rule_labels[policy_drift_details_detected_value]`
`finding.securityPosture.policySet`	`security_result.rule_set`
`sourceProperties.categories`	`security_result.detection_fields[source_properties_categories]`

Campi comuni: SECURITY COMMAND CENTER - VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION

La tabella seguente elenca i campi comuni di SECURITY COMMAND CENTER: le categorie VULNERABILITY, MISCONFIGURATION, OBSERVATION, ERROR, UNSPECIFIED, POSTURE_VIOLATION, TOXIC_COMBINATION e i relativi campi UDM.

Campo RawLog	Mappatura UDM	Logica
`compliances.ids`	`about.labels [compliance_ids]` (deprecato)
`compliances.ids`	`additional.fields [compliance_ids]`
`compliances.version`	`about.labels [compliance_version]` (deprecato)
`compliances.version`	`additional.fields [compliance_version]`
`compliances.standard`	`about.labels [compliances_standard]` (deprecato)
`compliances.standard`	`additional.fields [compliances_standard]`
`connections.destinationIp`	`about.labels [connections_destination_ip]` (deprecato)	Se il valore del campo log `connections.destinationIp` non è uguale a `sourceProperties.properties.ipConnection.destIp`, il campo log `connections.destinationIp` viene mappato al campo UDM `about.labels.value`.
`connections.destinationIp`	`additional.fields [connections_destination_ip]`	Se il valore del campo log `connections.destinationIp` non è uguale a `sourceProperties.properties.ipConnection.destIp`, il campo log `connections.destinationIp` viene mappato al campo UDM `additional.fields.value`.
`connections.destinationPort`	`about.labels [connections_destination_port]` (deprecato)
`connections.destinationPort`	`additional.fields [connections_destination_port]`
`connections.protocol`	`about.labels [connections_protocol]` (deprecato)
`connections.protocol`	`additional.fields [connections_protocol]`
`connections.sourceIp`	`about.labels [connections_source_ip]` (deprecato)
`connections.sourceIp`	`additional.fields [connections_source_ip]`
`connections.sourcePort`	`about.labels [connections_source_port]` (deprecato)
`connections.sourcePort`	`additional.fields [connections_source_port]`
`kubernetes.pods.ns`	`target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]`
`kubernetes.pods.name`	`target.resource_ancestors.name`
`kubernetes.nodes.name`	`target.resource_ancestors.name`
`kubernetes.nodePools.name`	`target.resource_ancestors.name`
	`target.resource_ancestors.resource_type`	Il campo UDM `target.resource_ancestors.resource_type` è impostato su `CLUSTER`.
	`about.resource.attribute.cloud.environment`	Il campo UDM `about.resource.attribute.cloud.environment` è impostato su `GOOGLE_CLOUD_PLATFORM`.
`externalSystems.assignees`	`about.resource.attribute.labels.key/value [externalSystems_assignees]`
`externalSystems.status`	`about.resource.attribute.labels.key/value [externalSystems_status]`
`kubernetes.nodePools.nodes.name`	`target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]`
`kubernetes.pods.containers.uri`	`target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]`
`kubernetes.roles.kind`	`target.resource.attribute.labels.key/value [kubernetes_roles_kind]`
`kubernetes.roles.name`	`target.resource.attribute.labels.key/value [kubernetes_roles_name]`
`kubernetes.roles.ns`	`target.resource.attribute.labels.key/value [kubernetes_roles_ns]`
`kubernetes.pods.containers.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]`
`kubernetes.pods.labels.name/value`	`target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]`
`externalSystems.externalSystemUpdateTime`	`about.resource.attribute.last_update_time`
`externalSystems.name`	`about.resource.name`
`externalSystems.externalUid`	`about.resource.product_object_id`
`indicator.uris`	`about.url`
`vulnerability.cve.references.uri`	`extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri]` (deprecato)
`vulnerability.cve.references.uri`	`additional.fields [vulnerability.cve.references.uri]`
`vulnerability.cve.cvssv3.attackComplexity`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity]` (deprecato)
`vulnerability.cve.cvssv3.attackComplexity`	`additional.fields [vulnerability_cve_cvssv3_attackComplexity]`
`vulnerability.cve.cvssv3.availabilityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact]` (deprecato)
`vulnerability.cve.cvssv3.availabilityImpact`	`additional.fields [vulnerability_cve_cvssv3_availabilityImpact]`
`vulnerability.cve.cvssv3.confidentialityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact]` (deprecato)
`vulnerability.cve.cvssv3.confidentialityImpact`	`additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]`
`vulnerability.cve.cvssv3.integrityImpact`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact]` (deprecato)
`vulnerability.cve.cvssv3.integrityImpact`	`additional.fields [vulnerability_cve_cvssv3_integrityImpact]`
`vulnerability.cve.cvssv3.privilegesRequired`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired]` (deprecato)
`vulnerability.cve.cvssv3.privilegesRequired`	`additional.fields [vulnerability_cve_cvssv3_privilegesRequired]`
`vulnerability.cve.cvssv3.scope`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope]` (deprecato)
`vulnerability.cve.cvssv3.scope`	`additional.fields [vulnerability_cve_cvssv3_scope]`
`vulnerability.cve.cvssv3.userInteraction`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction]` (deprecato)
`vulnerability.cve.cvssv3.userInteraction`	`additional.fields [vulnerability_cve_cvssv3_userInteraction]`
`vulnerability.cve.references.source`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source]` (deprecato)
`vulnerability.cve.references.source`	`additional.fields [vulnerability_cve_references_source]`
`vulnerability.cve.upstreamFixAvailable`	`extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable]` (deprecato)
`vulnerability.cve.upstreamFixAvailable`	`additional.fields [vulnerability_cve_upstreamFixAvailable]`
`vulnerability.cve.id`	`extensions.vulns.vulnerabilities.cve_id`
`vulnerability.cve.cvssv3.baseScore`	`extensions.vulns.vulnerabilities.cvss_base_score`
`vulnerability.cve.cvssv3.attackVector`	`extensions.vulns.vulnerabilities.cvss_vector`
`vulnerability.cve.impact`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]`
`vulnerability.cve.exploitationActivity`	`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]`
`parentDisplayName`	`metadata.description`
`eventTime`	`metadata.event_timestamp`
`category`	`metadata.product_event_type`
`sourceProperties.evidence.sourceLogId.insertId`	`metadata.product_log_id`	Se il valore del campo log `canonicalName` non è vuoto, `finding_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok. Se il valore del campo log `finding_id` è vuoto, il campo log `sourceProperties.evidence.sourceLogId.insertId` viene mappato al campo UDM `metadata.product_log_id`. Se il valore del campo log `canonicalName` è vuoto, il campo log `sourceProperties.evidence.sourceLogId.insertId` viene mappato al campo UDM `metadata.product_log_id`.
`sourceProperties.contextUris.cloudLoggingQueryUri.url`	`security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]`
`sourceProperties.sourceId.customerOrganizationNumber`	`principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber]`	Se il valore del campo del log `message` corrisponde all'espressione regolare `sourceProperties.sourceId.*?customerOrganizationNumber`, il campo del log `sourceProperties.sourceId.customerOrganizationNumber` viene mappato al campo UDM `principal.resource.attribute.labels.value`.
`resource.projectName`	`principal.resource.name`
	`principal.user.account_type`	Se il valore del campo log `access.principalSubject` corrisponde all'espressione regolare `serviceAccount`, il campo UDM `principal.user.account_type` viene impostato su `SERVICE_ACCOUNT_TYPE`. In caso contrario, se il valore del campo log `access.principalSubject` corrisponde all'espressione regolare `user`, il campo UDM `principal.user.account_type` viene impostato su `CLOUD_ACCOUNT_TYPE`.
`access.principalSubject`	`principal.user.attribute.labels.key/value [access_principalSubject]`
`access.serviceAccountDelegationInfo.principalSubject`	`principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]`
`access.serviceAccountKeyName`	`principal.user.attribute.labels.key/value [access_serviceAccountKeyName]`
`access.principalEmail`	`principal.user.email_addresses`	Se il valore del campo log `access.principalEmail` non è vuoto e corrisponde all'espressione regolare `^.+@.+$`, il campo log `access.principalEmail` viene mappato al campo UDM `principal.user.email_addresses`.`access.principalEmail`
`access.principalEmail`	`principal.user.userid`	Se il valore del campo log `access.principalEmail` non è vuoto e non corrisponde all'espressione regolare `^.+@.+$`, il campo log `access.principalEmail` viene mappato al campo UDM `principal.user.userid`.`access.principalEmail`
`database.userName`	`principal.user.userid`
`workflowState`	`security_result.about.investigation.status`
`sourceProperties.findingId`	`metadata.product_log_id`
`kubernetes.accessReviews.group`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]`
`kubernetes.accessReviews.name`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]`
`kubernetes.accessReviews.ns`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]`
`kubernetes.accessReviews.resource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]`
`kubernetes.accessReviews.subresource`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]`
`kubernetes.accessReviews.verb`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]`
`kubernetes.accessReviews.version`	`target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]`
`kubernetes.bindings.name`	`security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]`
`kubernetes.bindings.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_ns]`
`kubernetes.bindings.role.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]`
`kubernetes.bindings.role.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]`
`kubernetes.bindings.subjects.kind`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]`
`kubernetes.bindings.subjects.name`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]`
`kubernetes.bindings.subjects.ns`	`target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]`
`kubernetes.bindings.role.name`	`target.resource.attribute.roles.name`
	`security_result.about.user.attribute.roles.name`	Se il valore del campo log `message` corrisponde all'espressione regolare `contacts.?security`, il campo UDM `security_result.about.user.attribute.roles.name` viene impostato su `security`. Se il valore del campo log `message` corrisponde all'espressione regolare `contacts.?technical`, il campo UDM `security_result.about.user.attribute.roles.name` viene impostato su `Technical`.
`contacts.security.contacts.email`	`security_result.about.user.email_addresses`
`contacts.technical.contacts.email`	`security_result.about.user.email_addresses`
	`security_result.alert_state`	Se il valore del campo log `state` è uguale a `ACTIVE`, il campo UDM `security_result.alert_state` viene impostato su `ALERTING`. In caso contrario, il campo UDM `security_result.alert_state` viene impostato su `NOT_ALERTING`.
`findingClass, category`	`security_result.catgory_details`	Il campo del log `findingClass - category` è mappato al campo UDM `security_result.catgory_details`.
`description`	`security_result.description`
`indicator.signatures.memoryHashSignature.binaryFamily`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]`
`indicator.signatures.memoryHashSignature.detections.binary`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]`
`indicator.signatures.memoryHashSignature.detections.percentPagesMatched`	`security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]`
`indicator.signatures.yaraRuleSignature.yararule`	`security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]`
`mitreAttack.additionalTactics`	`security_result.detection_fields.key/value [mitreAttack_additionalTactics]`
`mitreAttack.additionalTechniques`	`security_result.detection_fields.key/value [mitreAttack_additionalTechniques]`
`mitreAttack.primaryTactic`	`security_result.detection_fields.key/value [mitreAttack_primaryTactic]`
`mitreAttack.primaryTechniques.0`	`security_result.detection_fields.key/value [mitreAttack_primaryTechniques]`
`mitreAttack.version`	`security_result.detection_fields.key/value [mitreAttack_version]`
`muteInitiator`	`security_result.detection_fields.key/value [mute_initiator]`	Se il valore del campo log `mute` è uguale a `MUTED` o `UNMUTED`, il campo log `muteInitiator` viene mappato al campo UDM `security_result.detection_fields.value`.
`muteUpdateTime`	`security_result.detection_fields.key/value [mute_update_time]`	Se il valore del campo log `mute` è uguale a `MUTED` o `UNMUTED`, il campo log `muteUpdateTimer` viene mappato al campo UDM `security_result.detection_fields.value`.
`mute`	`security_result.detection_fields.key/value [mute]`
`securityMarks.canonicalName`	`security_result.detection_fields.key/value [securityMarks_cannonicleName]`
`securityMarks.marks`	`security_result.detection_fields.key/value [securityMarks_marks]`
`securityMarks.name`	`security_result.detection_fields.key/value [securityMarks_name]`
`sourceProperties.detectionCategory.indicator`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]`
`sourceProperties.detectionCategory.technique`	`security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]`
`sourceProperties.contextUris.mitreUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]`
`sourceProperties.contextUris.relatedFindingUri.url/displayName`	`metadata.url_back_to_product`	Se il valore del campo log `category` è uguale a `Active Scan: Log4j Vulnerable to RCE` o `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Over-Privileged Grant` o `Exfiltration: CloudSQL Restore Backup to External Organization` o `Initial Access: Log4j Compromise Attempt` o `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP` o `Persistence: IAM Anomalous Grant`, il campo UDM `security_result.detection_fields.key` è impostato su `sourceProperties_contextUris_relatedFindingUri_url` e il campo log `sourceProperties.contextUris.relatedFindingUri.url` è mappato al campo UDM `metadata.url_back_to_product`.
`sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName]`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad Domain` o `Malware: Cryptomining Bad IP`, il campo log `sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName` viene mappato al campo UDM `security_result.detection_fields.key` e il campo log `sourceProperties.contextUris.virustotalIndicatorQueryUri.url` viene mappato al campo UDM `security_result.detection_fields.value`.
`sourceProperties.contextUris.workspacesUri.url/displayName`	`security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName]`	Se il valore del campo log `category` è uguale a `Initial Access: Account Disabled Hijacked` o `Initial Access: Disabled Password Leak` o `Initial Access: Government Based Attack` o `Initial Access: Suspicious Login Blocked` o `Impair Defenses: Strong Authentication Disabled` o `Persistence: SSO Enablement Toggle` o `Persistence: SSO Settings Changed`, il campo log `sourceProperties.contextUris.workspacesUri.displayName` viene mappato al campo UDM `security_result.detection_fields.key` e il campo log `sourceProperties.contextUris.workspacesUri.url` viene mappato al campo UDM `security_result.detection_fields.value`.
`createTime`	`security_result.detection_fields.key/value [create_time]`
`nextSteps`	`security_result.outcomes.key/value [next_steps]`
`sourceProperties.detectionPriority`	`security_result.priority`	Se il valore del campo log `sourceProperties.detectionPriority` è uguale a `HIGH`, il campo UDM `security_result.priority` viene impostato su `HIGH_PRIORITY`. In caso contrario, se il valore del campo log `sourceProperties.detectionPriority` è uguale a `MEDIUM`, il campo UDM `security_result.priority` viene impostato su `MEDIUM_PRIORITY`. In caso contrario, se il valore del campo log `sourceProperties.detectionPriority` è uguale a `LOW`, il campo UDM `security_result.priority` viene impostato su `LOW_PRIORITY`.
`sourceProperties.detectionCategory.subRuleName`	`security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]`
`sourceProperties.detectionCategory.ruleName`	`security_result.rule_name`
`severity`	`security_result.severity`
`name`	`security_result.url_back_to_product`
`database.query`	`src.process.command_line`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Over-Privileged Grant`, il campo log `database.query` viene mappato al campo UDM `src.process.command_line`. In caso contrario, il campo log `database.query` viene mappato al campo UDM `target.process.command_line`.
`resource.folders.resourceFolderDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.folders.resourceFolderDisplayName` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.value`. In caso contrario, il campo log `resource.folders.resourceFolderDisplayName` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`resource.parentDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.parentDisplayName` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.key/value`. In caso contrario, il campo log `resource.parentDisplayName` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`resource.parentName`	`src.resource_ancestors.attribute.labels.key/value [resource_parentName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.parentName` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.key/value`. In caso contrario, il campo log `resource.parentName` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`resource.projectDisplayName`	`src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.projectDisplayName` viene mappato al campo UDM `src.resource_ancestors.attribute.labels.key/value`. In caso contrario, il campo log `resource.projectDisplayName` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.type` viene mappato al campo UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Over-Privileged Grant`, il campo log `database.displayName` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Over-Privileged Grant`, il campo UDM `src.resource.attribute.labels.key` viene impostato su `grantees` e il campo log `database.grantees` viene mappato al campo UDM `src.resource.attribute.labels.value`.
`resource.displayName`	`src.resource.attribute.labels.key/value [resource_displayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.displayName` viene mappato al campo UDM `src.resource.attribute.labels.value`. In caso contrario, il campo log `resource.displayName` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`src.resource.attribute.labels.key/value [resource_display_name]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.display_name` viene mappato al campo UDM `src.resource.attribute.labels.value`. In caso contrario, il campo log `resource.display_name` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`resource.type`	`src.resource_ancestors.resource_subtype`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.type` viene mappato al campo UDM `src.resource_ancestors.resource_subtype`.
`database.displayName`	`src.resource.attribute.labels.key/value [database_displayName]`
`database.grantees`	`src.resource.attribute.labels.key/value [database_grantees]`
`resource.displayName`	`target.resource.attribute.labels.key/value [resource_displayName]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.displayName` viene mappato al campo UDM `src.resource.attribute.labels.value`. In caso contrario, il campo log `resource.displayName` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`resource.display_name`	`target.resource.attribute.labels.key/value [resource_display_name]`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `resource.display_name` viene mappato al campo UDM `src.resource.attribute.labels.value`. In caso contrario, il campo log `resource.display_name` viene mappato al campo UDM `target.resource.attribute.labels.value`.
`exfiltration.sources.components`	`src.resource.attribute.labels.key/value[exfiltration_sources_components]`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, il campo log `exfiltration.sources.components` è mappato al campo UDM `src.resource.attribute.labels.value`.
`resourceName`	`src.resource.name`	Se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction`, `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: BigQuery Data Exfiltration`, il campo log `resourceName` è mappato al campo UDM `src.resource.name`.
`database.name`	`src.resource.name`
`exfiltration.sources.name`	`src.resource.name`
`access.serviceName`	`target.application`	Se il valore del campo log `category` è uguale a `Defense Evasion: Modify VPC Service Control` o `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive` o `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: CloudSQL Restore Backup to External Organization` o `Exfiltration: CloudSQL Over-Privileged Grant` o `Persistence: New Geography` o `Persistence: IAM Anomalous Grant`, il campo log `access.serviceName` è mappato al campo UDM `target.application`.
`access.methodName`	`target.labels [access_methodName]` (deprecato)
`access.methodName`	`additional.fields [access_methodName]`
`processes.argumentsTruncated`	`target.labels [processes_argumentsTruncated]` (deprecato)
`processes.argumentsTruncated`	`additional.fields [processes_argumentsTruncated]`
`processes.binary.contents`	`target.labels [processes_binary_contents]` (deprecato)
`processes.binary.contents`	`additional.fields [processes_binary_contents]`
`processes.binary.hashedSize`	`target.labels [processes_binary_hashedSize]` (deprecato)
`processes.binary.hashedSize`	`additional.fields [processes_binary_hashedSize]`
`processes.binary.partiallyHashed`	`target.labels [processes_binary_partiallyHashed]` (deprecato)
`processes.binary.partiallyHashed`	`additional.fields [processes_binary_partiallyHashed]`
`processes.envVariables.name`	`target.labels [processes_envVariables_name]` (deprecato)
`processes.envVariables.name`	`additional.fields [processes_envVariables_name]`
`processes.envVariables.val`	`target.labels [processes_envVariables_val]` (deprecato)
`processes.envVariables.val`	`additional.fields [processes_envVariables_val]`
`processes.envVariablesTruncated`	`target.labels [processes_envVariablesTruncated]` (deprecato)
`processes.envVariablesTruncated`	`additional.fields [processes_envVariablesTruncated]`
`processes.libraries.contents`	`target.labels [processes_libraries_contents]` (deprecato)
`processes.libraries.contents`	`additional.fields [processes_libraries_contents]`
`processes.libraries.hashedSize`	`target.labels [processes_libraries_hashedSize]` (deprecato)
`processes.libraries.hashedSize`	`additional.fields [processes_libraries_hashedSize]`
`processes.libraries.partiallyHashed`	`target.labels [processes_libraries_partiallyHashed]` (deprecato)
`processes.libraries.partiallyHashed`	`additional.fields [processes_libraries_partiallyHashed]`
`processes.script.contents`	`target.labels [processes_script_contents]` (deprecato)
`processes.script.contents`	`additional.fields [processes_script_contents]`
`processes.script.hashedSize`	`target.labels [processes_script_hashedSize]` (deprecato)
`processes.script.hashedSize`	`additional.fields [processes_script_hashedSize]`
`processes.script.partiallyHashed`	`target.labels [processes_script_partiallyHashed]` (deprecato)
`processes.script.partiallyHashed`	`additional.fields [processes_script_partiallyHashed]`
`processes.parentPid`	`target.parent_process.pid`
`processes.args`	`target.process.command_line_history [processes.args]`
`processes.name`	`target.process.file.full_path`
`processes.binary.path`	`target.process.file.full_path`
`processes.libraries.path`	`target.process.file.full_path`
`processes.script.path`	`target.process.file.full_path`
`processes.binary.sha256`	`target.process.file.sha256`
`processes.libraries.sha256`	`target.process.file.sha256`
`processes.script.sha256`	`target.process.file.sha256`
`processes.binary.size`	`target.process.file.size`
`processes.libraries.size`	`target.process.file.size`
`processes.script.size`	`target.process.file.size`
`processes.pid`	`target.process.pid`
`containers.uri`	`target.resource_ancestors.attribute.labels.key/value [containers_uri]`
`containers.labels.name/value`	`target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]`
`resourceName`	`target.resource_ancestors.name`	Se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` è mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Persistence: GCE Admin Added SSH Key` o `Persistence: GCE Admin Added Startup Script`, il campo log `sourceProperties.properties.projectId` è mappato al campo UDM `target.resource_ancestors.name`.
`parent`	`target.resource_ancestors.name`
`sourceProperties.affectedResources.gcpResourceName`	`target.resource_ancestors.name`
`containers.name`	`target.resource_ancestors.name`
`kubernetes.pods.containers.name`	`target.resource_ancestors.name`
`sourceProperties.sourceId.projectNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.customerOrganizationNumber`	`target.resource_ancestors.product_object_id`
`sourceProperties.sourceId.organizationNumber`	`target.resource_ancestors.product_object_id`
`containers.imageId`	`target.resource_ancestors.product_object_id`
`sourceProperties.properties.zone`	`target.resource.attribute.cloud.availability_zone`	Se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `sourceProperties.properties.zone` viene mappato al campo UDM `target.resource.attribute.cloud.availability_zone`.
`canonicalName`	`metadata.product_log_id`	`finding_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok. Se il valore del campo log `finding_id` è non vuoto, il campo log `finding_id` viene mappato al campo UDM `metadata.product_log_id`.
`canonicalName`	`src.resource.attribute.labels.key/value [finding_id]`	Se il valore del campo log `finding_id` non è vuoto, il campo log `finding_id` viene mappato al campo UDM `src.resource.attribute.labels.key/value [finding_id]`. Se il valore del campo del log `category` è uguale a uno dei seguenti valori, `finding_id` viene estratto dal campo del log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.product_object_id`	Se il valore del campo log `source_id` non è vuoto, il campo log `source_id` viene mappato al campo UDM `src.resource.product_object_id`. Se il valore del campo log `category` è uguale a uno dei seguenti valori, `source_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`src.resource.attribute.labels.key/value [source_id]`	Se il valore del campo log `source_id` non è vuoto, il campo log `source_id` viene mappato al campo UDM `src.resource.attribute.labels.key/value [source_id]`. Se il valore del campo log `category` è uguale a uno dei seguenti valori, `source_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [finding_id]`	Se il valore del campo log `finding_id` non è vuoto, il campo log `finding_id` viene mappato al campo UDM `target.resource.attribute.labels.key/value [finding_id]`. Se il valore del campo log `category` non è uguale a uno dei seguenti valori, `finding_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.product_object_id`	Se il valore del campo log `source_id` non è vuoto, il campo log `source_id` viene mappato al campo UDM `target.resource.product_object_id`. Se il valore del campo log `category` non è uguale a uno dei seguenti valori, `source_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`canonicalName`	`target.resource.attribute.labels.key/value [source_id]`	Se il valore del campo log `source_id` non è vuoto, il campo log `source_id` viene mappato al campo UDM `target.resource.attribute.labels.key/value [source_id]`. Se il valore del campo log `category` non è uguale a uno dei seguenti valori, `source_id` viene estratto dal campo log `canonicalName` utilizzando un pattern Grok: `Exfiltration: BigQuery Data Extraction` `Exfiltration: BigQuery Data to Google Drive` `Exfiltration: BigQuery Data Exfiltration` `Exfiltration: CloudSQL Restore Backup to External Organization`
`exfiltration.targets.components`	`target.resource.attribute.labels.key/value[exfiltration_targets_components]`	Se il valore del campo log `category` è uguale a `Exfiltration: CloudSQL Data Exfiltration` o `Exfiltration: BigQuery Data Extraction`, il campo log `exfiltration.targets.components` viene mappato al campo UDM `target.resource.attribute.labels.key/value`.
`resourceName exfiltration.targets.name`	`target.resource.name`	Se il valore del campo log `category` è uguale a `Brute Force: SSH`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name`. In caso contrario, se il valore del campo log `category` è uguale a `Malware: Bad Domain` o `Malware: Bad IP` o `Malware: Cryptomining Bad IP`, il campo log `resourceName` viene mappato al campo UDM `target.resource_ancestors.name` e il campo UDM `target.resource.resource_type` viene impostato su `VIRTUAL_MACHINE`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Extraction` o `Exfiltration: BigQuery Data to Google Drive`, il campo log `exfiltration.target.name` viene mappato al campo UDM `target.resource.name`. In caso contrario, se il valore del campo log `category` è uguale a `Exfiltration: BigQuery Data Exfiltration`, il campo log `exfiltration.target.name` viene mappato al campo UDM `target.resource.name`. In caso contrario, il campo log `resourceName` viene mappato al campo UDM `target.resource.name`.
`kubernetes.pods.containers.imageId`	`target.resource_ancestors.product_object_id`
`resource.project`	`target.resource.attribute.labels.key/value [resource_project]`
`resource.parent`	`target.resource.attribute.labels.key/value [resource_parent]`
`processes.name`	`target.process.file.names`
`sourceProperties.Header_Signature.significantValues.value`	`principal.location.country_or_region`	Se il valore del campo log `sourceProperties.Header_Signature.name` è uguale a `RegionCode`, il campo log `sourceProperties.Header_Signature.significantValues.value` viene mappato al campo UDM `principal.location.country_or_region`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.ip`	Se il valore del campo log `sourceProperties.Header_Signature.name` è uguale a `RemoteHost`, il campo log `sourceProperties.Header_Signature.significantValues.value` viene mappato al campo UDM `principal.ip`.
`sourceProperties.Header_Signature.significantValues.value`	`network.http.user_agent`	Se il valore del campo log `sourceProperties.Header_Signature.name` è uguale a `UserAgent`, il campo log `sourceProperties.Header_Signature.significantValues.value` viene mappato al campo UDM `network.http.user_agent`.
`sourceProperties.Header_Signature.significantValues.value`	`principal.url`	Se il valore del campo log `sourceProperties.Header_Signature.name` è uguale a `RequestUriPath`, il campo log `sourceProperties.Header_Signature.significantValues.value` viene mappato al campo UDM `principal.url`.
`sourceProperties.Header_Signature.significantValues.proportionInAttack`	`security_result.detection_fields [proportionInAttack]`
`sourceProperties.Header_Signature.significantValues.attackLikelihood`	`security_result.detection_fields [attackLikelihood]`
`sourceProperties.Header_Signature.significantValues.matchType`	`security_result.detection_fields [matchType]`
`sourceProperties.Header_Signature.significantValues.proportionInBaseline`	`security_result.detection_fields [proportionInBaseline]`
`sourceProperties.compromised_account`	`principal.user.userid`	Se il valore del campo log `category` è uguale a `account_has_leaked_credentials`, il campo log `sourceProperties.compromised_account` viene mappato al campo UDM `principal.user.userid` e il campo UDM `principal.user.account_type` viene impostato su `SERVICE_ACCOUNT_TYPE`.
`sourceProperties.project_identifier`	`principal.resource.product_object_id`	Se il valore del campo log `category` è uguale a `account_has_leaked_credentials`, il campo log `sourceProperties.project_identifier` viene mappato al campo UDM `principal.resource.product_object_id`.
`sourceProperties.private_key_identifier`	`principal.user.attribute.labels.key/value [private_key_identifier]`	Se il valore del campo log `category` è uguale a `account_has_leaked_credentials`, il campo log `sourceProperties.private_key_identifier` viene mappato al campo UDM `principal.user.attribute.labels.value`.
`sourceProperties.action_taken`	`principal.labels [action_taken]` (deprecato)	Se il valore del campo log `category` è uguale a `account_has_leaked_credentials`, il campo log `sourceProperties.action_taken` viene mappato al campo UDM `principal.labels.value`.
`sourceProperties.action_taken`	`additional.fields [action_taken]`	Se il valore del campo log `category` è uguale a `account_has_leaked_credentials`, il campo log `sourceProperties.action_taken` viene mappato al campo UDM `additional.fields.value`.
`sourceProperties.finding_type`	`principal.labels [finding_type]` (deprecato)	Se il valore del campo log `category` è uguale a `account_has_leaked_credentials`, il campo log `sourceProperties.finding_type` viene mappato al campo UDM `principal.labels.value`.
`sourceProperties.finding_type`	`additional.fields [finding_type]`	Se il valore del campo log `category` è uguale a `account_has_leaked_credentials`, il campo log `sourceProperties.finding_type` viene mappato al campo UDM `additional.fields.value`.
`sourceProperties.url`	`principal.user.attribute.labels.key/value [key_file_path]`	Se il valore del campo log `category` è uguale a `account_has_leaked_credentials`, il campo log `sourceProperties.url` viene mappato al campo UDM `principal.user.attribute.labels.value`.
`sourceProperties.security_result.summary`	`security_result.summary`	Se il valore del campo log `category` è uguale a `account_has_leaked_credentials`, il campo log `sourceProperties.security_result.summary` viene mappato al campo UDM `security_result.summary`.
`kubernetes.objects.kind`	`target.resource.attribute.labels[kubernetes_objects_kind]`
`kubernetes.objects.ns`	`target.resource.attribute.labels[kubernetes_objects_ns]`
`kubernetes.objects.name`	`target.resource.attribute.labels[kubernetes_objects_name]`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName]`	`vulnerability.offendingPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri]`	`vulnerability.offendingPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType]`	`vulnerability.offendingPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion]`	`vulnerability.offendingPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName]`	`vulnerability.fixedPackage.packageName`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri]`	`vulnerability.fixedPackage.cpeUri`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType]`	`vulnerability.fixedPackage.packageType`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion]`	`vulnerability.fixedPackage.packageVersion`
`extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId]`	`vulnerability.securityBulletin.bulletinId`
`security_result.detection_fields[vulnerability_securityBulletin_submissionTime]`	`vulnerability.securityBulletin.submissionTime`
`security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion]`	`vulnerability.securityBulletin.suggestedUpgradeVersion`
`target.location.name`	`resource.location`
`additional.fields[resource_service]`	`resource.service`
`target.resource_ancestors.attribute.labels[kubernetes_object_kind]`	`kubernetes.objects.kind`
`target.resource_ancestors.name`	`kubernetes.objects.name`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns]`	`kubernetes.objects.ns`
`kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group]`	`kubernetes.objects.group`

Passaggi successivi

Importazione dei dati in Google Security Operations