收集 Security Command Center 发现结果
本文档介绍如何通过配置 Security Command Center 并将发现结果注入 Chronicle 来收集 Security Command Center 日志。本文档还列出了支持的事件。
如需了解详情,请参阅将数据注入到 Chronicle 和将 Security Command Center 发现结果导出到 Chronicle。典型的部署由 Security Command Center 和配置为将日志发送到 Chronicle 的 Chronicle Feed 组成。每个客户部署可能有所不同,并且可能更复杂。
部署包含以下组件:
Google Cloud:安装 Security Command Center 的受监控系统。
Security Command Center Event Threat Detection 发现结果:从数据源收集信息并生成发现结果。
Chronicle:保留和分析 Security Command Center 中的日志。
提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有以下提取标签的 Security Command Center 解析器:
GCP_SECURITYCENTER_ERROR
GCP_SECURITYCENTER_MISCONFIGURATION
GCP_SECURITYCENTER_OBSERVATION
GCP_SECURITYCENTER_THREAT
GCP_SECURITYCENTER_UNSPECIFIED
GCP_SECURITYCENTER_VULNERABILITY
GCP_SECURITYCENTER_POSTURE_VIOLATION
GCP_SECURITYCENTER_TOXIC_COMBINATION
配置 Security Command Center 和 Google Cloud 以将发现结果发送到 Chronicle
确保部署中的所有系统都按世界协调时间 (UTC) 时区进行配置。
启用 Security Command Center 发现结果注入功能。
支持的 Event Threat Detection 发现结果
本部分列出了受支持的 Event Threat Detection 发现结果。如需了解 Security Command Center Event Threat Detection 规则和发现结果,请参阅事件威胁检测规则。
查找名称 | 说明 |
---|---|
主动扫描:Log4j 容易受到 RCE 攻击 | 通过识别由受支持的 Log4j 漏洞扫描程序启动的未混淆网域的 DNS 查询,检测处于活动状态的 Log4j 漏洞。 |
暴力破解:SSH | 检测到主机上成功的 SSH 暴力破解。 |
凭据访问:外部成员已添加到特权组 | 检测外部成员何时被添加到具有特权的 Google 群组(授予敏感角色或权限的群组)。仅当群组中没有与新添加的成员属于同一组织的其他外部成员时,系统才会生成发现结果。如需了解详情,请参阅不安全的 Google 网上论坛群组更改。 |
凭据访问:向公众开放特权群组 | 检测特权 Google 群组(授予敏感角色或权限的群组)何时更改为可供公众访问。如需了解详情,请参阅不安全的 Google 网上论坛群组更改。 |
凭据访问权限:向混合群组授予的敏感角色 | 检测何时向包含外部成员的 Google 群组授予敏感角色。如需了解详情,请参阅不安全的 Google 网上论坛群组更改。 |
防护规避:修改 VPC Service Control | 检测到现有 VPC Service Control 边界的变化会导致该边界提供的保护力度下降。 |
发现:可以获取敏感的 Kubernetes 对象检查预览 | 恶意操作者尝试使用 kubectl auth can-i get 命令来确定他们可以在 Google Kubernetes Engine (GKE) 中查询哪些敏感对象。 |
发现:服务帐号自行调查 | 检测用于调查与同一服务帐号关联的角色和权限的身份和访问管理 (IAM) 服务帐号凭据。 |
规避:通过匿名代理访问 | 检测源自匿名代理 IP 地址(如 Tor IP 地址)的 Google Cloud 服务修改。 |
渗漏:BigQuery 数据渗漏 | 可检测以下情况:
|
渗漏:BigQuery 数据提取 | 可检测以下情况:
|
渗漏:将 BigQuery 数据导出至 Google 云端硬盘 | 可检测以下情况:
系统会通过提取操作将受保护组织拥有的 BigQuery 资源保存到 Google 云端硬盘文件夹。 |
渗漏:Cloud SQL 数据渗漏 | 可检测以下情况:
|
渗漏:Cloud SQL 将备份恢复到外部组织 | 检测 Cloud SQL 实例的备份何时恢复到组织外部的实例。 |
渗漏:Cloud SQL SQL 超特权授权 | 检测 Cloud SQL Postgres 用户或角色何时被授予数据库或架构中所有表、过程或函数的所有权限。 |
防御受影响:强身份验证被停用 | 您的组织已停用两步验证。 |
防御受影响:两步验证被停用 | 用户停用了两步验证。 |
初始访问权限:帐号已停用(遭黑客攻击) | 用户的账号因可疑活动而被暂停。 |
初始访问:已停用(密码泄露) | 由于检测到密码泄露,用户的帐号已被停用。 |
初始访问权限:受政府支持的攻击 | 政府支持的攻击者可能尝试破解了用户账号或计算机。 |
初始访问:Log4j 入侵尝试 | 检测标头或网址参数中的 Java 命名和目录接口 (JNDI) 查找。这些查找可能指示试图利用 Log4Shell 的行为。这些发现结果的严重程度为低,因为它们仅表示检测或入侵尝试,并不表示漏洞或入侵。 |
初始访问:阻止了可疑登录 | 检测到并阻止了用户账号的可疑登录。 |
Log4j 恶意软件:网域错误 | Log4j 检测基于 Log4j 攻击中所用已知网域的连接或查询来利用流量。 |
Log4j 恶意软件:IP 错误 | Log4j 检测:根据与 Log4j 攻击中所用已知 IP 地址的连接来利用流量。 |
恶意软件:网域错误 | 根据与已知恶意网域的连接或查询来检测恶意软件。 |
恶意软件:错误的 IP | 根据与已知不良 IP 地址的连接检测恶意软件。 |
恶意软件:加密货币挖矿错误网域 | 基于与已知加密货币挖矿网域的连接或查询,检测加密货币挖矿操作。 |
恶意软件:挖矿不良 IP | 根据与已知挖矿 IP 地址的连接检测加密货币挖矿。 |
传出 DoS | 检测传出的拒绝服务流量。 |
持久性:Compute Engine 管理员添加了 SSH 密钥 | 检测已建立的实例(超过 1 周)上的 Compute Engine 实例元数据 SSH 密钥值的修改情况。 |
持久性:Compute Engine 管理员添加了启动脚本 | 在已建立的实例(超过 1 周)上检测到对 Compute Engine 实例元数据启动脚本值的修改。 |
持久性:IAM 异常授权 | 检测向非组织成员的 IAM 用户和服务账号授予的权限。此检测器将组织现有的 IAM 政策用作上下文。如果发生了对外部成员的敏感 IAM 授权,并且现有的类似 IAM 政策少于三项,则此检测器会生成发现结果。 |
持久性:新 API 方法预览 | 检测 IAM 服务帐号对 Google Cloud 服务的异常使用情况。 |
持久性:新的地理位置 | 根据发出请求的 IP 地址的地理位置,检测从异常位置访问 Google Cloud 的 IAM 用户和服务帐号。 |
持久性:新的用户代理 | 检测从异常或可疑的用户代理访问 Google Cloud 的 IAM 服务帐号。 |
持久性:单点登录启用切换 | 管理员账号的“启用单点登录 (SSO)”设置已停用。 |
持久性:单点登录设置发生了更改 | 管理员账号的 SSO 设置已更改。 |
提权:敏感 Kubernetes RBAC 对象变更预览版 | 为了提升权限,恶意操作者尝试使用 PUT 或 PATCH 请求修改 cluster-admin ClusterRole 和 ClusterRoleBinding 对象。 |
提升权限:为主 certPreview 创建 Kubernetes CSR | 潜在恶意操作者创建了一个 Kubernetes 主证书签名请求 (CSR),向其授予了集群管理员访问权限。 |
特权升级:创建敏感的 Kubernetes 绑定预览 | 恶意操作者尝试创建新的集群管理员 RoleBinding 或 ClusterRoleBinding 对象以提升其权限。 |
提升权限:使用被盗用的引导凭据获取 Kubernetes CSR 预览 | 恶意操作者使用被盗用的引导凭据通过 kubectl 命令查询证书签名请求 (CSR)。 |
提升权限:启动特权 Kubernetes 容器预览 | 恶意操作者创建的 Pod 包含特权容器或具有提权功能的容器。 对于特权容器,privileged 字段设置为 true。具有提权功能的容器的 allowPrivilegeEscalation 字段设置为 true。 |
初始访问权限:已创建休眠服务账号密钥 | 检测为休眠的用户代管式服务账号创建密钥的事件。在这种情况下,如果服务帐号处于非活跃状态超过 180 天,则会被视为休眠帐号。 |
流程树 | 检测器会检查所有正在运行的进程的进程树。如果某个进程是 shell 二进制文件,则检测器会检查其父级进程。如果父进程是不应生成 shell 进程的二进制文件,则检测器会触发发现结果。 |
意外的子 Shell | 检测器会检查所有正在运行的进程的进程树。如果某个进程是 shell 二进制文件,则检测器会检查其父级进程。如果父进程是不应生成 shell 进程的二进制文件,则检测器会触发发现结果。 |
执行:添加了恶意二进制文件执行 | 检测器会查找正在执行的二进制文件,但该二进制文件不属于原始容器映像,并且根据威胁情报被识别为恶意文件。 |
执行:执行被篡改的恶意二进制文件 | 检测器会查找正在执行的二进制文件,该文件最初包含在容器映像中但在运行时被修改,并且根据威胁情报被识别为恶意文件。 |
提升权限:针对管理员活动的异常多步服务账号委托 | 检测何时发现了针对某项管理活动的异常多步骤委托请求。 |
使用的 Breakglass 账号:break_glass_account | 检测紧急访问 (Breakglass) 账号的使用情况 |
可配置的错误网域:APT29_Domains | 检测到与指定域名的连接 |
意外授予角色:禁止的角色 | 检测何时向用户授予指定角色 |
可配置的错误 IP | 检测到与指定 IP 地址的连接 |
意外的 Compute Engine 实例类型 | 检测到与指定实例类型或配置不匹配的 Compute Engine 实例创建操作。 |
意外的 Compute Engine 来源映像 | 检测到系统使用与指定列表不匹配的映像或映像系列创建 Compute Engine 实例的操作 |
意外的 Compute Engine 区域 | 检测到系统在指定列表以外的区域中创建 Compute Engine 实例的操作。 |
具有被禁用权限的自定义角色 | 检测何时向主账号授予具有任何指定 IAM 权限的自定义角色。 |
意外的 Cloud API 调用 | 检测指定主账号何时对指定资源调用指定方法。仅当所有正则表达式都与单个日志条目匹配时,系统才会生成发现结果。 |
支持的 GCP_SECURITYCENTER_ERROR 发现结果
您可以在字段映射参考:错误表格中找到 UDM 映射。
查找名称 | 说明 |
---|---|
VPC_SC_RESTRICTION | Security Health Analytics 无法为项目生成某些发现结果。项目受服务边界保护,而 Security Command Center 服务帐号无权访问该边界。 |
MISCONFIGURED_CLOUD_LOGGING_EXPORT | 配置为持续导出到 Cloud Logging 的项目不可用。Security Command Center 无法将发现结果发送到 Logging。 |
API_DISABLED | 已为项目停用所需的 API。已停用的服务无法将发现结果发送到 Security Command Center。 |
KTD_IMAGE_PULL_FAILURE | 无法对集群启用 Container Threat Detection,因为无法从 Container Registry 映像主机 gcr.io 拉取(下载)所需的容器映像。您需要使用该映像来部署 Container Threat Detection 所需的 Container Threat Detection DaemonSet。 |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER | 无法在 Kubernetes 集群上启用 Container Threat Detection。第三方准入控制器阻止部署 Container Threat Detection 所需的 Kubernetes DaemonSet 对象。 在 Google Cloud 控制台中查看发现结果详情时,包括当 Container Threat Detection 尝试部署 Container Threat Detection DaemonSet 对象时,Google Kubernetes Engine 返回的错误消息。 |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | 服务帐号缺少 Container Threat Detection 所需的权限。由于无法启用、升级或停用检测插桩,容器威胁检测可能会停止正常运行。 |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Container Threat Detection 无法为 Google Kubernetes Engine 集群生成发现结果,因为集群上的 GKE 默认服务帐号缺少权限。这样可以阻止在集群上成功启用 Container Threat Detection。 |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Security Command Center 服务帐号缺少正常运行所需的权限。系统不会生成任何发现结果。 |
支持的 GCP_SECURITYCENTER_OBSERVATION 发现结果
您可以在字段映射参考:OBSERVATION 表格中找到 UDM 映射。
查找名称 | 说明 |
---|---|
持久性:添加了项目 SSH 密钥 | 在项目中为存在时间超过 10 天的项目创建了项目级 SSH 密钥。 |
持久性:添加敏感角色 | 敏感或高特权的组织级 IAM 角色在存在超过 10 天的组织中授予。 |
支持的 GCP_SECURITYCENTER_UNSPECIFIED 发现结果
您可以在字段映射参考:UNSPECIFIED 表中找到 UDM 映射。
查找名称 | 说明 |
---|---|
OPEN_FIREWALL | 防火墙配置为开放允许公开访问。 |
支持的 GCP_SECURITYCENTER_VULNERABILITY 发现结果
您可以在字段映射参考:VULNERABILITY 表格中找到 UDM 映射。
查找名称 | 说明 |
---|---|
DISK_CSEK_DISABLED | 此虚拟机上的磁盘未使用客户提供的加密密钥 (CSEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅特殊情况检测器。 |
ALPHA_CLUSTER_ENABLED | 已为 GKE 集群启用 Alpha 版集群功能。 |
AUTO_REPAIR_DISABLED | GKE 集群的自动修复功能(用于使节点保持良好的运行状态)已停用。 |
AUTO_UPGRADE_DISABLED | GKE 集群的自动升级功能(使集群和节点池保持在最新的稳定版 Kubernetes 上)已停用。 |
CLUSTER_SHIELDED_NODES_DISABLED | 没有为集群启用安全强化型 GKE 节点 |
COS_NOT_USED | Compute Engine 虚拟机未使用专为在 Google Cloud 上安全地运行 Docker 容器而设计的 Container-Optimized OS。 |
INTEGRITY_MONITORING_DISABLED | 已为 GKE 集群停用完整性监控。 |
IP_ALIAS_DISABLED | 已创建 GKE 集群,并且已停用别名 IP 范围。 |
LEGACY_METADATA_ENABLED | 旧版元数据已在 GKE 集群上启用。 |
RELEASE_CHANNEL_DISABLED | GKE 集群未订阅发布渠道。 |
DATAPROC_IMAGE_OUTDATED | 在创建 Dataproc 集群时使用的 Dataproc 映像版本受到 Apache Log4j 2 实用程序安全漏洞(CVE-2021-44228 和 CVE-2021-45046)的影响。 |
PUBLIC_DATASET | 数据集配置为允许公开访问。 |
DNSSEC_DISABLED | Cloud DNS 区域停用了 DNSSEC。 |
RSASHA1_FOR_SIGNING | RSASHA1 用于在 Cloud DNS 区域中进行密钥签名。 |
REDIS_ROLE_USED_ON_ORG | Redis IAM 角色在组织级别或文件夹级别分配。 |
KMS_PUBLIC_KEY | Cloud KMS 加密密钥可公开访问。 |
SQL_CONTAINED_DATABASE_AUTHENTICATION | Cloud SQL for SQL Server 实例的包含数据库身份验证数据库标志未设置为关闭。 |
SQL_CROSS_DB_OWNERSHIP_CHAINING | Cloud SQL for SQL Server 实例的 cross_db_ownership_chaining 数据库标志未设置为关闭。 |
SQL_EXTERNAL_SCRIPTS_ENABLED | Cloud SQL for SQL Server 实例的外部脚本启用数据库标志未设置为关闭。 |
SQL_LOCAL_INFILE | Cloud SQL for MySQL 实例的 local_infile 数据库标志未设置为关闭。 |
SQL_LOG_ERROR_VERBOSITY | Cloud SQL for PostgreSQL 实例的 log_error_verbosity 数据库标志未设置为“default”或更严格的值。 |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | Cloud SQL for PostgreSQL 实例的 log_min_duration_statement 数据库标志未设置为“-1”。 |
SQL_LOG_MIN_ERROR_STATEMENT | Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志设置不正确。 |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志没有适当的严重级别。 |
SQL_LOG_MIN_MESSAGES | Cloud SQL for PostgreSQL 实例的 log_min_messages 数据库标志未设置为“警告”。 |
SQL_LOG_EXECUTOR_STATS_ENABLED | Cloud SQL for PostgreSQL 实例的 log_executor_status 数据库标志未设置为关闭。 |
SQL_LOG_HOSTNAME_ENABLED | Cloud SQL for PostgreSQL 实例的 log_hostname 数据库标志未设置为关闭。 |
SQL_LOG_PARSER_STATS_ENABLED | Cloud SQL for PostgreSQL 实例的 log_parser_stats 数据库标志未设置为关闭。 |
SQL_LOG_PLANNER_STATS_ENABLED | Cloud SQL for PostgreSQL 实例的 log_planner_stats 数据库标志未设置为关闭。 |
SQL_LOG_STATEMENT_STATS_ENABLED | Cloud SQL for PostgreSQL 实例的 log_statement_stats 数据库标志未设置为“关闭”。 |
SQL_LOG_TEMP_FILES | Cloud SQL for PostgreSQL 实例的 log_temp_files 数据库标志未设置为“0”。 |
SQL_REMOTE_ACCESS_ENABLED | Cloud SQL for SQL Server 实例的远程访问数据库标志未设置为关闭。 |
SQL_SKIP_SHOW_DATABASE_DISABLED | Cloud SQL for MySQL 实例的 skip_show_database 数据库标志未设置为开启。 |
SQL_TRACE_FLAG_3625 | Cloud SQL for SQL Server 实例的 3625(跟踪标志)数据库标志未设置为开启。 |
SQL_USER_CONNECTIONS_CONFIGURED | 已配置 Cloud SQL for SQL Server 实例的用户连接数据库标志。 |
SQL_USER_OPTIONS_CONFIGURED | 已配置 Cloud SQL for SQL Server 实例的用户选项数据库标志。 |
SQL_WEAK_ROOT_PASSWORD | Cloud SQL 数据库为根账号配置了安全系数低的密码。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
PUBLIC_LOG_BUCKET | 用作日志接收器的存储桶可公开访问。 |
ACCESSIBLE_GIT_REPOSITORY | Git 代码库被公开。如需解决此发现结果,请移除对 GIT 代码库的意外公开访问权限。 |
ACCESSIBLE_SVN_REPOSITORY | SVN 代码库会公开。如需解决此发现结果,请移除对 SVN 代码库的意外公开访问权限。 |
CACHEABLE_PASSWORD_INPUT | 在 Web 应用中输入的密码可以缓存在常规浏览器缓存中,而不是安全的密码存储空间。 |
CLEAR_TEXT_PASSWORD | 密码以明文形式传输,可以被拦截。如需解决此发现结果,请对通过网络传输的密码进行加密。 |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | 跨站点 HTTP 或 HTTPS 端点仅验证来源请求标头的一个后缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。若要解决此问题,请先验证预期的根网域是 Origin 标头值的一部分,然后再将其反映在 Access-Control-Allow-Origin 响应标头中。对于子网域通配符,请在根域名前面附加英文句点,例如 .endsWith("".google.com"")。 |
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | 跨站点 HTTP 或 HTTPS 端点仅验证源请求标头的一个前缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。若要解决此问题,请先验证预期的网域与 Origin 标头值完全一致,然后再反映到 Access-Control-Allow-Origin 响应标头中(例如 .equals("".google.com""))。 |
INVALID_CONTENT_TYPE | 加载的资源与响应的 Content-Type HTTP 标头不匹配。 如需解决此发现结果,请使用正确的值设置 X-Content-Type-Options HTTP 标头。 |
INVALID_HEADER | 安全标头存在语法错误,因此被浏览器忽略。如需解决此发现结果,请正确设置 HTTP 安全标头。 |
MISMATCHING_SECURITY_HEADER_VALUES | 安全标头具有重复的、不匹配的值,这会导致未定义的行为。如需解决此发现结果,请正确设置 HTTP 安全标头。 |
MISSPELLED_SECURITY_HEADER_NAME | 安全标头拼写错误并且被忽略。如需解决此发现结果,请正确设置 HTTP 安全标头。 |
MIXED_CONTENT | 资源是通过 HTTPS 页面上的 HTTP 提供的。如需解决此发现结果,请确保所有资源均通过 HTTPS 提供。 |
OUTDATED_LIBRARY | 检测到有已知漏洞的库。如需解决此发现结果,请将库升级到较新版本。 |
SERVER_SIDE_REQUEST_FORGERY | 检测到服务器端请求伪造 (SSRF) 漏洞。如需解决此发现结果,请使用许可名单限制 Web 应用可向哪些网域和 IP 地址发出请求。 |
SESSION_ID_LEAK | 在发出跨域请求时,Web 应用会在其引荐来源网址请求标头中添加用户的会话标识符。此漏洞可让接收网域访问会话标识符,该标识符可用于模拟或唯一标识用户。 |
SQL_INJECTION | 检测到潜在的 SQL 注入漏洞。如需解决此发现结果,请使用参数化查询,防止用户输入影响 SQL 查询的结构。 |
STRUTS_INSECURE_DESERIALIZATION | 检测到使用了存在漏洞的 Apache Struts 版本。如需解决此发现结果,请将 Apache Struts 升级到最新版本。 |
XSS | 此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。如需解决此发现结果,请验证并转义不受信任的用户提供的数据。 |
XSS_ANGULAR_CALLBACK | 用户提供的字符串没有转义,并且 AngularJS 可以对其进行插入。如需解决此发现结果,请验证并转义由 Angular 框架处理的不受信任的用户提供的数据。 |
XSS_ERROR | 此 Web 应用中的字段容易受到跨站脚本攻击。如需解决此发现结果,请验证并转义不受信任的用户提供的数据。 |
XXE_REFLECTED_FILE_LEAKAGE | 检测到 XML 外部实体 (XXE) 漏洞。此漏洞可能会导致 Web 应用泄露主机上的文件。如需解决此发现结果,请配置 XML 解析器以禁止使用外部实体。 |
BASIC_AUTHENTICATION_ENABLED | 应在 Kubernetes 集群上启用 IAM 或客户端证书身份验证。 |
CLIENT_CERT_AUTHENTICATION_DISABLED | 应在启用客户端证书的情况下创建 Kubernetes 集群。 |
LABELS_NOT_USED | 标签可用于细分结算信息。 |
PUBLIC_STORAGE_OBJECT | 存储对象 ACL 不应向 allUsers 授予访问权限。 |
SQL_BROAD_ROOT_LOGIN | 对 SQL 数据库的根访问权限应仅限于列入许可名单的可信 IP。 |
WEAK_CREDENTIALS | 此检测器使用无破解暴力破解方法来检查凭据是否安全系数低。
支持的服务:SSH、RDP、FTP、WordPress、TELNET、POP3、IMAP、VCS、SMB、SMB2、VNC、SIP、REDIS、PSQL、MYSQL、MSSQL、MQTT、MONGODB、WINRM、 DICOM |
ELASTICSEARCH_API_EXPOSED | Elasticsearch API 允许调用方执行任意查询、编写和执行脚本,以及向服务添加其他文档。 |
EXPOSED_GRAFANA_ENDPOINT | 在 Grafana 8.0.0 到 8.3.0 中,用户无需身份验证即可访问存在目录遍历漏洞的端点,任何用户无需进行身份验证即可读取服务器上的任何文件。如需了解详情,请参阅 CVE-2021-43798。 |
EXPOSED_METABASE | 开源数据分析平台 Metabase 的 x.40.0 至 x.40.4 版本存在漏洞,自定义 GeoJSON 地图支持和包含的本地文件(包括环境变量)可能存在漏洞。网址在加载之前未经验证。如需了解详情,请参阅 CVE-2021-41277。 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | 此检测器会检查 Spring Boot 应用的敏感 Actuator 端点是否泄露。某些默认端点(如 /heapdump)可能会公开敏感信息。其他端点(例如 /env)可能会导致远程执行代码。目前只检查 /heapdump。 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | 此检测器会检查 Hadoop Yarn ResourceManager API(用于控制 Hadoop 集群的计算和存储资源)是否已公开,并允许执行未经身份验证的代码。 |
JAVA_JMX_RMI_EXPOSED | 通过 Java Management Extension (JMX),您可以对 Java 应用程序进行远程监控和诊断。如果运行 JMX 时使用的是不受保护的远程方法调用端点,任何远程用户都可以创建 javax.management.loading.MLet MBean 并使用它通过任意网址创建新的 MBean。 |
JUPYTER_NOTEBOOK_EXPOSED_UI | 此检测器会检查未经身份验证的 Jupyter 笔记本是否泄露。Jupyter 允许从设计上在宿主机上远程执行代码。未经身份验证的 Jupyter 笔记本会使托管虚拟机面临远程执行代码的风险。 |
KUBERNETES_API_EXPOSED | Kubernetes API 已公开,可供未经身份验证的调用方访问。这将允许在 Kubernetes 集群上执行任意代码。 |
UNFINISHED_WORDPRESS_INSTALLATION | 此检测器会检查 WordPress 安装是否尚未完成。如果未完成的 WordPress 安装,系统会显示 /wp-admin/install.php 页面,攻击者可通过该页面设置管理员密码,并可能会入侵系统。 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | 此检测器以匿名访问者的身份向 /view/all/newJob 端点发送探测 ping,以检查是否存在未经身份验证的 Jenkins 实例。经过身份验证的 Jenkins 实例会显示 createItem 表单,该表单允许创建任何可能导致远程代码执行的作业。 |
APACHE_HTTPD_RCE | 我们在 Apache HTTP Server 2.4.49 中发现了一个漏洞,该漏洞允许攻击者利用路径遍历攻击将 网址 映射到预期的文档根目录之外的文件,并查看解释文件的来源,例如 CGI 脚本。该问题已知会在野外被利用。此问题会影响 Apache 2.4.49 和 2.4.50,但不会影响早期版本。如需详细了解此漏洞,请参阅: |
APACHE_HTTPD_SSRF | 攻击者可以创建 Apache Web 服务器的 URI,导致 mod_proxy 将请求转发到攻击者所选的源服务器。此问题会影响 Apache HTTP Server 2.4.48 及更早版本。如需详细了解此漏洞,请参阅: |
CONSUL_RCE | 攻击者可以在 Consul 服务器上执行任意代码,因为 Consul 实例配置了 -enable-script-checks 设置为 true,并且 Consul HTTP API 不安全,可以通过网络访问。在 Consul 0.9.0 及更低版本中,脚本检查默认处于启用状态。如需了解详情,请参阅在特定配置中保护 Consul 免受 RCE 风险的影响。为了检查此漏洞,快速漏洞检测使用 /v1/health/service REST 端点在 Consul 实例上注册一项服务,然后执行以下某项操作: * 向网络外的远程服务器发出 curl 命令。攻击者可以使用 curl 命令泄露服务器中的数据。 * printf 命令。然后,快速漏洞检测会使用 /v1/health/service REST 端点验证该命令的输出。 * 检查后,快速漏洞检测使用 /v1/agent/service/deregister/ REST 端点清理并取消注册该服务。 |
DRUID_RCE | Apache Druid 可以执行用户提供的嵌入各种类型请求的 JavaScript 代码。此功能适用于高信任环境,默认处于停用状态。不过,在 Druid 0.20.0 及更低版本中,无论服务器配置如何,通过身份验证的用户都可以发送特制请求,强制 Druid 针对该请求运行用户提供的 JavaScript 代码。攻击者可以利用该漏洞在目标机器上执行具有 Druid 服务器进程权限的代码。如需了解详情,请参阅 CVE-2021-25646 详情。 |
DRUPAL_RCE | Drupal 7.58 之前的版本、8.3.9 之前的 8.x、8.4.6 之前的 8.4.x 和 8.5.1 之前的 8.5.x 版本都容易遭到 Form API AJAX 请求远程代码执行。 如果启用了 RESTful 网络服务模块或 JSON:API,则 8.5.11 之前的 Drupal 8.5.x 版本和 8.6.10 之前的 8.6.x 版本很容易遭到远程代码执行。未经身份验证的攻击者可能会使用自定义 POST 请求来利用此漏洞。 |
FLINK_FILE_DISCLOSURE | Apache Flink 版本 1.11.0、1.11.1 和 1.11.2 中有一个漏洞,攻击者可通过 JobManager 进程的 REST 接口读取 JobManager 本地文件系统上的任何文件。访问权限仅限于 JobManager 进程可访问的文件。 |
GITLAB_RCE | 在 GitLab 社区版 (CE) 和 Enterprise Edition (EE) 11.9 及更高版本中,GitLab 无法正确验证传递给文件解析器的图片文件。攻击者可利用此漏洞远程执行命令。 |
GoCD_RCE | 在 GoCD 21.2.0 及更早版本中,有一个端点无需身份验证即可访问。此端点存在一个目录遍历漏洞,该漏洞让用户无需进行身份验证即可读取服务器上的任何文件。 |
JENKINS_RCE | Jenkins 2.56 及更早版本、2.46.1 LTS 及更早版本容易受到远程代码执行攻击。未经身份验证的攻击者使用恶意序列化 Java 对象可能会触发此漏洞。 |
JOOMLA_RCE | Joomla 3.4.6 之前的版本 1.5.x、2.x 和 3.x 容易遭到远程代码执行。攻击者可能会利用精心设计的包含序列化 PHP 对象的标头来触发此漏洞。 Joomla 3.0.0 至 3.4.6 版容易受到远程代码执行攻击。发送包含精心设计的序列化 PHP 对象的 POST 请求可能会触发此漏洞。 |
LOG4J_RCE | 在 Apache Log4j2 2.14.1 和更早版本中,配置、日志消息和参数中使用的 JNDI 功能无法防范攻击者控制的 LDAP 和其他 JNDI 相关端点。如需了解详情,请参阅 CVE-2021-44228。 |
MANTISBT_PRIVILEGE_ESCALATION | MantisBT 至 2.3.0 版,通过向 verify.php 提供空的 Confirm_hash 值,允许任意重设密码和未经身份验证的管理员访问。 |
OGNL_RCE | Confluence 服务器和数据中心实例中存在一个 OGNL 注入漏洞,该漏洞可让未经身份验证的攻击者执行任意代码。如需了解详情,请参阅 CVE-2021-26084。 |
OPENAM_RCE | 多个页面上的 jato.pageSession 参数中有一个 Java 反序列化漏洞,OpenAM 服务器 14.6.2 及更早版本和 ForgeRock AM 服务器 6.5.3 及更早版本存在一个漏洞。利用漏洞攻击不需要身份验证,并且向服务器发送单独创建的 /ccversion/* 请求可触发远程代码执行。此漏洞存在是因为使用 Sun ONE 应用。如需了解详情,请参阅 CVE-2021-35464。 |
ORACLE_WEBLOGIC_RCE | Oracle Fusion Middleware(组件:控制台)的某些 Oracle WebLogic Server 产品存在漏洞,版本 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。这个易于被利用的漏洞可让未经身份验证的攻击者通过 HTTP 访问网络,从而破坏 Oracle WebLogic Server。此漏洞的成功攻击可能会导致 Oracle WebLogic Server 被接管。如需了解详情,请参阅 CVE-2020-14882。 |
PHPUNIT_RCE | 5.6.3 之前的 PHPUnit 版本允许通过单个未经身份验证的 POST 请求远程执行代码。 |
PHP_CGI_RCE | 当配置为 CGI 脚本时,5.3.12 之前的 PHP 版本和 5.4.2 之前的 5.4.x 版本允许远程执行代码。易受攻击的代码无法正确处理缺少 =(等号)字符的查询字符串。这样一来,攻击者便可以添加在服务器上执行的命令行选项。 |
PORTAL_RCE | 在 7.2.1 CE GA2 之前的 Liferay Portal 版本中,不受信任的数据反序列化功能可让远程攻击者通过 JSON Web 服务执行任意代码。 |
REDIS_RCE | 如果 Redis 实例不需要进行身份验证即可执行管理员命令,则攻击者或许能够执行任意代码。 |
SOLR_FILE_EXPOSED | Apache Solr(一个开源搜索服务器)中未启用身份验证。当 Apache Solr 不需要身份验证时,攻击者可以直接编写请求以启用特定配置,并最终实现服务器端请求伪造 (SSRF) 或读取任意文件。 |
SOLR_RCE | 如果 params.resource.loader.enabled 设置为 true,则从 Apache Solr 5.0.0 到 Apache Solr 8.3.1 容易通过 VelocityResponseWriter 远程执行代码。这样一来,攻击者就能创建包含恶意 Velocity 模板的参数。 |
STRUTS_RCE |
|
TOMCAT_FILE_DISCLOSURE | Apache Tomcat 9.x 版本(9.0.31 之前的版本)、8.x 版本(8.5.51 之前)、7.x 版本(7.0.100 之前)以及所有 6.x 版本都可通过公开的 Apache JServ Protocol 连接器攻击源代码和配置披露。在某些情况下,如果允许上传文件,系统会将其用于远程执行代码。 |
VBULLETIN_RCE | 运行 5.0.0 到 5.5.4 版本之间的 vBulletin 服务器容易遭到远程代码执行。未经身份验证的攻击者可以在路线字符串请求中使用查询参数来利用此漏洞。 |
VCENTER_RCE | 7.0 U1c 之前的 VMware vCenter Server 7.x 版本、6.7 U3l 之前的 6.7 版本以及 6.5 U3n 之前的 6.5 版本容易遭到远程代码执行。攻击者可能会将精心制作的 Java Server Pages 文件上传到可供网络访问的目录,然后触发该文件的执行,从而触发此漏洞。 |
WEBLOGIC_RCE | Oracle Fusion Middleware(组件:控制台)的某些 Oracle WebLogic Server 产品存在远程代码执行漏洞,包括版本 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。此漏洞与 CVE-2020-14750、CVE-2020-14882、CVE-2020-14883 相关。如需了解详情,请参阅 CVE-2020-14883。 |
OS_VULNERABILITY | 虚拟机管理器在 Compute Engine 虚拟机的已安装操作系统 (OS) 软件包中检测到一个漏洞。 |
UNUSED_IAM_ROLE | IAM Recommender 检测到用户帐号的 IAM 角色在过去 90 天内未使用过。 |
支持的 GCP_SECURITYCENTER_MISCONFIGURATION 发现结果
您可以在字段映射参考:MISCONFIGURATION 表格中找到 UDM 映射。
查找名称 | 说明 |
---|---|
API_KEY_APIS_UNRESTRICTED | 有些 API 密钥使用的过于广泛。如需解决此问题,请限制 API 密钥的使用,以仅允许应用所需的 API。 |
API_KEY_APPS_UNRESTRICTED | 有以不受限制的方式使用 API 密钥,允许任何不受信任的应用使用 |
API_KEY_EXISTS | 项目使用的是 API 密钥,而非标准身份验证。 |
API_KEY_NOT_ROTATED | API 密钥已超过 90 天未轮替 |
PUBLIC_COMPUTE_IMAGE | Compute Engine 映像可公开访问。 |
CONFIDENTIAL_COMPUTING_DISABLED | 已对 Compute Engine 实例停用机密计算。 |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | 使用项目范围的 SSH 密钥,允许登录项目中的所有实例。 |
COMPUTE_SECURE_BOOT_DISABLED | 此安全强化型虚拟机未启用安全启动。使用安全启动功能可帮助保护虚拟机实例免受 Rootkit 和 bootkit 等高级威胁的攻击。 |
DEFAULT_SERVICE_ACCOUNT_USED | 实例配置为使用默认服务帐号。 |
FULL_API_ACCESS | 实例配置为使用对所有 Google Cloud API 拥有完整访问权限的默认服务帐号。 |
OS_LOGIN_DISABLED | 此实例上已停用 OS Login。 |
PUBLIC_IP_ADDRESS | 实例具有公共 IP 地址。 |
SHIELDED_VM_DISABLED | 此实例上已停用安全强化型虚拟机。 |
COMPUTE_SERIAL_PORTS_ENABLED | 已为实例启用串行端口,允许连接到实例的串行控制台。 |
DISK_CMEK_DISABLED | 此虚拟机上的磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
HTTP_LOAD_BALANCER | 实例使用的负载均衡器配置为使用目标 HTTP 代理,而不是目标 HTTPS 代理。 |
IP_FORWARDING_ENABLED | 实例上启用了 IP 转发。 |
WEAK_SSL_POLICY | 实例采用安全系数低的 SSL 政策。 |
BINARY_AUTHORIZATION_DISABLED | 已在 GKE 集群上停用 Binary Authorization。 |
CLUSTER_LOGGING_DISABLED | GKE 集群未启用 Logging。 |
CLUSTER_MONITORING_DISABLED | GKE 集群上会停用监控功能。 |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | 集群主机未配置为仅使用专用内部 IP 地址访问 Google API。 |
CLUSTER_SECRETS_ENCRYPTION_DISABLED | GKE 集群已停用应用层 Secret 加密。 |
INTRANODE_VISIBILITY_DISABLED | 已为 GKE 集群停用节点内可见性。 |
MASTER_AUTHORIZED_NETWORKS_DISABLED | GKE 集群未启用控制平面授权网络。 |
NETWORK_POLICY_DISABLED | 系统已在 GKE 集群上停用网络政策。 |
NODEPOOL_SECURE_BOOT_DISABLED | 已为 GKE 集群停用安全启动。 |
OVER_PRIVILEGED_ACCOUNT | 服务帐号在集群中的项目访问权限过于宽泛。 |
OVER_PRIVILEGED_SCOPES | 节点服务帐号具有广泛的访问权限范围。 |
POD_SECURITY_POLICY_DISABLED | 已在 GKE 集群上停用 PodSecurityPolicy。 |
PRIVATE_CLUSTER_DISABLED | 某个 GKE 集群已停用专用集群。 |
WORKLOAD_IDENTITY_DISABLED | GKE 集群未订阅发布渠道。 |
LEGACY_AUTHORIZATION_ENABLED | 在 GKE 集群上启用了旧版授权。 |
NODEPOOL_BOOT_CMEK_DISABLED | 此节点池中的启动磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
WEB_UI_ENABLED | GKE 网页界面(信息中心)已启用。 |
AUTO_REPAIR_DISABLED | GKE 集群的自动修复功能(用于使节点保持良好的运行状态)已停用。 |
AUTO_UPGRADE_DISABLED | GKE 集群的自动升级功能(使集群和节点池保持在最新的稳定版 Kubernetes 上)已停用。 |
CLUSTER_SHIELDED_NODES_DISABLED | 没有为集群启用安全强化型 GKE 节点 |
RELEASE_CHANNEL_DISABLED | GKE 集群未订阅发布渠道。 |
BIGQUERY_TABLE_CMEK_DISABLED | BigQuery 表未配置为使用客户管理的加密密钥 (CMEK)。此检测器需要额外配置才能启用。 |
DATASET_CMEK_DISABLED | BigQuery 数据集未配置为使用默认 CMEK。此检测器需要额外配置才能启用。 |
EGRESS_DENY_RULE_NOT_SET | 防火墙上未设置出站流量拒绝规则。应设置出站拒绝规则,以屏蔽不需要的出站流量。 |
FIREWALL_RULE_LOGGING_DISABLED | 防火墙规则日志记录已停用。您应启用防火墙规则日志记录,以便审核网络访问。 |
OPEN_CASSANDRA_PORT | 防火墙已配置为具有允许一般访问的开放 Cassandra 端口。 |
OPEN_SMTP_PORT | 防火墙配置为具有允许一般访问的开放 SMTP 端口。 |
OPEN_REDIS_PORT | 防火墙已配置为具有允许一般访问的开放 REDIS 端口。 |
OPEN_POSTGRESQL_PORT | 防火墙已配置为具有允许一般访问的开放 PostgreSQL 端口。 |
OPEN_POP3_PORT | 防火墙配置为具有允许常规访问的开放 POP3 端口。 |
OPEN_ORACLEDB_PORT | 防火墙已配置为具有允许一般访问的开放 NETBIOS 端口。 |
OPEN_NETBIOS_PORT | 防火墙已配置为具有允许一般访问的开放 NETBIOS 端口。 |
OPEN_MYSQL_PORT | 防火墙配置为具有允许一般访问的开放 MYSQL 端口。 |
OPEN_MONGODB_PORT | 防火墙配置为具有允许一般访问的开放 MONGODB 端口。 |
OPEN_MEMCACHED_PORT | 防火墙已配置为具有允许常规访问的开放 MEMCACHED 端口。 |
OPEN_LDAP_PORT | 防火墙配置为具有允许一般访问的开放 LDAP 端口。 |
OPEN_FTP_PORT | 防火墙配置为具有允许一般访问的开放 FTP 端口。 |
OPEN_ELASTICSEARCH_PORT | 防火墙已配置为具有允许一般访问的开放 ELASTICSEARCH 端口。 |
OPEN_DNS_PORT | 防火墙配置为具有允许一般访问的开放 DNS 端口。 |
OPEN_HTTP_PORT | 防火墙配置为具有允许一般访问的开放 HTTP 端口。 |
OPEN_DIRECTORY_SERVICES_PORT | 防火墙已配置为具有允许一般访问的开放 DIRECTORY_SERVICES 端口。 |
OPEN_CISCOSECURE_WEBSM_PORT | 防火墙配置为具有允许一般访问的开放 CISCOSECURE_WEBSM 端口。 |
OPEN_RDP_PORT | 防火墙配置为具有允许常规访问的开放 RDP 端口。 |
OPEN_TELNET_PORT | 防火墙已配置为具有允许一般访问的开放 TELNET 端口。 |
OPEN_FIREWALL | 防火墙配置为开放允许公开访问。 |
OPEN_SSH_PORT | 防火墙配置为具有允许一般访问的开放 SSH 端口。 |
SERVICE_ACCOUNT_ROLE_SEPARATION | 为用户分配了服务账号管理员和服务账号用户角色。这违反了“职责分离”原则。 |
NON_ORG_IAM_MEMBER | 有用户不使用组织凭据。根据 CIS Google Cloud Foundations 1.0,目前只有电子邮件地址为 @gmail.com 的身份才会触发此检测器。 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | 用户拥有项目级的 Service Account User 或 Service Account Token Creator 角色,而不是特定服务帐号的角色。 |
ADMIN_SERVICE_ACCOUNT | 服务账号具有 Admin、Owner 或 Editor 权限。这些角色不应分配给用户创建的服务帐号。 |
SERVICE_ACCOUNT_KEY_NOT_ROTATED | 服务帐号密钥已超过 90 天未轮替。 |
USER_MANAGED_SERVICE_ACCOUNT_KEY | 用户管理服务帐号密钥。 |
PRIMITIVE_ROLES_USED | 用户具有基本角色,如 Owner、Writer 或 Reader。这些角色过于宽松,不应使用。 |
KMS_ROLE_SEPARATION | 系统不会强制执行职责分离,并且存在同时具有以下任一 Cloud Key Management Service (Cloud KMS) 角色的用户:CryptoKey Encrypter/Decrypter、Encrypter 或 Decrypter。 |
OPEN_GROUP_IAM_MEMBER | 无需批准即可加入的 Google 群组帐号将用作 IAM 允许政策主帐号。 |
KMS_KEY_NOT_ROTATED | 没有在 Cloud KMS 加密密钥上配置轮替。 密钥应在 90 天内轮替。 |
KMS_PROJECT_HAS_OWNER | 用户对具有加密密钥的项目具有 Owner 权限。 |
TOO_MANY_KMS_USERS | 使用加密密钥的用户超过三个。 |
OBJECT_VERSIONING_DISABLED | 配置接收器的存储桶未启用对象版本控制。 |
LOCKED_RETENTION_POLICY_NOT_SET | 没有为日志设置锁定的保留政策。 |
BUCKET_LOGGING_DISABLED | 有一个未启用日志记录的存储桶。 |
LOG_NOT_EXPORTED | 某个资源尚未配置适当的日志接收器。 |
AUDIT_LOGGING_DISABLED | 此资源已停用审核日志记录。 |
MFA_NOT_ENFORCED | 有一些用户未使用两步验证。 |
ROUTE_NOT_MONITORED | 未配置日志指标和提醒以监控 VPC 网络路由更改。 |
OWNER_NOT_MONITORED | 您未配置日志指标和提醒来监控项目所有权分配或更改。 |
AUDIT_CONFIG_NOT_MONITORED | 未将日志指标和提醒配置为监控审核配置更改。 |
BUCKET_IAM_NOT_MONITORED | 未将日志指标和提醒配置为监控 Cloud Storage IAM 权限更改。 |
CUSTOM_ROLE_NOT_MONITORED | 未将日志指标和提醒配置为监控自定义角色更改。 |
FIREWALL_NOT_MONITORED | 未将日志指标和提醒配置为监控 Virtual Private Cloud (VPC) 网络防火墙规则更改。 |
NETWORK_NOT_MONITORED | 未配置日志指标和提醒以监控 VPC 网络更改。 |
SQL_INSTANCE_NOT_MONITORED | 未将日志指标和提醒配置为监控 Cloud SQL 实例配置更改。 |
DEFAULT_NETWORK | 项目中已存在默认网络。 |
DNS_LOGGING_DISABLED | VPC 网络上的 DNS 日志记录未启用。 |
PUBSUB_CMEK_DISABLED | Pub/Sub 主题未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
PUBLIC_SQL_INSTANCE | Cloud SQL 数据库实例接受来自所有 IP 地址的连接。 |
SSL_NOT_ENFORCED | Cloud SQL 数据库实例不要求所有传入连接都使用 SSL。 |
AUTO_BACKUP_DISABLED | Cloud SQL 数据库未启用自动备份。 |
SQL_CMEK_DISABLED | SQL 数据库实例未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
SQL_LOG_CHECKPOINTS_DISABLED | Cloud SQL for PostgreSQL 实例的 log_checkpoints 数据库标志未设置为“开启”。 |
SQL_LOG_CONNECTIONS_DISABLED | Cloud SQL for PostgreSQL 实例的 log_connections 数据库标志未设置为“开启”。 |
SQL_LOG_DISCONNECTIONS_DISABLED | Cloud SQL for PostgreSQL 实例的 log_disconnections 数据库标志未设置为“开启”。 |
SQL_LOG_DURATION_DISABLED | Cloud SQL for PostgreSQL 实例的 log_duration 数据库标志未设置为“开启”。 |
SQL_LOG_LOCK_WAITS_DISABLED | Cloud SQL for PostgreSQL 实例的 log_lock_waits 数据库标志未设置为“开启”。 |
SQL_LOG_STATEMENT | Cloud SQL for PostgreSQL 实例的 log_statement 数据库标志未设置为 Ddl(所有数据定义语句)。 |
SQL_NO_ROOT_PASSWORD | Cloud SQL 数据库没有为根账号配置密码。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
SQL_PUBLIC_IP | Cloud SQL 数据库具有公共 IP 地址。 |
SQL_CONTAINED_DATABASE_AUTHENTICATION | Cloud SQL for SQL Server 实例的包含数据库身份验证数据库标志未设置为关闭。 |
SQL_CROSS_DB_OWNERSHIP_CHAINING | Cloud SQL for SQL Server 实例的 cross_db_ownership_chaining 数据库标志未设置为关闭。 |
SQL_LOCAL_INFILE | Cloud SQL for MySQL 实例的 local_infile 数据库标志未设置为关闭。 |
SQL_LOG_MIN_ERROR_STATEMENT | Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志设置不正确。 |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志没有适当的严重级别。 |
SQL_LOG_TEMP_FILES | Cloud SQL for PostgreSQL 实例的 log_temp_files 数据库标志未设置为“0”。 |
SQL_REMOTE_ACCESS_ENABLED | Cloud SQL for SQL Server 实例的远程访问数据库标志未设置为关闭。 |
SQL_SKIP_SHOW_DATABASE_DISABLED | Cloud SQL for MySQL 实例的 skip_show_database 数据库标志未设置为开启。 |
SQL_TRACE_FLAG_3625 | Cloud SQL for SQL Server 实例的 3625(跟踪标志)数据库标志未设置为开启。 |
SQL_USER_CONNECTIONS_CONFIGURED | 已配置 Cloud SQL for SQL Server 实例的用户连接数据库标志。 |
SQL_USER_OPTIONS_CONFIGURED | 已配置 Cloud SQL for SQL Server 实例的用户选项数据库标志。 |
PUBLIC_BUCKET_ACL | Cloud Storage 存储桶可公开访问。 |
BUCKET_POLICY_ONLY_DISABLED | 未配置统一存储桶级访问权限(以前称为“仅限存储桶政策”)。 |
BUCKET_CMEK_DISABLED | 存储桶未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
FLOW_LOGS_DISABLED | 存在已停用流日志的 VPC 子网。 |
PRIVATE_GOOGLE_ACCESS_DISABLED | 存在无法访问 Google 公共 API 的专用子网。 |
kms_key_region_europe | 根据公司政策,所有加密密钥都应继续存储在欧洲。 |
kms_non_euro_region | 根据公司政策,所有加密密钥都应继续存储在欧洲。 |
LEGACY_NETWORK | 项目中已存在旧版网络。 |
LOAD_BALANCER_LOGGING_DISABLED | 已对负载均衡器停用日志记录。 |
支持的 GCP_SECURITYCENTER_POSTURE_VIOLATION 发现结果
您可以在字段映射参考:POSTURE VIOLATION 表格中找到 UDM 映射。
查找名称 | 说明 |
---|---|
SECURITY_POSTURE_DRIFT | 偏离安全状态内定义的政策。这是由安全状况服务检测的。 |
SECURITY_POSTURE_POLICY_DRIFT | Security Posture 服务检测到组织政策在安全状况更新之外发生了更改。 |
SECURITY_POSTURE_POLICY_DELETE | Security Posture 服务检测到一项组织政策已被删除。此删除发生在安全状况更新之外。 |
SECURITY_POSTURE_DETECTOR_DRIFT | 安全状况服务检测到 Security Health Analytics 检测器的变化发生在状态更新之外。 |
SECURITY_POSTURE_DETECTOR_DELETE | Security Posture 服务检测到 Security Health Analytics 自定义模块已被删除。此删除发生在安全状况更新之外。 |
字段映射参考文档
本部分介绍 Chronicle 解析器如何将 Security Command Center 日志字段映射到数据集的 Chronicle 统一数据模型 (UDM) 字段。
字段映射参考:原始日志字段到 UDM 字段
下表列出了 Security Command Center Event Threat Detection 发现结果的日志字段和对应的 UDM 映射。
RawLog 字段 | UDM 映射 | 逻辑 |
---|---|---|
compliances.ids |
about.labels.key/value [compliance_ids] |
|
compliances.version |
about.labels.key/value [compliance_version] |
|
compliances.standard |
about.labels.key/value [compliances_standard] |
|
connections.destinationIp |
about.labels[connections_destination_ip] |
如果 connections.destinationIp 日志字段值不等于 sourceProperties.properties.ipConnection.destIp ,则 connections.destinationIp 日志字段会映射到 about.labels.value UDM 字段。 |
connections.destinationPort |
about.labels[connections_destination_port] |
|
connections.protocol |
about.labels[connections_protocol] |
|
connections.sourceIp |
about.labels[connections_source_ip] |
|
connections.sourcePort |
about.labels[connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
如果 message 日志字段值与正则表达式 kubernetes 匹配,则 target.resource_ancestors.resource_type UDM 字段会设为 CLUSTER。 |
|
about.resource.attribute.cloud.environment |
about.resource.attribute.cloud.environment UDM 字段设置为 GOOGLE_CLOUD_PLATFORM 。 |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
如果 category 日志字段值等于 Initial Access: Account Disabled Hijacked 、Initial Access: Disabled Password Leak 、Initial Access: Government Based Attack 、Initial Access: Suspicious Login Blocked 、Impair Defenses: Two Step Verification Disabled 或 Persistence: SSO Enablement Toggle ,则 extension.auth.type UDM 字段设置为 SSO 。 |
|
extension.mechanism |
如果 category 日志字段值等于 Brute Force: SSH ,则 extension.mechanism UDM 字段会设置为 USERNAME_PASSWORD 。 |
|
extensions.auth.type |
如果 principal.user.user_authentication_status 日志字段值等于 ACTIVE ,则 extensions.auth.type UDM 字段会设置为 SSO 。 |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
如果 category 日志字段值等于 Initial Access: Log4j Compromise Attempt ,则 sourceProperties.properties.loadBalancerName 日志字段会映射到 intermediary.resource.name UDM 字段。 |
|
intermediary.resource.resource_type |
如果 category 日志字段值等于 Initial Access: Log4j Compromise Attempt ,则 intermediary.resource.resource_type UDM 字段会设置为 BACKEND_SERVICE 。 |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
如果 canonicalName 日志字段值不为空,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id 。如果 finding_id 日志字段值为空,则 sourceProperties.evidence.sourceLogId.insertId 日志字段会映射到 metadata.product_log_id UDM 字段。如果 canonicalName 日志字段值为空,则 sourceProperties.evidence.sourceLogId.insertId 日志字段会映射到 metadata.product_log_id UDM 字段。 |
|
metadata.product_name |
metadata.product_name UDM 字段设置为 Security Command Center 。 |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
metadata.vendor_name UDM 字段设置为 Google 。 |
|
network.application_protocol |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain ,则 network.application_protocol UDM 字段设置为 DNS 。 |
sourceProperties.properties.indicatorContext.asn |
network.asn |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP ,则 sourceProperties.properties.indicatorContext.asn 日志字段会映射到 network.asn UDM 字段。 |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP ,则 sourceProperties.properties.indicatorContext.carrierName 日志字段会映射到 network.carrier_name UDM 字段。 |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP ,则 sourceProperties.properties.indicatorContext.reverseDnsDomain 日志字段会映射到 network.dns_domain UDM 字段。 |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
如果 category 日志字段值等于 Malware: Bad Domain ,则 sourceProperties.properties.dnsContexts.responseData.responseClass 日志字段会映射到 network.dns.answers.class UDM 字段。 |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
如果 category 日志字段值与正则表达式 Malware: Bad Domain 匹配,则 sourceProperties.properties.dnsContexts.responseData.responseValue 日志字段会映射到 network.dns.answers.data UDM 字段。 |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
如果 category 日志字段值等于 Malware: Bad Domain ,则 sourceProperties.properties.dnsContexts.responseData.domainName 日志字段会映射到 network.dns.answers.name UDM 字段。 |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
如果 category 日志字段值等于 Malware: Bad Domain ,则 sourceProperties.properties.dnsContexts.responseData.ttl 日志字段会映射到 network.dns.answers.ttl UDM 字段。 |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
如果 category 日志字段值等于 Malware: Bad Domain ,则 sourceProperties.properties.dnsContexts.responseData.responseType 日志字段会映射到 network.dns.answers.type UDM 字段。 |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain ,则 sourceProperties.properties.dnsContexts.authAnswer 日志字段会映射到 network.dns.authoritative UDM 字段。 |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain ,则 sourceProperties.properties.dnsContexts.queryName 日志字段会映射到 network.dns.questions.name UDM 字段。 |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain ,则 sourceProperties.properties.dnsContexts.queryType 日志字段会映射到 network.dns.questions.type UDM 字段。 |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain ,则 sourceProperties.properties.dnsContexts.responseCode 日志字段会映射到 network.dns.response_code UDM 字段。 |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
如果 category 日志字段值等于 Persistence: New User Agent ,则 sourceProperties.properties.anomalousSoftware.callerUserAgent 日志字段会映射到 network.http.user_agent UDM 字段。 |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
如果 category 日志字段值等于 Persistence: GCE Admin Added SSH Key 或 Persistence: GCE Admin Added Startup Script ,则 sourceProperties.properties.callerUserAgent 日志字段会映射到 network.http.user_agent UDM 字段。 |
access.userAgentFamily |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
如果 category 日志字段值等于 Discovery: Service Account Self-Investigation ,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent 日志字段会映射到 network.http.user_agent UDM 字段。 |
sourceProperties.properties.ipConnection.protocol | network.ip_protocol | 如果 category 日志字段值等于 Malware: Bad IP 、Malware: Cryptomining Bad IP 或 Malware: Outgoing DoS ,则 network.ip_protocol UDM 字段会设置为以下值之一:
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP ,则 sourceProperties.properties.indicatorContext.organizationName 日志字段会映射到 network.organization_name UDM 字段。 |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
如果 category 日志字段值等于 Persistence: New User Agent ,则 sourceProperties.properties.anomalousSoftware.behaviorPeriod 日志字段会映射到 network.session_duration UDM 字段。 |
sourceProperties.properties.sourceIp |
principal.ip |
如果 category 日志字段值与正则表达式 Active Scan: Log4j Vulnerable to RCE 匹配,则 sourceProperties.properties.sourceIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
如果 category 日志字段值等于 Brute Force: SSH ,则 sourceProperties.properties.attempts.sourceIp 日志字段会映射到 principal.ip UDM 字段。 |
access.callerIp |
principal.ip |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control 、access.callerIp 、Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 、Exfiltration: CloudSQL Data Exfiltration 、Exfiltration: CloudSQL Restore Backup to External Organization 、Persistence: New Geography 或 Persistence: IAM Anomalous Grant ,则 access.callerIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
如果 category 日志字段值等于 Discovery: Service Account Self-Investigation ,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
如果 category 日志字段值等于 Evasion: Access from Anonymizing Proxy ,则 sourceProperties.properties.changeFromBadIp.ip 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain ,则 sourceProperties.properties.dnsContexts.sourceIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
如果 category 日志字段值等于 Malware: Bad IP 、Malware: Cryptomining Bad IP 或 Malware: Outgoing DoS ,则 sourceProperties.properties.ipConnection.srcIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP ,如果 sourceProperties.properties.ipConnection.srcIp 日志字段值不等于 sourceProperties.properties.indicatorContext.ipAddress ,则 sourceProperties.properties.indicatorContext.ipAddress 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
如果 category 日志字段值等于 Persistence: New Geography ,则 sourceProperties.properties.anomalousLocation.callerIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.scannerDomain |
principal.labels.key/value [sourceProperties_properties_scannerDomain] |
如果 category 日志字段值与正则表达式 Active Scan: Log4j Vulnerable to RCE 匹配,则 sourceProperties.properties.scannerDomain 日志字段会映射到 principal.labels.key/value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels[sourceProperties.properties.dataExfiltrationAttempt.jobState] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.jobState 日志字段会映射到 principal.labels.key/value UDM 字段。 |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP ,则 sourceProperties.properties.indicatorContext.countryCode 日志字段会映射到 principal.location.country_or_region UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.job.location 日志字段会映射到 principal.location.country_or_region UDM 字段。 |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.job.location 日志字段会映射到 principal.location.country_or_region UDM 字段。 |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
如果 category 日志字段值等于 Persistence: New Geography 或 Persistence: IAM Anomalous Grant ,则 sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier 日志字段会映射到 principal.location.country_or_region UDM 字段。 |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant ,则 sourceProperties.properties.anomalousLocation.anomalousLocation 日志字段会映射到 principal.location.name UDM 字段。 |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
如果 category 日志字段值等于 Malware: Bad IP 或 Malware: Outgoing DoS ,则 sourceProperties.properties.ipConnection.srcPort 日志字段会映射到 principal.port UDM 字段。 |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.jobLink 日志字段会映射到 principal.process.file.full_path UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.jobLink 日志字段会映射到 principal.process.file.full_path UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.job.jobId 日志字段会映射到 principal.process.pid UDM 字段。 |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.job.jobId 日志字段会映射到 principal.process.pid UDM 字段。 |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP ,则 sourceProperties.properties.srcVpc.subnetworkName 日志字段会映射到 principal.resource_ancestors.attribute.labels.value UDM 字段。 |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP ,则 sourceProperties.properties.srcVpc.projectId 日志字段会映射到 principal.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP ,则 sourceProperties.properties.destVpc.vpcName 日志字段会映射到 principal.resource_ancestors.name UDM 字段,并且 principal.resource_ancestors.resource_type UDM 字段会设置为 VIRTUAL_MACHINE 。 |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
如果 message 日志字段值与正则表达式 sourceProperties.sourceId.*?customerOrganizationNumber 匹配,则 sourceProperties.sourceId.customerOrganizationNumber 日志字段会映射到 principal.resource.attribute.labels.key/value UDM 字段。 |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
如果 sourceProperties.properties.projectId 日志字段值不为空,则 sourceProperties.properties.projectId 日志字段会映射到 principal.resource.name UDM 字段。 |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
如果 category 日志字段值等于 Discovery: Service Account Self-Investigation ,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId 日志字段会映射到 principal.resource.name UDM 字段。 |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
如果 category 日志字段值等于 Malware: Outgoing DoS ,则 sourceProperties.properties.sourceInstanceDetails 日志字段会映射到 principal.resource.name UDM 字段。 |
|
principal.user.account_type |
如果 access.principalSubject 日志字段值与正则表达式 serviceAccount 匹配,则 principal.user.account_type UDM 字段设为 SERVICE_ACCOUNT_TYPE 。否则,如果 access.principalSubject 日志字段值与正则表达式 user 匹配,则 principal.user.account_type UDM 字段设为 CLOUD_ACCOUNT_TYPE 。 |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
如果 category 日志字段值等于 Discovery: Service Account Self-Investigation ,则 principal.user.attribute.labels.key UDM 字段会设置为 rawUserAgent ,并且 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent 日志字段会映射到 principal.user.attribute.labels.value UDM 字段。 |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Discovery: Service Account Self-Investigation ,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Evasion: Access from Anonymizing Proxy ,则 sourceProperties.properties.changeFromBadIp.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.userEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive 、Initial Access: Account Disabled Hijacked 、Initial Access: Disabled Password Leak 、Initial Access: Government Based Attack 、Impair Defenses: Strong Authentication Disabled 、Impair Defenses: Two Step Verification Disabled 、Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key ,则 sourceProperties.properties.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked ,则 sourceProperties.properties.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
access.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control 、Exfiltration: CloudSQL Data Exfiltration 、Exfiltration: CloudSQL Restore Backup to External Organization 或 Persistence: New Geography ,则 access.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant ,则 sourceProperties.properties.sensitiveRoleGrant.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Persistence: New User Agent ,则 sourceProperties.properties.anomalousSoftware.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization ,则 sourceProperties.properties.restoreToExternalInstance.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant ,则 sourceProperties.properties.customRoleSensitivePermissions.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Persistence: New Geography ,则 sourceProperties.properties.anomalousLocation.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group ,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public ,则 sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group ,则 sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.vpcViolation.userEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
如果 category 日志字段值等于 Initial Access: Account Disabled Hijacked 、Initial Access: Disabled Password Leak 、Initial Access: Government Based Attack 、Initial Access: Suspicious Login Blocked 、Impair Defenses: Two Step Verification Disabled 或 Persistence: SSO Enablement Toggle ,则 sourceProperties.properties.ssoState 日志字段会映射到 principal.user.user_authentication_status UDM 字段。 |
database.userName |
principal.user.userid |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant ,则 database.userName 日志字段会映射到 principal.user.userid UDM 字段。 |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.threatIntelligenceSource 日志字段会映射到 security_result.about.application UDM 字段。 |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
如果 category 日志字段值等于 Brute Force: SSH ,则 sourceProperties.properties.attempts.sourceIp 日志字段会映射到 security_result.about.ip UDM 字段。 |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName 日志字段会映射到 security_result.about.resource.name UDM 字段。如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.delta.restrictedResources.resourceName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设置为 CLOUD_PROJECT 。 |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.delta.allowedServices.serviceName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设置为 BACKEND_SERVICE 。 |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.delta.restrictedServices.serviceName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设置为 BACKEND_SERVICE 。 |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.delta.accessLevels.policyName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设置为 ACCESS_POLICY 。 |
|
security_result.about.user.attribute.roles.name |
如果 message 日志字段值与正则表达式 contacts.?security 匹配,则 security_result.about.user.attribute.roles.name UDM 字段设为 security 。如果 message 日志字段值与正则表达式 contacts.?technical 匹配,则 security_result.about.user.attribute.roles.name UDM 字段设为 Technical 。 |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked ,则 security_result.action UDM 字段设置为 BLOCK 。如果 category 日志字段值等于 Brute Force: SSH ,则如果 sourceProperties.properties.attempts.authResult 日志字段值等于 SUCCESS ,则 security_result.action UDM 字段会设置为 BLOCK 。否则, security_result.action UDM 字段会设置为 BLOCK 。 |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 sourceProperties.properties.delta.restrictedResources.action 日志字段会映射到 security_result.action_details UDM 字段。 |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 sourceProperties.properties.delta.restrictedServices.action 日志字段会映射到 security_result.action_details UDM 字段。 |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 sourceProperties.properties.delta.allowedServices.action 日志字段会映射到 security_result.action_details UDM 字段。 |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 sourceProperties.properties.delta.accessLevels.action 日志字段会映射到 security_result.action_details UDM 字段。 |
|
security_result.alert_state |
如果 state 日志字段值等于 ACTIVE ,则 security_result.alert_state UDM 字段会设置为 ALERTING 。否则, security_result.alert_state UDM 字段会设置为 NOT_ALERTING 。 |
findingClass |
security_result.catgory_details |
findingClass - category 日志字段会映射到 security_result.catgory_details UDM 字段。 |
category |
security_result.catgory_details |
findingClass - category 日志字段会映射到 security_result.catgory_details UDM 字段。 |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
如果 mute 日志字段值等于 MUTED 或 UNMUTED ,则 muteInitiator 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
如果 mute 日志字段值等于 MUTED 或 UNMUTED ,则 muteUpdateTimer 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
如果 category 日志字段值等于 Persistence: New User Agent ,则 sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
如果 category 日志字段值等于 Brute Force: SSH ,则 sourceProperties.properties.attempts.authResult 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.indicator.indicatorType 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.customer_industry 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.customer_name 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.lasthit 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.myVote 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.support_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.tag_class_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.tag_name 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.upVotes 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.downVotes 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
如果 category 日志字段值等于 Active Scan: Log4j Vulnerable to RCE 、Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 、Exfiltration: CloudSQL Data Exfiltration 、Exfiltration: CloudSQL Over-Privileged Grant 、Exfiltration: CloudSQL Restore Backup to External Organization 、Initial Access: Log4j Compromise Attempt 、Malware: Cryptomining Bad Domain 、Malware: Cryptomining Bad IP 或 Persistence: IAM Anomalous Grant ,则 security_result.detection_fields.key UDM 字段会设置为 sourceProperties_contextUris_relatedFindingUri_url ,并且 sourceProperties.contextUris.relatedFindingUri.url 日志字段会映射到 metadata.url_back_to_product UDM 字段。 |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
如果 category 日志字段值等于 Malware: Bad Domain 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 或 Malware: Cryptomining Bad IP ,则 sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.virustotalIndicatorQueryUri.url 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
如果 category 日志字段值等于 Initial Access: Account Disabled Hijacked 、Initial Access: Disabled Password Leak 、Initial Access: Government Based Attack 、Initial Access: Suspicious Login Blocked 、Impair Defenses: Strong Authentication Disabled 、Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed ,则 sourceProperties.contextUris.workspacesUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.workspacesUri.url 日志字段会映射到 security_result.detection_fields.key/value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.public_tag_name 日志字段会映射到 intermediary.labels.key UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.tags.description 日志字段会映射到 intermediary.labels.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
如果 category 日志字段值等于 Malware: Bad IP ,则 sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
如果 sourceProperties.detectionPriority 日志字段值等于 HIGH ,则 security_result.priority UDM 字段设为 HIGH_PRIORITY 。否则,如果 sourceProperties.detectionPriority 日志字段值等于 MEDIUM ,则 security_result.priority UDM 字段设为 MEDIUM_PRIORITY 。否则,如果 sourceProperties.detectionPriority 日志字段值等于 LOW ,则 security_result.priority UDM 字段设为 LOW_PRIORITY 。 |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
如果 category 日志字段值等于 Exfiltration: BigQuery Exfiltration ,则 sourceProperties.properties.vpcViolation.violationReason 日志字段会映射到 security_result.summary UDM 字段。 |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant ,则 database.query 日志字段会映射到 src.process.command_line UDM 字段。 |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.folders.resourceFolderDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.parentDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.parentName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.projectDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
parent |
src.resource_ancestors.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration ,则 parent 日志字段会映射到 src.resource_ancestors.name UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId 日志字段会映射到 src.resource_ancestors.name UDM 字段,并且 src.resource_ancestors.resource_type UDM 字段会设置为 TABLE 。 |
resourceName |
src.resource_ancestors.name |
如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization ,则 resourceName 日志字段会映射到 src.resource_ancestors.name UDM 字段。 |
resource.folders.resourceFolder |
src.resource_ancestors.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.folders.resourceFolder 日志字段会映射到 src.resource_ancestors.name UDM 字段。 |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.sourceId.customerOrganizationNumber 日志字段会映射到 src.resource_ancestors.product_object_id UDM 字段。 |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.sourceId.projectNumber 日志字段会映射到 src.resource_ancestors.product_object_id UDM 字段。 |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.sourceId.organizationNumber 日志字段会映射到 src.resource_ancestors.product_object_id UDM 字段。 |
resource.type |
src.resource_ancestors.resource_subtype |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.type 日志字段会映射到 src.resource_ancestors.resource_subtype UDM 字段。 |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant ,则 database.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant ,则 src.resource.attribute.labels.key UDM 字段会设置为 grantees ,并且 database.grantees 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive ,则 resource.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive ,则 resource.display_name 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.sourceTable.datasetId 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.sourceTable.projectId 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.sourceTable.resourceUri 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization ,则 sourceProperties.properties.restoreToExternalInstance.backupId 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration 或 Exfiltration: BigQuery Data Extraction ,则 src.resource.attribute.labels.key/value 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
resourceName |
src.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration ,则 exfiltration.sources.name 日志字段会映射到 src.resource.name UDM 字段,resourceName 日志字段会映射到 src.resource_ancestors.name UDM 字段。 |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization ,则 sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource 日志字段会映射到 src.resource.name UDM 字段,并且 src.resource.resource_subtype UDM 字段会设置为 CloudSQL 。 |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization ,则 sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource 日志字段会映射到 src.resource.name UDM 字段,并且 src.resource.resource_subtype UDM 字段被设置为 CloudSQL 。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration ,则 sourceProperties.properties.exportToGcs.cloudsqlInstanceResource 日志字段会映射到 src.resource.name UDM 字段,并且 src.resource.resource_subtype UDM 字段被设置为 CloudSQL 。 |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration ,则 exfiltration.sources.name 日志字段会映射到 src.resource.name UDM 字段,resourceName 日志字段会映射到 src.resource_ancestors.name UDM 字段。 |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.sourceTable.tableId 日志字段会映射到 src.resource.product_object_id UDM 字段。 |
access.serviceName |
target.application |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control 、Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 、Exfiltration: CloudSQL Data Exfiltration 、Exfiltration: CloudSQL Restore Backup to External Organization 、Exfiltration: CloudSQL Over-Privileged Grant 、Persistence: New Geography 或 Persistence: IAM Anomalous Grant ,则 access.serviceName 日志字段会映射到 target.application UDM 字段。 |
sourceProperties.properties.serviceName |
target.application |
如果 category 日志字段值等于 Initial Access: Account Disabled Hijacked 、Initial Access: Disabled Password Leak 、Initial Access: Government Based Attack 、Initial Access: Suspicious Login Blocked 、Impair Defenses: Strong Authentication Disabled 、Impair Defenses: Two Step Verification Disabled 、Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed ,则 sourceProperties.properties.serviceName 日志字段会映射到 target.application UDM 字段。 |
sourceProperties.properties.domainName |
target.domain.name |
如果 category 日志字段值等于 Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed ,则 sourceProperties.properties.domainName 日志字段会映射到 target.domain.name UDM 字段。 |
sourceProperties.properties.domains.0 |
target.domain.name |
如果 category 日志字段值等于 Malware: Bad Domain 、Malware: Cryptomining Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.domains.0 日志字段会映射到 target.domain.name UDM 字段。 |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant ,则 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group ,则 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。 |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant ,则 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group ,则 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public ,则 sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin 日志字段会映射到 target.group.attribute.permissions.name UDM 字段。 |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant ,则 sourceProperties.properties.customRoleSensitivePermissions.permissions 日志字段会映射到 target.group.attribute.permissions.name UDM 字段。 |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group ,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName 日志字段会映射到 target.group.attribute.roles.name UDM 字段。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group ,则 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role 日志字段会映射到 target.group.attribute.roles.name UDM 字段。 |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant ,则 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role 日志字段会映射到 target.group.attribute.roles.name UDM 字段。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public ,则 sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName 日志字段会映射到 target.group.attribute.roles.name UDM 字段。 |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant ,则 sourceProperties.properties.customRoleSensitivePermissions.roleName 日志字段会映射到 target.group.attribute.roles.name UDM 字段。 |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group ,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName 日志字段会映射到 target.group.group_display_name UDM 字段。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public ,则 sourceProperties.properties.privilegedGroupOpenedToPublic.groupName 日志字段会映射到 target.group.group_display_name UDM 字段。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group ,则 sourceProperties.properties.sensitiveRoleToHybridGroup.groupName 日志字段会映射到 target.group.group_display_name UDM 字段。 |
sourceProperties.properties.ipConnection.destIp |
target.ip |
如果 category 日志字段值等于 Malware: Bad IP 、Malware: Cryptomining Bad IP 或 Malware: Outgoing DoS ,则 sourceProperties.properties.ipConnection.destIp 日志字段会映射到 target.ip UDM 字段。 |
access.methodName |
target.labels.key/value [access_methodName] |
|
processes.argumentsTruncated |
target.labels.key/value [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels.key/value [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels.key/value [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels.key/value [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels.key/value [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels.key/value [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels.key/value [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels.key/value [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels.key/value [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels.key/value [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels.key/value [processes_script_contents] |
|
processes.script.hashedSize |
target.labels.key/value [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels.key/value [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels.key/value [sourceProperties_properties_methodName] |
如果 category 日志字段值等于 Impair Defenses: Strong Authentication Disabled 、Initial Access: Government Based Attack 、Initial Access: Suspicious Login Blocked 、Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed ,则 sourceProperties.properties.methodName 日志字段会映射到 target.labels.value UDM 字段。 |
sourceProperties.properties.network.location |
target.location.name |
如果 category 日志字段值等于 Malware: Bad Domain 、Malware: Bad IP 、Malware: Cryptomining Bad IP 、Malware: Cryptomining Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.network.location 日志字段会映射到 target.location.name UDM 字段。 |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
如果 category 日志字段值等于 Malware: Bad IP 或 Malware: Outgoing DoS ,则 sourceProperties.properties.ipConnection.destPort 日志字段会映射到 target.port UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.query 日志字段会映射到 target.process.command_line UDM 字段。 |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
containers.labels.name 日志字段会映射到 target.resource_ancestors.attribute.labels.key UDM 字段,containers.labels.value 日志字段会映射到 target.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP ,则 sourceProperties.properties.destVpc.projectId 日志字段会映射到 target.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP ,则 sourceProperties.properties.destVpc.subnetworkName 日志字段会映射到 target.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
如果 category 日志字段值等于 Malware: Bad IP 或 Malware: Cryptomining Bad IP ,则 sourceProperties.properties.network.subnetworkName 日志字段会映射到 target.resource_ancestors.value UDM 字段。 |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
如果 category 日志字段值等于 Malware: Bad IP 或 Malware: Cryptomining Bad IP ,则 sourceProperties.properties.network.subnetworkId 日志字段会映射到 target.resource_ancestors.value UDM 字段。 |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 、Malware: Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK 。Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。category category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 、Malware: Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK 。Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。category category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 、Malware: Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK 。Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。category category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
resourceName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 、Malware: Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK 。Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。category category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 、Malware: Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK 。Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。category category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 、Malware: Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK 。Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。category category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
parent |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 、Malware: Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK 。Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。category category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 、Malware: Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK 。Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。category category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
containers.name |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 、Malware: Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK 。Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。category category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group ,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource 日志字段会映射到 target.resource_ancestors.name UDM 字段。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public ,则 sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource 日志字段会映射到 target.resource_ancestors.name UDM 字段。 |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 、Malware: Bad Domain 或 Configurable Bad Domain ,则 sourceProperties.properties.destVpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,并且 sourceProperties.properties.vpc.vpcName 日志字段映射到 target.resource_ancestors.name UDM 字段,且 target.resource_ancestors.resource_type UDM 字段设置为 VPC_NETWORK 。Else if, category log 字段值等于 Active Scan: Log4j Vulnerable to RCE 等于 {1/target.resource_ancestors.name 字段。category category category category Malware: Cryptomining Bad IP Malware: Bad IP Malware: Bad Domain target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.name target.resource_ancestors.resource_type sourceProperties.properties.vpcName VIRTUAL_MACHINE resourceName resourceName resourceName Brute Force: SSH Persistence: GCE Admin Added SSH Key Persistence: GCE Admin Added Startup Script sourceProperties.properties.projectId Increasing Deny Ratio Allowed Traffic Spike |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key ,则 sourceProperties.properties.gceInstanceId 日志字段会映射到 target.resource_ancestors.product_object_id UDM 字段,并且 target.resource_ancestors.resource_type UDM 字段会设置为 VIRTUAL_MACHINE 。 |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key ,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE 。 |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key ,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE 。 |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key ,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE 。 |
containers.imageId |
target.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key ,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE 。 |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
如果 category 日志字段值等于 Brute Force: SSH ,则 sourceProperties.properties.zone 日志字段会映射到 target.resource.attribute.cloud.availability_zone UDM 字段。 |
canonicalName |
metadata.product_log_id |
使用 Grok 模式从 canonicalName 日志字段提取 finding_id 。如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 metadata.product_log_id UDM 字段。 |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 src.resource.attribute.labels.key/value [finding_id] UDM 字段。如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id :
|
canonicalName |
src.resource.product_object_id |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.product_object_id UDM 字段。如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 source_id :
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.attribute.labels.key/value [source_id] UDM 字段。如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 source_id :
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 target.resource.attribute.labels.key/value [finding_id] UDM 字段。如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id :
|
canonicalName |
target.resource.product_object_id |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.product_object_id UDM 字段。如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 source_id :
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.attribute.labels.key/value [source_id] UDM 字段。如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 source_id :
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration ,则 target.resource.attribute.labels.key UDM 字段会设置为 exportScope ,并且 sourceProperties.properties.exportToGcs.exportScope 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.destinations.objectName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.destinations.originalUri 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
如果 category 日志字段值等于 Persistence: GCE Admin Added SSH Key 或 Persistence: GCE Admin Added Startup Script ,则 sourceProperties.properties.metadataKeyOperation 日志字段会映射到 target.resource.attribute.labels.key/value UDM 字段。 |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration 或 Exfiltration: BigQuery Data Extraction ,则 exfiltration.targets.components 日志字段会映射到 target.resource.attribute.labels.key/value UDM 字段。 |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration ,则 sourceProperties.properties.exportToGcs.bucketAccess 日志字段会映射到 target.resource.attribute.permissions.name UDM 字段。 |
sourceProperties.properties.name |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control ,然后 日志字段映射到“target.resource.name UDM 和”。category category category category category category sourceProperties.properties.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control ,然后 日志字段映射到“target.resource.name UDM 和”。category category category category category category sourceProperties.properties.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control ,然后 日志字段映射到“target.resource.name UDM 和”。category category category category category category sourceProperties.properties.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
resourceName |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control ,然后 日志字段映射到“target.resource.name UDM 和”。category category category category category category sourceProperties.properties.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.attempts.vmName |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control ,然后 日志字段映射到“target.resource.name UDM 和”。category category category category category category sourceProperties.properties.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.instanceDetails |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control ,然后 日志字段映射到“target.resource.name UDM 和”。category category category category category category sourceProperties.properties.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control ,然后 日志字段映射到“target.resource.name UDM 和”。category category category category category category sourceProperties.properties.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control ,然后 日志字段映射到“target.resource.name UDM 和”。category category category category category category sourceProperties.properties.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
exfiltration.targets.name |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 UDM 字段值等于 Defense Evasion: Modify VPC Service Control ,然后 日志字段映射到“target.resource.name UDM 和”。category category category category category category sourceProperties.properties.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name target.resource.name Exfiltration: CloudSQL Data Exfiltration sourceProperties.properties.exportToGcs.bucketResource Exfiltration: CloudSQL Restore Backup to External Organization sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource Brute Force: SSH sourceProperties.properties.attempts.vmName resourceName resourceName resourceName target.resource_ancestors.name target.resource_ancestors.name Malware: Bad IP Malware: Cryptomining Bad IP Malware: Cryptomining Bad Domain Configurable Bad Domain sourceProperties.properties.instanceDetails target.resource.resource_type target.resource.resource_type VIRTUAL_MACHINE Exfiltration: BigQuery Data Extraction Exfiltration: BigQuery Data to Google Drive sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.attribute.name exfiltration.target.name exfiltration.target.name Exfiltration: BigQuery Data Exfiltration sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.attribute.labels TABLE |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
如果 category 日志字段值等于 Brute Force: SSH ,则 sourceProperties.properties.instanceId 日志字段会映射到 target.resource.product_object_id UDM 字段。 |
kubernetes.pods.containers.imageId |
target.resource.product_object_id |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.resource_subtype UDM 字段。否则,如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group ,则 target.resource.resource_subtype UDM 字段设为 Privileged Group 。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 target.resource.resource_subtype UDM 字段会设为 BigQuery 。 |
|
target.resource.resource_type |
如果 sourceProperties.properties.extractionAttempt.destinations.collectionType 日志字段值与正则表达式 BUCKET 匹配,则 target.resource.resource_type UDM 字段设置为 STORAGE_BUCKET 。如果 category 日志字段值等于 Brute Force: SSH ,则 target.resource.resource_type UDM 字段设置为 VIRTUAL_MACHINE 。如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Bad IP 或 Malware: Cryptomining Bad IP ,则 target.resource.resource_type UDM 字段设置为 VIRTUAL_MACHINE 时,target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE 。category Exfiltration: BigQuery Data Exfiltration TABLE |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 sourceProperties.properties.extractionAttempt.jobLink 日志字段会映射到 target.url UDM 字段。如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction ,则 sourceProperties.properties.extractionAttempt.jobLink 日志字段会映射到 target.url UDM 字段。 |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration ,则 sourceProperties.properties.exportToGcs.gcsUri 日志字段会映射到 target.url UDM 字段。 |
sourceProperties.properties.requestUrl |
target.url |
如果 category 日志字段值等于 Initial Access: Log4j Compromise Attempt ,则 sourceProperties.properties.requestUrl 日志字段会映射到 target.url UDM 字段。 |
sourceProperties.properties.policyLink |
target.url |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control ,则 sourceProperties.properties.policyLink 日志字段会映射到 target.url UDM 字段。 |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
如果 category 日志字段值等于 Persistence: New Geography ,则 sourceProperties.properties.anomalousLocation.notSeenInLast 日志字段会映射到 target.user.attribute.labels.value UDM 字段。 |
sourceProperties.properties.attempts.username |
target.user.userid |
如果 category 日志字段值等于 Brute Force: SSH ,则 sourceProperties.properties.attempts.username 日志字段会映射到 target.user.userid UDM 字段。如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked ,则 userid 日志字段会映射到 target.user.userid UDM 字段。 |
sourceProperties.properties.principalEmail |
target.user.userid |
如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked ,则 userid 日志字段会映射到 target.user.userid UDM 字段。 |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels.key/value [Environment_Variables_name] |
|
|
target.labels.key/value [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels.key/value [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels.key/value [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
如果 category 日志字段值等于 Added Binary Executed 或 Added Library Loaded ,则 sourceProperties.VM_Instance_Name 日志字段会映射到 target.resource_ancestors.name UDM 字段,并且 target.resource_ancestors.resource_type UDM 字段会设置为 VIRTUAL_MACHINE 。 |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
如果 category 日志字段值等于 Increasing Deny Ratio 、Allowed Traffic Spike 或 Application DDoS Attack Attempt ,则 sourceProperties.Backend_Service 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。 |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
如果 category 日志字段值等于 Increasing Deny Ratio 、Allowed Traffic Spike 或 Application DDoS Attack Attempt ,则 target.resource.resource_type UDM 字段设置为 BACKEND_SERVICE 。如果 category 日志字段值等于 Configurable Bad Domain ,则 target.resource.resource_type UDM 字段设置为 VIRTUAL_MACHINE 。 |
|
is_alert |
如果 state 日志字段值等于 ACTIVE ,那么如果 mute_is_not_present 字段值不等于 true 且(mute 日志字段值等于 UNMUTED 或 mute 日志字段值等于 UNDEFINED ),则 is_alert UDM 字段设置为 true ,否则,is_alert UDM 字段设置为 false 。 |
|
is_significant |
如果 state 日志字段值等于 ACTIVE ,那么如果 mute_is_not_present 字段值不等于 true 且(mute 日志字段值等于 UNMUTED 或 mute 日志字段值等于 UNDEFINED ),则 is_significant UDM 字段设置为 true ,否则,is_significant UDM 字段设置为 false 。 |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok:从 sourceProperties.properties.sensitiveRoleGrant.principalEmail 日志字段提取了 user_id ,然后 user_id 字段会映射到 principal.user.userid UDM 字段。 |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok:从 sourceProperties.properties.customRoleSensitivePermissions.principalEmail 日志字段提取了 user_id ,然后 user_id 字段会映射到 principal.user.userid UDM 字段。 |
resourceName |
principal.asset.location.name |
如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection ,那么 Grok:从 resourceName 日志字段提取 project_name 、region 、zone_suffix 、asset_prod_obj_id ,则 region 日志字段会映射到 principal.asset.location.name UDM 字段。 |
resourceName |
principal.asset.product_object_id |
如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection ,那么 Grok:从 resourceName 日志字段提取 project_name 、region 、zone_suffix 、asset_prod_obj_id ,则 asset_prod_obj_id 日志字段会映射到 principal.asset.product_object_id UDM 字段。 |
resourceName |
principal.asset.attribute.cloud.availability_zone |
如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection ,那么 Grok:从 resourceName 日志字段提取 project_name 、region 、zone_suffix 、asset_prod_obj_id ,则 zone_suffix 日志字段会映射到 principal.asset.attribute.cloud.availability_zone UDM 字段。 |
resourceName |
principal.asset.attribute.labels[project_name] |
如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection ,那么 Grok:从 resourceName 日志字段提取 project_name 、region 、zone_suffix 、asset_prod_obj_id ,则 project_name 日志字段会映射到 principal.asset.attribute.labels.value UDM 字段。 |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | 如果 category 日志字段值等于 Initial Access: Excessive Permission Denied Actions ,则 sourceProperties.properties.failedActions.methodName 日志字段会映射到 target.labels UDM 字段。 |
target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | 如果 category 日志字段值等于 Initial Access: Excessive Permission Denied Actions ,则 sourceProperties.properties.failedActions.serviceName 日志字段会映射到 target.labels UDM 字段。 |
target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | 如果 category 日志字段值等于 Initial Access: Excessive Permission Denied Actions ,则 sourceProperties.properties.failedActions.attemptTimes 日志字段会映射到 target.labels UDM 字段。 |
target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | 如果 category 日志字段值等于 Initial Access: Excessive Permission Denied Actions ,则 sourceProperties.properties.failedActions.lastOccurredTime 日志字段会映射到 target.labels UDM 字段。 |
字段映射参考:事件标识符到事件类型
事件标识符 | 事件类型 | 安全类别 |
---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
探索 |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
探索 |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
下表包含 Security Command Center 的 UDM 事件类型和 UDM 字段映射 - VULNERABILITY
、MISCONFIGURATION
、OBSERVATION
、ERROR
、UNSPECIFIED
、POSTURE_VIOLATION
发现结果类。
漏洞 (VULNERABILITY) 类别转换为 UDM 事件类型
下表列出了漏洞类别及其对应的 UDM 事件类型。
事件标识符 | 事件类型 | 安全类别 |
---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
探索 |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
MISCONFIGURATION 类别转换为 UDM 事件类型
下表列出了“MISCONFIGURATION”类别及其对应的 UDM 事件类型。
事件标识符 | 事件类型 |
---|---|
API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
API_KEY_EXISTS | SCAN_UNCATEGORIZED |
API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
FULL_API_ACCESS | SCAN_UNCATEGORIZED |
OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
HTTP_LOAD_BALANCER | SCAN_NETWORK |
IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
WEAK_SSL_POLICY | SCAN_NETWORK |
BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
OPEN_CASSANDRA_PORT | SCAN_NETWORK |
OPEN_SMTP_PORT | SCAN_NETWORK |
OPEN_REDIS_PORT | SCAN_NETWORK |
OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
OPEN_POP3_PORT | SCAN_NETWORK |
OPEN_ORACLEDB_PORT | SCAN_NETWORK |
OPEN_NETBIOS_PORT | SCAN_NETWORK |
OPEN_MYSQL_PORT | SCAN_NETWORK |
OPEN_MONGODB_PORT | SCAN_NETWORK |
OPEN_MEMCACHED_PORT | SCAN_NETWORK |
OPEN_LDAP_PORT | SCAN_NETWORK |
OPEN_FTP_PORT | SCAN_NETWORK |
OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
OPEN_DNS_PORT | SCAN_NETWORK |
OPEN_HTTP_PORT | SCAN_NETWORK |
OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
OPEN_RDP_PORT | SCAN_NETWORK |
OPEN_TELNET_PORT | SCAN_NETWORK |
OPEN_FIREWALL | SCAN_NETWORK |
OPEN_SSH_PORT | SCAN_NETWORK |
SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED |
PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED |
OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
ROUTE_NOT_MONITORED | SCAN_NETWORK |
OWNER_NOT_MONITORED | SCAN_NETWORK |
AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
FIREWALL_NOT_MONITORED | SCAN_NETWORK |
NETWORK_NOT_MONITORED | SCAN_NETWORK |
SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
DEFAULT_NETWORK | SCAN_NETWORK |
DNS_LOGGING_DISABLED | SCAN_NETWORK |
PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
SSL_NOT_ENFORCED | SCAN_NETWORK |
AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
SQL_PUBLIC_IP | SCAN_NETWORK |
SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
FLOW_LOGS_DISABLED | SCAN_NETWORK |
PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
kms_key_region_europe | SCAN_UNCATEGORIZED |
kms_non_euro_region | SCAN_UNCATEGORIZED |
LEGACY_NETWORK | SCAN_NETWORK |
LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
“观察”类别转换为 UDM 事件类型
下表列出了“观察”类别及其对应的 UDM 事件类型。
事件标识符 | 事件类型 |
---|---|
持久性:项目 SSH 密钥已添加 | SETTING_MODIFICATION |
持久性:添加敏感角色 | RESOURCE_PERMISSIONS_CHANGE |
影响:创建了 GPU 实例 | USER_RESOURCE_CREATION |
影响:许多实例已创建 | USER_RESOURCE_CREATION |
将 ERROR 类别转换为 UDM 事件类型
下表列出了 ERROR 类别及其对应的 UDM 事件类型。
事件标识符 | 事件类型 |
---|---|
VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
API_DISABLED | SCAN_UNCATEGORIZED |
KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
未指定类别到 UDM 事件类型
下表列出了 UNSPECIFIED 类别及其对应的 UDM 事件类型。
事件标识符 | 事件类型 | 安全类别 |
---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
将 POSTURE_VIOLATION 类别转换为 UDM 事件类型
下表列出了 POSTURE_VIOLATION 类别及其对应的 UDM 事件类型。
事件标识符 | 事件类型 |
---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
字段映射参考:VULNERABILITY
下表列出了漏洞类别的日志字段及其对应的 UDM 字段。
RawLog 字段 | UDM 映射 | 逻辑 |
---|---|---|
assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
assetId | target.asset.asset_id | |
findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
sourceProperties.description | extensions.vuln.vulnerabilities.description | |
sourceProperties.finalUrl | network.http.referral_url | |
sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
sourceProperties.httpMethod | network.http.method | |
sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
externalUri | about.url | |
category | extensions.vuln.vulnerabilities.name | |
resourceName | principal.asset.location.name | 使用 Grok 模式从 resourceName 提取 region ,并映射到 principal.asset.location.name UDM 字段。 |
resourceName | principal.asset.product_object_id | 使用 Grok 模式从 resourceName 提取 asset_prod_obj_id ,并映射到 principal.asset.product_object_id UDM 字段。 |
resourceName | principal.asset.attribute.cloud.availability_zone | 使用 Grok 模式从 resourceName 提取 zone_suffix ,并映射到 principal.asset.attribute.cloud.availability_zone UDM 字段。 |
sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
iamBindings.role | about.user.attribute.roles.name | |
iamBindings.member | about.user.email_addresses | |
iamBindings.action | about.user.attribute.labels.key/value[action] |
字段映射参考:MISCONFIGURATION
下表列出了“MISCONFIGURATION”类别的日志字段及其对应的 UDM 字段。
RawLog 字段 | UDM 映射 |
---|---|
assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
assetId | target.asset.asset_id |
externalUri | about.url |
findingProviderId | target.resource.attribute.labels[findingProviderId] |
sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
sourceProperties.ExposedService | target.application |
sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] |
sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
sourceProperties.cli_remediation | target.process.command_line_history |
sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] |
sourceProperties.TargetProxyUrl | target.url |
sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
字段映射参考:OBSERVATION
下表列出了“观察”类别的日志字段及其对应的 UDM 字段。
RawLog 字段 | UDM 映射 |
---|---|
findingProviderId | target.resource.attribute.labels[findingProviderId] |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] |
assetId | target.asset.asset_id |
字段映射参考:ERROR
下表列出了 ERROR 类别的日志字段及其对应的 UDM 字段。
RawLog 字段 | UDM 映射 |
---|---|
externalURI | about.url |
sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
findingProviderId | target.resource.attribute.labels[findingProviderId] |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
字段映射参考:UNSPECIFIED
下表列出了 UNSPECIFIED 类别的日志字段及其对应的 UDM 字段。
RawLog 字段 | UDM 映射 |
---|---|
sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
字段映射参考文档:POSTURE_VIOLATION
下表列出了 POSTURE_VIOLATION 类别的日志字段及其对应的 UDM 字段。
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
finding.resourceName |
target.resource_ancestors.name |
如果 finding.resourceName 日志字段值不为空,则 finding.resourceName 日志字段会映射到 target.resource.name UDM 字段。使用 Grok 模式从 finding.resourceName 日志字段提取 project_name 字段。如果 project_name 字段值不为空,则 project_name 字段会映射到 target.resource_ancestors.name UDM 字段。 |
resourceName |
target.resource_ancestors.name |
如果 resourceName 日志字段值不为空,则 resourceName 日志字段会映射到 target.resource.name UDM 字段。使用 Grok 模式从 resourceName 日志字段提取 project_name 字段。如果 project_name 字段值不为空,则 project_name 字段会映射到 target.resource_ancestors.name UDM 字段。 |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
如果 finding.cloudProvider 日志字段值包含以下某个值,则 finding.cloudProvider 日志字段会映射到 about.resource.attribute.cloud.environment UDM 字段。
|
cloudProvider |
about.resource.attribute.cloud.environment |
如果 cloudProvider 日志字段值包含以下某个值,则 cloudProvider 日志字段会映射到 about.resource.attribute.cloud.environment UDM 字段。
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
如果 resource.cloudProvider 日志字段值包含以下某个值,则 resource.cloudProvider 日志字段会映射到 target.resource.attribute.cloud.environment UDM 字段。
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
通用字段:SECURITY Command CENTER - 漏洞、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION、TOXIC_COMBINATION
下表列出了 SECURITY Command CENTER 的通用字段 - VULNERABILITY
、MISCONFIGURATION
、OBSERVATION
、ERROR
、UNSPECIFIED
、POSTURE_VIOLATION
、TOXIC_COMBINATION
类别及其对应的 UDM 字段。
RawLog 字段 | UDM 映射 | 逻辑 |
---|---|---|
compliances.ids |
about.labels.key/value [compliance_ids] |
|
compliances.version |
about.labels.key/value [compliance_version] |
|
compliances.standard |
about.labels.key/value [compliances_standard] |
|
connections.destinationIp |
about.labels[connections_destination_ip] |
如果 connections.destinationIp 日志字段值不等于 sourceProperties.properties.ipConnection.destIp ,则 connections.destinationIp 日志字段会映射到 about.labels.value UDM 字段。 |
connections.destinationPort |
about.labels[connections_destination_port] |
|
connections.protocol |
about.labels[connections_protocol] |
|
connections.sourceIp |
about.labels[connections_source_ip] |
|
connections.sourcePort |
about.labels[connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
target.resource_ancestors.resource_type UDM 字段设置为 CLUSTER 。 |
|
about.resource.attribute.cloud.environment |
about.resource.attribute.cloud.environment UDM 字段设置为 GOOGLE_CLOUD_PLATFORM 。 |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels.key/value [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
如果 canonicalName 日志字段值不为空,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id 。如果 finding_id 日志字段值为空,则 sourceProperties.evidence.sourceLogId.insertId 日志字段会映射到 metadata.product_log_id UDM 字段。如果 canonicalName 日志字段值为空,则 sourceProperties.evidence.sourceLogId.insertId 日志字段会映射到 metadata.product_log_id UDM 字段。 |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
如果 message 日志字段值与正则表达式 sourceProperties.sourceId.*?customerOrganizationNumber 匹配,则 sourceProperties.sourceId.customerOrganizationNumber 日志字段会映射到 principal.resource.attribute.labels.value UDM 字段。 |
resource.projectName |
principal.resource.name |
|
|
principal.user.account_type |
如果 access.principalSubject 日志字段值与正则表达式 serviceAccount 匹配,则 principal.user.account_type UDM 字段设为 SERVICE_ACCOUNT_TYPE 。否则,如果 access.principalSubject 日志字段值与正则表达式 user 匹配,则 principal.user.account_type UDM 字段设为 CLOUD_ACCOUNT_TYPE 。 |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
|
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
如果 message 日志字段值与正则表达式 contacts.?security 匹配,则 security_result.about.user.attribute.roles.name UDM 字段设为 security 。如果 message 日志字段值与正则表达式 contacts.?technical 匹配,则 security_result.about.user.attribute.roles.name UDM 字段设为 Technical 。 |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
如果 state 日志字段值等于 ACTIVE ,则 security_result.alert_state UDM 字段会设置为 ALERTING 。否则, security_result.alert_state UDM 字段会设置为 NOT_ALERTING 。 |
findingClass, category |
security_result.catgory_details |
findingClass - category 日志字段会映射到 security_result.catgory_details UDM 字段。 |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
如果 mute 日志字段值等于 MUTED 或 UNMUTED ,则 muteInitiator 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
如果 mute 日志字段值等于 MUTED 或 UNMUTED ,则 muteUpdateTimer 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
如果 category 日志字段值等于 Active Scan: Log4j Vulnerable to RCE 、Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 、Exfiltration: CloudSQL Data Exfiltration 、Exfiltration: CloudSQL Over-Privileged Grant 、Exfiltration: CloudSQL Restore Backup to External Organization 、Initial Access: Log4j Compromise Attempt 、Malware: Cryptomining Bad Domain 、Malware: Cryptomining Bad IP 或 Persistence: IAM Anomalous Grant ,则 security_result.detection_fields.key UDM 字段会设置为 sourceProperties_contextUris_relatedFindingUri_url ,并且 sourceProperties.contextUris.relatedFindingUri.url 日志字段会映射到 metadata.url_back_to_product UDM 字段。 |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
如果 category 日志字段值等于 Malware: Bad Domain 、Malware: Bad IP 、Malware: Cryptomining Bad Domain 或 Malware: Cryptomining Bad IP ,则 sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.virustotalIndicatorQueryUri.url 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
如果 category 日志字段值等于 Initial Access: Account Disabled Hijacked 、Initial Access: Disabled Password Leak 、Initial Access: Government Based Attack 、Initial Access: Suspicious Login Blocked 、Impair Defenses: Strong Authentication Disabled 、Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed ,则 sourceProperties.contextUris.workspacesUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.workspacesUri.url 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
如果 sourceProperties.detectionPriority 日志字段值等于 HIGH ,则 security_result.priority UDM 字段设为 HIGH_PRIORITY 。否则,如果 sourceProperties.detectionPriority 日志字段值等于 MEDIUM ,则 security_result.priority UDM 字段设为 MEDIUM_PRIORITY 。否则,如果 sourceProperties.detectionPriority 日志字段值等于 LOW ,则 security_result.priority UDM 字段设为 LOW_PRIORITY 。 |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant ,则 database.query 日志字段会映射到 src.process.command_line UDM 字段。否则, database.query 日志字段会映射到 target.process.command_line UDM 字段。 |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.folders.resourceFolderDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。否则, resource.folders.resourceFolderDisplayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.parentDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.key/value UDM 字段。否则, resource.parentDisplayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.parentName 日志字段会映射到 src.resource_ancestors.attribute.labels.key/value UDM 字段。否则, resource.parentName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.projectDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.key/value UDM 字段。否则, resource.projectDisplayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.type |
src.resource_ancestors.resource_subtype |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.type 日志字段会映射到 src.resource_ancestors.resource_subtype UDM 字段。 |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant ,则 database.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant ,则 src.resource.attribute.labels.key UDM 字段会设置为 grantees ,并且 database.grantees 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive ,则 resource.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。否则, resource.displayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive ,则 resource.display_name 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。否则, resource.display_name 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.type |
src.resource_ancestors.resource_subtype |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive ,则 resource.type 日志字段会映射到 src.resource_ancestors.resource_subtype UDM 字段。 |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive ,则 resource.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。否则, resource.displayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive ,则 resource.display_name 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。否则, resource.display_name 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration 或 Exfiltration: BigQuery Data Extraction ,则 exfiltration.sources.components 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
resourceName |
src.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration ,则 resourceName 日志字段会映射到 src.resource.name UDM 字段。 |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control 、Exfiltration: BigQuery Data Extraction 、Exfiltration: BigQuery Data to Google Drive 、Exfiltration: CloudSQL Data Exfiltration 、Exfiltration: CloudSQL Restore Backup to External Organization 、Exfiltration: CloudSQL Over-Privileged Grant 、Persistence: New Geography 或 Persistence: IAM Anomalous Grant ,则 access.serviceName 日志字段会映射到 target.application UDM 字段。 |
access.methodName |
target.labels.key/value [access_methodName] |
|
processes.argumentsTruncated |
target.labels.key/value [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels.key/value [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels.key/value [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels.key/value [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels.key/value [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels.key/value [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels.key/value [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels.key/value [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels.key/value [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels.key/value [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels.key/value [processes_script_contents] |
|
processes.script.hashedSize |
target.labels.key/value [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels.key/value [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Bad Domain 、Malware: Bad IP 或 Malware: Cryptomining Bad IP ,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于 Brute Force: SSH ,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果是, category 日志字段值等于 Persistence: GCE Admin Added SSH Key 或 Persistence: GCE Admin Added Startup Script ,则 sourceProperties.properties.projectId 日志字段会映射到 target.resource_ancestors.name UDM 字段。 |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
如果 category 日志字段值等于 Brute Force: SSH ,则 sourceProperties.properties.zone 日志字段会映射到 target.resource.attribute.cloud.availability_zone UDM 字段。 |
canonicalName |
metadata.product_log_id |
使用 Grok 模式从 canonicalName 日志字段提取 finding_id 。如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 metadata.product_log_id UDM 字段。 |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 src.resource.attribute.labels.key/value [finding_id] UDM 字段。如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id :
|
canonicalName |
src.resource.product_object_id |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.product_object_id UDM 字段。如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 source_id :
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.attribute.labels.key/value [source_id] UDM 字段。如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 source_id :
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 target.resource.attribute.labels.key/value [finding_id] UDM 字段。如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 finding_id :
|
canonicalName |
target.resource.product_object_id |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.product_object_id UDM 字段。如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 source_id :
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.attribute.labels.key/value [source_id] UDM 字段。如果 category 日志字段值不等于以下任何值,则使用 Grok 模式从 canonicalName 日志字段提取 source_id :
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration 或 Exfiltration: BigQuery Data Extraction ,则 exfiltration.targets.components 日志字段会映射到 target.resource.attribute.labels.key/value UDM 字段。 |
resourceName |
target.resource.name |
如果 category 日志字段值等于 Brute Force: SSH ,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Bad IP 或 Malware: Cryptomining Bad IP ,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,并且 target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE 。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive ,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration ,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则, resourceName 日志字段会映射到 target.resource.name UDM 字段。 |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
如果 sourceProperties.Header_Signature.name 日志字段值等于 RegionCode ,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 principal.location.country_or_region UDM 字段。
|
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
如果 sourceProperties.Header_Signature.name 日志字段值等于 RemoteHost ,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 principal.ip UDM 字段。
|
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
如果 sourceProperties.Header_Signature.name 日志字段值等于 UserAgent ,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 network.http.user_agent UDM 字段。
|
sourceProperties.Header_Signature.significantValues.value |
principal.url |
如果 sourceProperties.Header_Signature.name 日志字段值等于 RequestUriPath ,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 principal.url UDM 字段。
|
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
如果 category 日志字段值等于 account_has_leaked_credentials ,则 sourceProperties.compromised_account 日志字段会映射到 principal.user.userid UDM 字段,并且 principal.user.account_type UDM 字段会设置为 SERVICE_ACCOUNT_TYPE 。
|
sourceProperties.project_identifier |
principal.resource.product_object_id |
如果 category 日志字段值等于 account_has_leaked_credentials ,则 sourceProperties.project_identifier 日志字段会映射到 principal.resource.product_object_id UDM 字段
|
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
如果 category 日志字段值等于 account_has_leaked_credentials ,则 sourceProperties.private_key_identifier 日志字段会映射到 principal.user.attribute.labels.value UDM 字段
|
sourceProperties.action_taken |
principal.labels.key/value [action_taken] |
如果 category 日志字段值等于 account_has_leaked_credentials ,则 sourceProperties.action_taken 日志字段会映射到 principal.labels.value UDM 字段
|
sourceProperties.finding_type |
principal.labels.key/value [finding_type] |
如果 category 日志字段值等于 account_has_leaked_credentials ,则 sourceProperties.finding_type 日志字段会映射到 principal.labels.value UDM 字段
|
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
如果 category 日志字段值等于 account_has_leaked_credentials ,则 sourceProperties.url 日志字段会映射到 principal.user.attribute.labels.value UDM 字段
|
sourceProperties.security_result.summary |
security_result.summary |
如果 category 日志字段值等于 account_has_leaked_credentials ,则 sourceProperties.security_result.summary 日志字段会映射到 security_result.summary UDM 字段
|
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |