Security Command Center の検出結果を収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Security Command Center を構成して検出結果を Google Security Operations に取り込むことで、Security Command Center のログを収集する方法について説明します。このドキュメントでは、サポートされているイベントの一覧も記載しています。
詳細については、Google Security Operations へのデータの取り込みと Security Command Center の検出結果を Google Security Operations にエクスポートするをご覧ください。 一般的なデプロイは、Security Command Center と、Google Security Operations にログを送信するように構成された Google Security Operations フィードで構成されています。お客様のデプロイはそれぞれ異なり、より複雑になる場合もあります。
デプロイには次のコンポーネントが含まれます。
Google Cloud: Security Command Center がインストールされている、モニタリング対象のシステム。
Security Command Center Event Threat Detection の検出結果: データソースから情報を収集し、検出結果を生成します。
Google Security Operations: Security Command Center からのログを保持して分析します。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、次の取り込みラベルを持つ Security Command Center パーサーに適用されます。
GCP_SECURITYCENTER_ERRORGCP_SECURITYCENTER_MISCONFIGURATIONGCP_SECURITYCENTER_OBSERVATIONGCP_SECURITYCENTER_THREATGCP_SECURITYCENTER_UNSPECIFIEDGCP_SECURITYCENTER_VULNERABILITYGCP_SECURITYCENTER_POSTURE_VIOLATIONGCP_SECURITYCENTER_TOXIC_COMBINATION
Security Command Center と Google Cloud を構成して、検出結果を Google Security Operations に送信する
デプロイ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
Security Command Center の検出結果の取り込みを有効にします。
サポートされている Event Threat Detection の検出結果
このセクションでは、サポートされている Event Threat Detection の検出結果について説明します。Security Command Center Event Threat Detection のルールと検出結果については、Event Threat Detection のルールをご覧ください。
| 検出結果の名前 | 説明 |
|---|---|
| アクティブ スキャン: RCE に対して脆弱な Log4j | サポートされている Log4j 脆弱性スキャナによって開始された難読化されていないドメインの DNS クエリを識別して、アクティブな Log4j の脆弱性を検出します。 |
| ブルート フォース: SSH | ホストに対するブルート フォース攻撃で SSH 認証に成功した試行を検出しています。 |
| 認証情報アクセス: 特権グループに追加された外部メンバー | 外部のメンバーが特権 Google グループ(機密性の高いロールまたは権限が付与されたグループ)に追加されたことを検出します。検出結果が生成されるのは、新しく追加されたメンバーと同じ組織に属する別の外部メンバーがグループにまだ含まれていない場合に限られます。詳しくは、安全ではない Google グループの変更をご覧ください。 |
| 認証情報アクセス: 一般公開された特権グループ | 特権 Google グループ(機密性の高いロールまたは権限が付与されたグループ)が一般公開に変更されていることを検出します。詳しくは、安全ではない Google グループの変更をご覧ください。 |
| 認証情報アクセス: ハイブリッド グループに付与される機密性の高いロール | 外部メンバーを含む Google グループに機密性の高いロールが付与されたことを検出します。詳しくは、安全ではない Google グループの変更をご覧ください。 |
| 防御回避: VPC Service Control の変更 | 保護能力の低下を招く、既存の VPC Service Controls の境界に対する変更を検出します。 |
| 検出: 機密性の高い Kubernetes オブジェクトのチェックプレビュー | 悪意のある行為者が、kubectl auth can-i get コマンドを使用して、Google Kubernetes Engine(GKE)内でクエリ可能な機密オブジェクトの特定を試みました。 |
| 検出: サービス アカウントの自己調査 | 同じサービス アカウントに関連付けられたロールと権限の調査に使用される Identity and Access Management(IAM)サービス アカウントの認証情報の検出。 |
| 回避: 匿名化プロキシからのアクセス | Tor IP アドレスなどの匿名プロキシ IP アドレスから発生した Google Cloud サービス変更の検出。 |
| データ漏洩: BigQuery データの漏洩 | 次のシナリオを検出します。
|
| データ漏洩: BigQuery データの抽出 | 次のシナリオを検出します。
|
| データ漏洩: Google ドライブへの BigQuery データ | 次のシナリオを検出します。
保護された組織が所有する BigQuery リソースが、抽出オペレーションによって、Google ドライブ フォルダに保存されている。 |
| データ漏洩: Cloud SQL データの漏洩 | 次のシナリオを検出します。
|
| データ漏洩: Cloud SQL から外部組織へのバックアップの復元 | Cloud SQL インスタンスのバックアップが組織外のインスタンスに復元された場合に、それを検出します。 |
| データ漏洩: Cloud SQL の過剰な権限付与 | Cloud SQL Postgres のユーザーまたはロールに、データベースに対するすべての権限が付与されているか、スキーマ内のすべてのテーブル、プロシージャ、または関数に対するすべての権限が付与されている場合に検出します。 |
| 防御への侵害: 強力な認証の無効化 | 組織で 2 段階認証プロセスが無効になりました。 |
| 防御への侵害: 2 段階認証プロセスの無効化 | ユーザーが 2 段階認証プロセスを無効にしました。 |
| 初期アクセス: アカウントの無効化(ハイジャック) | 不審なアクティビティが検出されたため、ユーザーのアカウントが一時停止されました。 |
| 初期アクセス: 無効化(パスワードの漏洩) | パスワード漏洩が検出されたため、ユーザーのアカウントが無効になっています。 |
| 初期アクセス: 政府支援による攻撃 | 政府の支援を受けた攻撃者がユーザー アカウントまたはパソコンの不正使用を試みた可能性があります。 |
| 初期アクセス: Log4j の悪用 | ヘッダーまたは URL パラメータ内の Java Naming and Directory Interface(JNDI)のルックアップを検出します。このような検索は、Log4Shell の悪用の試みを示す可能性があります。これらの検出結果は脆弱性や侵害ではなく、検出や悪用を試みるものであるため、重大度は「低」です。 |
| 初期アクセス: 不審なログインのブロック | ユーザーのアカウントへの不審なログインが検出され、ブロックされました。 |
| Log4j マルウェア: 不正なドメイン | Log4j 攻撃で使用される既知のドメインへの接続やルックアップに基づく Log4j エクスプロイト トラフィックの検出。 |
| Log4j マルウェア: 不正な IP | Log4j 攻撃で使用される既知の IP アドレスへの接続に基づく Log4j エクスプロイト トラフィックの検出。 |
| マルウェア: 不正ドメイン | 既知の不正ドメインへの接続やルックアップに基づくマルウェアの検出。 |
| マルウェア: 不正 IP | 既知の不正な IP アドレスへの接続に基づくマルウェアの検出。 |
| マルウェア: 不正ドメインの暗号化 | 既知の暗号通貨マイニング ドメインへの接続またはルックアップに基づくクリプトマイニングの検出。 |
| マルウェア: クリプトマイニングの不正な IP | 既知のマイニング IP アドレスへの接続に基づく暗号通貨マイニングの検出。 |
| 送信 DoS | 送信サービス拒否攻撃トラフィックの検出 |
| 永続性: Compute Engine 管理者による SSH 認証鍵の追加 | 確立されたインスタンスの Compute Engine インスタンス メタデータ SSH 認証鍵の値の変更の検出(1 週間以上前)。 |
| 永続性: Compute Engine 管理者による起動スクリプトの追加 | 確立されたインスタンスの Compute Engine インスタンス メタデータ起動スクリプトの値の変更の検出(1 週間以上前)。 |
| 永続性: IAM 異常付与 | 組織のメンバーではない IAM ユーザーおよびサービス アカウントに付与された権限の検出。この検出機能は、組織の既存の IAM ポリシーをコンテキストとして使用します。外部メンバーへの機密性の高い IAM の付与があり、それに似た既存の IAM ポリシーが 3 つ未満の場合、検出機能によって検出結果が生成されます。 |
| 永続性: 新しい API メソッドプレビュー | IAM サービス アカウントによる Google Cloud サービスの異常な使用の検出。 |
| 永続性: 新しい地域 | リクエスト元の IP アドレスの位置情報に基づいて、通常とは異なるロケーションから Google Cloud にアクセスする IAM ユーザーとサービス アカウントを異常なロケーションから検出。 |
| 永続性: 新しいユーザー エージェント | 通常と異なるユーザー エージェントまたは不審なユーザー エージェントから Google Cloud にアクセスする IAM サービス アカウントの検出。 |
| 永続性: SSO の有効化の切り替え | 管理者アカウントで SSO(シングル サインオン)の有効化の設定が無効になりました。 |
| 永続性: 変更された SSO 設定 | 管理者アカウントの SSO の設定が変更されました。 |
| 権限昇格: Kubernetes RBAC 機密オブジェクトの変更プレビュー | 権限の昇格を目的として、悪意のある行為者が PUT または PATCH リクエストを使用して cluster-admin ClusterRole オブジェクトと ClusterRoleBinding オブジェクトの変更を試みました。 |
| 権限昇格: マスター証明書の Kubernetes CSR の作成プレビュー | 悪意の可能性がある行為者が、Kubernetes マスター証明書署名リクエスト(CSR)を作成しました。これによりクラスタ管理者アクセス権が付与されます。 |
| 権限昇格: 機密性の高い Kubernetes バインディングの作成プレビュー | 悪意のある行為者が、新しいクラスタ管理者の RoleBinding オブジェクトまたは ClusterRoleBinding オブジェクトを作成して、権限昇格を試みました。 |
| 権限昇格: 侵害されたブートストラップ認証情報を使用した Kubernetes CSR の取得プレビュー | 悪意のある行為者が、漏洩したブートストラップ認証情報を使用して kubectl コマンドを実行し、証明書署名リクエスト(CSR)をクエリしました。 |
| 権限昇格: Kubernetes 特権コンテナのリリースプレビュー | 悪意のある行為者が、特権コンテナまたは権限昇格機能を持つコンテナを備えた Pod を作成しました。
特権コンテナの privileged フィールドは true に設定されています。権限昇格機能を備えたコンテナは allowPrivilegeEscalation フィールドが true に設定されています。 |
| 初期アクセス: 休眠状態のサービス アカウントに対するキーの作成 | 休眠状態のユーザー管理サービス アカウントに対して鍵が作成されたイベントを検出します。ここでは 180 日を超えて非アクティブなサービス アカウントが、休眠状態と見なされます。 |
| プロセスツリー | この検出機能は、実行中のすべてのプロセスのプロセスツリーを確認します。プロセスがシェルバイナリの場合、検出機能は親プロセスを確認します。親プロセスが、シェルプロセスを生成しないバイナリである場合、検出機能は検出結果をトリガーします。 |
| 予期しない子シェル | この検出機能は、実行中のすべてのプロセスのプロセスツリーを確認します。プロセスがシェルバイナリの場合、検出機能は親プロセスを確認します。親プロセスが、シェルプロセスを生成しないバイナリである場合、検出機能は検出結果をトリガーします。 |
| 実行: 追加された悪意のあるバイナリが実行された | この検出機能では、元のコンテナ イメージの一部ではなく、脅威インテリジェンスに基づいて悪意があると特定されたバイナリが実行されていないかどうかを調べます。 |
| 実行: 変更された悪意のあるバイナリが実行された | この検出機能では、コンテナ イメージに元々含まれていたバイナリが実行時に変更され、脅威インテリジェンスに基づいて悪意があるものとして特定されたバイナリが実行されていないかどうかを調べます。 |
| 権限昇格: 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任 | 管理アクティビティで異常なマルチステップの委任リクエストが見つかった場合に、検出します。 |
| 使用するブレークグラス アカウント: break_glass_account | 緊急アクセス(ブレークグラス)アカウントの使用を検出します |
| 構成可能な不正ドメイン: APT29_Domains | 指定されたドメイン名への接続を検出します |
| 想定外のロールの付与: 禁止されているロール | 指定されたロールがユーザーに付与されたことを検出します |
| 構成可能な不正 IP | 指定された IP アドレスへの接続を検出します |
| 想定外の Compute Engine インスタンス タイプ | 指定されたインスタンス タイプや構成に一致しない Compute Engine インスタンスの作成を検出します。 |
| 想定外の Compute Engine ソースイメージ | 指定したリストに一致しないイメージまたはイメージ ファミリーを持つ Compute Engine インスタンスの作成を検出します |
| 想定外の Compute Engine リージョン | 指定したリストにないリージョンでの Compute Engine インスタンスの作成を検出します |
| 禁止されている権限があるカスタムロール | 指定された IAM 権限のいずれかを含むカスタムロールがプリンシパルに付与されたことを検出します。 |
| 予期しない Cloud API 呼び出し | 指定したプリンシパルが、指定されたリソースに対して指定されたメソッドを呼び出す場合に、検出します。検出結果は、単一のログエントリ内のすべての正規表現が一致した場合にのみ生成されます。 |
サポートされている GCP_SECURITYCENTER_ERROR の検出結果
UDM マッピングは、フィールド マッピング リファレンス: ERROR テーブルで確認できます。
| 検出結果の名前 | 説明 |
|---|---|
| VPC_SC_RESTRICTION | Security Health Analytics では、プロジェクトの特定の検出結果を生成できません。プロジェクトがサービス境界で保護されており、Security Command Center のサービス アカウントがその境界にアクセスできません。 |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | Cloud Logging に継続的なエクスポートを行うために構成したプロジェクトが使用できません。Security Command Center は、検出結果を Logging に送信できません。 |
| API_DISABLED | プロジェクトで必須の API が無効になっています。無効になっているサービスは、Security Command Center に検出結果を送信できません。 |
| KTD_IMAGE_PULL_FAILURE | 必要なコンテナ イメージを gcr.io(Container Registry イメージホスト)から pull(ダウンロード)できないため、クラスタで Container Threat Detection を有効にできません。このイメージは、Container Threat Detection に必要な Container Threat Detection DaemonSet をデプロイするために必要です。 |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | Kubernetes クラスタで Container Threat Detection を有効にすることはできません。サードパーティのアドミッション コントローラにより、Container Threat Detection に必要な Kubernetes DaemonSet オブジェクトのデプロイがブロックされています。
Google Cloud コンソールで表示した場合、検出結果の詳細には、Container Threat Detection が Container Threat Detection DaemonSet オブジェクトをデプロイしようとしたときに Google Kubernetes Engine から返されたエラー メッセージが含まれます。 |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | サービス アカウントに Container Threat Detection に必要な権限がありません。検出計測の有効化、アップグレード、または無効化ができないため、Container Threat Detection が正常に機能できなくなりました。 |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | クラスタの GKE のデフォルト サービス アカウントに権限が不足しているため、Container Threat Detection は Google Kubernetes Engine クラスタの検出結果を生成できません。このため、クラスタで Container Threat Detection を有効にできません。 |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Security Command Center サービス アカウントに、正常に機能するために必要な権限がありません。検出結果は生成されません。 |
サポートされている GCP_SECURITYCENTER_OBSERVATION の検出結果
UDM マッピングは、フィールド マッピング リファレンス: OBSERVATION テーブルで確認できます。
| 検出結果の名前 | 説明 |
|---|---|
| 永続性: プロジェクトの SSH 認証鍵の追加 | 10 日以上経過したプロジェクトに、プロジェクト レベルの SSH 認証鍵が作成されました。 |
| 永続性: 機密性の高いロールの追加 | 10 日以上経過した組織で、機密性または権限の高い組織レベルの IAM ロールが付与されました。 |
サポートされている GCP_SECURITYCENTER_UNSPECIFIED の検出結果
UDM マッピングは、フィールド マッピング リファレンス: UNSPECIFIED テーブルで確認できます。
| 検出結果の名前 | 説明 |
|---|---|
| OPEN_FIREWALL | ファイアウォールが、一般公開のアクセスを受け入れるように構成されている。 |
サポートされている GCP_SECURITYCENTER_VULNERABILITY の検出結果
UDM マッピングは、フィールド マッピング リファレンス: VULNERABILITY テーブルで確認できます。
| 検出結果の名前 | 説明 |
|---|---|
| DISK_CSEK_DISABLED | この VM のディスクは顧客指定の暗号鍵(CSEK)で暗号化されていない。この検出機能を有効にするには、追加の構成が必要です。手順については、特殊なケースの検出機能をご覧ください。 |
| ALPHA_CLUSTER_ENABLED | アルファ クラスタ機能が GKE クラスタで有効になっています。 |
| AUTO_REPAIR_DISABLED | ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。 |
| AUTO_UPGRADE_DISABLED | GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。 |
| CLUSTER_SHIELDED_NODES_DISABLED | シールドされた GKE ノードがクラスタで有効になっていません。 |
| COS_NOT_USED | Compute Engine VM が、 Google Cloud で Docker コンテナを安全に実行するように設計された Container-Optimized OS を使用していません。 |
| INTEGRITY_MONITORING_DISABLED | GKE クラスタの整合性モニタリングが無効になっています。 |
| IP_ALIAS_DISABLED | GKE クラスタが無効なエイリアス IP 範囲で作成されています。 |
| LEGACY_METADATA_ENABLED | GKE クラスタで以前のメタデータが有効になっています。 |
| RELEASE_CHANNEL_DISABLED | GKE クラスタはリリース チャンネルに登録されていません。 |
| DATAPROC_IMAGE_OUTDATED | Dataproc クラスタは、Apache Log4j 2 ユーティリティのセキュリティ脆弱性(CVE-2021-44228 および CVE-2021-45046)の影響を受ける Dataproc イメージ バージョンを使用して作成されています。 |
| PUBLIC_DATASET | データセットが、一般公開のアクセスを受け入れるように構成されている。 |
| DNSSEC_DISABLED | Cloud DNS ゾーンで DNSSEC が無効になっている。 |
| RSASHA1_FOR_SIGNING | RSASHA1 が Cloud DNS ゾーンにログインする鍵に使用されています。 |
| REDIS_ROLE_USED_ON_ORG | Redis IAM ロールが組織レベルまたはフォルダレベルで割り当てられています。 |
| KMS_PUBLIC_KEY | Cloud KMS 暗号鍵は一般公開されています。 |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | 含まれている Cloud SQL for SQL Server インスタンスのデータベース認証データベース フラグが、オフに設定されていません。 |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | Cloud SQL for SQL Server インスタンスの cross_db_ownership_chaining データベース フラグがオフに設定されていません。 |
| SQL_EXTERNAL_SCRIPTS_ENABLED | Cloud SQL for SQL Server インスタンスの外部スクリプト対応データベース フラグがオフに設定されていません。 |
| SQL_LOCAL_INFILE | Cloud SQL for MySQL インスタンスの local_infile データベース フラグがオフに設定されていません。 |
| SQL_LOG_ERROR_VERBOSITY | Cloud SQL for PostgreSQL インスタンスの log_error_verbosity データベース フラグが、デフォルトまたはより厳密な値に設定されていません。 |
| SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_min_duration_statement データベース フラグが「-1」に設定されていません。 |
| SQL_LOG_MIN_ERROR_STATEMENT | Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグが適切に設定されていません。 |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグには、適切な重大度がありません。 |
| SQL_LOG_MIN_MESSAGES | Cloud SQL for PostgreSQL インスタンスの log_min_messages データベース フラグが、警告に設定されていません。 |
| SQL_LOG_EXECUTOR_STATS_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_executor_status データベース フラグがオフに設定されていません。 |
| SQL_LOG_HOSTNAME_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_hostname データベース フラグがオフに設定されていません。 |
| SQL_LOG_PARSER_STATS_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_parser_stats データベース フラグがオフに設定されていません。 |
| SQL_LOG_PLANNER_STATS_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_planner_stats データベース フラグがオフに設定されていません。 |
| SQL_LOG_STATEMENT_STATS_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_statement_stats データベース フラグがオフに設定されていません。 |
| SQL_LOG_TEMP_FILES | Cloud SQL for PostgreSQL インスタンスの log_temp_files データベース フラグが「0」に設定されていません。 |
| SQL_REMOTE_ACCESS_ENABLED | Cloud SQL for SQL Server インスタンスのリモート アクセス データベース フラグがオフに設定されていません。 |
| SQL_SKIP_SHOW_DATABASE_DISABLED | Cloud SQL for MySQL インスタンスの skip_show_database データベース フラグがオンに設定されていません。 |
| SQL_TRACE_FLAG_3625 | Cloud SQL for SQL Server インスタンスの 3625(トレースフラグ)データベース フラグがオンに設定されていません。 |
| SQL_USER_CONNECTIONS_CONFIGURED | Cloud SQL for SQL Server インスタンスのユーザー接続データベース フラグが構成されています。 |
| SQL_USER_OPTIONS_CONFIGURED | Cloud SQL for SQL Server インスタンスのユーザー オプション データベース フラグが構成されています。 |
| SQL_WEAK_ROOT_PASSWORD | Cloud SQL データベースに、root アカウント用に構成された弱いパスワードがある。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 |
| PUBLIC_LOG_BUCKET | ログシンクとして使用されるストレージ バケットが一般公開されています。 |
| ACCESSIBLE_GIT_REPOSITORY | Git リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。 |
| ACCESSIBLE_SVN_REPOSITORY | SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。 |
| ACCESSIBLE_ENV_FILE | ENV ファイルが一般公開されています。この問題を解決するには、ENV ファイルへの意図しない公開アクセスを削除します。 |
| CACHEABLE_PASSWORD_INPUT | ウェブ アプリケーションに入力したパスワードが、安全なパスワード ストレージではなく、通常のブラウザ キャッシュに保存できます。 |
| CLEAR_TEXT_PASSWORD | パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。 |
| INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | クロスサイト HTTP または HTTPS エンドポイントが、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのサフィックスのみを検証しています。この問題を解決するには、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、想定どおりのルートドメインが Origin ヘッダー値の一部になっていることを確認します。サブドメインのワイルドカードの場合は、ルートドメインに先頭にドットを追加します(例: .endsWith("".google.com""))。 |
| INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | クロスサイト HTTP または HTTPS エンドポイントが、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのプレフィックスのみを検証しています。この問題を解決するには、Access-Control-Allow-Origin レスポンス ヘッダーに反映する前に、想定どおりのドメインが Origin ヘッダーの値に完全に一致しているかどうか確認します(例: equals("".google.com""))。 |
| INVALID_CONTENT_TYPE | レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれた。この問題を解決するには、X-Content-Type-Options HTTP ヘッダーに正しい値を設定します。 |
| INVALID_HEADER | セキュリティ ヘッダーに構文エラーがあり、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 |
| MISMATCHING_SECURITY_HEADER_VALUES | セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 |
| MISSPELLED_SECURITY_HEADER_NAME | セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 |
| MIXED_CONTENT | HTTPS ページ上で HTTP を介してリソースが提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。 |
| OUTDATED_LIBRARY | 既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。 |
| SERVER_SIDE_REQUEST_FORGERY | サーバー側のリクエスト フォージェリ(SSRF)の脆弱性が検出された。この問題を解決するには、許可リストを使用して、ウェブ アプリケーションがリクエストできるドメインと IP アドレスを制限します。 |
| SESSION_ID_LEAK | クロスドメイン リクエストを行うときに、ウェブ アプリケーションの Referer リクエスト ヘッダーにユーザーのセッション ID が含まれています。この脆弱性により、受信側ドメインにセッション ID へのアクセス権が付与されます。この ID は、ユーザーになりすますことや、ユーザーを一意に識別するために使用される可能性があります。 |
| SQL_INJECTION | 潜在的な SQL インジェクション脆弱性が検出された。この問題を解決するには、パラメータ化されたクエリを使用して、ユーザー入力が SQL クエリの構造に影響を与えないようにします。 |
| STRUTS_INSECURE_DESERIALIZATION | 脆弱なバージョンの Apache Struts の使用が検出されました。この問題を解決するには、Apache Struts を最新バージョンにアップグレードしてください。 |
| XSS | このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。 |
| XSS_ANGULAR_CALLBACK | ユーザーが指定した文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、信頼されていないユーザーが指定し、Angular フレームワークによって処理されたデータを検証してエスケープします。 |
| XSS_ERROR | このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。 |
| XXE_REFLECTED_FILE_LEAKAGE | XML 外部エンティティ(XXE)の脆弱性が検出された。この脆弱性により、ウェブ アプリケーションによりホスト上のファイルが漏洩する可能性があります。この問題を解決するには、外部エンティティを許可しないように XML パーサーを構成します。 |
| BASIC_AUTHENTICATION_ENABLED | Kubernetes クラスタで、IAM またはクライアント証明書認証を有効にする必要があります。 |
| CLIENT_CERT_AUTHENTICATION_DISABLED | Kubernetes クラスタは、クライアント証明書を有効にして作成する必要があります。 |
| LABELS_NOT_USED | お支払い情報の内訳を示すためにラベルを使用できます。 |
| PUBLIC_STORAGE_OBJECT | ストレージ オブジェクト ACL で allUsers にアクセス権を付与してはいけません。 |
| SQL_BROAD_ROOT_LOGIN | SQL データベースへのルートアクセスは、許可リストに含まれている信頼できる IP のみに制限する必要があります。 |
| WEAK_CREDENTIALS | この検出機能は、ncrack ブルート フォース手法を使用して、脆弱な認証情報をチェックします。
サポートされているサービス: SSH、RDP、FTP、WordPress、TELNET、POP3、IMAP、VCS、SMB、SMB2、VNC、SIP、REDIS、PSQL、MYSQL、MSSQL、MQTT、MONGODB、WINRM、DICOM |
| ELASTICSEARCH_API_EXPOSED | Elasticsearch API を使用すると、呼び出し元は任意のクエリの実行、スクリプトの作成と実行、サービスへのドキュメントの追加を行うことができます。 |
| EXPOSED_GRAFANA_ENDPOINT | Grafana 8.0.0 から 8.3.0 では、ユーザーはディレクトリ トラバーサルの脆弱性があるエンドポイントに認証なしでアクセスできます。この脆弱性を悪用すると、認証なしでサーバー上のファイルを読み取ることができます。詳細については、CVE-2021-43798 をご覧ください。 |
| EXPOSED_METABASE | オープンソースのデータ分析プラットフォームである Metabase のバージョン x.40.0 ~ x.40.4 には、カスタム GeoJSON マップサポートの脆弱性が存在し、環境変数などのローカル ファイルへのインクルードが行われる可能性があります。URL は読み込み前に検証されていません。詳細については、CVE-2021-41277 をご覧ください。 |
| EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | この検出機能は、Spring Boot アプリケーションの機密性の高い Actuator エンドポイントが公開されているかどうかを確認します。/heapdump など、一部のデフォルトのエンドポイントでは機密情報が公開される可能性があります。/env などの他のエンドポイントでは、リモートからコードが実行されるおそれがあります。現在、/heapdump のみがチェックされます。 |
| HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | この検出機能は、Hadoop クラスタの計算リソースとストレージ リソースを制御する Hadoop Yarn ResourceManager API が公開され、未認証のコード実行を許可しているかどうかをチェックします。 |
| JAVA_JMX_RMI_EXPOSED | Java Management Extension(JMX)を使用すると、Java アプリケーションに対してリモート モニタリングと診断を行うことができます。保護されていない Remote Method Invocation エンドポイントで JMX を実行すると、リモート ユーザーは javax.management.loading.MLet MBean を作成し、それを使用して任意の URL から新しい MBeans を作成できます。 |
| JUPYTER_NOTEBOOK_EXPOSED_UI | この検出機能は、未認証の Jupyter Notebook が公開されているかどうかをチェックします。Jupyter では、ホストマシン上で設計することでリモートコードの実行が可能となります。未認証の Jupyter Notebook を使用すると、ホストしている VM がリモートコード実行の危険にさらされます。 |
| KUBERNETES_API_EXPOSED | Kubernetes API が公開されており、未認証の呼出し元からもアクセス可能です。これにより、Kubernetes クラスタで任意のコードを実行できます。 |
| UNFINISHED_WORDPRESS_INSTALLATION | この検出機能は、WordPress のインストールが完了していないかどうかチェックします。WordPress のインストールが完了していないと、/wp-admin/install.php ページが表示されるため、攻撃者が管理者パスワードを設定でき、場合によってはシステムが侵害される可能性があります。 |
| UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | この検出機能は、匿名ユーザーとして、/view/all/newJob エンドポイントにプローブ ping を送信することにより、未認証の Jenkins インスタンスをチェックします。認証済みの Jenkins インスタンスは createItem フォームを表示しますが、このフォームを使用すると、リモートコード実行を引き起こす可能性のある任意のジョブを作成できます。 |
| APACHE_HTTPD_RCE | Apache HTTP Server 2.4.49 に、パス トラバーサル攻撃により、想定されるドキュメント ルート以外のファイルに URL がマッピングされ、CGI スクリプトなどの解釈されたファイルのソースが開示される脆弱性が見つかりました。この問題は、実際に悪用されていることが確認されています。この問題は、Apache 2.4.49 と 2.4.50 に影響しますが、以前のバージョンには影響しません。この脆弱性の詳細については、以下をご覧ください。 |
| APACHE_HTTPD_SSRF | mod_proxy が攻撃者によって選択された配信元サーバーにリクエストを転送するように、Apache ウェブサーバーへの URI が作成される可能性があります。この問題は、Apache HTTP サーバー 2.4.48 以前に影響します。この脆弱性の詳細については、以下をご覧ください。 |
| CONSUL_RCE | Consul インスタンスが、-enable-script-checks で true に設定され、Consul HTTP API が保護されずにネットワーク経由でアクセスできるため、攻撃者は Consul サーバーで任意のコードを実行できます。Consul 0.9.0 以前では、スクリプト チェックはデフォルトでオンになっています。詳細については、特定の構成での RCE リスクからの Consul の保護をご覧ください。この脆弱性を確認するために、Rapid Vulnerability Detection は /v1/health/service REST エンドポイントを使用して Consul インスタンスにサービスを登録し、次のいずれかを実行します。 * ネットワーク外のリモート サーバーへの curl コマンド。攻撃者は、curl コマンドを使用してサーバーからデータを抜き取ることができます。 * printf コマンド。次に、Rapid Vulnerability Detection は、/v1/health/service REST エンドポイントを使用してコマンドの出力を確認します。 * チェック後、Rapid Vulnerability Detection は /v1/agent/service/deregister/ REST エンドポイントを使用してサービスをクリーンアップし、登録解除します。 |
| DRUID_RCE | Apache Druid には、さまざまなタイプのリクエストに埋め込まれたユーザー提供の JavaScript コードを実行する機能があります。この機能は高信頼性環境で使用することを想定しており、デフォルトでは無効になっています。ただし、Druid 0.20.0 以前では、認証済みユーザーが特別なリクエストを送信して、Druid にユーザー指定の JavaScript コードを実行させることができます。これはサーバー構成に関係なく可能です。これにより、Druid サーバー プロセスの権限を使用してターゲット マシンでコードを実行できます。詳細については、CVE-2021-25646 の詳細をご覧ください。 |
| DRUPAL_RCE | Drupal の 7.58 より前のバージョン、8.3.9 より前のバージョン 8.x、8.4.6 より前のバージョン 8.4.x、8.5.1 より前のバージョン 8.5.x は、Form API AJAX リクエストでのリモートコード実行に対して脆弱です。 Drupal の 8.5.11 より前のバージョン 8.5.x、8.6.10 より前のバージョン 8.6.x では、RESTful Web Service モジュールまたは JSON:API のいずれかが有効になっている場合、リモートコード実行に対して脆弱です。この脆弱性は、悪意のある非人称ユーザーがカスタム POST リクエストを使用して悪用する可能性があります。 |
| FLINK_FILE_DISCLOSURE | Apache Flink バージョン 1.11.0、1.11.1、1.11.2 に脆弱性があります。これにより、JobManager プロセスの REST インターフェースを介して JobManager のローカル ファイルシステム上のファイルが読み取られる可能性があります。アクセスは、JobManager プロセスがアクセスできるファイルに制限されます。 |
| GITLAB_RCE | GitLab Community Edition(CE)と Enterprise Edition(EE)バージョン 11.9 以降で、GitLab はファイル パーサーに渡される画像ファイルを正しく検証しません。この脆弱性が悪用され、リモートからコマンドが実行される可能性があります。 |
| GoCD_RCE | GoCD 21.2.0 以前に、認証なしでアクセスできるエンドポイントがあります。このエンドポイントにはディレクトリ トラバーサルの脆弱性があり、ユーザーは認証なしでサーバー上の任意のファイルを読み取ることができます。 |
| JENKINS_RCE | Jenkins バージョン 2.56 以前と 2.46.1 LTS 以前に、リモートコード実行の脆弱性が存在します。未認証の攻撃者がシリアル化された不正な Java オブジェクトを使用して、この脆弱性をトリガーする可能性があります。 |
| JOOMLA_RCE | Joomla の 3.4.6 より前のバージョン 1.5.x、2.x、3.x には、リモートコード実行の脆弱性が存在します。シリアル化された PHP オブジェクトを含む詳細なヘッダーによって、この脆弱性がトリガーされる可能性があります。 Joomla のバージョン 3.0.0 ~ 3.4.6 にリモートコード実行の脆弱性が存在します。シリアル化された不正な PHP オブジェクトを含む POST リクエストを送信することで、この脆弱性がトリガーされる可能性があります。 |
| LOG4J_RCE | Apache Log4j2 2.14.1 以前では、構成、ログメッセージ、パラメータで使用される JNDI 機能は、攻撃者が制御する LDAP やその他の JNDI 関連エンドポイントから保護しません。詳細については、CVE-2021-44228 をご覧ください。 |
| MANTISBT_PRIVILEGE_ESCALATION | MantisBT バージョン 2.3.0 までは、verify.php に空の confirm_hash 値を指定することで、任意のパスワードのリセットと未認証管理者のアクセスが可能になります。 |
| OGNL_RCE | Confluence Server インスタンスと Data Center インスタンスには、未認証の攻撃者が任意のコードを実行する可能性のある OGNL インジェクションの脆弱性が存在します。詳細については、CVE-2021-26084 をご覧ください。 |
| OPENAM_RCE | OpenAM サーバー 14.6.2 以前と ForgeRock AM サーバー 6.5.3 以前には、複数のページの jato.pageSession パラメータに Java のシリアル化解除の脆弱性があります。悪用には認証が不要であり、細工した 1 つの /ccversion/* リクエストをサーバーに送信することでリモートからのコード実行が可能になります。この脆弱性は、Sun ONE アプリケーションの使用が原因で発生します。詳細については、CVE-2021-35464 をご覧ください。 |
| ORACLE_WEBLOGIC_RCE | Oracle Fusion Middleware(コンポーネント: Console)の Oracle WebLogic Server プロダクトの特定のバージョン(10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 など)に脆弱性が存在します。この脆弱性は悪用されやすく、ネットワーク アクセス権限のある未認証のユーザーが HTTP 経由で Oracle WebLogic Server を侵害できます。この脆弱性が攻撃されると、Oracle WebLogic Server が乗っ取られる可能性があります。詳細については、 CVE-2020-14882 をご覧ください。 |
| PHPUNIT_RCE | 5.6.3 より前のバージョンの PHPUnit では、未認証の POST リクエストによってリモートコードが実行される可能性があります。 |
| PHP_CGI_RCE | PHP のバージョン 5.3.12 以前と 5.4.2 より前のバージョン 5.4.x では、CGI スクリプトとして構成されているリモートコードの実行が可能です。脆弱性のあるコードでは、=(等号)文字のないクエリ文字列が適切に処理されません。攻撃者は、サーバー上で実行されるコマンドライン オプションを追加できます。 |
| PORTAL_RCE | 7.2.1 CE GA2 より前の Liferay Portal バージョンでは、信頼できないデータを逆シリアル化することで、リモートの攻撃者が JSON ウェブサービス経由で任意のコードを実行できます。 |
| REDIS_RCE | Redis インスタンスで管理者コマンドを実行するための認証が不要な場合、攻撃者は任意のコードを実行できる可能性があります。 |
| SOLR_FILE_EXPOSED | オープンソースの検索サーバーである Apache Solr で認証が有効になっていません。Apache Solr が認証を必要としない場合、攻撃者は特定の構成を有効にするリクエストを直接作成できます。最終的には、サーバー側のリクエスト フォージェリ(SSRF)を実装したり、任意のファイルを読み取ることが可能になります。 |
| SOLR_RCE | Apache Solr のバージョン 5.0.0 ~ 8.3.1 で、params.resource.loader.enabled が true に設定されていると、VelocityResponseWriter からのリモートコード実行に対して脆弱です。この設定により、攻撃者が悪意のあるベロシティ テンプレートを含むパラメータを作成できます。 |
| STRUTS_RCE |
|
| TOMCAT_FILE_DISCLOSURE | Apache Tomcat の 9.0.31 より前のバージョン 9.x、8.5.51 より前のバージョン 8.x、7.0.100 より前のバージョン 7.x、および すべての 6.x に、公開されている Apache JServ Protocol コネクタを介してソースコードと構成が開示される脆弱性が存在します。ファイルのアップロードが許可されている場合、この脆弱性がリモートコードの実行に利用されることがあります。 |
| VBULLETIN_RCE | バージョン 5.0.0 から 5.5.4 を実行する vBulletin サーバーに、リモートコード実行の脆弱性が存在します。この脆弱性は、routestring リクエストでクエリ パラメータを使用している未認証の攻撃者に悪用される可能性があります。 |
| VCENTER_RCE | VMware vCenter Server の 7.0 U1c より前のバージョン 7.x、6.7 U3l より前のバージョン 6.7、6.5 U3n より前のバージョン 6.5 に、リモートコード実行の脆弱性が存在します。この脆弱性により、攻撃者は不正な Java Server Pages ファイルをウェブアクセス可能なディレクトリにアップロードして、そのファイルを実行する可能性があります。 |
| WEBLOGIC_RCE | Oracle Fusion Middleware(コンポーネント: Console)の Oracle WebLogic Server プロダクトの特定のバージョン(10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 など)に、リモートコード実行の脆弱性が存在します。この脆弱性は、CVE-2020-14750、CVE-2020-14882、CVE-2020-14883 に関連しています。詳細については、CVE-2020-14883 をご覧ください。 |
| OS_VULNERABILITY | VM Manager が、Compute Engine VM にインストールされているオペレーティング システム(OS)パッケージに脆弱性を検出しました。 |
| UNUSED_IAM_ROLE | IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザー アカウントを検出しました。 |
| GKE_RUNTIME_OS_VULNERABILITY | |
| GKE_SECURITY_BULLETIN | |
| SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | IAM Recommender は、サービス エージェントに付与された元のデフォルトの IAM ロールが IAM 基本ロール(オーナー、編集者、閲覧者)のいずれかに置き換えられたことを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。 |
サポートされる GCP_SECURITYCENTER_MISCONFIGURATION の検出結果
UDM マッピングは、フィールド マッピング リファレンス: MISCONFIGURATION テーブルで確認できます。
| 検出結果の名前 | 説明 |
|---|---|
| API_KEY_APIS_UNRESTRICTED | API キーが広すぎる範囲で使用されている。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。 |
| API_KEY_APPS_UNRESTRICTED | 無制限に使用され、信頼できないアプリによる使用が許可されている API キーがあります。 |
| API_KEY_EXISTS | プロジェクトが標準認証ではなく API キーを使用しています。 |
| API_KEY_NOT_ROTATED | API キーが 90 日以上ローテーションされていません。 |
| PUBLIC_COMPUTE_IMAGE | Compute Engine イメージが一般公開されている。 |
| CONFIDENTIAL_COMPUTING_DISABLED | Compute Engine インスタンスで Confidential Computing が無効になっています。 |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | プロジェクト全体の SSH 認証鍵が使用され、プロジェクト内のすべてのインスタンスにログインできるようになっています。 |
| COMPUTE_SECURE_BOOT_DISABLED | この Shielded VM で、セキュアブートが有効になっていません。セキュアブートの使用は、ルートキットやブートキットなどの高度な脅威から仮想マシン インスタンスを保護するうえで有効です。 |
| DEFAULT_SERVICE_ACCOUNT_USED | インスタンスは、デフォルトのサービス アカウントを使用するように構成されています。 |
| FULL_API_ACCESS | すべての Google Cloud API に対する完全アクセス権を持つデフォルトのサービス アカウントを使用するように、インスタンスが構成されています。 |
| OS_LOGIN_DISABLED | このインスタンスでは OS Login が無効になっている。 |
| PUBLIC_IP_ADDRESS | インスタンスにパブリック IP アドレスがある。 |
| SHIELDED_VM_DISABLED | このインスタンスでは Shielded VM が無効になっています。 |
| COMPUTE_SERIAL_PORTS_ENABLED | インスタンスのシリアルポートが有効になっているため、インスタンスのシリアル コンソールへ接続できるようになっています。 |
| DISK_CMEK_DISABLED | この VM のディスクは顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 |
| HTTP_LOAD_BALANCER | インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。 |
| IP_FORWARDING_ENABLED | インスタンスで IP 転送が有効になっている。 |
| WEAK_SSL_POLICY | インスタンスに弱い SSL ポリシーがある。 |
| BINARY_AUTHORIZATION_DISABLED | GKE クラスタで Binary Authorization が無効になっています。 |
| CLUSTER_LOGGING_DISABLED | GKE クラスタのロギングが有効になっていません。 |
| CLUSTER_MONITORING_DISABLED | GKE クラスタでモニタリングが無効になっています。 |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | クラスタホストが、Google API へのアクセスにプライベート内部 IP アドレスのみを使用するように構成されていません。 |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | GKE クラスタでアプリケーション レイヤでのシークレットの暗号化が無効になっています。 |
| INTRANODE_VISIBILITY_DISABLED | GKE クラスタでノード内の可視化が無効になっています。 |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | GKE クラスタでコントロール プレーン承認済みネットワークが有効になっていません。 |
| NETWORK_POLICY_DISABLED | GKE クラスタでネットワーク ポリシーが無効になっています。 |
| NODEPOOL_SECURE_BOOT_DISABLED | GKE クラスタのセキュアブートが無効になっています。 |
| OVER_PRIVILEGED_ACCOUNT | サービス アカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。 |
| OVER_PRIVILEGED_SCOPES | ノードのサービス アカウントに、範囲の広いアクセス スコープがあります。 |
| POD_SECURITY_POLICY_DISABLED | GKE クラスタで PodSecurityPolicy が無効になっています。 |
| PRIVATE_CLUSTER_DISABLED | GKE クラスタで限定公開クラスタが無効になっています。 |
| WORKLOAD_IDENTITY_DISABLED | GKE クラスタはリリース チャンネルに登録されていません。 |
| LEGACY_AUTHORIZATION_ENABLED | GKE クラスタで、以前の承認が有効になっています。 |
| NODEPOOL_BOOT_CMEK_DISABLED | このノードプール内のブートディスクは、顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 |
| WEB_UI_ENABLED | GKE ウェブ UI(ダッシュボード)が有効になっています。 |
| AUTO_REPAIR_DISABLED | ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。 |
| AUTO_UPGRADE_DISABLED | GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。 |
| CLUSTER_SHIELDED_NODES_DISABLED | シールドされた GKE ノードがクラスタで有効になっていません。 |
| RELEASE_CHANNEL_DISABLED | GKE クラスタはリリース チャンネルに登録されていません。 |
| BIGQUERY_TABLE_CMEK_DISABLED | BigQuery テーブルが顧客管理の暗号鍵(CMEK)を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。 |
| DATASET_CMEK_DISABLED | BigQuery データセットが、デフォルトの CMEK を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。 |
| EGRESS_DENY_RULE_NOT_SET | 下り(外向き)拒否ルールがファイアウォールに設定されていない。不要なアウトバウンド トラフィックをブロックするには、下り(外向き)拒否ルールを設定する必要があります。 |
| FIREWALL_RULE_LOGGING_DISABLED | ファイアウォール ルールのロギングが無効になっている。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります。 |
| OPEN_CASSANDRA_PORT | ファイアウォールが、一般的なアクセスを許可するオープン CASSANDRA ポートを持つように構成されている。 |
| OPEN_SMTP_PORT | ファイアウォールが、一般的なアクセスを許可するオープン SMTP ポートを持つように構成されている。 |
| OPEN_REDIS_PORT | ファイアウォールが、一般的なアクセスを許可するオープン REDIS ポートを持つように構成されている。 |
| OPEN_POSTGRESQL_PORT | ファイアウォールが、一般的なアクセスを許可するオープン POSTGRESQL ポートを持つように構成されている。 |
| OPEN_POP3_PORT | ファイアウォールが、一般的なアクセスを許可するオープン POP3 ポートを持つように構成されている。 |
| OPEN_ORACLEDB_PORT | ファイアウォールが、一般的なアクセスを許可するオープン NETBIOS ポートを持つように構成されている。 |
| OPEN_NETBIOS_PORT | ファイアウォールが、一般的なアクセスを許可するオープン NETBIOS ポートを持つように構成されている。 |
| OPEN_MYSQL_PORT | ファイアウォールが、一般的なアクセスを許可するオープン MYSQL ポートを持つように構成されている。 |
| OPEN_MONGODB_PORT | ファイアウォールが、一般的なアクセスを許可するオープン MONGODB ポートを持つように構成されている。 |
| OPEN_MEMCACHED_PORT | ファイアウォールが、一般的なアクセスを許可するオープン MEMCACHED ポートを持つように構成されている。 |
| OPEN_LDAP_PORT | ファイアウォールが、一般的なアクセスを許可するオープン LDAP ポートを持つように構成されている。 |
| OPEN_FTP_PORT | ファイアウォールが、一般的なアクセスを許可するオープン FTP ポートを持つように構成されている。 |
| OPEN_ELASTICSEARCH_PORT | ファイアウォールが、一般的なアクセスを許可するオープン ELASTICSEARCH ポートを持つように構成されている。 |
| OPEN_DNS_PORT | ファイアウォールが、一般的なアクセスを許可するオープン DNS ポートを持つように構成されている。 |
| OPEN_HTTP_PORT | ファイアウォールが、一般的なアクセスを許可するオープン HTTP ポートを持つように構成されている。 |
| OPEN_DIRECTORY_SERVICES_PORT | ファイアウォールが、一般的なアクセスを許可する DIRECTORY_SERVICES ポートを持つように構成されている。 |
| OPEN_CISCOSECURE_WEBSM_PORT | ファイアウォールが、一般的なアクセスを許可する CISCOSECURE_WEBSM ポートを持つように構成されている。 |
| OPEN_RDP_PORT | ファイアウォールが、一般的なアクセスを許可するオープン RDP ポートを持つように構成されている。 |
| OPEN_TELNET_PORT | ファイアウォールが、一般的なアクセスを許可するオープン TELNET ポートを持つように構成されている。 |
| OPEN_FIREWALL | ファイアウォールが、一般公開のアクセスを受け入れるように構成されている。 |
| OPEN_SSH_PORT | ファイアウォールが、一般的なアクセスを許可するオープン SSH ポートを持つように構成されている。 |
| SERVICE_ACCOUNT_ROLE_SEPARATION | ユーザーにサービス アカウント管理者とサービス アカウント ユーザーロールが割り当てられている。これは「職掌分散」の原則に違反しています。 |
| NON_ORG_IAM_MEMBER | 組織の認証情報を使用していないユーザーがいる。現在 CIS Google Cloud Foundations 1.0 では、この検出機能は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。 |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | ユーザーが、特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ユーザーまたはサービス アカウント トークン作成者のロールを持っています。 |
| ADMIN_SERVICE_ACCOUNT | サービス アカウントには管理者、オーナー、または編集者の権限があります。これらのロールは、ユーザーが作成するサービス アカウントに割り当てないでください。 |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | サービス アカウント キーが 90 日以上ローテーションされていない。 |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | ユーザーがサービス アカウント キーを管理しています。 |
| PRIMITIVE_ROLES_USED | ユーザーが基本ロール(オーナー、書き込み、読み取り)を持っています。これらのロールには過剰な権限が付与されるため、使用を回避する必要があります。 |
| KMS_ROLE_SEPARATION | 職掌分散が適用されていません。また、暗号鍵の暗号化 / 復号、暗号化、または復号のいずれかの Cloud Key Management Service(Cloud KMS)ロールが同時に割り当てられているユーザーが存在します。 |
| OPEN_GROUP_IAM_MEMBER | 承認なしで結合できる Google グループ アカウントが、IAM 許可ポリシーのプリンシパルとして使用されます。 |
| KMS_KEY_NOT_ROTATED | ローテーションが Cloud KMS 暗号鍵に構成されていない。鍵は 90 日以内にローテーションする必要があります。 |
| KMS_PROJECT_HAS_OWNER | ユーザーが、暗号鍵が含まれるプロジェクトに対するオーナー権限を持っています。 |
| TOO_MANY_KMS_USERS | 暗号鍵のユーザーが 3 人を超えています。 |
| OBJECT_VERSIONING_DISABLED | シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていません。 |
| LOCKED_RETENTION_POLICY_NOT_SET | ログにロックされた保持ポリシーが設定されていません。 |
| BUCKET_LOGGING_DISABLED | ロギングが有効になっていないストレージ バケットがあります。 |
| LOG_NOT_EXPORTED | 適切なログシンクが構成されていないリソースがある。 |
| AUDIT_LOGGING_DISABLED | このリソースの監査ロギングが無効になっています。 |
| MFA_NOT_ENFORCED | 2 段階認証プロセスを使用していないユーザーが存在します。 |
| ROUTE_NOT_MONITORED | ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていない。 |
| OWNER_NOT_MONITORED | ログ指標とアラートが、プロジェクト所有権の割り当て、または変更をモニタリングするように構成されていない。 |
| AUDIT_CONFIG_NOT_MONITORED | ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていません。 |
| BUCKET_IAM_NOT_MONITORED | ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていません。 |
| CUSTOM_ROLE_NOT_MONITORED | ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていない。 |
| FIREWALL_NOT_MONITORED | ログ指標とアラートが、Virtual Private Cloud(VPC)ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていません。 |
| NETWORK_NOT_MONITORED | ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていない。 |
| SQL_INSTANCE_NOT_MONITORED | ログ指標とアラートが、Cloud SQL インスタンスの構成の変更をモニタリングするように構成されていません。 |
| DEFAULT_NETWORK | デフォルト ネットワークがプロジェクト内に存在しています。 |
| DNS_LOGGING_DISABLED | VPC ネットワーク上の DNS ロギングが有効になっていません。 |
| PUBSUB_CMEK_DISABLED | Pub/Sub トピックが、顧客管理の暗号鍵(CMEK)で暗号化されません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 |
| PUBLIC_SQL_INSTANCE | Cloud SQL データベース インスタンスが、すべての IP アドレスからの接続を受け入れている。 |
| SSL_NOT_ENFORCED | Cloud SQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていない。 |
| AUTO_BACKUP_DISABLED | Cloud SQL データベースに、有効な自動バックアップがありません。 |
| SQL_CMEK_DISABLED | SQL データベース インスタンスが、顧客管理の暗号鍵(CMEK)で暗号化されていません。 この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 |
| SQL_LOG_CHECKPOINTS_DISABLED | Cloud SQL for PostgreSQL インスタンスの log_checkpoints データベース フラグがオンに設定されていません。 |
| SQL_LOG_CONNECTIONS_DISABLED | Cloud SQL for PostgreSQL インスタンスの log_connections データベース フラグがオンに設定されていません。 |
| SQL_LOG_DISCONNECTIONS_DISABLED | Cloud SQL for PostgreSQL インスタンスの log_disconnections データベース フラグがオンに設定されていません。 |
| SQL_LOG_DURATION_DISABLED | Cloud SQL for PostgreSQL インスタンスの log_duration データベース フラグがオンに設定されていません。 |
| SQL_LOG_LOCK_WAITS_DISABLED | Cloud SQL for PostgreSQL インスタンスの log_lock_waits データベース フラグがオンに設定されていません。 |
| SQL_LOG_STATEMENT | Cloud SQL for PostgreSQL インスタンスの log_statement データベース フラグが Ddl(すべてのデータ定義ステートメント)に設定されていません。 |
| SQL_NO_ROOT_PASSWORD | Cloud SQL データベースに、root アカウント用に構成されたパスワードがない。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 |
| SQL_PUBLIC_IP | Cloud SQL データベースに、パブリック IP アドレスがあります。 |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | 含まれている Cloud SQL for SQL Server インスタンスのデータベース認証データベース フラグが、オフに設定されていません。 |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | Cloud SQL for SQL Server インスタンスの cross_db_ownership_chaining データベース フラグがオフに設定されていません。 |
| SQL_LOCAL_INFILE | Cloud SQL for MySQL インスタンスの local_infile データベース フラグがオフに設定されていません。 |
| SQL_LOG_MIN_ERROR_STATEMENT | Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグが適切に設定されていません。 |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグには、適切な重大度がありません。 |
| SQL_LOG_TEMP_FILES | Cloud SQL for PostgreSQL インスタンスの log_temp_files データベース フラグが「0」に設定されていません。 |
| SQL_REMOTE_ACCESS_ENABLED | Cloud SQL for SQL Server インスタンスのリモート アクセス データベース フラグがオフに設定されていません。 |
| SQL_SKIP_SHOW_DATABASE_DISABLED | Cloud SQL for MySQL インスタンスの skip_show_database データベース フラグがオンに設定されていません。 |
| SQL_TRACE_FLAG_3625 | Cloud SQL for SQL Server インスタンスの 3625(トレースフラグ)データベース フラグがオンに設定されていません。 |
| SQL_USER_CONNECTIONS_CONFIGURED | Cloud SQL for SQL Server インスタンスのユーザー接続データベース フラグが構成されています。 |
| SQL_USER_OPTIONS_CONFIGURED | Cloud SQL for SQL Server インスタンスのユーザー オプション データベース フラグが構成されています。 |
| PUBLIC_BUCKET_ACL | Cloud Storage バケットが一般公開になっている。 |
| BUCKET_POLICY_ONLY_DISABLED | 均一なバケットレベルのアクセス(以前の「バケット ポリシーのみ」)が構成されていません。 |
| BUCKET_CMEK_DISABLED | バケットは、顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 |
| FLOW_LOGS_DISABLED | 無効なフローログを持つ VPC サブネットワークがあります。 |
| PRIVATE_GOOGLE_ACCESS_DISABLED | Google の公開 API にアクセスできない限定公開サブネットワークがあります。 |
| kms_key_region_europe | 会社のポリシーにより、すべての暗号鍵はヨーロッパに保存する必要があります。 |
| kms_non_euro_region | 会社のポリシーにより、すべての暗号鍵はヨーロッパに保存する必要があります。 |
| LEGACY_NETWORK | 以前のネットワークがプロジェクト内に存在します。 |
| LOAD_BALANCER_LOGGING_DISABLED | ロギングがロードバランサに対して無効になっています。 |
サポートされている GCP_SECURITYCENTER_POSTURE_VIOLATION の検出結果
UDM マッピングは、フィールド マッピング リファレンス: POSTURE VIOLATION テーブルで確認できます。
| 検出結果の名前 | 説明 |
|---|---|
| SECURITY_POSTURE_DRIFT | セキュリティ ポスチャー内で定義されたポリシーから逸脱する。これは、セキュリティ ポスチャー サービスによって検出されます。 |
| SECURITY_POSTURE_POLICY_DRIFT | セキュリティ ポスチャー サービスが、ポスチャーの更新外で発生した組織のポリシーの変更を検出しました。 |
| SECURITY_POSTURE_POLICY_DELETE | セキュリティ ポスチャー サービスが、組織のポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。 |
| SECURITY_POSTURE_DETECTOR_DRIFT | セキュリティ ポスチャー サービスが、ポスチャーの更新外で発生した Security Health Analytics 検出機能への変更を検出しました。 |
| SECURITY_POSTURE_DETECTOR_DELETE | セキュリティ ポスチャー サービスが、Security Health Analytics のカスタム モジュールが削除されたことを検出しました。この削除は、対策の更新外で発生しました。 |
フィールド マッピング リファレンス
このセクションでは、Google Security Operations パーサーが Security Command Center のログフィールドをデータセットの Google Security Operations Unified Data Model(UDM)フィールドにマッピングする方法について説明します。
フィールド マッピング リファレンス: デバイスログ フィールドから UDM フィールド
次の表に、Security Command Center の Event Threat Detection の検出結果のログフィールドと対応する UDM マッピングを示します。
| RawLog フィールド | UDM マッピング | 論理 |
|---|---|---|
compliances.ids |
about.labels [compliance_ids](非推奨) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version](非推奨) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard](非推奨) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip](非推奨) |
connections.destinationIp ログフィールドの値が sourceProperties.properties.ipConnection.destIp と等しくない場合、connections.destinationIp ログフィールドは about.labels.value UDM フィールドにマッピングされます。 |
connections.destinationIp |
additional.fields [connections_destination_ip] |
connections.destinationIp ログフィールドの値が sourceProperties.properties.ipConnection.destIp と等しくない場合、connections.destinationIp ログフィールドは additional.fields.value.string_value UDM フィールドにマッピングされます。 |
connections.destinationPort |
about.labels [connections_destination_port](非推奨) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol](非推奨) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip](非推奨) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port](非推奨) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
message ログフィールドの値が正規表現パターン kubernetes と一致する場合、target.resource_ancestors.resource_type UDM フィールドは CLUSTER に設定されます。それ以外の場合、 message ログフィールドの値が正規表現 kubernetes.*?pods と一致する場合、target.resource_ancestors.resource_type UDM フィールドは POD に設定されます。 |
|
about.resource.attribute.cloud.environment |
about.resource.attribute.cloud.environment UDM フィールドは GOOGLE_CLOUD_PLATFORM に設定されます。 |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.pods.containers.createTime |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
category ログフィールドの値が Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Two Step Verification Disabled、または Persistence: SSO Enablement Toggle と等しい場合、extension.auth.type UDM フィールドは SSO に設定されます。 |
|
extension.mechanism |
category ログフィールドの値が Brute Force: SSH と等しい場合、extension.mechanism UDM フィールドは USERNAME_PASSWORD に設定されます。 |
|
extensions.auth.type |
principal.user.user_authentication_status ログフィールドの値が ACTIVE と等しい場合、extensions.auth.type UDM フィールドは SSO に設定されます。 |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri](非推奨) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity](非推奨) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact](非推奨) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact](非推奨) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact](非推奨) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired](非推奨) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope](非推奨) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction](非推奨) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source](非推奨) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable](非推奨) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
category ログフィールドの値が Initial Access: Log4j Compromise Attempt と等しい場合、sourceProperties.properties.loadBalancerName ログフィールドは intermediary.resource.name UDM フィールドにマッピングされます。 |
|
intermediary.resource.resource_type |
category ログフィールドの値が Initial Access: Log4j Compromise Attempt と等しい場合、intermediary.resource.resource_type UDM フィールドは BACKEND_SERVICE に設定されます。 |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
canonicalName ログフィールドの値が空でない場合、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。finding_id ログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertId ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。canonicalName ログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertId ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。 |
|
metadata.product_name |
metadata.product_name UDM フィールドは Security Command Center に設定されます。 |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
metadata.vendor_name UDM フィールドは Google に設定されます。 |
|
network.application_protocol |
category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、network.application_protocol UDM フィールドは DNS に設定されます。 |
sourceProperties.properties.indicatorContext.asn |
network.asn |
category ログフィールドの値が Malware: Cryptomining Bad IP と等しい場合、sourceProperties.properties.indicatorContext.asn ログフィールドは network.asn UDM フィールドにマッピングされます。 |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
category ログフィールドの値が Malware: Cryptomining Bad IP と等しい場合、sourceProperties.properties.indicatorContext.carrierName ログフィールドは network.carrier_name UDM フィールドにマッピングされます。 |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.indicatorContext.reverseDnsDomain ログフィールドは network.dns_domain UDM フィールドにマッピングされます。 |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
category ログフィールドの値が Malware: Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.responseData.responseClass ログフィールドは network.dns.answers.class UDM フィールドにマッピングされます。 |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
category ログフィールドの値が正規表現 Malware: Bad Domain と一致する場合、sourceProperties.properties.dnsContexts.responseData.responseValue ログフィールドは network.dns.answers.data UDM フィールドにマッピングされます。 |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
category ログフィールドの値が Malware: Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.responseData.domainName ログフィールドは network.dns.answers.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
category ログフィールドの値が Malware: Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.responseData.ttl ログフィールドは network.dns.answers.ttl UDM フィールドにマッピングされます。 |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
category ログフィールドの値が Malware: Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.responseData.responseType ログフィールドは network.dns.answers.type UDM フィールドにマッピングされます。 |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.authAnswer ログフィールドは network.dns.authoritative UDM フィールドにマッピングされます。 |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.queryName ログフィールドは network.dns.questions.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.queryType ログフィールドは network.dns.questions.type UDM フィールドにマッピングされます。 |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.responseCode ログフィールドは network.dns.response_code UDM フィールドにマッピングされます。 |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
category ログフィールドの値が Persistence: New User Agent と等しい場合、sourceProperties.properties.anomalousSoftware.callerUserAgent ログフィールドは network.http.user_agent UDM フィールドにマッピングされます。 |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.callerUserAgent ログフィールドは network.http.user_agent UDM フィールドにマッピングされます。 |
access.userAgentFamily |
network.http.user_agent |
|
finding.access.userAgent |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
category ログフィールドの値が Discovery: Service Account Self-Investigation と等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent ログフィールドは network.http.user_agent UDM フィールドにマッピングされます。 |
| sourceProperties.properties.ipConnection.protocol | network.ip_protocol | category ログフィールドの値が Malware: Bad IP、Malware: Cryptomining Bad IP または Malware: Outgoing DoS と等しい場合、network.ip_protocol UDM フィールドは次のいずれかの値に設定されます。
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.indicatorContext.organizationName ログフィールドは network.organization_name UDM フィールドにマッピングされます。 |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
category ログフィールドの値が Persistence: New User Agent と等しい場合、sourceProperties.properties.anomalousSoftware.behaviorPeriod ログフィールドは network.session_duration UDM フィールドにマッピングされます。 |
sourceProperties.properties.sourceIp |
principal.ip |
category ログフィールドの値が正規表現 Active Scan: Log4j Vulnerable to RCE と一致する場合、sourceProperties.properties.sourceIp ログフィールドは principal.ip UDM フィールドにマッピングされます。 |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.sourceIp ログフィールドは principal.ip UDM フィールドにマッピングされます。 |
access.callerIp |
principal.ip |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control、access.callerIp、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、Persistence: New Geography または Persistence: IAM Anomalous Grant と等しい場合、access.callerIp ログフィールドは principal.ip UDM フィールドにマッピングされます。 |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
category ログフィールドの値が Discovery: Service Account Self-Investigation と等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp ログフィールドは principal.ip UDM フィールドにマッピングされます。 |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
category ログフィールドの値が Evasion: Access from Anonymizing Proxy と等しい場合、sourceProperties.properties.changeFromBadIp.ip ログフィールドは principal.ip UDM フィールドにマッピングされます。 |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.sourceIp ログフィールドは principal.ip UDM フィールドにマッピングされます。 |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
category ログフィールドの値が Malware: Bad IP、Malware: Cryptomining Bad IP または Malware: Outgoing DoS と等しい場合、sourceProperties.properties.ipConnection.srcIp ログフィールドは principal.ip UDM フィールドにマッピングされます。 |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
category ログフィールドの値が Malware: Cryptomining Bad IP またはMalware: Bad IPと等しい場合に、sourceProperties.properties.ipConnection.srcIp ログフィールドの値が sourceProperties.properties.indicatorContext.ipAddress と等しくない場合、sourceProperties.properties.indicatorContext.ipAddress ログフィールドは principal.ip UDM フィールドにマッピングされます。 |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
category ログフィールドの値が Persistence: New Geography と等しい場合、sourceProperties.properties.anomalousLocation.callerIp ログフィールドは principal.ip UDM フィールドにマッピングされます。 |
sourceProperties.properties.scannerDomain |
principal.labels [sourceProperties_properties_scannerDomain](非推奨) |
category ログフィールドの値が正規表現 Active Scan: Log4j Vulnerable to RCE と一致する場合、sourceProperties.properties.scannerDomain ログフィールドは principal.labels.key/value UDM フィールドにマッピングされます。 |
sourceProperties.properties.scannerDomain |
additional.fields [sourceProperties_properties_scannerDomain] |
category ログフィールドの値が正規表現 Active Scan: Log4j Vulnerable to RCE と一致する場合、sourceProperties.properties.scannerDomain ログフィールドは additional.fields.value.string_value UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState](非推奨) |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.jobState ログフィールドは principal.labels.key/value と UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.jobState ログフィールドは additional.fields.value.string_value UDM フィールドにマッピングされます。 |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.indicatorContext.countryCode ログフィールドは principal.location.country_or_region UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.job.location ログフィールドは principal.location.country_or_region UDM フィールドにマッピングされます。 |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.job.location ログフィールドは principal.location.country_or_region UDM フィールドにマッピングされます。 |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
category ログフィールドの値が Persistence: New Geography または Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier ログフィールドは principal.location.country_or_region UDM フィールドにマッピングされます。 |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.anomalousLocation.anomalousLocation ログフィールドは principal.location.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
category ログフィールドの値が Malware: Bad IP または Malware: Outgoing DoS と等しい場合、sourceProperties.properties.ipConnection.srcPort ログフィールドは principal.port UDM フィールドにマッピングされます。 |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.jobLink ログフィールドは principal.process.file.full_path UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.jobLink ログフィールドは principal.process.file.full_path UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.job.jobId ログフィールドは principal.process.pid UDM フィールドにマッピングされます。 |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.job.jobId ログフィールドは principal.process.pid UDM フィールドにマッピングされます。 |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.srcVpc.subnetworkName ログフィールドは principal.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.srcVpc.projectId ログフィールドは principal.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは principal.resource_ancestors.name UDM フィールドにマッピングされ、principal.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。 |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
message ログフィールドの値が正規表現 sourceProperties.sourceId.*?customerOrganizationNumber と一致する場合、sourceProperties.sourceId.customerOrganizationNumber ログフィールドは principal.resource.attribute.labels.key/value UDM フィールドにマッピングされます。 |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
sourceProperties.properties.projectId ログフィールドの値が空でない場合、sourceProperties.properties.projectId ログフィールドは principal.resource.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
category ログフィールドの値が Discovery: Service Account Self-Investigation と等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId ログフィールドは principal.resource.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
category ログフィールドの値が Malware: Outgoing DoS と等しい場合、sourceProperties.properties.sourceInstanceDetails ログフィールドは principal.resource.name UDM フィールドにマッピングされます。 |
|
principal.user.account_type |
access.principalSubject ログフィールドの値が正規表現 serviceAccount と一致する場合、principal.user.account_type UDM フィールドは SERVICE_ACCOUNT_TYPE に設定されます。access.principalSubject ログフィールドの値が正規表現 user と一致する場合、principal.user.account_type UDM フィールドは CLOUD_ACCOUNT_TYPE に設定されます。 |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
category ログフィールドの値が Discovery: Service Account Self-Investigation と等しい場合、principal.user.attribute.labels.key UDM フィールドは rawUserAgent に設定され、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent ログフィールドは principal.user.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Discovery: Service Account Self-Investigation と等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Evasion: Access from Anonymizing Proxy と等しい場合、sourceProperties.properties.changeFromBadIp.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.userEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive、Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Impair Defenses: Strong Authentication Disabled、Impair Defenses: Two Step Verification Disabled、Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、sourceProperties.properties.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。category ログフィールドの値 Initial Access: Suspicious Login Blocked と等しい場合、sourceProperties.properties.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
access.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、または Persistence: New Geography と等しい場合、access.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.sensitiveRoleGrant.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Persistence: New User Agent と等しい場合、sourceProperties.properties.anomalousSoftware.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.customRoleSensitivePermissions.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Persistence: New Geography と等しい場合、sourceProperties.properties.anomalousLocation.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Credential Access: External Member Added To Privileged Group と等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Credential Access: Privileged Group Opened To Public と等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
category ログフィールドの値が Credential Access: Sensitive Role Granted To Hybrid Group と等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.vpcViolation.userEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
category ログフィールドの値が Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Two Step Verification Disabled または Persistence: SSO Enablement Toggle と等しい場合、sourceProperties.properties.ssoState ログフィールドは principal.user.user_authentication_status UDM フィールドにマッピングされます。 |
database.userName |
principal.user.userid |
category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、database.userName ログフィールドは principal.user.userid UDM フィールドにマッピングされます。 |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.threatIntelligenceSource ログフィールドは security_result.about.application UDM フィールドにマッピングされます。 |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.sourceIp ログフィールドは security_result.about.ip UDM フィールドにマッピングされます。 |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName ログフィールドは security_result.about.resource.name UDM フィールドにマッピングされます。category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.delta.restrictedResources.resourceName ログフィールドは security_result.about.resource.name UDM フィールドにマッピングされ、security_result.about.resource_type UDM フィールドは CLOUD_PROJECT に設定されます。 |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.delta.allowedServices.serviceName ログフィールドは security_result.about.resource.name UDM フィールドにマッピングされ、security_result.about.resource_type UDM フィールドは BACKEND_SERVICE に設定されます。 |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.delta.restrictedServices.serviceName ログフィールドは security_result.about.resource.name UDM フィールドにマッピングされ、security_result.about.resource_type UDM フィールドは BACKEND_SERVICE に設定されます。 |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.delta.accessLevels.policyName ログフィールドは security_result.about.resource.name UDM フィールドにマッピングされ、security_result.about.resource_type UDM フィールドは ACCESS_POLICY に設定されます。 |
|
security_result.about.user.attribute.roles.name |
message ログフィールドの値が正規表現 contacts.?security と一致する場合、security_result.about.user.attribute.roles.name UDM フィールドは security に設定されます。message ログフィールドの値が正規表現 contacts.?technical と一致する場合、security_result.about.user.attribute.roles.name UDM フィールドは Technical に設定されます。 |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
category ログフィールドの値が Initial Access: Suspicious Login Blocked と等しい場合、security_result.action UDM フィールドは BLOCK に設定されます。category ログフィールドの値が Brute Force: SSH と等しい場合に、sourceProperties.properties.attempts.authResult ログフィールドの値が SUCCESS と等しい場合、security_result.action UDM フィールドは BLOCK に設定されます。それ以外の場合、 security_result.action UDM フィールドは BLOCK に設定されます。 |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.delta.restrictedResources.action ログフィールドは security_result.action_details UDM フィールドにマッピングされます。 |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.delta.restrictedServices.action ログフィールドは security_result.action_details UDM フィールドにマッピングされます。 |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.delta.allowedServices.action ログフィールドは security_result.action_details UDM フィールドにマッピングされます。 |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.delta.accessLevels.action ログフィールドは security_result.action_details UDM フィールドにマッピングされます。 |
|
security_result.alert_state |
state ログフィールドの値が ACTIVE と等しい場合、security_result.alert_state UDM フィールドは ALERTING に設定されます。それ以外の場合、 security_result.alert_state UDM フィールドは NOT_ALERTING に設定されます。 |
findingClass |
security_result.catgory_details |
findingClass - category ログフィールドは security_result.catgory_details UDM フィールドにマッピングされます。 |
category |
security_result.catgory_details |
findingClass - category ログフィールドは security_result.catgory_details UDM フィールドにマッピングされます。 |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
mute ログフィールドの値が MUTED または UNMUTED と等しい場合、muteInitiator ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
mute ログフィールドの値が MUTED または UNMUTED と等しい場合、muteUpdateTimer ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
category ログフィールドの値が Persistence: New User Agent と等しい場合、sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.authResult ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.indicator.indicatorType ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.customer_industry ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.customer_name ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.lasthit ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.myVote ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.support_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_class_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_name ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.upVotes ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.downVotes ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Over-Privileged Grant、Exfiltration: CloudSQL Restore Backup to External Organization、Initial Access: Log4j Compromise Attempt、Malware: Cryptomining Bad Domain、Malware: Cryptomining Bad IP または Persistence: IAM Anomalous Grant と等しい場合、security_result.detection_fields.key UDM フィールドは sourceProperties_contextUris_relatedFindingUri_url に設定され、sourceProperties.contextUris.relatedFindingUri.url ログフィールドは metadata.url_back_to_product UDM フィールドにマッピングされます。 |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad Domain、または Malware: Cryptomining Bad IP と等しい場合、sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName ログフィールドは security_result.detection_fields.key UDM フィールドにマッピングされ、sourceProperties.contextUris.virustotalIndicatorQueryUri.url ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
category ログフィールドの値が Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Strong Authentication Disabled、Persistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.contextUris.workspacesUri.displayName ログフィールドは security_result.detection_fields.key UDM フィールドにマッピングされ、sourceProperties.contextUris.workspacesUri.url ログフィールドは security_result.detection_fields.key/value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.public_tag_name ログフィールドは intermediary.labels.key UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.description ログフィールドは intermediary.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
sourceProperties.detectionPriority ログフィールドの値が HIGH と等しい場合、security_result.priority UDM フィールドは HIGH_PRIORITY に設定されます。それ以外の場合で、 sourceProperties.detectionPriority ログフィールドの値が MEDIUM と等しい場合、security_result.priority UDM フィールドは MEDIUM_PRIORITY に設定されます。それ以外の場合で、 sourceProperties.detectionPriority ログフィールドの値が LOW と等しい場合、security_result.priority UDM フィールドは LOW_PRIORITY に設定されます。 |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
category ログフィールドの値が Exfiltration: BigQuery Exfiltration と等しい場合、sourceProperties.properties.vpcViolation.violationReason ログフィールドは security_result.summary UDM フィールドにマッピングされます。 |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、database.query ログフィールドは src.process.command_line UDM フィールドにマッピングされます。 |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.folders.resourceFolderDisplayName ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.parentDisplayName ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.parentName ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.projectDisplayName ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
parent |
src.resource_ancestors.name |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、parent ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされ、src.resource_ancestors.resource_type UDM フィールドは TABLE に設定されます。 |
resourceName |
src.resource_ancestors.name |
category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、resourceName ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。 |
resource.folders.resourceFolder |
src.resource_ancestors.name |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.folders.resourceFolder ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.sourceId.customerOrganizationNumber ログフィールドは src.resource_ancestors.product_object_id UDM フィールドにマッピングされます。 |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.sourceId.projectNumber ログフィールドは src.resource_ancestors.product_object_id UDM フィールドにマッピングされます。 |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.sourceId.organizationNumber ログフィールドは src.resource_ancestors.product_object_id UDM フィールドにマッピングされます。 |
resource.type |
src.resource_ancestors.resource_subtype |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.type ログフィールドは src.resource_ancestors.resource_subtype UDM フィールドにマッピングされます。 |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、database.displayName ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、src.resource.attribute.labels.key UDM フィールドは grantees に設定され、database.grantees ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.displayName ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.displayName |
principal.hostname |
resource.type ログフィールドの値が正規表現パターン (?i)google.compute.Instance or google.container.Cluster と一致する場合、resource.displayName ログフィールドは principal.hostname UDM フィールドにマッピングされます。 |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.display_name ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.datasetId ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.projectId ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.resourceUri ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.backupId ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration または Exfiltration: BigQuery Data Extraction と等しい場合、src.resource.attribute.labels.key/value ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resourceName |
src.resource.name |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.sources.name ログフィールドは src.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource ログフィールドは src.resource.name UDM フィールドにマッピングされ、src.resource.resource_subtype UDM フィールドは CloudSQL に設定されます。 |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource ログフィールドは src.resource.name UDM フィールドにマッピングされ、src.resource.resource_subtype UDM フィールドは CloudSQL に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.cloudsqlInstanceResource ログフィールドは src.resource.name UDM フィールドにマッピングされ、src.resource.resource_subtype UDM フィールドは CloudSQL に設定されます。 |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.sources.name ログフィールドは src.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.tableId ログフィールドは src.resource.product_object_id UDM フィールドにマッピングされます。 |
access.serviceName |
target.application |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、Exfiltration: CloudSQL Over-Privileged Grant、Persistence: New Geography または Persistence: IAM Anomalous Grant と等しい場合、access.serviceName ログフィールドは target.application UDM フィールドにマッピングされます。 |
sourceProperties.properties.serviceName |
target.application |
category ログフィールドの値が Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Strong Authentication Disabled、Impair Defenses: Two Step Verification Disabled、Persistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.properties.serviceName ログフィールドは target.application UDM フィールドにマッピングされます。 |
sourceProperties.properties.domainName |
target.domain.name |
category ログフィールドの値が Persistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.properties.domainName ログフィールドは target.domain.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.domains.0 |
target.domain.name |
category ログフィールドの値が Malware: Bad Domain、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.domains.0 ログフィールドは target.domain.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action ログフィールドは target.group.attribute.labels.key/value UDM フィールドにマッピングされます。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
category ログフィールドの値が Credential Access: Sensitive Role Granted To Hybrid Group と等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action ログフィールドは target.group.attribute.labels.key/value UDM フィールドにマッピングされます。 |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member ログフィールドは target.group.attribute.labels.key/value UDM フィールドにマッピングされます。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
category ログフィールドの値が Credential Access: Sensitive Role Granted To Hybrid Group と等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member ログフィールドは target.group.attribute.labels.key/value UDM フィールドにマッピングされます。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
category ログフィールドの値が Credential Access: Privileged Group Opened To Public と等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin ログフィールドは target.group.attribute.permissions.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.customRoleSensitivePermissions.permissions ログフィールドは target.group.attribute.permissions.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
category ログフィールドの値が Credential Access: External Member Added To Privileged Group と等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName ログフィールドは target.group.attribute.roles.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
category ログフィールドの値が Credential Access: Sensitive Role Granted To Hybrid Group と等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role ログフィールドは target.group.attribute.roles.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role ログフィールドは target.group.attribute.roles.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
category ログフィールドの値が Credential Access: Privileged Group Opened To Public と等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName ログフィールドは target.group.attribute.roles.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.customRoleSensitivePermissions.roleName ログフィールドは target.group.attribute.roles.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
category ログフィールドの値が Credential Access: External Member Added To Privileged Group と等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName ログフィールドは target.group.group_display_name UDM フィールドにマッピングされます。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
category ログフィールドの値が Credential Access: Privileged Group Opened To Public と等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.groupName ログフィールドは target.group.group_display_name UDM フィールドにマッピングされます。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
category ログフィールドの値が Credential Access: Sensitive Role Granted To Hybrid Group と等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.groupName ログフィールドは target.group.group_display_name UDM フィールドにマッピングされます。 |
sourceProperties.properties.ipConnection.destIp |
target.ip |
category ログフィールドの値が Malware: Bad IP、Malware: Cryptomining Bad IP または Malware: Outgoing DoS と等しい場合、sourceProperties.properties.ipConnection.destIp ログフィールドは target.ip UDM フィールドにマッピングされます。 |
access.methodName |
target.labels [access_methodName](非推奨) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated](非推奨) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents](非推奨) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize](非推奨) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed](非推奨) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name](非推奨) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val](非推奨) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated](非推奨) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents](非推奨) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize](非推奨) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed](非推奨) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents](非推奨) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize](非推奨) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed](非推奨) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels [sourceProperties_properties_methodName](非推奨) |
category ログフィールドの値が Impair Defenses: Strong Authentication Disabled、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Persistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.properties.methodName ログフィールドは target.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.methodName |
additional.fields [sourceProperties_properties_methodName] |
category ログフィールドの値が Impair Defenses: Strong Authentication Disabled、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Persistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.properties.methodName ログフィールドは additional.fields.value.string_value UDM フィールドにマッピングされます。 |
sourceProperties.properties.network.location |
target.location.name |
category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.network.location ログフィールドは target.location.name UDM フィールドにマッピングされます。 |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
category ログフィールドの値が Malware: Bad IP または Malware: Outgoing DoS と等しい場合、sourceProperties.properties.ipConnection.destPort ログフィールドは target.port UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.query ログフィールドは target.process.command_line UDM フィールドにマッピングされます。 |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
containers.labels.name ログフィールドは target.resource_ancestors.attribute.labels.key UDM フィールドにマッピングされ、containers.labels.value ログフィールドは target.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.destVpc.projectId ログフィールドは target.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.destVpc.subnetworkName ログフィールドは target.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
category ログフィールドの値が Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、sourceProperties.properties.network.subnetworkName ログフィールドは target.resource_ancestors.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
category ログフィールドの値が Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、sourceProperties.properties.network.subnetworkId ログフィールドは target.resource_ancestors.value UDM フィールドにマッピングされます。 |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。それ以外の場合で、 category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。それ以外の場合で、 category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。それ以外の場合で、 category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
resourceName |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。それ以外の場合で、 category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。それ以外の場合で、 category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。それ以外の場合で、 category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
parent |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。それ以外の場合で、 category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。それ以外の場合で、 category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
containers.name |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。それ以外の場合で、 category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
category ログフィールドの値が Credential Access: External Member Added To Privileged Group と等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
category ログフィールドの値が Credential Access: Privileged Group Opened To Public と等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。それ以外の場合で、 category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
category ログフィールドの値が Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、sourceProperties.properties.gceInstanceId ログフィールドは target.resource_ancestors.product_object_id UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。 |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
category ログフィールドの値が Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。 |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
category ログフィールドの値が Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。 |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
category ログフィールドの値が Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。 |
containers.imageId |
target.resource_ancestors.product_object_id |
category ログフィールドの値が Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。 |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.zone ログフィールドは target.resource.attribute.cloud.availability_zone UDM フィールドにマッピングされます。 |
canonicalName |
metadata.product_log_id |
finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。finding_id ログフィールドの値が空ではない場合、finding_id ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。 |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
finding_id ログフィールドの値が空でない場合、finding_id ログフィールドは src.resource.attribute.labels.key/value [finding_id] UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれかと等しい場合、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
canonicalName |
src.resource.product_object_id |
source_id ログフィールドの値が空でない場合、source_id ログフィールドは src.resource.product_object_id UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれかと等しい場合、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
source_id ログフィールドの値が空でない場合、source_id ログフィールドは src.resource.attribute.labels.key/value [source_id] UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれかと等しい場合、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
finding_id ログフィールドの値が空でない場合、finding_id ログフィールドは target.resource.attribute.labels.key/value [finding_id] UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれとも一致しない場合は、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
canonicalName |
target.resource.product_object_id |
source_id ログフィールドの値が空でない場合、source_id ログフィールドは target.resource.product_object_id UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれとも一致しない場合は、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
source_id ログフィールドの値が空でない場合、source_id ログフィールドは target.resource.attribute.labels.key/value [source_id] UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれとも一致しない場合は、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、target.resource.attribute.labels.key UDM フィールドは exportScope に設定され、sourceProperties.properties.exportToGcs.exportScope ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.objectName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.originalUri ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.metadataKeyOperation ログフィールドは target.resource.attribute.labels.key/value UDM フィールドにマッピングされます。 |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration または Exfiltration: BigQuery Data Extraction と等しい場合、exfiltration.targets.components ログフィールドは target.resource.attribute.labels.key/value UDM フィールドにマッピングされます。 |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketAccess ログフィールドは target.resource.attribute.permissions.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.name |
target.resource.name |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。そうでない場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。それ以外の場合、 resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。そうでない場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。それ以外の場合、 resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。そうでない場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。それ以外の場合、 resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。 |
resourceName |
target.resource.name |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。そうでない場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。それ以外の場合、 resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.attempts.vmName |
target.resource.name |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。そうでない場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。それ以外の場合、 resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.instanceDetails |
target.resource.name |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。そうでない場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。それ以外の場合、 resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。そうでない場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。それ以外の場合、 resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。そうでない場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。それ以外の場合、 resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。 |
exfiltration.targets.name |
target.resource.name |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。そうでない場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。それ以外の場合、 resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。 |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.instanceId ログフィールドは target.resource.product_object_id UDM フィールドにマッピングされます。 |
kubernetes.pods.containers.imageId |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId] |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.resource_subtype UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Credential Access: External Member Added To Privileged Group と等しい場合、target.resource.resource_subtype UDM フィールドは Privileged Group に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、target.resource.resource_subtype UDM フィールドは BigQuery に設定されます。 |
|
target.resource.resource_type |
sourceProperties.properties.extractionAttempt.destinations.collectionType ログフィールドの値が正規表現 BUCKET と一致する場合、target.resource.resource_type UDM フィールドは STORAGE_BUCKET に設定されます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定さます。それ以外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、target.resource.resource_type UDM フィールドは TABLE に設定されます。 |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.jobLink ログフィールドは target.url UDM フィールドにマッピングされます。categoryログフィールドの値が Exfiltration: BigQuery Data Extraction と等しい場合、sourceProperties.properties.extractionAttempt.jobLink ログフィールドが target.url UDM フィールドにマッピングされます。 |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.gcsUri ログフィールドは target.url UDM フィールドにマッピングされます。 |
sourceProperties.properties.requestUrl |
target.url |
category ログフィールドの値が Initial Access: Log4j Compromise Attempt と等しい場合、sourceProperties.properties.requestUrl ログフィールドは target.url UDM フィールドにマッピングされます。 |
sourceProperties.properties.policyLink |
target.url |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.policyLink ログフィールドは target.url UDM フィールドにマッピングされます。 |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
category ログフィールドの値が Persistence: New Geography と等しい場合、sourceProperties.properties.anomalousLocation.notSeenInLast ログフィールドは target.user.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.properties.attempts.username |
target.user.userid |
category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.username ログフィールドは target.user.userid UDM フィールドにマッピングされます。category ログフィールドの値が Initial Access: Suspicious Login Blocked と等しい場合、userid ログフィールドは target.user.userid UDM フィールドにマッピングされます。 |
sourceProperties.properties.principalEmail |
target.user.userid |
category ログフィールドの値が Initial Access: Suspicious Login Blocked と等しい場合、userid ログフィールドは target.user.userid UDM フィールドにマッピングされます。 |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels [Environment_Variables_name](非推奨) |
|
sourceProperties.Environment_Variables |
additional.fields [Environment_Variables_name] |
|
|
target.labels [Environment_Variables_val](非推奨) |
|
|
additional.fields [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels [sourceProperties_Process_Creation_Timestamp_nanos](非推奨) |
|
sourceProperties.Process_Creation_Timestamp.nanos |
additional.fields [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels [sourceProperties_Process_Creation_Timestamp_seconds](非推奨) |
|
sourceProperties.Process_Creation_Timestamp.seconds |
additional.fields [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
category ログフィールドの値が Added Binary Executed または Added Library Loaded と等しい場合、sourceProperties.VM_Instance_Name ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。 |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
category ログフィールドの値が Increasing Deny Ratio、Allowed Traffic Spike または Application DDoS Attack Attempt と等しい場合、sourceProperties.Backend_Service ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike または Application DDoS Attack Attempt と等しい場合、target.resource.resource_type UDM フィールドは BACKEND_SERVICE に設定されます。category ログフィールドの値が Configurable Bad Domain と等しい場合、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。 |
|
is_alert |
state ログフィールドの値が ACTIVE と等しい場合に、mute_is_not_present フィールドの値が true と等しくなく、(mute ログフィールドの値が UNMUTED と等しい、または mute ログフィールドの値が UNDEFINED と等しい場合)、is_alert UDM フィールドは true に設定されます。それ以外の場合、is_alert UDM フィールドは false に設定されます。 |
|
is_significant |
state ログフィールドの値が ACTIVE と等しい場合に、mute_is_not_present フィールドの値が true と等しくなく、(mute ログフィールドの値が UNMUTED と等しい、または mute ログフィールドの値が UNDEFINED と等しい場合)、is_significant UDM フィールドは true に設定されます。それ以外の場合、is_significant UDM フィールドは false に設定されます。 |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok : sourceProperties.properties.sensitiveRoleGrant.principalEmail ログフィールドから user_id が抽出された後、user_id フィールドが principal.user.userid UDM フィールドにマッピングされます。 |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok : sourceProperties.properties.customRoleSensitivePermissions.principalEmail ログフィールドから user_id が抽出された後、user_id フィールドが principal.user.userid UDM フィールドにマッピングされます。 |
resourceName |
principal.asset.location.name |
parentDisplayName ログフィールドの値が Virtual Machine Threat Detection と等しい場合、Grok : resourceName ログフィールドから project_name、region、zone_suffix、asset_prod_obj_id が抽出された後、region ログフィールドが principal.asset.location.name UDM フィールドにマッピングされます。 |
resourceName |
principal.asset.product_object_id |
parentDisplayName ログフィールドの値が Virtual Machine Threat Detection と等しい場合、Grok : resourceName ログフィールドから project_name、region、zone_suffix、asset_prod_obj_id が抽出された後、asset_prod_obj_id ログフィールドが principal.asset.product_object_id UDM フィールドにマッピングされます。 |
resourceName |
principal.asset.attribute.cloud.availability_zone |
parentDisplayName ログフィールドの値が Virtual Machine Threat Detection と等しい場合、Grok : resourceName ログフィールドから project_name、region、zone_suffix、asset_prod_obj_id が抽出された後、zone_suffix ログフィールドが principal.asset.attribute.cloud.availability_zone UDM フィールドにマッピングされます。 |
resourceName |
principal.asset.attribute.labels[project_name] |
parentDisplayName ログフィールドの値が Virtual Machine Threat Detection と等しい場合、Grok : resourceName ログフィールドから project_name、region、zone_suffix、asset_prod_obj_id が抽出された後、project_name ログフィールドが principal.asset.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
| target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.methodName ログフィールドは target.labels UDM フィールドにマッピングされます。 |
| additional.fields[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.methodName ログフィールドは additional.fields UDM フィールドにマッピングされます。 |
| target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.serviceName ログフィールドは target.labels UDM フィールドにマッピングされます。 |
| additional.fields[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.serviceName ログフィールドは additional.fields UDM フィールドにマッピングされます。 |
| target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.attemptTimes ログフィールドは target.labels UDM フィールドにマッピングされます。 |
| additional.fields[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.attemptTimes ログフィールドは additional.fields UDM フィールドにマッピングされます。 |
| target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.lastOccurredTime ログフィールドは target.labels UDM フィールドにマッピングされます。 |
| additional.fields[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.lastOccurredTime ログフィールドは additional.fields UDM フィールドにマッピングされます。 |
resource.resourcePathString |
src.resource.attribute.labels[resource_path_string] |
category ログフィールドの値に次のいずれかの値が含まれている場合、resource.resourcePathString ログフィールドは src.resource.attribute.labels[resource_path_string] UDM フィールドにマッピングされます。
resource.resourcePathString ログフィールドは target.resource.attribute.labels[resource_path_string] UDM フィールドにマッピングされます。 |
フィールド マッピング リファレンス: イベント識別子からイベントタイプへ
| イベント ID | イベントタイプ | セキュリティ カテゴリ |
|---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
EXPLOIT |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
EXPLOIT |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
次の表は、Security Command Center の UDM イベントタイプと UDM フィールド マッピング(VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION 検出クラス)を含んでいます。
VULNERABILITY カテゴリから UDM イベントタイプ
次の表に、VULNERABILITY カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント ID | イベントタイプ | セキュリティ カテゴリ |
|---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
EXPLOIT |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
|
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
MISCONFIGURATION カテゴリから UDM イベントタイプ
次の表に、MISCONFIGURATION カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント ID | イベントタイプ |
|---|---|
| API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_EXISTS | SCAN_UNCATEGORIZED |
| API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
| CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
| COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
| DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
| FULL_API_ACCESS | SCAN_UNCATEGORIZED |
| OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
| SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
| COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
| DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| HTTP_LOAD_BALANCER | SCAN_NETWORK |
| IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
| WEAK_SSL_POLICY | SCAN_NETWORK |
| BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
| INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
| NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
| POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
| WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
| LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
| AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
| AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
| RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
| BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
| FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
| OPEN_CASSANDRA_PORT | SCAN_NETWORK |
| OPEN_SMTP_PORT | SCAN_NETWORK |
| OPEN_REDIS_PORT | SCAN_NETWORK |
| OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
| OPEN_POP3_PORT | SCAN_NETWORK |
| OPEN_ORACLEDB_PORT | SCAN_NETWORK |
| OPEN_NETBIOS_PORT | SCAN_NETWORK |
| OPEN_MYSQL_PORT | SCAN_NETWORK |
| OPEN_MONGODB_PORT | SCAN_NETWORK |
| OPEN_MEMCACHED_PORT | SCAN_NETWORK |
| OPEN_LDAP_PORT | SCAN_NETWORK |
| OPEN_FTP_PORT | SCAN_NETWORK |
| OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
| OPEN_DNS_PORT | SCAN_NETWORK |
| OPEN_HTTP_PORT | SCAN_NETWORK |
| OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
| OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
| OPEN_RDP_PORT | SCAN_NETWORK |
| OPEN_TELNET_PORT | SCAN_NETWORK |
| OPEN_FIREWALL | SCAN_NETWORK |
| OPEN_SSH_PORT | SCAN_NETWORK |
| SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
| ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED |
| PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
| KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
| KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
| TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED |
| OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
| LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
| BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
| AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
| ROUTE_NOT_MONITORED | SCAN_NETWORK |
| OWNER_NOT_MONITORED | SCAN_NETWORK |
| AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
| BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
| CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| FIREWALL_NOT_MONITORED | SCAN_NETWORK |
| NETWORK_NOT_MONITORED | SCAN_NETWORK |
| SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| DEFAULT_NETWORK | SCAN_NETWORK |
| DNS_LOGGING_DISABLED | SCAN_NETWORK |
| PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
| SSL_NOT_ENFORCED | SCAN_NETWORK |
| AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
| SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
| SQL_PUBLIC_IP | SCAN_NETWORK |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
| SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
| SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
| SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
| SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
| SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
| SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
| BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
| BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| FLOW_LOGS_DISABLED | SCAN_NETWORK |
| PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
| kms_key_region_europe | SCAN_UNCATEGORIZED |
| kms_non_euro_region | SCAN_UNCATEGORIZED |
| LEGACY_NETWORK | SCAN_NETWORK |
| LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
| INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
| GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
| GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
| GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
| GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
| GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
OBSERVATION カテゴリから UDM イベントタイプ
次の表に、OBSERVATION カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント ID | イベントタイプ |
|---|---|
| 永続性: プロジェクトの SSH 認証鍵の追加 | SETTING_MODIFICATION |
| 永続性: 機密性の高いロールの追加 | RESOURCE_PERMISSIONS_CHANGE |
| 影響: GPU インスタンスの作成 | USER_RESOURCE_CREATION |
| 影響: 多くのインスタンスの作成 | USER_RESOURCE_CREATION |
ERROR カテゴリから UDM イベントタイプ
次の表に、ERROR カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント ID | イベントタイプ |
|---|---|
| VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
| API_DISABLED | SCAN_UNCATEGORIZED |
| KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
UNSPECIFIED カテゴリから UDM イベントタイプ
次の表に、UNSPECIFIED カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント ID | イベントタイプ | セキュリティ カテゴリ |
|---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
POSTURE_VIOLATION カテゴリから UDM イベントタイプ
次の表に、POSTURE_VIOLATION カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント ID | イベントタイプ |
|---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
フィールド マッピング リファレンス: VULNERABILITY
次の表に、VULNERABILITY カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| RawLog フィールド | UDM マッピング | 論理 |
|---|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
| assetId | target.asset.asset_id | |
| findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
| sourceProperties.description | extensions.vuln.vulnerabilities.description | |
| sourceProperties.finalUrl | network.http.referral_url | |
| sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
| sourceProperties.httpMethod | network.http.method | |
| sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
| sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
| sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
| sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
| externalUri | about.url | |
| category | extensions.vuln.vulnerabilities.name | |
| resourceName | principal.asset.location.name | Grok パターンを使用して resourceName から region が抽出され、principal.asset.location.name UDM フィールドにマッピングされます。 |
| resourceName | principal.asset.product_object_id | Grok パターンを使用して resourceName から asset_prod_obj_id が抽出され、principal.asset.product_object_id UDM フィールドにマッピングされます。 |
| resourceName | principal.asset.attribute.cloud.availability_zone | Grok パターンを使用して resourceName から zone_suffix が抽出され、principal.asset.attribute.cloud.availability_zone UDM フィールドにマッピングされます。 |
| sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
| sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
| sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
| iamBindings.role | about.user.attribute.roles.name | |
| iamBindings.member | about.user.email_addresses | |
| iamBindings.action | about.user.attribute.labels.key/value[action] |
フィールド マッピング リファレンス: MISCONFIGURATION
次の表に、MISCONFIGURATION カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| RawLog フィールド | UDM マッピング |
|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
| assetId | target.asset.asset_id |
| externalUri | about.url |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
| sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
| sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
| sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
| sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
| sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
| sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
| sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
| sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
| sourceProperties.ExposedService | target.application |
| sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
| sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
| sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
| sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] |
| sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
| sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
| sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
| sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
| sourceProperties.cli_remediation | target.process.command_line_history |
| sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
| sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
| sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
| sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
| sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
| sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
| sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] |
| sourceProperties.TargetProxyUrl | target.url |
| sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
| sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
フィールド マッピング リファレンス: OBSERVATION
次の表に、OBSERVATION カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| RawLog フィールド | UDM マッピング |
|---|---|
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
| assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] |
| assetId | target.asset.asset_id |
フィールド マッピング リファレンス: ERROR
次の表に、ERROR カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| RawLog フィールド | UDM マッピング |
|---|---|
| externalURI | about.url |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
フィールド マッピング リファレンス: UNSPECIFIED
次の表に、UNSPECIFIED カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| RawLog フィールド | UDM マッピング |
|---|---|
| sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
フィールド マッピング リファレンス: POSTURE_VIOLATION
次の表に、POSTURE_VIOLATION カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
finding.resourceName |
target.resource_ancestors.name |
finding.resourceName ログフィールドの値が空でない場合、finding.resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。project_name フィールドは、Grok パターンを使用して finding.resourceName ログフィールドから抽出されます。project_name フィールドの値が空では ない 場合、project_name フィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
resourceName |
target.resource_ancestors.name |
resourceName ログフィールドの値が空では ない 場合、resourceName ログフィールドは、target.resource.name UDM フィールドにマッピングされます。project_nameフィールドは、Grok パターンを使用してresourceNameログフィールドから抽出されます。project_nameフィールドの値が空では ない 場合、project_nameフィールドは、target.resource_ancestors.name UDM フィールドにマッピングされます。 |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
finding.cloudProvider ログフィールドの値に次のいずれかの値が含まれている場合、finding.cloudProvider ログフィールドは about.resource.attribute.cloud.environment UDM フィールドにマッピングされます。
|
cloudProvider |
about.resource.attribute.cloud.environment |
cloudProvider ログフィールドの値に次のいずれかの値が含まれている場合、cloudProvider ログフィールドは about.resource.attribute.cloud.environment UDM フィールドにマッピングされます。
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
resource.cloudProvider ログフィールドの値に次のいずれかの値が含まれている場合、resource.cloudProvider ログフィールドは target.resource.attribute.cloud.environment UDM フィールドにマッピングされます。
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
共通フィールド: SECURITY COMMAND CENTER - VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION、TOXIC_COMBINATION
次の表に、SECURITY COMMAND CENTER の共通フィールド(VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION、TOXIC_COMBINATION カテゴリとそれらに対応する UDM フィールド)を示します。
| RawLog フィールド | UDM マッピング | 論理 |
|---|---|---|
compliances.ids |
about.labels [compliance_ids](非推奨) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version](非推奨) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard](非推奨) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip](非推奨) |
connections.destinationIp ログフィールドの値が sourceProperties.properties.ipConnection.destIp と等しくない場合、connections.destinationIp ログフィールドは about.labels.value UDM フィールドにマッピングされます。 |
connections.destinationIp |
additional.fields [connections_destination_ip] |
connections.destinationIp ログフィールドの値が sourceProperties.properties.ipConnection.destIp と等しくない場合、connections.destinationIp ログフィールドは additional.fields.value UDM フィールドにマッピングされます。 |
connections.destinationPort |
about.labels [connections_destination_port](非推奨) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol](非推奨) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip](非推奨) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port](非推奨) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
target.resource_ancestors.resource_type UDM フィールドは CLUSTER に設定されます。 |
|
about.resource.attribute.cloud.environment |
about.resource.attribute.cloud.environment UDM フィールドは GOOGLE_CLOUD_PLATFORM に設定されます。 |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri](非推奨) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity](非推奨) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact](非推奨) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact](非推奨) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact](非推奨) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired](非推奨) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope](非推奨) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction](非推奨) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source](非推奨) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable](非推奨) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
vulnerability.cve.impact |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact] |
|
vulnerability.cve.exploitationActivity |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity] |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
canonicalName ログフィールドの値が空でない場合、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。finding_id ログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertId ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。canonicalName ログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertId ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。 |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
message ログフィールドの値が正規表現 sourceProperties.sourceId.*?customerOrganizationNumber と一致する場合、sourceProperties.sourceId.customerOrganizationNumber ログフィールドは principal.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.projectName |
principal.resource.name |
|
resource.gcpMetadata.project |
principal.resource.name |
|
|
principal.user.account_type |
access.principalSubject ログフィールドの値が正規表現 serviceAccount と一致する場合、principal.user.account_type UDM フィールドは SERVICE_ACCOUNT_TYPE に設定されます。access.principalSubject ログフィールドの値が正規表現 user と一致する場合、principal.user.account_type UDM フィールドは CLOUD_ACCOUNT_TYPE に設定されます。 |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
access.principalEmail ログフィールドの値が空でない場合に、access.principalEmail ログフィールドの値が正規表現 ^.+@.+$ と一致する場合、access.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。 |
access.principalEmail |
principal.user.userid |
access.principalEmail ログフィールドの値が空でなく、access.principalEmail ログフィールドの値が正規表現 ^.+@.+$ と一致しない場合、access.principalEmail ログフィールドは principal.user.userid UDM フィールドにマッピングされます。 |
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
message ログフィールドの値が正規表現 contacts.?security と一致する場合、security_result.about.user.attribute.roles.name UDM フィールドは security に設定されます。message ログフィールドの値が正規表現 contacts.?technical と一致する場合、security_result.about.user.attribute.roles.name UDM フィールドは Technical に設定されます。 |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
state ログフィールドの値が ACTIVE と等しい場合、security_result.alert_state UDM フィールドは ALERTING に設定されます。それ以外の場合、 security_result.alert_state UDM フィールドは NOT_ALERTING に設定されます。 |
findingClass, category |
security_result.catgory_details |
findingClass - category ログフィールドは security_result.catgory_details UDM フィールドにマッピングされます。 |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
mute ログフィールドの値が MUTED または UNMUTED と等しい場合、muteInitiator ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
mute ログフィールドの値が MUTED または UNMUTED と等しい場合、muteUpdateTimer ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Over-Privileged Grant、Exfiltration: CloudSQL Restore Backup to External Organization、Initial Access: Log4j Compromise Attempt、Malware: Cryptomining Bad Domain、Malware: Cryptomining Bad IP または Persistence: IAM Anomalous Grant と等しい場合、security_result.detection_fields.key UDM フィールドは sourceProperties_contextUris_relatedFindingUri_url に設定され、sourceProperties.contextUris.relatedFindingUri.url ログフィールドは metadata.url_back_to_product UDM フィールドにマッピングされます。 |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad Domain、または Malware: Cryptomining Bad IP と等しい場合、sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName ログフィールドは security_result.detection_fields.key UDM フィールドにマッピングされ、sourceProperties.contextUris.virustotalIndicatorQueryUri.url ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
category ログフィールドの値が Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Strong Authentication Disabled、Persistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.contextUris.workspacesUri.displayName ログフィールドは security_result.detection_fields.key UDM フィールドにマッピングされ、sourceProperties.contextUris.workspacesUri.url ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。 |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
sourceProperties.detectionPriority ログフィールドの値が HIGH と等しい場合、security_result.priority UDM フィールドは HIGH_PRIORITY に設定されます。それ以外の場合で、 sourceProperties.detectionPriority ログフィールドの値が MEDIUM と等しい場合、security_result.priority UDM フィールドは MEDIUM_PRIORITY に設定されます。それ以外の場合で、 sourceProperties.detectionPriority ログフィールドの値が LOW と等しい場合、security_result.priority UDM フィールドは LOW_PRIORITY に設定されます。 |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、database.query ログフィールドは src.process.command_line UDM フィールドにマッピングされます。それ以外の場合、 database.query ログフィールドは target.process.command_line UDM フィールドにマッピングされます。 |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.folders.resourceFolderDisplayName ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。それ以外の場合、 resource.folders.resourceFolderDisplayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.gcpMetadata.folders.resourceFolderDisplay |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.folders.resourceFolderDisplay ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.folders.resourceFolderDisplay ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.gcpMetadata.folders.resourceFolder |
src.resource_ancestors.name |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.folders.resourceFolder ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.folders.resourceFolder ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
resource.organization |
src.resource_ancestors.name |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.organization ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合、 resource.organization ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
resource.gcpMetadata.organization |
src.resource_ancestors.name |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.organization ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.organization ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.parentDisplayName ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。それ以外の場合、 resource.parentDisplayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.gcpMetadata.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.parentDisplayName ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.parentDisplayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.parentName ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。それ以外の場合、 resource.parentName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.gcpMetadata.parent |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.parent ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.parent ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.projectDisplayName ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。それ以外の場合、 resource.projectDisplayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.gcpMetadata.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.projectDisplayName ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.projectDisplayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.type |
src.resource_ancestors.resource_subtype |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.type ログフィールドは src.resource_ancestors.resource_subtype UDM フィールドにマッピングされます。 |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、database.displayName ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、src.resource.attribute.labels.key UDM フィールドは grantees に設定され、database.grantees ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.displayName ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。それ以外の場合、 resource.displayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.display_name ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。それ以外の場合、 resource.display_name ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.type |
src.resource_ancestors.resource_subtype |
category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.type ログフィールドは src.resource_ancestors.resource_subtype UDM フィールドにマッピングされます。 |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.displayName ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。それ以外の場合、 resource.displayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.display_name ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。それ以外の場合、 resource.display_name ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration または Exfiltration: BigQuery Data Extraction と等しい場合、exfiltration.sources.components ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。 |
resourceName |
src.resource.name |
category ログフィールドの値が Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、resourceName ログフィールドは src.resource.name UDM フィールドにマッピングされます。 |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
category ログフィールドの値が Defense Evasion: Modify VPC Service Control、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、Exfiltration: CloudSQL Over-Privileged Grant、Persistence: New Geography または Persistence: IAM Anomalous Grant と等しい場合、access.serviceName ログフィールドは target.application UDM フィールドにマッピングされます。 |
access.methodName |
target.labels [access_methodName](非推奨) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated](非推奨) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents](非推奨) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize](非推奨) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed](非推奨) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name](非推奨) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val](非推奨) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated](非推奨) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents](非推奨) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize](非推奨) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed](非推奨) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents](非推奨) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize](非推奨) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed](非推奨) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP、または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。 |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.zone ログフィールドは target.resource.attribute.cloud.availability_zone UDM フィールドにマッピングされます。 |
canonicalName |
metadata.product_log_id |
finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。finding_id ログフィールドの値が空ではない場合、finding_id ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。 |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
finding_id ログフィールドの値が空でない場合、finding_id ログフィールドは src.resource.attribute.labels.key/value [finding_id] UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれかと等しい場合、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
canonicalName |
src.resource.product_object_id |
source_id ログフィールドの値が空でない場合、source_id ログフィールドは src.resource.product_object_id UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれかと等しい場合、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
source_id ログフィールドの値が空でない場合、source_id ログフィールドは src.resource.attribute.labels.key/value [source_id] UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれかと等しい場合、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
finding_id ログフィールドの値が空でない場合、finding_id ログフィールドは target.resource.attribute.labels.key/value [finding_id] UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれとも一致しない場合は、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
canonicalName |
target.resource.product_object_id |
source_id ログフィールドの値が空でない場合、source_id ログフィールドは target.resource.product_object_id UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれとも一致しない場合は、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
source_id ログフィールドの値が空でない場合、source_id ログフィールドは target.resource.attribute.labels.key/value [source_id] UDM フィールドにマッピングされます。category ログフィールドの値が次の値のいずれとも一致しない場合は、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration または Exfiltration: BigQuery Data Extraction と等しい場合、exfiltration.targets.components ログフィールドは target.resource.attribute.labels.key/value UDM フィールドにマッピングされます。 |
resourceName |
target.resource.name |
category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。それ例外の場合で、 category ログフィールドの値が Malware: Bad Domain、Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。祖霊がの場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合で、 category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。それ以外の場合、 resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。 |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
sourceProperties.Header_Signature.name ログフィールドの値が RegionCode と等しい場合、sourceProperties.Header_Signature.significantValues.value ログフィールドは principal.location.country_or_region UDM フィールドにマッピングされます。 |
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
sourceProperties.Header_Signature.name ログフィールドの値が RemoteHost と等しい場合、sourceProperties.Header_Signature.significantValues.value ログフィールドは principal.ip UDM フィールドにマッピングされます。 |
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
sourceProperties.Header_Signature.name ログフィールドの値が UserAgent と等しい場合、sourceProperties.Header_Signature.significantValues.value ログフィールドは network.http.user_agent UDM フィールドにマッピングされます。 |
sourceProperties.Header_Signature.significantValues.value |
principal.url |
sourceProperties.Header_Signature.name ログフィールドの値が RequestUriPath と等しい場合、sourceProperties.Header_Signature.significantValues.value ログフィールドは principal.url UDM フィールドにマッピングされます。 |
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.compromised_account ログフィールドは principal.user.userid UDM フィールドにマッピングされ、principal.user.account_type UDM フィールドは SERVICE_ACCOUNT_TYPE に設定されます。 |
sourceProperties.project_identifier |
principal.resource.product_object_id |
category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.project_identifier ログフィールドは principal.resource.product_object_id UDM フィールドにマッピングされます。 |
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.private_key_identifier ログフィールドは principal.user.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.action_taken |
principal.labels [action_taken](非推奨) |
category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.action_taken ログフィールドは principal.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.action_taken |
additional.fields [action_taken] |
category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.action_taken ログフィールドは additional.fields.value UDM フィールドにマッピングされます。 |
sourceProperties.finding_type |
principal.labels [finding_type](非推奨) |
category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.finding_type ログフィールドは principal.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.finding_type |
additional.fields [finding_type] |
category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.finding_type ログフィールドは additional.fields.value UDM フィールドにマッピングされます。 |
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.url ログフィールドは principal.user.attribute.labels.value UDM フィールドにマッピングされます。 |
sourceProperties.security_result.summary |
security_result.summary |
category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.security_result.summary ログフィールドは security_result.summary UDM フィールドにマッピングされます。 |
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] |
vulnerability.offendingPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] |
vulnerability.offendingPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] |
vulnerability.offendingPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] |
vulnerability.offendingPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] |
vulnerability.fixedPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] |
vulnerability.fixedPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] |
vulnerability.fixedPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] |
vulnerability.fixedPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] |
vulnerability.securityBulletin.bulletinId |
|
security_result.detection_fields[vulnerability_securityBulletin_submissionTime] |
vulnerability.securityBulletin.submissionTime |
|
security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] |
vulnerability.securityBulletin.suggestedUpgradeVersion |
|
target.location.name |
resource.location |
|
additional.fields[resource_service] |
resource.service |
|
target.resource_ancestors.attribute.labels[kubernetes_object_kind] |
kubernetes.objects.kind |
|
target.resource_ancestors.name |
kubernetes.objects.name |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] |
kubernetes.objects.ns |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] |
kubernetes.objects.group |
次のステップ
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。