收集 Security Command Center 发现结果
支持以下语言:
Google SecOps
SIEM
本文档介绍了如何通过配置 Security Command Center 收集 Security Command Center 日志 并将发现结果注入 Google Security Operations。本文档还列出了支持的事件。
如需了解详情,请参阅将数据提取到 Google Security Operations 和将 Security Command Center 发现结果导出到 Google Security Operations。 典型部署包括 Security Command Center 和配置为向 Google Security Operations 发送日志的 Google Security Operations Feed。每个客户部署可能有所不同,并且可能更复杂。
该部署包含以下组件:
Google Cloud:要监控的系统,其中安装了 Security Command Center。
Security Command Center Event Threat Detection 发现结果:从数据源收集信息并生成发现结果。
Google Security Operations:保留和分析来自 Security Command Center 的日志。
提取标签用于标识将原始日志数据标准化的解析器 结构化 UDM 格式本文档中的信息适用于 Security Command Center 解析器 具有下列提取标签:
GCP_SECURITYCENTER_ERRORGCP_SECURITYCENTER_MISCONFIGURATIONGCP_SECURITYCENTER_OBSERVATIONGCP_SECURITYCENTER_THREATGCP_SECURITYCENTER_UNSPECIFIEDGCP_SECURITYCENTER_VULNERABILITYGCP_SECURITYCENTER_POSTURE_VIOLATIONGCP_SECURITYCENTER_TOXIC_COMBINATION
配置 Security Command Center 和 Google Cloud 以将发现结果发送到 Google Security Operations
确保已配置部署中的所有系统 (采用 UTC 时区)。
启用 Security Command Center 发现结果的注入功能。
支持的 Event Threat Detection 发现结果
本部分列出了支持的 Event Threat Detection 发现结果。如需了解 Security Command Center 事件威胁检测规则和发现结果,请参阅事件威胁检测规则。
| 查找名称 | 说明 |
|---|---|
| 主动扫描:Log4j 容易受到 RCE 攻击 | 通过识别由支持的 Log4j 漏洞扫描程序启动的未混淆网域的 DNS 查询,检测活跃的 Log4j 漏洞。 |
| 暴力破解:SSH | 检测主机上成功的 SSH 暴力破解。 |
| 凭据访问:外部成员已添加到特权群组 | 检测何时将外部成员添加到特权 Google 群组(被授予敏感角色或权限的群组)。仅当群组与新添加的成员没有来自同一组织的其他外部成员时,系统才会生成发现结果。如需了解详情,请参阅不安全的 Google 群组更改。 |
| 凭据访问:向公众开放的特权群组 | 检测特权 Google 群组(被授予敏感角色或权限的群组)何时更改为可供公众访问。如需了解详情,请参阅不安全的 Google 群组更改。 |
| 凭据访问权限:授予混合群组的敏感角色 | 检测何时向包含外部成员的 Google 群组授予敏感角色。如需了解详情,请参阅不安全的 Google 群组更改。 |
| 防护规避:修改 VPC Service Control | 检测到现有 VPC Service Control 边界的更改,这项更改会导致该边界提供的保护力度降低。 |
| 发现:可以获取敏感的 Kubernetes 对象检查预览版 | 恶意操作者尝试使用 kubectl auth can-i get 命令来确定他们可以查询 Google Kubernetes Engine (GKE) 中的哪些敏感对象。 |
| 发现:服务账号自行调查 | 检测用于调查与同一服务账号关联的角色和权限的身份和访问管理 (IAM) 服务账号凭据。 |
| 规避:通过匿名代理访问 | 检测源自匿名代理 IP 地址(如 Tor IP 地址)的 Google Cloud 服务修改。 |
| 渗漏:BigQuery 数据渗漏 | 检测以下场景:
|
| 数据渗漏:BigQuery 数据提取 | 检测以下场景:
|
| 数据渗漏:BigQuery 数据传输到 Google 云端硬盘 | 检测以下场景:
受保护组织拥有的 BigQuery 资源会通过提取操作保存到 Google 云端硬盘文件夹。 |
| 渗漏:Cloud SQL 数据渗漏 | 检测以下场景:
|
| 渗漏:Cloud SQL 将备份恢复到外部组织 | 检测 Cloud SQL 实例的备份何时恢复到组织外部的实例。 |
| 渗漏:Cloud SQL SQL 过度授权授权 | 检测 Cloud SQL Postgres 用户或角色何时被授予数据库或架构中的所有表、过程或函数的所有权限。 |
| 防御受影响:强身份验证被停用 | 您的组织已停用两步验证。 |
| 防御受影响:两步验证被停用 | 用户停用了两步验证。 |
| 初始访问:账号遭到停用 | 用户的账号因可疑活动而被暂停。 |
| 初始访问:已停用密码泄露 | 由于检测到密码泄露,用户的账号已被停用。 |
| 初始访问权限:受政府支持的攻击 | 政府支持的攻击者可能尝试破解了用户账号或计算机。 |
| 初始访问:Log4j 入侵尝试 | 检测标头或网址参数中的 Java 命名和目录接口 (JNDI) 查找。这些查找可能表明 Log4Shell 被漏洞利用的尝试。这些发现结果的严重程度较低,因为它们仅表示进行了检测或利用的尝试,而非漏洞或入侵。 |
| 初始访问:已阻止可疑登录 | 检测到并阻止了用户账号的可疑登录。 |
| Log4j 恶意软件:网域错误 | Log4j 检测功能根据与 Log4j 攻击中使用的已知网域的连接或查找来利用流量。 |
| Log4j 恶意软件:IP 错误 | Log4j 检测功能会根据与 Log4j 攻击中使用的已知 IP 地址的连接来利用流量。 |
| 恶意软件:网域错误 | 根据与已知恶意网域的连接或查询内容的恶意软件检测恶意软件。 |
| 恶意软件:IP 错误 | 根据与已知恶意 IP 地址的连接检测恶意软件。 |
| 恶意软件:挖矿恶意网域 | 根据与已知加密货币挖矿域的连接或查找,检测加密货币挖矿。 |
| 恶意软件:挖矿恶意 IP | 根据与已知挖矿 IP 地址的连接检测加密货币挖矿。 |
| 传出 DoS | 检测传出的拒绝服务攻击流量。 |
| 持久性:Compute Engine 管理员添加了 SSH 密钥 | 检测已建立的实例(超过 1 周)上的 Compute Engine 实例元数据 SSH 密钥值是否修改。 |
| 持久性:Compute Engine 管理员添加了启动脚本 | 检测是否已在已建立的实例(超过 1 周)上修改 Compute Engine 实例元数据启动脚本值。 |
| 持久性:IAM 异常授权 | 检测向非组织成员的 IAM 用户和服务账号授予的权限。此检测器使用组织的现有 IAM 政策作为上下文。如果向外部成员授予了敏感 IAM 授权,并且与之类似的现有 IAM 政策少于三个,此检测器会生成发现结果。 |
| 持久性:新的 API 方法预览版 | 通过 IAM 服务账号检测 Google Cloud 服务的异常使用情况。 |
| 持久性:新地理位置 | 根据发出请求的 IP 地址的地理位置,检测从异常位置访问 Google Cloud 的 IAM 用户和服务账号。 |
| 持久性:新用户代理 | 检测通过异常或可疑的用户代理访问 Google Cloud 的 IAM 服务账号。 |
| 持久性:单点登录启用切换 | 管理员账号的“启用单点登录 (SSO)”设置已停用。 |
| 持久性:单点登录设置发生了更改 | 管理员账号的 SSO 设置已更改。 |
| 提升权限:对敏感 Kubernetes RBAC 对象的更改 | 为了提升权限,恶意操作者尝试使用 PUT 或 PATCH 请求修改 cluster-admin ClusterRole 和 ClusterRoleBinding 对象。 |
| 提升权限:为主 certPreview 创建 Kubernetes CSR | 潜在恶意方已创建一个 Kubernetes 主证书签名请求 (CSR),该请求会授予他们 cluster-admin 访问权限。 |
| 提升权限:创建敏感的 Kubernetes 绑定预览版 | 恶意方尝试创建新的 cluster-admin RoleBinding 或 ClusterRoleBinding 对象来提升其权限。 |
| 提升权限:使用被盗的引导凭据获取 Kubernetes CSR | 恶意操作者使用 kubectl 命令和被盗的引导凭据查询了证书签名请求 (CSR)。 |
| 提升权限:启动特权 Kubernetes 容器 Preview | 恶意操作者创建的 Pod 包含特权容器或具有提升权限功能的容器。
对于特权容器,privileged 字段设置为 true。对于具有提升权限功能的容器,allowPrivilegeEscalation 字段设置为 true。 |
| 初始访问:已创建休眠服务账号密钥 | 检测为处于休眠状态的用户管理的服务账号创建密钥的事件。在这种情况下,如果服务账号处于非活动状态的时间超过 180 天,则会被视为休眠。 |
| 进程树 | 检测器会检查所有正在运行的进程的进程树。如果某个进程是 shell 二进制文件,则检测器会检查其父级进程。如果父级进程是不应生成 shell 进程的二进制文件,则检测器会触发发现结果。 |
| 意外的子级 Shell | 检测器会检查所有正在运行的进程的进程树。如果某个进程是 shell 二进制文件,则检测器会检查其父级进程。如果父级进程是不应生成 shell 进程的二进制文件,则检测器会触发发现结果。 |
| 执行:已添加的恶意二进制文件已执行 | 检测器会查找正在执行的二进制文件,该二进制文件不是原始容器映像的一部分,并且根据威胁情报被识别为恶意文件。 |
| 执行:执行的恶意二进制文件遭到修改 | 检测器会查找正在执行的二进制文件,该二进制文件最初包含在容器映像中,但在运行时被修改,并且根据威胁情报被识别为恶意内容。 |
| 提升权限:针对管理员活动的异常多步服务账号委托 | 当发现管理活动存在异常的多步委托请求时,检测出相应请求。 |
| 已使用 Breakglass 账号:break_glass_account | 检测紧急访问 (Breakglass) 账号的使用情况 |
| 可配置的错误网域:APT29_Domains | 检测到与指定域名的连接 |
| 意外的角色授予:禁止的角色 | 检测何时向用户授予指定角色 |
| 可配置的错误 IP | 检测到与指定 IP 地址的连接 |
| 意外的 Compute Engine 实例类型 | 检测到与指定实例类型或配置不匹配的 Compute Engine 实例的创建。 |
| 意外的 Compute Engine 来源映像 | 检测到系统使用与指定列表不匹配的映像或映像系列创建 Compute Engine 实例的操作 |
| 意外的 Compute Engine 区域 | 检测到系统在指定列表以外的区域中创建 Compute Engine 实例的操作。 |
| 具有遭禁止权限的自定义角色 | 检测何时向主账号授予具有任何指定 IAM 权限的自定义角色。 |
| 意外的 Cloud API 调用 | 检测指定主账号何时对指定资源调用指定方法。只有当单个日志条目中的所有正则表达式都匹配时,系统才会生成相应发现结果。 |
支持的 GCP_SECURITYCENTER_ERROR 发现结果
您可以在 Field mapping reference: ERROR 表中找到 UDM 映射。
| 查找名称 | 说明 |
|---|---|
| VPC_SC_RESTRICTION | Security Health Analytics 无法为项目生成某些发现结果。项目受服务边界保护,而 Security Command Center 服务账号无权访问该边界。 |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | 配置为持续导出到 Cloud Logging 的项目不可用。Security Command Center 无法将发现结果发送到 Logging。 |
| API_DISABLED | 已为项目停用所需的 API。已停用的服务无法将发现结果发送到 Security Command Center。 |
| KTD_IMAGE_PULL_FAILURE | 无法对集群启用 Container Threat Detection,因为无法从 gcr.io(Container Registry 映像主机)拉取(下载)所需的容器映像。部署 Container Threat Detection 所需的 Container Threat Detection DaemonSet 时需要用到该映像。 |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | 无法对 Kubernetes 集群启用 Container Threat Detection。第三方准入控制器阻止部署 Container Threat Detection 所需的 Kubernetes DaemonSet 对象。 在 Google Cloud 控制台中查看时,发现结果详细信息包括当 Container Threat Detection 尝试部署 Container Threat Detection DaemonSet 对象时 Google Kubernetes Engine 返回的错误消息。 |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | 服务账号缺少 Container Threat Detection 所需的权限。Container Threat Detection 可能会停止正常运行,因为无法启用、升级或停用检测插桩。 |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Container Threat Detection 无法为 Google Kubernetes Engine 集群生成发现结果,因为集群上的 GKE 默认服务账号缺少权限。这将阻止在集群上成功启用 Container Threat Detection。 |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Security Command Center 服务账号缺少正常运行所需的权限。系统不会生成任何发现结果。 |
支持的 GCP_SECURITYCENTER_OBSERVATION 发现结果
您可以在 Field mapping reference: OBSERVATION 表中找到 UDM 映射。
| 查找名称 | 说明 |
|---|---|
| 持久性:已添加项目 SSH 密钥 | 创建项目已超过 10 天的项目级 SSH 密钥。 |
| 持久性:添加敏感角色 | 已在超过 10 天的组织中授予敏感或高权限组织级 IAM 角色。 |
支持的 GCP_SECURITYCENTER_UNSPECIFIED 发现结果
您可以在 Field mapping reference: UNSPECIFIED 表格中找到 UDM 映射。
| 查找名称 | 说明 |
|---|---|
| OPEN_FIREWALL | 防火墙配置为开放给公众访问。 |
支持的 GCP_SECURITYCENTER_VULNERABILITY 发现结果
您可以在字段映射参考:VULNERABILITY 表格中找到 UDM 映射。
| 查找名称 | 说明 |
|---|---|
| DISK_CSEK_DISABLED | 此虚拟机上的磁盘未使用客户提供的加密密钥 (CSEK) 进行加密。此检测器需要额外配置才能启用。如需了解相关说明,请参阅特殊案例检测器。 |
| ALPHA_CLUSTER_ENABLED | GKE 集群启用了 Alpha 版集群功能。 |
| AUTO_REPAIR_DISABLED | GKE 集群的自动修复功能已停用,此功能可使节点保持正常运行状态。 |
| AUTO_UPGRADE_DISABLED | 已停用 GKE 集群的自动升级功能(该功能可将集群和节点池保留在最新的稳定版 Kubernetes 上)。 |
| CLUSTER_SHIELDED_NODES_DISABLED | 未为集群启用安全强化型 GKE 节点 |
| COS_NOT_USED | Compute Engine 虚拟机未使用专为在 Google Cloud 上安全运行 Docker 容器而设计的 Container-Optimized OS。 |
| INTEGRITY_MONITORING_DISABLED | GKE 集群已停用完整性监控。 |
| IP_ALIAS_DISABLED | 创建的 GKE 集群已停用别名 IP 地址范围。 |
| LEGACY_METADATA_ENABLED | 在 GKE 集群上启用了旧版元数据。 |
| RELEASE_CHANNEL_DISABLED | GKE 集群未订阅发布渠道。 |
| DATAPROC_IMAGE_OUTDATED | 创建的 Dataproc 集群使用的 Dataproc 映像版本受到了 Apache Log4j 2 实用程序的安全漏洞(CVE-2021-44228 和 CVE-2021-45046)的影响。 |
| PUBLIC_DATASET | 数据集配置为开放给公众访问。 |
| DNSSEC_DISABLED | 已为 Cloud DNS 区域停用 DNSSEC。 |
| RSASHA1_FOR_SIGNING | RSASHA1 用于 Cloud DNS 区域中的密钥签名。 |
| REDIS_ROLE_USED_ON_ORG | Redis IAM 角色在组织或文件夹级别分配。 |
| KMS_PUBLIC_KEY | Cloud KMS 加密密钥可公开访问。 |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | Cloud SQL for SQL Server 实例的“包含的数据库身份验证”数据库标志未设置为“关闭”。 |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | Cloud SQL for SQL Server 实例的 cross_db_ownership_chaining 数据库标志未设置为关闭。 |
| SQL_EXTERNAL_SCRIPTS_ENABLED | Cloud SQL for SQL Server 实例的“已启用外部脚本”数据库标志未设置为“关闭”。 |
| SQL_LOCAL_INFILE | Cloud SQL for MySQL 实例的 local_infile 数据库标志未设置为“关闭”。 |
| SQL_LOG_ERROR_VERBOSITY | Cloud SQL for PostgreSQL 实例的 log_error_verbosity 数据库标志未设置为“default”或更严格的值。 |
| SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | Cloud SQL for PostgreSQL 实例的 log_min_duration_statement 数据库标志未设置为“-1”。 |
| SQL_LOG_MIN_ERROR_STATEMENT | Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志设置不正确。 |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志没有适当的严重级别。 |
| SQL_LOG_MIN_MESSAGES | Cloud SQL for PostgreSQL 实例的 log_min_messages 数据库标志未设置为“警告”。 |
| SQL_LOG_EXECUTOR_STATS_ENABLED | Cloud SQL for PostgreSQL 实例的 log_executor_status 数据库标志未设置为“关闭”。 |
| SQL_LOG_HOSTNAME_ENABLED | Cloud SQL for PostgreSQL 实例的 log_hostname 数据库标志未设置为“关闭”。 |
| SQL_LOG_PARSER_STATS_ENABLED | Cloud SQL for PostgreSQL 实例的 log_parser_stats 数据库标志未设置为“关闭”。 |
| SQL_LOG_PLANNER_STATS_ENABLED | Cloud SQL for PostgreSQL 实例的 log_planner_stats 数据库标志未设置为“关闭”。 |
| SQL_LOG_STATEMENT_STATS_ENABLED | Cloud SQL for PostgreSQL 实例的 log_statement_stats 数据库标志未设置为“关闭”。 |
| SQL_LOG_TEMP_FILES | Cloud SQL for PostgreSQL 实例的 log_temp_files 数据库标志未设置为“0”。 |
| SQL_REMOTE_ACCESS_ENABLED | Cloud SQL for SQL Server 实例的远程访问数据库标志未设置为“关闭”。 |
| SQL_SKIP_SHOW_DATABASE_DISABLED | Cloud SQL for MySQL 实例的 skip_show_database 数据库标志未设置为“开启”。 |
| SQL_TRACE_FLAG_3625 | Cloud SQL for SQL Server 实例的 3625(跟踪记录标志)数据库标志未设置为“开启”。 |
| SQL_USER_CONNECTIONS_CONFIGURED | 已配置 Cloud SQL for SQL Server 实例的用户连接数据库标志。 |
| SQL_USER_OPTIONS_CONFIGURED | 已配置 Cloud SQL for SQL Server 实例的用户选项数据库标志。 |
| SQL_WEAK_ROOT_PASSWORD | Cloud SQL 数据库为根账号配置了安全系数低的密码。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
| PUBLIC_LOG_BUCKET | 用作日志接收器的存储桶可公开访问。 |
| ACCESSIBLE_GIT_REPOSITORY | Git 代码库被公开。如需解决此问题,请移除对 GIT 代码库的意外公开访问权限。 |
| ACCESSIBLE_SVN_REPOSITORY | SVN 代码库会公开。如需解决此发现结果,请移除对 SVN 代码库的公开意外访问权限。 |
| CACHEABLE_PASSWORD_INPUT | 在 Web 应用中输入的密码可以缓存在常规浏览器的缓存中,而不是安全的密码存储空间中。 |
| CLEAR_TEXT_PASSWORD | 密码以明文形式传输,可以被拦截。为了解决此问题,请对通过网络传输的密码进行加密。 |
| INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | 跨站点 HTTP 或 HTTPS 端点仅验证来源请求标头的一个后缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。若要解决此问题,请先验证预期的根网域是 Origin 标头值的一部分,然后再将其反映在 Access-Control-Allow-Origin 响应标头中。对于子网域通配符,请在根域名前面附加英文句点,例如 .endsWith("".google.com"")。 |
| INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | 跨站点 HTTP 或 HTTPS 端点仅验证源请求标头的一个前缀,然后将其呈现在 Access-Control-Allow-Origin 响应标头内。若要解决此问题,请先验证预期的网域与 Origin 标头值完全一致,然后再反映到 Access-Control-Allow-Origin 响应标头中(例如 .equals("".google.com""))。 |
| INVALID_CONTENT_TYPE | 加载的资源与响应的 Content-Type HTTP 标头不匹配。 如需解决此问题,请使用正确的值设置 X-Content-Type-Options HTTP 标头。 |
| INVALID_HEADER | 安全标头存在语法错误,因此被浏览器忽略。要解决此发现结果,请正确设置 HTTP 安全标头。 |
| MISMATCHING_SECURITY_HEADER_VALUES | 安全标头具有重复的、不匹配的值,这会导致未定义的行为。要解决此发现结果,请正确设置 HTTP 安全标头。 |
| MISSPELLED_SECURITY_HEADER_NAME | 安全标头拼写错误并且被忽略。如要解决此问题,请正确设置 HTTP 安全标头。 |
| MIXED_CONTENT | 资源是通过 HTTPS 页面上的 HTTP 提供的。如需解决此问题,请确保所有资源都通过 HTTPS 提供。 |
| OUTDATED_LIBRARY | 检测到有已知漏洞的库。如需解决此发现结果,请将库升级到较新版本。 |
| SERVER_SIDE_REQUEST_FORGERY | 检测到服务器端请求伪造 (SSRF) 漏洞。如需解决此发现结果,请使用许可名单来限制 Web 应用可向哪些网域和 IP 地址发出请求。 |
| SESSION_ID_LEAK | 在发出跨网域请求时,Web 应用会在其引荐来源网址请求标头中添加用户的会话标识符。利用此漏洞,接收方网域将可以访问会话标识符,该标识符可用于模拟或唯一标识用户。 |
| SQL_INJECTION | 检测到潜在的 SQL 注入漏洞。如需解决此发现结果,请使用参数化查询来防止用户输入影响 SQL 查询的结构。 |
| STRUTS_INSECURE_DESERIALIZATION | 检测到使用易受攻击的 Apache Struts 版本。如需解决此发现结果,请将 Apache Struts 升级到最新版本。 |
| XSS | 此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。如需解决此问题,请验证并转义用户提供的不可信数据。 |
| XSS_ANGULAR_CALLBACK | 用户提供的字符串没有转义,并且 AngularJS 可以对其进行插入。要解决此发现结果,请验证和转义 Angular 框架处理的不受信任用户提供的数据。 |
| XSS_ERROR | 此 Web 应用中的字段容易受到跨站脚本攻击。要解决此发现结果,请验证和转义不受信任的用户提供的数据。 |
| XXE_REFLECTED_FILE_LEAKAGE | 检测到 XML 外部实体 (XXE) 漏洞。此漏洞可能会导致 Web 应用泄露主机上的文件。如需解决此发现结果,请将 XML 解析器配置为禁止外部实体。 |
| BASIC_AUTHENTICATION_ENABLED | 应在 Kubernetes 集群上启用 IAM 或客户端证书身份验证。 |
| CLIENT_CERT_AUTHENTICATION_DISABLED | 应在启用客户端证书的情况下创建 Kubernetes 集群 |
| LABELS_NOT_USED | 标签可用于细分结算信息。 |
| PUBLIC_STORAGE_OBJECT | 存储对象 ACL 不应向 allUsers 授予访问权限。 |
| SQL_BROAD_ROOT_LOGIN | 对 SQL 数据库的根访问权限应仅限于列入许可名单的可信 IP。 |
| WEAK_CREDENTIALS | 此检测器使用破解暴力破解方法检查凭据是否较弱。
支持的服务:SSH、RDP、FTP、WordPress、TELNET、POP3、IMAP、VCS、SMB、SMB2、VNC、SIP、REDIS、PSQL、MYSQL、MSSQL、MQTT、MONGODB、WINRM、DICOM |
| ELASTICSEARCH_API_EXPOSED | 借助 Elasticsearch API,调用方可以执行任意查询、编写和执行脚本,以及向服务添加其他文档。 |
| EXPOSED_GRAFANA_ENDPOINT | 在 Grafana 8.0.0 到 8.3.0 中,用户无需身份验证即可访问具有目录遍历漏洞的端点,该漏洞允许任何用户无需身份验证即可读取服务器上的任何文件。如需了解详情,请参阅 CVE-2021-43798。 |
| EXPOSED_METABASE | 开源数据分析平台 Metabase x.40.0 到 x.40.4 版本在自定义 GeoJSON 映射支持方面存在漏洞,并且可能会包含本地文件(包括环境变量)。网址在加载前未经验证。如需了解详情,请参阅 CVE-2021-41277。 |
| EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | 此检测器会检查 Spring Boot 应用的敏感 Actuator 端点是否已公开。某些默认端点(如 /heapdump)可能会泄露敏感信息。/env 等其他端点可能会导致远程代码执行。目前只检查 /heapdump。 |
| HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | 此检测器会检查 Hadoop Yarn ResourceManager API(用于控制 Hadoop 集群的计算和存储资源)是否已公开以及是否允许在未通过身份验证的情况下执行代码。 |
| JAVA_JMX_RMI_EXPOSED | Java Management Extension (JMX) 允许对 Java 应用进行远程监控和诊断。使用不受保护的远程方法调用端点运行 JMX 会允许任何远程用户创建 javax.management.loading.MLet MBean,并使用它从任意网址创建新的 MBean。 |
| JUPYTER_NOTEBOOK_EXPOSED_UI | 此检测器会检查是否存在未经身份验证的 Jupyter 笔记本。Jupyter 允许在主机上按设计执行远程代码执行。未经身份验证的 Jupyter 笔记本会使托管虚拟机面临远程代码执行的风险。 |
| KUBERNETES_API_EXPOSED | Kubernetes API 是公开的,可供未经身份验证的调用者访问。这将允许在 Kubernetes 集群上执行任意代码。 |
| UNFINISHED_WORDPRESS_INSTALLATION | 此检测器会检查 WordPress 安装是否尚未完成。WordPress 安装未完成会公开 /wp-admin/install.php 页面,此页面让攻击者可设置管理员密码,并可能入侵系统。 |
| UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | 此检测器以匿名访问者身份向 /view/all/newJob 端点发送探测 ping,从而检查未通过身份验证的 Jenkins 实例。经过身份验证的 Jenkins 实例会显示 createItem 表单,该表单允许创建可能导致远程代码执行的任意作业。 |
| APACHE_HTTPD_RCE | Apache HTTP Server 2.4.49 中发现了一个漏洞,攻击者可以利用该漏洞通过路径遍历攻击将网址映射到预期文档根目录之外的文件,并查看解释文件(如 CGI 脚本)的来源。此问题已知在公共领域中被利用。此问题会影响 Apache 2.4.49 和 2.4.50,但不会影响早期版本。如需详细了解此漏洞,请参阅: |
| APACHE_HTTPD_SSRF | 攻击者可以编写 Apache Web 服务器的 URI,导致 mod_proxy 将请求转发到攻击者选择的源服务器。此问题会影响 Apache HTTP Server 2.4.48 及更早版本。如需详细了解此漏洞,请参阅: |
| CONSUL_RCE | 攻击者可以在 Consul 服务器上执行任意代码,因为 Consul 实例的 -enable-script-checks 被设置为 true,而 Consul HTTP API 是不安全的,可以通过网络访问。在 Consul 0.9.0 及更低版本中,脚本检查默认处于启用状态。如需了解详情,请参阅在特定配置中保护 Consul 免受 RCE 风险。为了检查是否存在此漏洞,Rapid Vulnerability Detection 会使用 /v1/health/service REST 端点在 Consul 实例上注册服务,然后执行以下任一操作: * 向网络外的远程服务器发出的 curl 命令。攻击者可以使用 curl 命令泄露服务器中的数据。 * 一个 printf 命令。然后,快速漏洞检测会使用 /v1/health/service REST 端点验证该命令的输出。 * 检查后,快速漏洞检测会使用 /v1/agent/service/deregister/ REST 端点清理并取消注册服务。 |
| DRUID_RCE | Apache Druid 能够执行用户提供的嵌入各种类型请求的 JavaScript 代码。此功能适用于信任度较高的环境,默认处于停用状态。但是,在 Druid 0.20.0 及更早版本中,经过身份验证的用户可能会发送特别编写的请求,无论服务器配置如何,都强制 Druid 针对该请求运行用户提供的 JavaScript 代码。这可以被利用在具有 Druid 服务器进程权限的目标机器上执行代码。如需了解详情,请参阅 CVE-2021-25646 详细信息。 |
| DRUPAL_RCE | Drupal 7.58 之前的版本、8.3.9 之前的 8.x、8.4.6 之前的 8.4.x 以及 8.5.1 之前的 8.5.x 版本容易受到 Form API AJAX 请求中的远程代码执行攻击。 当启用了 RESTful Web 服务模块或 JSON:API 时,Drupal 8.5.11 之前的版本和 8.6.10 之前的 8.6.x 版本容易受到远程代码执行的影响。此漏洞可被未经身份验证的攻击者使用自定义 POST 请求利用。 |
| FLINK_FILE_DISCLOSURE | Apache Flink 版本 1.11.0、1.11.1 和 1.11.2 中有一个漏洞,攻击者可以利用该漏洞通过 JobManager 进程的 REST 接口读取 JobManager 本地文件系统中的任何文件。访问权限仅限于 JobManager 进程可访问的文件。 |
| GITLAB_RCE | 在 GitLab 社区版 (CE) 和企业版 (EE) 11.9 版及更高版本中,GitLab 无法正确验证传递给文件解析器的图片文件。攻击者可利用此漏洞远程执行命令。 |
| GoCD_RCE | 在 GoCD 21.2.0 及更低版本中,有一个端点无需进行身份验证即可访问。此端点存在目录遍历漏洞,用户可利用该漏洞在不进行身份验证的情况下读取服务器上的任何文件。 |
| JENKINS_RCE | Jenkins 版本 2.56 及更早版本以及 2.46.1 LTS 及更低版本容易受到远程代码执行攻击。此漏洞可被未经身份验证的攻击者使用恶意序列化的 Java 对象触发。 |
| JOOMLA_RCE | 低于 3.4.6 的 Joomla 1.5.x、2.x 和 3.x 版本容易受到远程代码执行攻击。通过包含序列化 PHP 对象的自制标头可以触发此漏洞。 Joomla 3.0.0 至 3.4.6 版容易受到远程代码执行攻击。发送包含蓄意创建的序列化 PHP 对象的 POST 请求可能会触发此漏洞。 |
| LOG4J_RCE | 在 Apache Log4j2 2.14.1 及更早版本中,配置、日志消息和参数中使用的 JNDI 功能无法防范由攻击者控制的 LDAP 和其他 JNDI 相关端点。如需了解详情,请参阅 CVE-2021-44228。 |
| MANTISBT_PRIVILEGE_ESCALATION | 从 2.3.0 版开始,MantisBT 通过为 verify.php 提供空的 confirm_hash 值,允许任意重设密码和在未经过身份验证的情况下访问管理员。 |
| OGNL_RCE | Confluence Server 和 Confluence Data Center 实例存在 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者执行任意代码。如需了解详情,请参阅 CVE-2021-26084。 |
| OPENAM_RCE | OpenAM Server 14.6.2 及更早版本和 ForgeRock AM Server 6.5.3 及更早版本的 jato.pageSession 参数在多个页面上存在 Java 反序列化漏洞。该利用不需要进行身份验证,并且可通过向服务器发送单个创建的 /ccversion/* 请求来触发远程代码执行。此漏洞存在是因为使用 Sun ONE 应用。如需了解详情,请参阅 CVE-2021-35464。 |
| ORACLE_WEBLOGIC_RCE | Oracle 融合中间件的 Oracle WebLogic Server 产品(组件:控制台)的某些版本存在漏洞,包括版本 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。这个容易被利用的漏洞允许未经身份验证的攻击者通过 HTTP 访问网络,以入侵 Oracle WebLogic 服务器。成功对此漏洞的攻击会导致 Oracle WebLogic 服务器被接管。如需了解详情,请参阅 CVE-2020-14882。 |
| PHPUNIT_RCE | 5.6.3 之前的 PHPUnit 版本允许通过单个未经身份验证的 POST 请求远程执行代码。 |
| PHP_CGI_RCE | 当 PHP 5.3.12 之前的版本和 5.4.2 之前的 5.4.x 版本配置为 CGI 脚本时,其允许远程执行代码。易受攻击的代码无法正确处理缺少 =(等号)字符的查询字符串。这样一来,攻击者便可以添加在服务器上执行的命令行选项。 |
| PORTAL_RCE | 在 7.2.1 CE GA2 之前的 Liferay Portal 版本中,对不受信任的数据进行反序列化处理可让远程攻击者通过 JSON Web 服务执行任意代码。 |
| REDIS_RCE | 如果 Redis 实例无需身份验证即可执行管理员命令,攻击者或许能够执行任意代码。 |
| SOLR_FILE_EXPOSED | Apache Solr(一个开源搜索服务器)未启用身份验证。当 Apache Solr 不需要身份验证时,攻击者可以直接编写请求以启用特定配置,并最终实现服务器端请求伪造 (SSRF) 或读取任意文件。 |
| SOLR_RCE | 如果 params.resource.loader.enabled 设置为 true,则 Apache Solr 5.0.0 至 Apache Solr 8.3.1 版本容易受到通过 VelocityResponseWriter 远程执行代码的影响。这样一来,攻击者就可以创建包含恶意 Velocity 模板的参数。 |
| STRUTS_RCE |
|
| TOMCAT_FILE_DISCLOSURE | Apache Tomcat 版本 9.x(9.0.31 之前)、8.x (8.5.51 之前)、7.x (7.0.100 之前)以及所有 6.x 都容易受到暴露的 Apache JServ 协议连接器所泄露的源代码和配置的影响。在某些情况下,如果允许上传文件,则可利用它执行远程代码执行。 |
| VBULLETIN_RCE | 运行 5.0.0 至 5.5.4 版本的 vBulletin 服务器容易受到远程代码执行攻击。未经身份验证的攻击者可能会在路由字符串请求中使用查询参数,利用此漏洞。 |
| VCENTER_RCE | VMware vCenter Server 7.x 之前的 7.x 版本、6.7 U3l 之前的 6.7 以及 6.5 U3n 之前的 6.5 版本都容易受到远程代码执行的影响。如果攻击者将蓄意创建的 Java Server Pages 文件上传到可供网络访问的目录,然后触发该文件的执行,就可能会触发此漏洞。 |
| WEBLOGIC_RCE | Oracle 融合中间件(组件:控制台)的某些版本的 Oracle WebLogic Server 产品存在远程代码执行漏洞,包括版本 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。此漏洞与 CVE-2020-14750、CVE-2020-14882、CVE-2020-14883 相关。如需了解详情,请参阅 CVE-2020-14883。 |
| OS_VULNERABILITY | 虚拟机管理器在 Compute Engine 虚拟机的已安装操作系统 (OS) 软件包中检测到一个漏洞。 |
| UNUSED_IAM_ROLE | IAM Recommender 检测到一个用户账号,其具有在过去 90 天内未使用过的 IAM 角色。 |
| GKE_RUNTIME_OS_VULNERABILITY | |
| GKE_SECURITY_BULLETIN | |
| SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | IAM Recommender 检测到授予服务代理的原始默认 IAM 角色已被替换为以下基本 IAM 角色之一:Owner、Editor 或 Viewer。基本角色是过于宽松的旧版角色,不应授予服务代理。 |
支持的 GCP_SECURITYCENTER_MISCONFIGURATION 发现结果
您可以在 Field mapping reference: MISCONFIGURATION 表中找到 UDM 映射。
| 查找名称 | 说明 |
|---|---|
| API_KEY_APIS_UNRESTRICTED | 有些 API 密钥使用的过于广泛。如需解决此问题,请限制 API 密钥的使用,仅允许使用应用需要的 API。 |
| API_KEY_APPS_UNRESTRICTED | 有一些 API 密钥以不受限制的方式使用,允许任何不受信任的应用使用 |
| API_KEY_EXISTS | 项目使用的是 API 密钥,而非标准身份验证。 |
| API_KEY_NOT_ROTATED | API 密钥已超过 90 天未轮替 |
| PUBLIC_COMPUTE_IMAGE | Compute Engine 映像可公开访问。 |
| CONFIDENTIAL_COMPUTING_DISABLED | Compute Engine 实例上停用了机密计算。 |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | 使用项目级 SSH 密钥,允许登录项目中的所有实例。 |
| COMPUTE_SECURE_BOOT_DISABLED | 此安全强化型虚拟机未启用安全启动。使用安全启动功能有助于保护虚拟机实例免受 rootkit 和 bootkit 等高级威胁的侵害。 |
| DEFAULT_SERVICE_ACCOUNT_USED | 实例配置为使用默认服务账号。 |
| FULL_API_ACCESS | 实例配置为使用对所有 Google Cloud API 拥有完整访问权限的默认服务账号。 |
| OS_LOGIN_DISABLED | 此实例上的 OS Login 已停用。 |
| PUBLIC_IP_ADDRESS | 实例具有公共 IP 地址。 |
| SHIELDED_VM_DISABLED | 此实例已停用安全强化型虚拟机。 |
| COMPUTE_SERIAL_PORTS_ENABLED | 实例已启用串行端口,可用于连接到实例的串行控制台。 |
| DISK_CMEK_DISABLED | 此虚拟机上的磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
| HTTP_LOAD_BALANCER | 实例使用的负载均衡器配置为使用目标 HTTP 代理,而不是目标 HTTPS 代理。 |
| IP_FORWARDING_ENABLED | 已在实例上启用 IP 转发。 |
| WEAK_SSL_POLICY | 实例具有弱 SSL 政策。 |
| BINARY_AUTHORIZATION_DISABLED | 已在 GKE 集群上停用 Binary Authorization。 |
| CLUSTER_LOGGING_DISABLED | GKE 集群未启用日志记录。 |
| CLUSTER_MONITORING_DISABLED | GKE 集群已停用监控功能。 |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | 集群主机未配置为仅使用专用内部 IP 地址访问 Google API。 |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | GKE 集群上的应用层 Secret 加密已停用。 |
| INTRANODE_VISIBILITY_DISABLED | 已针对 GKE 集群停用节点内可见性。 |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | GKE 集群未启用控制平面授权网络。 |
| NETWORK_POLICY_DISABLED | GKE 集群上的网络政策已停用。 |
| NODEPOOL_SECURE_BOOT_DISABLED | 已为 GKE 集群停用安全启动功能。 |
| OVER_PRIVILEGED_ACCOUNT | 服务账号在集群中拥有过于宽泛的项目访问权限。 |
| OVER_PRIVILEGED_SCOPES | 节点服务账号具有广泛的访问权限范围。 |
| POD_SECURITY_POLICY_DISABLED | PodSecurityPolicy 已在 GKE 集群上停用。 |
| PRIVATE_CLUSTER_DISABLED | GKE 集群已停用专用集群。 |
| WORKLOAD_IDENTITY_DISABLED | GKE 集群未订阅发布渠道。 |
| LEGACY_AUTHORIZATION_ENABLED | 在 GKE 集群上启用了旧版授权。 |
| NODEPOOL_BOOT_CMEK_DISABLED | 此节点池中的启动磁盘未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
| WEB_UI_ENABLED | GKE 网页界面(信息中心)已启用。 |
| AUTO_REPAIR_DISABLED | GKE 集群的自动修复功能已停用,此功能可使节点保持正常运行状态。 |
| AUTO_UPGRADE_DISABLED | 已停用 GKE 集群的自动升级功能(该功能可将集群和节点池保留在最新的稳定版 Kubernetes 上)。 |
| CLUSTER_SHIELDED_NODES_DISABLED | 未为集群启用安全强化型 GKE 节点 |
| RELEASE_CHANNEL_DISABLED | GKE 集群未订阅发布渠道。 |
| BIGQUERY_TABLE_CMEK_DISABLED | BigQuery 表未配置为使用客户管理的加密密钥 (CMEK)。此检测器需要额外配置才能启用。 |
| DATASET_CMEK_DISABLED | BigQuery 数据集未配置为使用默认 CMEK。此检测器需要进行额外配置才能启用。 |
| EGRESS_DENY_RULE_NOT_SET | 防火墙上未设置出站流量拒绝规则。出站流量拒绝规则应设置为阻止不必要的出站流量。 |
| FIREWALL_RULE_LOGGING_DISABLED | 防火墙规则日志记录已停用。应启用防火墙规则日志记录,以便您可以审核网络访问。 |
| OPEN_CASSANDRA_PORT | 防火墙配置为具有允许通用访问的开放 Cassandra 端口。 |
| OPEN_SMTP_PORT | 防火墙已配置为允许常规访问的开放 SMTP 端口。 |
| OPEN_REDIS_PORT | 防火墙已配置为有一个允许通用访问的开放 REDIS 端口。 |
| OPEN_POSTGRESQL_PORT | 防火墙已配置为有一个允许通用访问的开放 PostgreSQL 端口。 |
| OPEN_POP3_PORT | 防火墙已配置为有一个允许通用访问的开放 POP3 端口。 |
| OPEN_ORACLEDB_PORT | 防火墙配置为具有允许通用访问的开放 NETBIOS 端口。 |
| OPEN_NETBIOS_PORT | 防火墙配置为具有允许通用访问的开放 NETBIOS 端口。 |
| OPEN_MYSQL_PORT | 防火墙已配置为有一个允许通用访问的开放 MYSQL 端口。 |
| OPEN_MONGODB_PORT | 防火墙已配置为有一个允许通用访问的开放 MONGODB 端口。 |
| OPEN_MEMCACHED_PORT | 防火墙已配置为一个允许通用访问的开放 MEMCACHED 端口。 |
| OPEN_LDAP_PORT | 防火墙配置为具有允许通用访问的开放 LDAP 端口。 |
| OPEN_FTP_PORT | 防火墙已配置为有一个允许通用访问的开放 FTP 端口。 |
| OPEN_ELASTICSEARCH_PORT | 防火墙已配置为一个允许通用访问的开放 ELASTICSEARCH 端口。 |
| OPEN_DNS_PORT | 防火墙已配置为有一个允许通用访问的开放 DNS 端口。 |
| OPEN_HTTP_PORT | 防火墙已配置为有一个允许通用访问的开放 HTTP 端口。 |
| OPEN_DIRECTORY_SERVICES_PORT | 防火墙已配置为有一个允许通用访问的开放 DIRECTORY_SERVICES 端口。 |
| OPEN_CISCOSECURE_WEBSM_PORT | 防火墙已配置为有一个允许通用访问的开放 CISCOSECURE_WEBSM 端口。 |
| OPEN_RDP_PORT | 防火墙配置为具有允许通用访问的开放 RDP 端口。 |
| OPEN_TELNET_PORT | 防火墙已配置为有一个允许通用访问的开放 TELNET 端口。 |
| OPEN_FIREWALL | 防火墙配置为开放给公众访问。 |
| OPEN_SSH_PORT | 防火墙已配置为有一个允许通用访问的开放 SSH 端口。 |
| SERVICE_ACCOUNT_ROLE_SEPARATION | 为用户分配了服务账号管理员和服务账号用户角色。这违反了“职责分离”原则。 |
| NON_ORG_IAM_MEMBER | 有用户不使用组织凭据。根据 CIS Google Cloud Foundations 1.0,目前只有使用 @gmail.com 电子邮件地址的身份会触发此检测器。 |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | 用户在项目级层(而不是特定服务账号)拥有 Service Account User 或 Service Account Token Creator 角色。 |
| ADMIN_SERVICE_ACCOUNT | 服务账号具有 Admin、Owner 或 Editor 权限。这些角色不应分配给用户创建的服务账号。 |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | 服务账号密钥超过 90 天未轮替。 |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | 用户管理服务账号密钥。 |
| PRIMITIVE_ROLES_USED | 用户具有基本角色,即 Owner、Writer 或 Reader。这些角色过于宽松,不应使用。 |
| KMS_ROLE_SEPARATION | 职责分离不是强制执行的,并且存在同时具有以下任何 Cloud Key Management Service (Cloud KMS) 角色的用户:CryptoKey 加密者/解密者、加密者或解密者。 |
| OPEN_GROUP_IAM_MEMBER | 无需批准即可加入的 Google 群组账号将用作 IAM 允许政策主账号。 |
| KMS_KEY_NOT_ROTATED | 没有在 Cloud KMS 加密密钥上配置轮替。 密钥应在 90 天内轮替。 |
| KMS_PROJECT_HAS_OWNER | 用户对具有加密密钥的项目拥有 Owner 权限。 |
| TOO_MANY_KMS_USERS | 加密密钥的用户超过三个。 |
| OBJECT_VERSIONING_DISABLED | 配置接收器的存储桶未启用对象版本控制。 |
| LOCKED_RETENTION_POLICY_NOT_SET | 没有为日志设置锁定的保留政策。 |
| BUCKET_LOGGING_DISABLED | 有一个存储桶未启用日志记录。 |
| LOG_NOT_EXPORTED | 有一项资源未配置适当的日志接收器。 |
| AUDIT_LOGGING_DISABLED | 已为此资源停用审核日志记录。 |
| MFA_NOT_ENFORCED | 有些用户未使用两步验证。 |
| ROUTE_NOT_MONITORED | 日志指标和提醒未配置为监控 VPC 网络路由更改。 |
| OWNER_NOT_MONITORED | 日志指标和提醒未配置为监控项目所有权分配或更改。 |
| AUDIT_CONFIG_NOT_MONITORED | 日志指标和提醒未配置为监控审核配置更改。 |
| BUCKET_IAM_NOT_MONITORED | 日志指标和提醒未配置为监控 Cloud Storage IAM 权限更改。 |
| CUSTOM_ROLE_NOT_MONITORED | 日志指标和提醒未配置为监控自定义角色更改。 |
| FIREWALL_NOT_MONITORED | 日志指标和提醒未配置为监控 Virtual Private Cloud (VPC) 网络防火墙规则更改。 |
| NETWORK_NOT_MONITORED | 日志指标和提醒未配置为监控 VPC 网络更改。 |
| SQL_INSTANCE_NOT_MONITORED | 日志指标和提醒未配置为监控 Cloud SQL 实例配置更改。 |
| DEFAULT_NETWORK | 项目中存在默认网络。 |
| DNS_LOGGING_DISABLED | VPC 网络上的 DNS 日志记录未启用。 |
| PUBSUB_CMEK_DISABLED | Pub/Sub 主题未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
| PUBLIC_SQL_INSTANCE | Cloud SQL 数据库实例接受来自所有 IP 地址的连接。 |
| SSL_NOT_ENFORCED | Cloud SQL 数据库实例并不要求所有传入连接都使用 SSL。 |
| AUTO_BACKUP_DISABLED | Cloud SQL 数据库未启用自动备份。 |
| SQL_CMEK_DISABLED | 未使用客户管理的加密密钥 (CMEK) 对 SQL 数据库实例进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
| SQL_LOG_CHECKPOINTS_DISABLED | Cloud SQL for PostgreSQL 实例的 log_checkpoints 数据库标志未设置为启用。 |
| SQL_LOG_CONNECTIONS_DISABLED | Cloud SQL for PostgreSQL 实例的 log_connections 数据库标志未设置为启用。 |
| SQL_LOG_DISCONNECTIONS_DISABLED | Cloud SQL for PostgreSQL 实例的 log_disconnections 数据库标志未设置为“开启”。 |
| SQL_LOG_DURATION_DISABLED | Cloud SQL for PostgreSQL 实例的 log_duration 数据库标志未设置为“开启”。 |
| SQL_LOG_LOCK_WAITS_DISABLED | Cloud SQL for PostgreSQL 实例的 log_lock_waits 数据库标志未设置为“开启”。 |
| SQL_LOG_STATEMENT | Cloud SQL for PostgreSQL 实例的 log_statement 数据库标志未设置为 Ddl(所有数据定义语句)。 |
| SQL_NO_ROOT_PASSWORD | Cloud SQL 数据库没有为根账号配置密码。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
| SQL_PUBLIC_IP | Cloud SQL 数据库具有公共 IP 地址。 |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | Cloud SQL for SQL Server 实例的“包含的数据库身份验证”数据库标志未设置为“关闭”。 |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | Cloud SQL for SQL Server 实例的 cross_db_ownership_chaining 数据库标志未设置为关闭。 |
| SQL_LOCAL_INFILE | Cloud SQL for MySQL 实例的 local_infile 数据库标志未设置为关闭。 |
| SQL_LOG_MIN_ERROR_STATEMENT | Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志设置不正确。 |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | Cloud SQL for PostgreSQL 实例的 log_min_error_statement 数据库标志没有适当的严重级别。 |
| SQL_LOG_TEMP_FILES | Cloud SQL for PostgreSQL 实例的 log_temp_files 数据库标志未设置为“0”。 |
| SQL_REMOTE_ACCESS_ENABLED | Cloud SQL for SQL Server 实例的远程访问数据库标志未设置为“关闭”。 |
| SQL_SKIP_SHOW_DATABASE_DISABLED | Cloud SQL for MySQL 实例的 skip_show_database 数据库标志未设置为“开启”。 |
| SQL_TRACE_FLAG_3625 | Cloud SQL for SQL Server 实例的 3625(跟踪记录标志)数据库标志未设置为“开启”。 |
| SQL_USER_CONNECTIONS_CONFIGURED | 已配置 Cloud SQL for SQL Server 实例的用户连接数据库标志。 |
| SQL_USER_OPTIONS_CONFIGURED | 已配置 Cloud SQL for SQL Server 实例的用户选项数据库标志。 |
| PUBLIC_BUCKET_ACL | Cloud Storage 存储桶可公开访问。 |
| BUCKET_POLICY_ONLY_DISABLED | 未配置统一存储桶级访问权限(以前称为“仅限存储桶政策”)。 |
| BUCKET_CMEK_DISABLED | 存储桶未使用客户管理的加密密钥 (CMEK) 进行加密。此检测器需要额外配置才能启用。有关说明,请参阅启用和停用检测器。 |
| FLOW_LOGS_DISABLED | 存在已停用流日志的 VPC 子网。 |
| PRIVATE_GOOGLE_ACCESS_DISABLED | 存在无法访问 Google 公共 API 的专用子网。 |
| kms_key_region_europe | 根据公司政策,所有加密密钥应继续存储在欧洲。 |
| kms_non_euro_region | 根据公司政策,所有加密密钥应继续存储在欧洲。 |
| LEGACY_NETWORK | 项目中存在旧版网络。 |
| LOAD_BALANCER_LOGGING_DISABLED | 负载均衡器的日志记录功能已停用。 |
支持的 GCP_SECURITYCENTER_POSTURE_VIOLATION 发现结果
您可以在字段映射参考:POSTURE VIOLATION 表中找到 UDM 映射。
| 查找名称 | 说明 |
|---|---|
| SECURITY_POSTURE_DRIFT | 与安全状况中定义的政策不符。Security Posture 服务检测到此问题。 |
| SECURITY_POSTURE_POLICY_DRIFT | 安全状况服务检测到组织政策在状况更新之外发生了更改。 |
| SECURITY_POSTURE_POLICY_DELETE | Security Posture 服务检测到组织政策已删除。此删除操作发生在设备状态更新之外。 |
| SECURITY_POSTURE_DETECTOR_DRIFT | Security Posture 服务检测到 Security Health Analytics 检测器在安全状况更新之外发生了更改。 |
| SECURITY_POSTURE_DETECTOR_DELETE | Security Posture 服务检测到 Security Health Analytics 自定义模块已删除。此删除操作发生在安全状况更新之外。 |
字段映射参考文档
本部分介绍 Google Security Operations 解析器如何将 Security Command Center 日志字段映射到数据集的 Google Security Operations 统一数据模型 (UDM) 字段。
字段映射参考文档:原始日志字段到 UDM 字段
下表列出了 Security Command Center 事件威胁检测发现结果的日志字段和对应的 UDM 映射。
| RawLog 字段 | UDM 映射 | 逻辑 |
|---|---|---|
compliances.ids |
about.labels [compliance_ids](已弃用) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version](已弃用) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard](已弃用) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip](已弃用) |
如果 connections.destinationIp 日志字段值不等于 sourceProperties.properties.ipConnection.destIp,则 connections.destinationIp 日志字段会映射到 about.labels.value UDM 字段。 |
connections.destinationIp |
additional.fields [connections_destination_ip] |
如果 connections.destinationIp 日志字段值不等于 sourceProperties.properties.ipConnection.destIp,则 connections.destinationIp 日志字段会映射到 additional.fields.value.string_value UDM 字段。 |
connections.destinationPort |
about.labels [connections_destination_port](已弃用) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol](已弃用) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip](已弃用) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port](已弃用) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
如果 message 日志字段值与正则表达式模式 kubernetes 匹配,则 target.resource_ancestors.resource_type UDM 字段会设置为 CLUSTER。否则,如果 message 日志字段值与正则表达式 kubernetes.*?pods 匹配,则 target.resource_ancestors.resource_type UDM 字段会设置为 POD。 |
|
about.resource.attribute.cloud.environment |
about.resource.attribute.cloud.environment UDM 字段设置为 GOOGLE_CLOUD_PLATFORM。 |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.pods.containers.createTime |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
|
extension.auth.type |
如果 category 日志字段值等于 Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Two Step Verification Disabled 或 Persistence: SSO Enablement Toggle,则 extension.auth.type UDM 字段设置为 SSO。 |
|
extension.mechanism |
如果 category 日志字段值等于 Brute Force: SSH,则 extension.mechanism UDM 字段设置为 USERNAME_PASSWORD。 |
|
extensions.auth.type |
如果 principal.user.user_authentication_status 日志字段值等于 ACTIVE,则 extensions.auth.type UDM 字段设置为 SSO。 |
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri](已弃用) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity](已弃用) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact](已弃用) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact](已弃用) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact](已弃用) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired](已弃用) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope](已弃用) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction](已弃用) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source](已弃用) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable](已弃用) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
sourceProperties.properties.loadBalancerName |
intermediary.resource.name |
如果 category 日志字段值等于 Initial Access: Log4j Compromise Attempt,则 sourceProperties.properties.loadBalancerName 日志字段会映射到 intermediary.resource.name UDM 字段。 |
|
intermediary.resource.resource_type |
如果 category 日志字段值等于 Initial Access: Log4j Compromise Attempt,则 intermediary.resource.resource_type UDM 字段会设为 BACKEND_SERVICE。 |
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
如果 canonicalName 日志字段值不为空,则系统会使用 Grok 模式从 canonicalName 日志字段中提取 finding_id。如果 finding_id 日志字段值为空,则系统会将 sourceProperties.evidence.sourceLogId.insertId 日志字段映射到 metadata.product_log_id UDM 字段。如果 canonicalName 日志字段值为空,则系统会将 sourceProperties.evidence.sourceLogId.insertId 日志字段映射到 metadata.product_log_id UDM 字段。 |
|
metadata.product_name |
metadata.product_name UDM 字段设置为 Security Command Center。 |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
|
metadata.vendor_name |
metadata.vendor_name UDM 字段设置为 Google。 |
|
network.application_protocol |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain,则 network.application_protocol UDM 字段会设置为 DNS。 |
sourceProperties.properties.indicatorContext.asn |
network.asn |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP,则 sourceProperties.properties.indicatorContext.asn 日志字段会映射到 network.asn UDM 字段。 |
sourceProperties.properties.indicatorContext.carrierName |
network.carrier_name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP,则 sourceProperties.properties.indicatorContext.carrierName 日志字段会映射到 network.carrier_name UDM 字段。 |
sourceProperties.properties.indicatorContext.reverseDnsDomain |
network.dns_domain |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP,则 sourceProperties.properties.indicatorContext.reverseDnsDomain 日志字段会映射到 network.dns_domain UDM 字段。 |
sourceProperties.properties.dnsContexts.responseData.responseClass |
network.dns.answers.class |
如果 category 日志字段值等于 Malware: Bad Domain,则 sourceProperties.properties.dnsContexts.responseData.responseClass 日志字段会映射到 network.dns.answers.class UDM 字段。 |
sourceProperties.properties.dnsContexts.responseData.responseValue |
network.dns.answers.data |
如果 category 日志字段值与正则表达式 Malware: Bad Domain 匹配,则 sourceProperties.properties.dnsContexts.responseData.responseValue 日志字段会映射到 network.dns.answers.data UDM 字段。 |
sourceProperties.properties.dnsContexts.responseData.domainName |
network.dns.answers.name |
如果 category 日志字段值等于 Malware: Bad Domain,则 sourceProperties.properties.dnsContexts.responseData.domainName 日志字段会映射到 network.dns.answers.name UDM 字段。 |
sourceProperties.properties.dnsContexts.responseData.ttl |
network.dns.answers.ttl |
如果 category 日志字段值等于 Malware: Bad Domain,则 sourceProperties.properties.dnsContexts.responseData.ttl 日志字段会映射到 network.dns.answers.ttl UDM 字段。 |
sourceProperties.properties.dnsContexts.responseData.responseType |
network.dns.answers.type |
如果 category 日志字段值等于 Malware: Bad Domain,则 sourceProperties.properties.dnsContexts.responseData.responseType 日志字段会映射到 network.dns.answers.type UDM 字段。 |
sourceProperties.properties.dnsContexts.authAnswer |
network.dns.authoritative |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain,则 sourceProperties.properties.dnsContexts.authAnswer 日志字段会映射到 network.dns.authoritative UDM 字段。 |
sourceProperties.properties.dnsContexts.queryName |
network.dns.questions.name |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain,则 sourceProperties.properties.dnsContexts.queryName 日志字段会映射到 network.dns.questions.name UDM 字段。 |
sourceProperties.properties.dnsContexts.queryType |
network.dns.questions.type |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain,则 sourceProperties.properties.dnsContexts.queryType 日志字段会映射到 network.dns.questions.type UDM 字段。 |
sourceProperties.properties.dnsContexts.responseCode |
network.dns.response_code |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain,则 sourceProperties.properties.dnsContexts.responseCode 日志字段会映射到 network.dns.response_code UDM 字段。 |
sourceProperties.properties.anomalousSoftware.callerUserAgent |
network.http.user_agent |
如果 category 日志字段值等于 Persistence: New User Agent,则 sourceProperties.properties.anomalousSoftware.callerUserAgent 日志字段会映射到 network.http.user_agent UDM 字段。 |
sourceProperties.properties.callerUserAgent |
network.http.user_agent |
如果 category 日志字段值等于 Persistence: GCE Admin Added SSH Key 或 Persistence: GCE Admin Added Startup Script,则 sourceProperties.properties.callerUserAgent 日志字段会映射到 network.http.user_agent UDM 字段。 |
access.userAgentFamily |
network.http.user_agent |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent |
network.http.user_agent |
如果 category 日志字段值等于 Discovery: Service Account Self-Investigation,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent 日志字段会映射到 network.http.user_agent UDM 字段。 |
| sourceProperties.properties.ipConnection.protocol | network.ip_protocol | 如果 category 日志字段值等于 Malware: Bad IP、Malware: Cryptomining Bad IP 或 Malware: Outgoing DoS,则 network.ip_protocol UDM 字段设置为以下值之一:
|
sourceProperties.properties.indicatorContext.organizationName |
network.organization_name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP,则 sourceProperties.properties.indicatorContext.organizationName 日志字段会映射到 network.organization_name UDM 字段。 |
sourceProperties.properties.anomalousSoftware.behaviorPeriod |
network.session_duration |
如果 category 日志字段值等于 Persistence: New User Agent,则 sourceProperties.properties.anomalousSoftware.behaviorPeriod 日志字段会映射到 network.session_duration UDM 字段。 |
sourceProperties.properties.sourceIp |
principal.ip |
如果 category 日志字段值与正则表达式 Active Scan: Log4j Vulnerable to RCE 匹配,则 sourceProperties.properties.sourceIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.attempts.sourceIp |
principal.ip |
如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.sourceIp 日志字段会映射到 principal.ip UDM 字段。 |
access.callerIp |
principal.ip |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control、access.callerIp、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、Persistence: New Geography 或 Persistence: IAM Anomalous Grant,则 access.callerIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp |
principal.ip |
如果 category 日志字段值等于 Discovery: Service Account Self-Investigation,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.changeFromBadIp.ip |
principal.ip |
如果 category 日志字段值等于 Evasion: Access from Anonymizing Proxy,则 sourceProperties.properties.changeFromBadIp.ip 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.dnsContexts.sourceIp |
principal.ip |
如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Cryptomining Bad Domain,则 sourceProperties.properties.dnsContexts.sourceIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.ipConnection.srcIp |
principal.ip |
如果 category 日志字段值等于 Malware: Bad IP、Malware: Cryptomining Bad IP 或 Malware: Outgoing DoS,则 sourceProperties.properties.ipConnection.srcIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress |
principal.ip |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP,并且 sourceProperties.properties.ipConnection.srcIp 日志字段值不等于 sourceProperties.properties.indicatorContext.ipAddress,则 sourceProperties.properties.indicatorContext.ipAddress 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.anomalousLocation.callerIp |
principal.ip |
如果 category 日志字段值等于 Persistence: New Geography,则 sourceProperties.properties.anomalousLocation.callerIp 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.properties.scannerDomain |
principal.labels [sourceProperties_properties_scannerDomain](已弃用) |
如果 category 日志字段值与正则表达式 Active Scan: Log4j Vulnerable to RCE 匹配,则 sourceProperties.properties.scannerDomain 日志字段会映射到 principal.labels.key/value UDM 字段。 |
sourceProperties.properties.scannerDomain |
additional.fields [sourceProperties_properties_scannerDomain] |
如果 category 日志字段值与正则表达式 Active Scan: Log4j Vulnerable to RCE 匹配,则 sourceProperties.properties.scannerDomain 日志字段会映射到 additional.fields.value.string_value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState](已弃用) |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.jobState 日志字段会映射到 principal.labels.key/value 和 UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.jobState |
additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.jobState 日志字段会映射到 additional.fields.value.string_value UDM 字段。 |
access.callerIpGeo.regionCode |
principal.location.country_or_region |
|
sourceProperties.properties.indicatorContext.countryCode |
principal.location.country_or_region |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP,则 sourceProperties.properties.indicatorContext.countryCode 日志字段会映射到 principal.location.country_or_region UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.job.location |
principal.location.country_or_region |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.job.location 日志字段会映射到 principal.location.country_or_region UDM 字段。 |
sourceProperties.properties.extractionAttempt.job.location |
principal.location.country_or_region |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.job.location 日志字段会映射到 principal.location.country_or_region UDM 字段。 |
sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier |
principal.location.country_or_region |
如果 category 日志字段值等于 Persistence: New Geography 或 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier 日志字段会映射到 principal.location.country_or_region UDM 字段。 |
sourceProperties.properties.anomalousLocation.anomalousLocation |
principal.location.name |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.anomalousLocation.anomalousLocation 日志字段会映射到 principal.location.name UDM 字段。 |
sourceProperties.properties.ipConnection.srcPort |
principal.port |
如果 category 日志字段值等于 Malware: Bad IP 或 Malware: Outgoing DoS,则 sourceProperties.properties.ipConnection.srcPort 日志字段会映射到 principal.port UDM 字段。 |
sourceProperties.properties.extractionAttempt.jobLink |
principal.process.file.full_path |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.jobLink 日志字段会映射到 principal.process.file.full_path UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.jobLink |
principal.process.file.full_path |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.jobLink 日志字段会映射到 principal.process.file.full_path UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.job.jobId |
principal.process.pid |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.job.jobId 日志字段会映射到 principal.process.pid UDM 字段。 |
sourceProperties.properties.extractionAttempt.job.jobId |
principal.process.pid |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.job.jobId 日志字段会映射到 principal.process.pid UDM 字段。 |
sourceProperties.properties.srcVpc.subnetworkName |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP,则 sourceProperties.properties.srcVpc.subnetworkName 日志字段会映射到 principal.resource_ancestors.attribute.labels.value UDM 字段。 |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP,则 sourceProperties.properties.srcVpc.projectId 日志字段会映射到 principal.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.srcVpc.vpcName |
principal.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP,则 sourceProperties.properties.destVpc.vpcName 日志字段会映射到 principal.resource_ancestors.name UDM 字段,并且 principal.resource_ancestors.resource_type UDM 字段会设置为 VIRTUAL_MACHINE。 |
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
如果 message 日志字段值与正则表达式 sourceProperties.sourceId.*?customerOrganizationNumber 匹配,则 sourceProperties.sourceId.customerOrganizationNumber 日志字段会映射到 principal.resource.attribute.labels.key/value UDM 字段。 |
resource.projectName |
principal.resource.name |
|
sourceProperties.properties.projectId |
principal.resource.name |
如果 sourceProperties.properties.projectId 日志字段值不为空,则 sourceProperties.properties.projectId 日志字段会映射到 principal.resource.name UDM 字段。 |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId |
principal.resource.name |
如果 category 日志字段值等于 Discovery: Service Account Self-Investigation,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId 日志字段会映射到 principal.resource.name UDM 字段。 |
sourceProperties.properties.sourceInstanceDetails |
principal.resource.name |
如果 category 日志字段值等于 Malware: Outgoing DoS,则 sourceProperties.properties.sourceInstanceDetails 日志字段会映射到 principal.resource.name UDM 字段。 |
|
principal.user.account_type |
如果 access.principalSubject 日志字段值与正则表达式 serviceAccount 匹配,则 principal.user.account_type UDM 字段会设置为 SERVICE_ACCOUNT_TYPE。否则,如果 access.principalSubject 日志字段值与正则表达式 user 匹配,则 principal.user.account_type UDM 字段会设置为 CLOUD_ACCOUNT_TYPE。 |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent |
principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] |
如果 category 日志字段值等于 Discovery: Service Account Self-Investigation,则 principal.user.attribute.labels.key UDM 字段会设置为 rawUserAgent,并且 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent 日志字段会映射到 principal.user.attribute.labels.value UDM 字段。 |
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Discovery: Service Account Self-Investigation,则 sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.changeFromBadIp.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Evasion: Access from Anonymizing Proxy,则 sourceProperties.properties.changeFromBadIp.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.userEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.userEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive、Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Impair Defenses: Strong Authentication Disabled、Impair Defenses: Two Step Verification Disabled、Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key,则 sourceProperties.properties.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked,则 sourceProperties.properties.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
access.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization 或 Persistence: New Geography,则 access.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.sensitiveRoleGrant.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.anomalousSoftware.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Persistence: New User Agent,则 sourceProperties.properties.anomalousSoftware.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.exportToGcs.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.restoreToExternalInstance.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
access.serviceAccountDelegationInfo.principalEmail |
principal.user.email_addresses |
|
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.customRoleSensitivePermissions.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.anomalousLocation.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Persistence: New Geography,则 sourceProperties.properties.anomalousLocation.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public,则 sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group,则 sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.vpcViolation.userEmail |
principal.user.email_addresses |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.vpcViolation.userEmail 日志字段会映射到 principal.user.email_addresses UDM 字段。 |
sourceProperties.properties.ssoState |
principal.user.user_authentication_status |
如果 category 日志字段值等于 Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Two Step Verification Disabled 或 Persistence: SSO Enablement Toggle,则 sourceProperties.properties.ssoState 日志字段会映射到 principal.user.user_authentication_status UDM 字段。 |
database.userName |
principal.user.userid |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 database.userName 日志字段会映射到 principal.user.userid UDM 字段。 |
sourceProperties.properties.threatIntelligenceSource |
security_result.about.application |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.threatIntelligenceSource 日志字段会映射到 security_result.about.application UDM 字段。 |
workflowState |
security_result.about.investigation.status |
|
sourceProperties.properties.attempts.sourceIp |
security_result.about.ip |
如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.sourceIp 日志字段会映射到 security_result.about.ip UDM 字段。 |
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
sourceProperties.properties.delta.restrictedResources.resourceName |
security_result.about.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName 日志字段会映射到 security_result.about.resource.name UDM 字段。如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.delta.restrictedResources.resourceName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设置为 CLOUD_PROJECT。 |
sourceProperties.properties.delta.allowedServices.serviceName |
security_result.about.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.delta.allowedServices.serviceName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设为 BACKEND_SERVICE。 |
sourceProperties.properties.delta.restrictedServices.serviceName |
security_result.about.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.delta.restrictedServices.serviceName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设为 BACKEND_SERVICE。 |
sourceProperties.properties.delta.accessLevels.policyName |
security_result.about.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.delta.accessLevels.policyName 日志字段会映射到 security_result.about.resource.name UDM 字段,并且 security_result.about.resource_type UDM 字段会设置为 ACCESS_POLICY。 |
|
security_result.about.user.attribute.roles.name |
如果 message 日志字段值与正则表达式 contacts.?security 匹配,则 security_result.about.user.attribute.roles.name UDM 字段会设置为 security。如果 message 日志字段值与正则表达式 contacts.?technical 匹配,则 security_result.about.user.attribute.roles.name UDM 字段会设置为 Technical。 |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.action |
如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked,则 security_result.action UDM 字段设置为 BLOCK。如果 category 日志字段值等于 Brute Force: SSH,并且 sourceProperties.properties.attempts.authResult 日志字段值等于 SUCCESS,则 security_result.action UDM 字段设置为 BLOCK。否则, security_result.action UDM 字段设置为 BLOCK。 |
sourceProperties.properties.delta.restrictedResources.action |
security_result.action_details |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.delta.restrictedResources.action 日志字段会映射到 security_result.action_details UDM 字段。 |
sourceProperties.properties.delta.restrictedServices.action |
security_result.action_details |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.delta.restrictedServices.action 日志字段会映射到 security_result.action_details UDM 字段。 |
sourceProperties.properties.delta.allowedServices.action |
security_result.action_details |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.delta.allowedServices.action 日志字段会映射到 security_result.action_details UDM 字段。 |
sourceProperties.properties.delta.accessLevels.action |
security_result.action_details |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.delta.accessLevels.action 日志字段会映射到 security_result.action_details UDM 字段。 |
|
security_result.alert_state |
如果 state 日志字段值等于 ACTIVE,则 security_result.alert_state UDM 字段设置为 ALERTING。否则, security_result.alert_state UDM 字段设置为 NOT_ALERTING。 |
findingClass |
security_result.catgory_details |
findingClass - category 日志字段会映射到 security_result.catgory_details UDM 字段。 |
category |
security_result.catgory_details |
findingClass - category 日志字段会映射到 security_result.catgory_details UDM 字段。 |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
如果 mute 日志字段值等于 MUTED 或 UNMUTED,则 muteInitiator 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
如果 mute 日志字段值等于 MUTED 或 UNMUTED,则 muteUpdateTimer 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification |
security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] |
如果 category 日志字段值等于 Persistence: New User Agent,则 sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.attempts.authResult |
security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] |
如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.authResult 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.indicator.indicatorType |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.indicator.indicatorType 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.customer_industry |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.customer_industry 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.customer_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.customer_name 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.lasthit |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.lasthit 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.myVote |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.source |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.myVote 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.support_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.support_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.tag_class_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_class_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.tag_name |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.tag_name 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.upVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.upVotes 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.downVotes |
security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.downVotes 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
如果 category 日志字段值等于 Active Scan: Log4j Vulnerable to RCE、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Over-Privileged Grant、Exfiltration: CloudSQL Restore Backup to External Organization、Initial Access: Log4j Compromise Attempt、Malware: Cryptomining Bad Domain、Malware: Cryptomining Bad IP 或 Persistence: IAM Anomalous Grant,则 security_result.detection_fields.key UDM 字段会设置为 sourceProperties_contextUris_relatedFindingUri_url,并且 sourceProperties.contextUris.relatedFindingUri.url 日志字段会映射到 metadata.url_back_to_product UDM 字段。 |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
如果 category 日志字段值等于 Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad Domain 或 Malware: Cryptomining Bad IP,则 sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,而 sourceProperties.contextUris.virustotalIndicatorQueryUri.url 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
如果 category 日志字段值等于 Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Strong Authentication Disabled、Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed,则 sourceProperties.contextUris.workspacesUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.workspacesUri.url 日志字段会映射到 security_result.detection_fields.key/value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.public_tag_name |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.public_tag_name 日志字段会映射到 intermediary.labels.key UDM 字段。 |
sourceProperties.properties.autofocusContextCards.tags.description |
security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.tags.description 日志字段会映射到 intermediary.labels.value UDM 字段。 |
sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal |
security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] |
如果 category 日志字段值等于 Malware: Bad IP,则 sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
createTime |
security_result.detection_fields.key/value[create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
如果 sourceProperties.detectionPriority 日志字段值等于 HIGH,则 security_result.priority UDM 字段会设置为 HIGH_PRIORITY。否则,如果 sourceProperties.detectionPriority 日志字段值等于 MEDIUM,则 security_result.priority UDM 字段值会设置为 MEDIUM_PRIORITY。否则,如果 sourceProperties.detectionPriority 日志字段值等于 LOW,则 security_result.priority UDM 字段会设置为 LOW_PRIORITY。 |
sourceProperties.detectionPriority |
security_result.priority_details |
|
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
sourceProperties.properties.vpcViolation.violationReason |
security_result.summary |
如果 category 日志字段值等于 Exfiltration: BigQuery Exfiltration,则 sourceProperties.properties.vpcViolation.violationReason 日志字段会映射到 security_result.summary UDM 字段。 |
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 database.query 日志字段会映射到 src.process.command_line UDM 字段。 |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.folders.resourceFolderDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.parentDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.parentName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.projectDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri |
src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。 |
parent |
src.resource_ancestors.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration,则 parent 日志字段会映射到 src.resource_ancestors.name UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId |
src.resource_ancestors.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId 日志字段会映射到 src.resource_ancestors.name UDM 字段,并且 src.resource_ancestors.resource_type UDM 字段会设为 TABLE。 |
resourceName |
src.resource_ancestors.name |
如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 resourceName 日志字段会映射到 src.resource_ancestors.name UDM 字段。 |
resource.folders.resourceFolder |
src.resource_ancestors.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.folders.resourceFolder 日志字段会映射到 src.resource_ancestors.name UDM 字段。 |
sourceProperties.sourceId.customerOrganizationNumber |
src.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.sourceId.customerOrganizationNumber 日志字段会映射到 src.resource_ancestors.product_object_id UDM 字段。 |
sourceProperties.sourceId.projectNumber |
src.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.sourceId.projectNumber 日志字段会映射到 src.resource_ancestors.product_object_id UDM 字段。 |
sourceProperties.sourceId.organizationNumber |
src.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.sourceId.organizationNumber 日志字段会映射到 src.resource_ancestors.product_object_id UDM 字段。 |
resource.type |
src.resource_ancestors.resource_subtype |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.type 日志字段会映射到 src.resource_ancestors.resource_subtype UDM 字段。 |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 database.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 src.resource.attribute.labels.key UDM 字段会设置为 grantees,并且 database.grantees 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive,则 resource.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
resource.displayName |
principal.hostname |
如果 resource.type 日志字段值与正则表达式模式 (?i)google.compute.Instance or google.container.Cluster 匹配,则 resource.displayName 日志字段会映射到 principal.hostname UDM 字段。 |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive,则 resource.display_name 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.extractionAttempt.sourceTable.datasetId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.sourceTable.datasetId 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.extractionAttempt.sourceTable.projectId |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.sourceTable.projectId 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.extractionAttempt.sourceTable.resourceUri |
src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.sourceTable.resourceUri 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.restoreToExternalInstance.backupId |
src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.backupId 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration 或 Exfiltration: BigQuery Data Extraction,则 src.resource.attribute.labels.key/value 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
resourceName |
src.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.sources.name 日志字段会映射到 src.resource.name UDM 字段,resourceName 日志字段会映射到 src.resource_ancestors.name UDM 字段。 |
sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource |
src.resource.name |
如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource 日志字段会映射到 src.resource.name UDM 字段,并且 src.resource.resource_subtype UDM 字段会设为 CloudSQL。 |
sourceProperties.properties.exportToGcs.cloudsqlInstanceResource |
src.resource.name |
如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,那么 sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource 日志字段会映射到 src.resource.name UDM 字段,并且 src.resource.resource_subtype UDM 字段会设置为 CloudSQL。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.cloudsqlInstanceResource 日志字段会映射到 src.resource.name UDM 字段,并且 src.resource.resource_subtype UDM 字段会设置为 CloudSQL。 |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.sources.name 日志字段会映射到 src.resource.name UDM 字段,resourceName 日志字段会映射到 src.resource_ancestors.name UDM 字段。 |
sourceProperties.properties.extractionAttempt.sourceTable.tableId |
src.resource.product_object_id |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.sourceTable.tableId 日志字段会映射到 src.resource.product_object_id UDM 字段。 |
access.serviceName |
target.application |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、Exfiltration: CloudSQL Over-Privileged Grant、Persistence: New Geography 或 Persistence: IAM Anomalous Grant,则 access.serviceName 日志字段会映射到 target.application UDM 字段。 |
sourceProperties.properties.serviceName |
target.application |
如果 category 日志字段值等于 Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Strong Authentication Disabled、Impair Defenses: Two Step Verification Disabled、Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed,则 sourceProperties.properties.serviceName 日志字段会映射到 target.application UDM 字段。 |
sourceProperties.properties.domainName |
target.domain.name |
如果 category 日志字段值等于 Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed,则 sourceProperties.properties.domainName 日志字段会映射到 target.domain.name UDM 字段。 |
sourceProperties.properties.domains.0 |
target.domain.name |
如果 category 日志字段值等于 Malware: Bad Domain、Malware: Cryptomining Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.domains.0 日志字段会映射到 target.domain.name UDM 字段。 |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action |
target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] |
如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group,则 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。 |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member |
target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] |
如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group,则 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member 日志字段会映射到 target.group.attribute.labels.key/value UDM 字段。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin |
target.group.attribute.permissions.name |
如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public,则 sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin 日志字段会映射到 target.group.attribute.permissions.name UDM 字段。 |
sourceProperties.properties.customRoleSensitivePermissions.permissions |
target.group.attribute.permissions.name |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.customRoleSensitivePermissions.permissions 日志字段会映射到 target.group.attribute.permissions.name UDM 字段。 |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName |
target.group.attribute.roles.name |
如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName 日志字段会映射到 target.group.attribute.roles.name UDM 字段。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role |
target.group.attribute.roles.name |
如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group,则 sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role 日志字段会映射到 target.group.attribute.roles.name UDM 字段。 |
sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role |
target.group.attribute.roles.name |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role 日志字段会映射到 target.group.attribute.roles.name UDM 字段。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName |
target.group.attribute.roles.name |
如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public,则 sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName 日志字段会映射到 target.group.attribute.roles.name UDM 字段。 |
sourceProperties.properties.customRoleSensitivePermissions.roleName |
target.group.attribute.roles.name |
如果 category 日志字段值等于 Persistence: IAM Anomalous Grant,则 sourceProperties.properties.customRoleSensitivePermissions.roleName 日志字段会映射到 target.group.attribute.roles.name UDM 字段。 |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName |
target.group.group_display_name |
如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName 日志字段会映射到 target.group.group_display_name UDM 字段。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.groupName |
target.group.group_display_name |
如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public,则 sourceProperties.properties.privilegedGroupOpenedToPublic.groupName 日志字段会映射到 target.group.group_display_name UDM 字段。 |
sourceProperties.properties.sensitiveRoleToHybridGroup.groupName |
target.group.group_display_name |
如果 category 日志字段值等于 Credential Access: Sensitive Role Granted To Hybrid Group,则 sourceProperties.properties.sensitiveRoleToHybridGroup.groupName 日志字段会映射到 target.group.group_display_name UDM 字段。 |
sourceProperties.properties.ipConnection.destIp |
target.ip |
如果 category 日志字段值等于 Malware: Bad IP、Malware: Cryptomining Bad IP 或 Malware: Outgoing DoS,则 sourceProperties.properties.ipConnection.destIp 日志字段会映射到 target.ip UDM 字段。 |
access.methodName |
target.labels [access_methodName](已弃用) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated](已弃用) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents](已弃用) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize](已弃用) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed](已弃用) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name](已弃用) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val](已弃用) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated](已弃用) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents](已弃用) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize](已弃用) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed](已弃用) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents](已弃用) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize](已弃用) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed](已弃用) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
sourceProperties.properties.methodName |
target.labels [sourceProperties_properties_methodName](已弃用) |
如果 category 日志字段值等于 Impair Defenses: Strong Authentication Disabled、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed,则 sourceProperties.properties.methodName 日志字段会映射到 target.labels.value UDM 字段。 |
sourceProperties.properties.methodName |
additional.fields [sourceProperties_properties_methodName] |
如果 category 日志字段值等于 Impair Defenses: Strong Authentication Disabled、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed,则 sourceProperties.properties.methodName 日志字段会映射到 additional.fields.value.string_value UDM 字段。 |
sourceProperties.properties.network.location |
target.location.name |
如果 category 日志字段值等于 Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.network.location 日志字段会映射到 target.location.name UDM 字段。 |
processes.parentPid |
target.parent_process.pid |
|
sourceProperties.properties.ipConnection.destPort |
target.port |
如果 category 日志字段值等于 Malware: Bad IP 或 Malware: Outgoing DoS,则 sourceProperties.properties.ipConnection.destPort 日志字段会映射到 target.port UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.query |
target.process.command_line |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.query 日志字段会映射到 target.process.command_line UDM 字段。 |
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
containers.labels.name 日志字段会映射到 target.resource_ancestors.attribute.labels.key UDM 字段,containers.labels.value 日志字段会映射到 target.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.destVpc.projectId |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP,则 sourceProperties.properties.destVpc.projectId 日志字段会映射到 target.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.destVpc.subnetworkName |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP 或 Malware: Bad IP,则 sourceProperties.properties.destVpc.subnetworkName 日志字段会映射到 target.resource_ancestors.attribute.labels.value UDM 字段。 |
sourceProperties.properties.network.subnetworkName |
target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] |
如果 category 日志字段值等于 Malware: Bad IP 或 Malware: Cryptomining Bad IP,则 sourceProperties.properties.network.subnetworkName 日志字段会映射到 target.resource_ancestors.value UDM 字段。 |
sourceProperties.properties.network.subnetworkId |
target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] |
如果 category 日志字段值等于 Malware: Bad IP 或 Malware: Cryptomining Bad IP,则 sourceProperties.properties.network.subnetworkId 日志字段会映射到 target.resource_ancestors.value UDM 字段。 |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain 或 Configurable Bad Domain、UDM 或 sourceProperties.properties.destVpc.vpcName 日志字段和 target.resource_ancestors.name UDM 字段、sourceProperties.properties.vpc.vpcName log 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 和 target.resource_ancestors.resource_type UDM 字段和、、category 日志字段和 VPC_NETWORK、和 VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK 和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、或 . VPC_NETWORK.等 categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nameActive Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike |
sourceProperties.properties.destVpc.vpcName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain 或 Configurable Bad Domain、UDM 或 sourceProperties.properties.destVpc.vpcName 日志字段和 target.resource_ancestors.name UDM 字段、sourceProperties.properties.vpc.vpcName log 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 和 target.resource_ancestors.resource_type UDM 字段和、、category 日志字段和 VPC_NETWORK、和 VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK 和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、或 . VPC_NETWORK.等 categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nameActive Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike |
sourceProperties.properties.vpcName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain 或 Configurable Bad Domain、UDM 或 sourceProperties.properties.destVpc.vpcName 日志字段和 target.resource_ancestors.name UDM 字段、sourceProperties.properties.vpc.vpcName log 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 和 target.resource_ancestors.resource_type UDM 字段和、、category 日志字段和 VPC_NETWORK、和 VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK 和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、或 . VPC_NETWORK.等 categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nameActive Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike |
resourceName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain 或 Configurable Bad Domain、UDM 或 sourceProperties.properties.destVpc.vpcName 日志字段和 target.resource_ancestors.name UDM 字段、sourceProperties.properties.vpc.vpcName log 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 和 target.resource_ancestors.resource_type UDM 字段和、、category 日志字段和 VPC_NETWORK、和 VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK 和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、或 . VPC_NETWORK.等 categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nameActive Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike |
sourceProperties.properties.projectId |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain 或 Configurable Bad Domain、UDM 或 sourceProperties.properties.destVpc.vpcName 日志字段和 target.resource_ancestors.name UDM 字段、sourceProperties.properties.vpc.vpcName log 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 和 target.resource_ancestors.resource_type UDM 字段和、、category 日志字段和 VPC_NETWORK、和 VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK 和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、或 . VPC_NETWORK.等 categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nameActive Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike |
sourceProperties.properties.vpc.vpcName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain 或 Configurable Bad Domain、UDM 或 sourceProperties.properties.destVpc.vpcName 日志字段和 target.resource_ancestors.name UDM 字段、sourceProperties.properties.vpc.vpcName log 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 和 target.resource_ancestors.resource_type UDM 字段和、、category 日志字段和 VPC_NETWORK、和 VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK 和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、或 . VPC_NETWORK.等 categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nameActive Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike |
parent |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain 或 Configurable Bad Domain、UDM 或 sourceProperties.properties.destVpc.vpcName 日志字段和 target.resource_ancestors.name UDM 字段、sourceProperties.properties.vpc.vpcName log 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 和 target.resource_ancestors.resource_type UDM 字段和、、category 日志字段和 VPC_NETWORK、和 VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK 和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、或 . VPC_NETWORK.等 categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nameActive Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike |
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain 或 Configurable Bad Domain、UDM 或 sourceProperties.properties.destVpc.vpcName 日志字段和 target.resource_ancestors.name UDM 字段、sourceProperties.properties.vpc.vpcName log 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 和 target.resource_ancestors.resource_type UDM 字段和、、category 日志字段和 VPC_NETWORK、和 VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK 和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、或 . VPC_NETWORK.等 categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nameActive Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike |
containers.name |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain 或 Configurable Bad Domain、UDM 或 sourceProperties.properties.destVpc.vpcName 日志字段和 target.resource_ancestors.name UDM 字段、sourceProperties.properties.vpc.vpcName log 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.name UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 和 target.resource_ancestors.resource_type UDM 字段和、、category 日志字段和 VPC_NETWORK、和 VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK 和 target.resource_ancestors.resource_type UDM 字段和 target.resource_ancestors.resource_type UDM 字段和 VPC_NETWORK、VPC_NETWORK、或 . VPC_NETWORK.等 categorycategorycategorycategoryMalware: Cryptomining Bad IPMalware: Bad IPMalware: Bad Domaintarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nametarget.resource_ancestors.nameActive Scan: Log4j Vulnerable to RCEsourceProperties.properties.vpcNameVIRTUAL_MACHINEresourceNameresourceNameresourceNameBrute Force: SSHPersistence: GCE Admin Added SSH KeyPersistence: GCE Admin Added Startup ScriptsourceProperties.properties.projectIdIncreasing Deny RatioAllowed Traffic Spike |
sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource |
target.resource_ancestors.name |
如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group,则 sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource 日志字段会映射到 target.resource_ancestors.name UDM 字段。 |
sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource |
target.resource_ancestors.name |
如果 category 日志字段值等于 Credential Access: Privileged Group Opened To Public,则 sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource 日志字段会映射到 target.resource_ancestors.name UDM 字段。 |
kubernetes.pods.containers.name |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.destVpc.vpcName 日志字段会映射到 target.resource_ancestors.name UDM 字段,sourceProperties.properties.vpc.vpcName 日志字段会映射到 target.resource_ancestors.name UDM 字段,target.resource_ancestors.resource_type UDM 字段会设为 VPC_NETWORK。否则,如果 category 日志字段值等于 Active Scan: Log4j Vulnerable to RCE,则 sourceProperties.properties.vpcName 日志字段会映射到 target.resource_ancestors.name UDM 字段,target.resource_ancestors.resource_type UDM 字段会设为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Malware: Bad Domain、Malware: Bad IP 或 Malware: Cryptomining Bad IP,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于 Brute Force: SSH,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于 Persistence: GCE Admin Added SSH Key 或 Persistence: GCE Admin Added Startup Script,则 sourceProperties.properties.projectId 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于 Increasing Deny Ratio 或 Allowed Traffic Spike,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。 |
sourceProperties.properties.gceInstanceId |
target.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key,则 sourceProperties.properties.gceInstanceId 日志字段会映射到 target.resource_ancestors.product_object_id UDM 字段,并且 target.resource_ancestors.resource_type UDM 字段会设置为 VIRTUAL_MACHINE。 |
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key,则 target.resource_ancestors.resource_type UDM 字段会设置为 VIRTUAL_MACHINE。 |
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE。 |
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE。 |
containers.imageId |
target.resource_ancestors.product_object_id |
如果 category 日志字段值等于 Persistence: GCE Admin Added Startup Script 或 Persistence: GCE Admin Added SSH Key,则 target.resource_ancestors.resource_type UDM 字段设置为 VIRTUAL_MACHINE。 |
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.zone 日志字段会映射到 target.resource.attribute.cloud.availability_zone UDM 字段。 |
canonicalName |
metadata.product_log_id |
finding_id 是使用 Grok 模式从 canonicalName 日志字段中提取的。如果 finding_id 日志字段值不为空,则 finding_id 日志字段将映射到 metadata.product_log_id UDM 字段。 |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 src.resource.attribute.labels.key/value [finding_id] UDM 字段。如果 category 日志字段值等于以下某个值,系统会使用 Grok 模式从 canonicalName 日志字段中提取 finding_id:
|
canonicalName |
src.resource.product_object_id |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.product_object_id UDM 字段。如果 category 日志字段值等于以下某个值,系统会使用 Grok 模式从 canonicalName 日志字段中提取 source_id:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.attribute.labels.key/value [source_id] UDM 字段。如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 source_id:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 target.resource.attribute.labels.key/value [finding_id] UDM 字段。如果 category 日志字段值不等于以下任何值,则系统会使用 Grok 模式从 canonicalName 日志字段中提取 finding_id:
|
canonicalName |
target.resource.product_object_id |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.product_object_id UDM 字段。如果 category 日志字段值不等于以下任何值,则系统会使用 Grok 模式从 canonicalName 日志字段中提取 source_id:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.attribute.labels.key/value [source_id] UDM 字段。如果 category 日志字段值不等于以下任何值,则系统会使用 Grok 模式从 canonicalName 日志字段中提取 source_id:
|
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.exportToGcs.exportScope |
target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 target.resource.attribute.labels.key UDM 字段会设置为 exportScope,并且 sourceProperties.properties.exportToGcs.exportScope 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.extractionAttempt.destinations.objectName |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.objectName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.extractionAttempt.destinations.originalUri |
target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.originalUri 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
sourceProperties.properties.metadataKeyOperation |
target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] |
如果 category 日志字段值等于 Persistence: GCE Admin Added SSH Key 或 Persistence: GCE Admin Added Startup Script,则 sourceProperties.properties.metadataKeyOperation 日志字段会映射到 target.resource.attribute.labels.key/value UDM 字段。 |
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration 或 Exfiltration: BigQuery Data Extraction,则 exfiltration.targets.components 日志字段会映射到 target.resource.attribute.labels.key/value UDM 字段。 |
sourceProperties.properties.exportToGcs.bucketAccess |
target.resource.attribute.permissions.name |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.bucketAccess 日志字段会映射到 target.resource.attribute.permissions.name UDM 字段。 |
sourceProperties.properties.name |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.bucketResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.vmName 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于“恶意软件:网域不良”或 Malware: Bad IP 或 Malware: Cryptomining Bad IP 或 Malware: Cryptomining Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.instanceDetails 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.attribute.name UDM 字段,exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段,sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 日志字段会映射到 target.resource.attribute.labels UDM 字段,target.resource.resource_type UDM 字段会设为 TABLE。否则, resourceName 日志字段会映射到 target.resource.name UDM 字段。 |
sourceProperties.properties.exportToGcs.bucketResource |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.bucketResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.vmName 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于“恶意软件:网域不良”或 Malware: Bad IP 或 Malware: Cryptomining Bad IP 或 Malware: Cryptomining Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.instanceDetails 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.attribute.name UDM 字段,exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段,sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 日志字段会映射到 target.resource.attribute.labels UDM 字段,target.resource.resource_type UDM 字段会设为 TABLE。否则, resourceName 日志字段会映射到 target.resource.name UDM 字段。 |
sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.bucketResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.vmName 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于“恶意软件:网域不良”或 Malware: Bad IP 或 Malware: Cryptomining Bad IP 或 Malware: Cryptomining Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.instanceDetails 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.attribute.name UDM 字段,exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段,sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 日志字段会映射到 target.resource.attribute.labels UDM 字段,target.resource.resource_type UDM 字段会设为 TABLE。否则, resourceName 日志字段会映射到 target.resource.name UDM 字段。 |
resourceName |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.bucketResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.vmName 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于“恶意软件:网域不良”或 Malware: Bad IP 或 Malware: Cryptomining Bad IP 或 Malware: Cryptomining Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.instanceDetails 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.attribute.name UDM 字段,exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段,sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 日志字段会映射到 target.resource.attribute.labels UDM 字段,target.resource.resource_type UDM 字段会设为 TABLE。否则, resourceName 日志字段会映射到 target.resource.name UDM 字段。 |
sourceProperties.properties.attempts.vmName |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.bucketResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.vmName 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于“恶意软件:网域不良”或 Malware: Bad IP 或 Malware: Cryptomining Bad IP 或 Malware: Cryptomining Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.instanceDetails 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.attribute.name UDM 字段,exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段,sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 日志字段会映射到 target.resource.attribute.labels UDM 字段,target.resource.resource_type UDM 字段会设为 TABLE。否则, resourceName 日志字段会映射到 target.resource.name UDM 字段。 |
sourceProperties.properties.instanceDetails |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.bucketResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.vmName 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于“恶意软件:网域不良”或 Malware: Bad IP 或 Malware: Cryptomining Bad IP 或 Malware: Cryptomining Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.instanceDetails 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.attribute.name UDM 字段,exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段,sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 日志字段会映射到 target.resource.attribute.labels UDM 字段,target.resource.resource_type UDM 字段会设为 TABLE。否则, resourceName 日志字段会映射到 target.resource.name UDM 字段。 |
sourceProperties.properties.extractionAttempt.destinations.collectionName |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.bucketResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.vmName 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于“恶意软件:网域不良”或 Malware: Bad IP 或 Malware: Cryptomining Bad IP 或 Malware: Cryptomining Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.instanceDetails 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.attribute.name UDM 字段,exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段,sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 日志字段会映射到 target.resource.attribute.labels UDM 字段,target.resource.resource_type UDM 字段会设为 TABLE。否则, resourceName 日志字段会映射到 target.resource.name UDM 字段。 |
sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId |
target.resource.name |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.bucketResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: CloudSQL Restore Backup to External Organization,则 sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.vmName 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于“恶意软件:网域不良”或 Malware: Bad IP 或 Malware: Cryptomining Bad IP 或 Malware: Cryptomining Bad Domain 或 Configurable Bad Domain,则 sourceProperties.properties.instanceDetails 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.attribute.name UDM 字段,exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段,sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId 日志字段会映射到 target.resource.attribute.labels UDM 字段,target.resource.resource_type UDM 字段会设为 TABLE。否则, resourceName 日志字段会映射到 target.resource.name UDM 字段。 |
exfiltration.targets.name |
target.resource.name |
如果category日志字段值等于 Defense Evasion: Modify VPC Service Control,那么 sourceProperties.properties.name 日志字段值等于 Defense Evasion: Modify VPC Service Control。UDM1 日志字段值等于 Defense Evasion: Modify VPC Service Control,系统会将 sourceProperties.properties.name 日志字段值映射到 target.resource.name UDM 字段。否则, category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration。category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,或 sourceProperties.properties.exportToGcs.bucketResource 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration。target.resource.namecategorycategorycategorycategorytarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nametarget.resource.nameExfiltration: CloudSQL Restore Backup to External OrganizationsourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceBrute Force: SSHsourceProperties.properties.attempts.vmNameresourceNameresourceNameresourceNametarget.resource_ancestors.nametarget.resource_ancestors.nameMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad DomainConfigurable Bad DomainsourceProperties.properties.instanceDetailstarget.resource.resource_typetarget.resource.resource_typeVIRTUAL_MACHINEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DrivesourceProperties.properties.extractionAttempt.destinations.collectionNametarget.resource.attribute.nameexfiltration.target.nameexfiltration.target.nameExfiltration: BigQuery Data ExfiltrationsourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdtarget.resource.attribute.labelsTABLE |
sourceProperties.properties.instanceId |
target.resource.product_object_id |
如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.instanceId 日志字段会映射到 target.resource.product_object_id UDM 字段。 |
kubernetes.pods.containers.imageId |
target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId] |
|
sourceProperties.properties.extractionAttempt.destinations.collectionType |
target.resource.resource_subtype |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.destinations.collectionName 日志字段会映射到 target.resource.resource_subtype UDM 字段。否则,如果 category 日志字段值等于 Credential Access: External Member Added To Privileged Group,则 target.resource.resource_subtype UDM 字段设置为 Privileged Group。如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 target.resource.resource_subtype UDM 字段设置为 BigQuery。 |
|
target.resource.resource_type |
如果 sourceProperties.properties.extractionAttempt.destinations.collectionType 日志字段值与正则表达式 BUCKET 匹配,则 target.resource.resource_type UDM 字段设置为 STORAGE_BUCKET。否则,如果 category 日志字段值等于 Brute Force: SSH,则 target.resource.resource_type UDM 字段设置为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Malware: Bad Domain、Malware: Bad IP 或 Malware: Cryptomining Bad IP,则 target.resource.resource_type UDM 字段设置为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 target.resource.resource_type UDM 字段设置为 TABLE。 |
sourceProperties.properties.extractionAttempt.jobLink |
target.url |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 sourceProperties.properties.extractionAttempt.jobLink 日志字段会映射到 target.url UDM 字段。如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction,则 sourceProperties.properties.extractionAttempt.jobLink 日志字段会映射到 target.url UDM 字段。 |
sourceProperties.properties.exportToGcs.gcsUri |
target.url |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration,则 sourceProperties.properties.exportToGcs.gcsUri 日志字段会映射到 target.url UDM 字段。 |
sourceProperties.properties.requestUrl |
target.url |
如果 category 日志字段值等于 Initial Access: Log4j Compromise Attempt,则 sourceProperties.properties.requestUrl 日志字段会映射到 target.url UDM 字段。 |
sourceProperties.properties.policyLink |
target.url |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control,则 sourceProperties.properties.policyLink 日志字段会映射到 target.url UDM 字段。 |
sourceProperties.properties.anomalousLocation.notSeenInLast |
target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] |
如果 category 日志字段值等于 Persistence: New Geography,则 sourceProperties.properties.anomalousLocation.notSeenInLast 日志字段会映射到 target.user.attribute.labels.value UDM 字段。 |
sourceProperties.properties.attempts.username |
target.user.userid |
如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.attempts.username 日志字段会映射到 target.user.userid UDM 字段。如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked,则 userid 日志字段会映射到 target.user.userid UDM 字段。 |
sourceProperties.properties.principalEmail |
target.user.userid |
如果 category 日志字段值等于 Initial Access: Suspicious Login Blocked,则 userid 日志字段会映射到 target.user.userid UDM 字段。 |
sourceProperties.Added_Binary_Kind |
target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] |
|
sourceProperties.Container_Creation_Timestamp.nanos |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] |
|
sourceProperties.Container_Creation_Timestamp.seconds |
target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] |
|
sourceProperties.Container_Image_Id |
target.resource_ancestors.product_object_id |
|
sourceProperties.Container_Image_Uri |
target.resource.attribute.labels[sourceProperties_Container_Image_Uri] |
|
sourceProperties.Container_Name |
target.resource_ancestors.name |
|
sourceProperties.Environment_Variables |
target.labels [Environment_Variables_name](已弃用) |
|
sourceProperties.Environment_Variables |
additional.fields [Environment_Variables_name] |
|
|
target.labels [Environment_Variables_val](已弃用) |
|
|
additional.fields [Environment_Variables_val] |
|
sourceProperties.Kubernetes_Labels |
target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] |
|
sourceProperties.Parent_Pid |
target.process.parent_process.pid |
|
sourceProperties.Pid |
target.process.pid |
|
sourceProperties.Pod_Name |
target.resource_ancestors.name |
|
sourceProperties.Pod_Namespace |
target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] |
|
sourceProperties.Process_Arguments |
target.process.command_line |
|
sourceProperties.Process_Binary_Fullpath |
target.process.file.full_path |
|
sourceProperties.Process_Creation_Timestamp.nanos |
target.labels [sourceProperties_Process_Creation_Timestamp_nanos](已弃用) |
|
sourceProperties.Process_Creation_Timestamp.nanos |
additional.fields [sourceProperties_Process_Creation_Timestamp_nanos] |
|
sourceProperties.Process_Creation_Timestamp.seconds |
target.labels [sourceProperties_Process_Creation_Timestamp_seconds](已弃用) |
|
sourceProperties.Process_Creation_Timestamp.seconds |
additional.fields [sourceProperties_Process_Creation_Timestamp_seconds] |
|
sourceProperties.VM_Instance_Name |
target.resource_ancestors.name |
如果 category 日志字段值等于 Added Binary Executed 或 Added Library Loaded,则 sourceProperties.VM_Instance_Name 日志字段会映射到 target.resource_ancestors.name UDM 字段,并且 target.resource_ancestors.resource_type UDM 字段会设置为 VIRTUAL_MACHINE。 |
|
target.resource_ancestors.resource_type |
|
resource.parent |
target.resource_ancestors.attribute.labels.key/value [resource_project] |
|
resource.project |
target.resource_ancestors.attribute.labels.key/value [resource_parent] |
|
sourceProperties.Added_Library_Fullpath |
target.process.file.full_path |
|
sourceProperties.Added_Library_Kind |
target.resource.attribute.labels[sourceProperties_Added_Library_Kind |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
sourceProperties.Backend_Service |
target.resource.name |
如果 category 日志字段值等于 Increasing Deny Ratio、Allowed Traffic Spike 或 Application DDoS Attack Attempt,则 sourceProperties.Backend_Service 日志字段会映射到 target.resource.name UDM 字段,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。 |
sourceProperties.Long_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] |
|
sourceProperties.Long_Term_Denied_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] |
|
sourceProperties.Long_Term_Incoming_RPS |
target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] |
|
sourceProperties.properties.customProperties.domain_category |
target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] |
|
sourceProperties.Security_Policy |
target.resource.attribute.labels[sourceProperties_Security_Policy] |
|
sourceProperties.Short_Term_Allowed_RPS |
target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] |
|
|
target.resource.resource_type |
如果 category 日志字段值等于 Increasing Deny Ratio、Allowed Traffic Spike 或 Application DDoS Attack Attempt,则 target.resource.resource_type UDM 字段设置为 BACKEND_SERVICE。如果 category 日志字段值等于 Configurable Bad Domain,则 target.resource.resource_type UDM 字段设置为 VIRTUAL_MACHINE。 |
|
is_alert |
如果 state 日志字段值等于 ACTIVE,那么如果 mute_is_not_present 字段值不等于 true,并且 mute 日志字段值等于 UNMUTED 或 mute 日志字段值等于 UNDEFINED,则 is_alert UDM 字段设置为 true,否则设置为 false。is_alert |
|
is_significant |
如果 state 日志字段值等于 ACTIVE,那么如果 mute_is_not_present 字段值不等于 true,并且 mute 日志字段值等于 UNMUTED 或 mute 日志字段值等于 UNDEFINED,则 is_significant UDM 字段设置为 true,否则设置为 false。is_significant |
sourceProperties.properties.sensitiveRoleGrant.principalEmail |
principal.user.userid |
Grok:从 sourceProperties.properties.sensitiveRoleGrant.principalEmail 日志字段提取 user_id,然后 user_id 字段映射到 principal.user.userid UDM 字段。 |
sourceProperties.properties.customRoleSensitivePermissions.principalEmail |
principal.user.userid |
Grok:从 sourceProperties.properties.customRoleSensitivePermissions.principalEmail 日志字段提取 user_id,然后 user_id 字段映射到 principal.user.userid UDM 字段。 |
resourceName |
principal.asset.location.name |
如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection,则 Grok 会从 resourceName 日志字段中提取 project_name、region、zone_suffix、asset_prod_obj_id,然后 region 日志字段会映射到 principal.asset.location.name UDM 字段。 |
resourceName |
principal.asset.product_object_id |
如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection,则 Grok :从 resourceName 日志字段提取 project_name、region、zone_suffix、asset_prod_obj_id,然后将 asset_prod_obj_id 日志字段映射到 principal.asset.product_object_id UDM 字段。 |
resourceName |
principal.asset.attribute.cloud.availability_zone |
如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection,则 Grok:从 resourceName 日志字段提取 project_name、region、zone_suffix、asset_prod_obj_id,然后将 zone_suffix 日志字段映射到 principal.asset.attribute.cloud.availability_zone UDM 字段。 |
resourceName |
principal.asset.attribute.labels[project_name] |
如果 parentDisplayName 日志字段值等于 Virtual Machine Threat Detection,则 Grok :从 resourceName 日志字段提取 project_name、region、zone_suffix、asset_prod_obj_id,然后将 project_name 日志字段映射到 principal.asset.attribute.labels.value UDM 字段。 |
sourceProperties.threats.memory_hash_detector.detections.binary_name |
security_result.detection_fields[binary_name] |
|
sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched |
security_result.detection_fields[percent_pages_matched] |
|
sourceProperties.threats.memory_hash_detector.binary |
security_result.detection_fields[memory_hash_detector_binary] |
|
sourceProperties.threats.yara_rule_detector.yara_rule_name |
security_result.detection_fields[yara_rule_name] |
|
sourceProperties.Script_SHA256 |
target.resource.attribute.labels[script_sha256] |
|
sourceProperties.Script_Content |
target.resource.attribute.labels[script_content] |
|
state |
security_result.detection_fields[state] |
|
assetDisplayName |
target.asset.attribute.labels[asset_display_name] |
|
assetId |
target.asset.asset_id |
|
findingProviderId |
target.resource.attribute.labels[finding_provider_id] |
|
sourceDisplayName |
target.resource.attribute.labels[source_display_name] |
|
processes.name |
target.process.file.names |
|
| target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | 如果 category 日志字段值等于
Initial Access: Excessive Permission Denied Actions,则
“sourceProperties.properties.failedActions.methodName”日志字段为
映射到 target.labels UDM 字段。 |
| additional.fields[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | 如果 category 日志字段值等于
Initial Access: Excessive Permission Denied Actions,则
“sourceProperties.properties.failedActions.methodName”日志字段为
映射到 additional.fields UDM 字段。 |
| target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | 如果 category 日志字段值等于
Initial Access: Excessive Permission Denied Actions,则
“sourceProperties.properties.failedActions.serviceName”日志字段为
映射到 target.labels UDM 字段。 |
| additional.fields[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | 如果 category 日志字段值等于 Initial Access: Excessive Permission Denied Actions,则 sourceProperties.properties.failedActions.serviceName 日志字段会映射到 additional.fields UDM 字段。 |
| target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | 如果 category 日志字段值等于
Initial Access: Excessive Permission Denied Actions,则
“sourceProperties.properties.failedActions.attemptTimes”日志字段为
映射到 target.labels UDM 字段。 |
| additional.fields[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | 如果 category 日志字段值等于
Initial Access: Excessive Permission Denied Actions,则
“sourceProperties.properties.failedActions.attemptTimes”日志字段为
映射到 additional.fields UDM 字段。 |
| target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | 如果 category 日志字段值等于
Initial Access: Excessive Permission Denied Actions,则
sourceProperties.properties.failedActions.lastOccurredTime 日志字段
映射到 target.labels UDM 字段。 |
| additional.fields[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | 如果 category 日志字段值等于
Initial Access: Excessive Permission Denied Actions,则
sourceProperties.properties.failedActions.lastOccurredTime 日志字段。
映射到 additional.fields UDM 字段。 |
字段映射参考:事件标识符到事件类型
| 事件标识符 | 事件类型 | 安全类别 |
|---|---|---|
Active Scan: Log4j Vulnerable to RCE |
SCAN_UNCATEGORIZED |
|
Brute Force: SSH |
USER_LOGIN |
AUTH_VIOLATION |
Credential Access: External Member Added To Privileged Group |
GROUP_MODIFICATION |
|
Credential Access: Privileged Group Opened To Public |
GROUP_MODIFICATION |
|
Credential Access: Sensitive Role Granted To Hybrid Group |
GROUP_MODIFICATION |
|
Defense Evasion: Modify VPC Service Control |
SERVICE_MODIFICATION |
|
Discovery: Can get sensitive Kubernetes object checkPreview |
SCAN_UNCATEGORIZED |
|
Discovery: Service Account Self-Investigation |
USER_UNCATEGORIZED |
|
Evasion: Access from Anonymizing Proxy |
SERVICE_MODIFICATION |
|
Exfiltration: BigQuery Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data Extraction |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: BigQuery Data to Google Drive |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Data Exfiltration |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Over-Privileged Grant |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Exfiltration: CloudSQL Restore Backup to External Organization |
USER_RESOURCE_ACCESS |
DATA_EXFILTRATION |
Impair Defenses: Strong Authentication Disabled |
USER_CHANGE_PERMISSIONS |
|
Impair Defenses: Two Step Verification Disabled |
USER_CHANGE_PERMISSIONS |
|
Initial Access: Account Disabled Hijacked |
SETTING_MODIFICATION |
|
Initial Access: Disabled Password Leak |
SETTING_MODIFICATION |
|
Initial Access: Government Based Attack |
USER_UNCATEGORIZED |
|
Initial Access: Log4j Compromise Attempt |
SCAN_UNCATEGORIZED |
探索 |
Initial Access: Suspicious Login Blocked |
USER_LOGIN |
ACL_VIOLATION |
Initial Access: Dormant Service Account Action |
SCAN_UNCATEGORIZED |
|
Log4j Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Log4j Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Bad IP |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad Domain |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Cryptomining Bad IP |
NETWORK_CONNECTION |
SOFTWARE_MALICIOUS |
Malware: Outgoing DoS |
NETWORK_CONNECTION |
NETWORK_DENIAL_OF_SERVICE |
Persistence: GCE Admin Added SSH Key |
SETTING_MODIFICATION |
|
Persistence: GCE Admin Added Startup Script |
SETTING_MODIFICATION |
|
Persistence: IAM Anomalous Grant |
USER_UNCATEGORIZED |
POLICY_VIOLATION |
Persistence: New API MethodPreview |
SCAN_UNCATEGORIZED |
|
Persistence: New Geography |
USER_RESOURCE_ACCESS |
NETWORK_SUSPICIOUS |
Persistence: New User Agent |
USER_RESOURCE_ACCESS |
|
Persistence: SSO Enablement Toggle |
SETTING_MODIFICATION |
|
Persistence: SSO Settings Changed |
SETTING_MODIFICATION |
|
Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview |
RESOURCE_PERMISSIONS_CHANGE |
|
Privilege Escalation: Create Kubernetes CSR for master certPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview |
RESOURCE_CREATION |
|
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview |
USER_RESOURCE_ACCESS |
|
Privilege Escalation: Launch of privileged Kubernetes containerPreview |
RESOURCE_CREATION |
|
Added Binary Executed |
USER_RESOURCE_ACCESS |
|
Added Library Loaded |
USER_RESOURCE_ACCESS |
|
Allowed Traffic Spike |
USER_RESOURCE_ACCESS |
|
Increasing Deny Ratio |
USER_RESOURCE_UPDATE_CONTENT |
|
Configurable bad domain |
NETWORK_CONNECTION |
|
Execution: Cryptocurrency Mining Hash Match |
SCAN_UNCATEGORIZED |
|
Execution: Cryptocurrency Mining YARA Rule |
SCAN_UNCATEGORIZED |
|
Malicious Script Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Malicious URL Observed |
SCAN_UNCATEGORIZED |
NETWORK_MALICIOUS |
Execution: Cryptocurrency Mining Combined Detection |
SCAN_UNCATEGORIZED |
|
Application DDoS Attack Attempt |
SCAN_NETWORK |
|
Defense Evasion: Unexpected ftrace handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected interrupt handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel code modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel modules |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kernel read-only data modification |
USER_RESOURCE_UPDATE_CONTENT |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected kprobe handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected processes in runqueue |
PROCESS_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Defense Evasion: Unexpected system call handler |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Reverse Shell |
SCAN_UNCATEGORIZED |
探索 |
account_has_leaked_credentials |
SCAN_UNCATEGORIZED |
DATA_AT_REST |
Initial Access: Dormant Service Account Key Created |
RESOURCE_CREATION |
|
Process Tree |
PROCESS_UNCATEGORIZED |
|
Unexpected Child Shell |
PROCESS_UNCATEGORIZED |
|
Execution: Added Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Execution: Modified Malicious Binary Executed |
SCAN_UNCATEGORIZED |
SOFTWARE_MALICIOUS |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
SCAN_UNCATEGORIZED |
|
Breakglass Account Used: break_glass_account |
SCAN_UNCATEGORIZED |
|
Configurable Bad Domain: APT29_Domains |
SCAN_UNCATEGORIZED |
|
Unexpected Role Grant: Forbidden roles |
SCAN_UNCATEGORIZED |
|
Configurable Bad IP |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine instance type |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine source image |
SCAN_UNCATEGORIZED |
|
Unexpected Compute Engine region |
SCAN_UNCATEGORIZED |
|
Custom role with prohibited permission |
SCAN_UNCATEGORIZED |
|
Unexpected Cloud API Call |
SCAN_UNCATEGORIZED |
以下表格包含 Security Command Center 的 UDM 事件类型和 UDM 字段映射 - VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION 发现类。
VULNERABILITY 类别转换为 UDM 事件类型
下表列出了 VULNERABILITY 类别及其对应的 UDM 事件类型。
| 事件标识符 | 事件类型 | 安全类别 |
|---|---|---|
DISK_CSEK_DISABLED |
SCAN_UNCATEGORIZED |
|
ALPHA_CLUSTER_ENABLED |
SCAN_UNCATEGORIZED |
|
AUTO_REPAIR_DISABLED |
SCAN_UNCATEGORIZED |
|
AUTO_UPGRADE_DISABLED |
SCAN_UNCATEGORIZED |
|
CLUSTER_SHIELDED_NODES_DISABLED |
SCAN_UNCATEGORIZED |
|
COS_NOT_USED |
SCAN_UNCATEGORIZED |
|
INTEGRITY_MONITORING_DISABLED |
SCAN_UNCATEGORIZED |
|
IP_ALIAS_DISABLED |
SCAN_UNCATEGORIZED |
|
LEGACY_METADATA_ENABLED |
SCAN_UNCATEGORIZED |
|
RELEASE_CHANNEL_DISABLED |
SCAN_UNCATEGORIZED |
|
DATAPROC_IMAGE_OUTDATED |
SCAN_VULN_NETWORK |
|
PUBLIC_DATASET |
SCAN_UNCATEGORIZED |
|
DNSSEC_DISABLED |
SCAN_UNCATEGORIZED |
|
RSASHA1_FOR_SIGNING |
SCAN_UNCATEGORIZED |
|
REDIS_ROLE_USED_ON_ORG |
SCAN_UNCATEGORIZED |
|
KMS_PUBLIC_KEY |
SCAN_UNCATEGORIZED |
|
SQL_CONTAINED_DATABASE_AUTHENTICATION |
SCAN_UNCATEGORIZED |
|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
SCAN_UNCATEGORIZED |
|
SQL_EXTERNAL_SCRIPTS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOCAL_INFILE |
SCAN_UNCATEGORIZED |
|
SQL_LOG_ERROR_VERBOSITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
SCAN_UNCATEGORIZED |
|
SQL_LOG_MIN_MESSAGES |
SCAN_UNCATEGORIZED |
|
SQL_LOG_EXECUTOR_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_HOSTNAME_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PARSER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_PLANNER_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_STATEMENT_STATS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_LOG_TEMP_FILES |
SCAN_UNCATEGORIZED |
|
SQL_REMOTE_ACCESS_ENABLED |
SCAN_UNCATEGORIZED |
|
SQL_SKIP_SHOW_DATABASE_DISABLED |
SCAN_UNCATEGORIZED |
|
SQL_TRACE_FLAG_3625 |
SCAN_UNCATEGORIZED |
|
SQL_USER_CONNECTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_USER_OPTIONS_CONFIGURED |
SCAN_UNCATEGORIZED |
|
SQL_WEAK_ROOT_PASSWORD |
SCAN_UNCATEGORIZED |
|
PUBLIC_LOG_BUCKET |
SCAN_UNCATEGORIZED |
|
ACCESSIBLE_GIT_REPOSITORY |
SCAN_UNCATEGORIZED |
DATA_EXFILTRATION |
ACCESSIBLE_SVN_REPOSITORY |
SCAN_NETWORK |
DATA_EXFILTRATION |
CACHEABLE_PASSWORD_INPUT |
SCAN_NETWORK |
NETWORK_SUSPICIOUS |
CLEAR_TEXT_PASSWORD |
SCAN_NETWORK |
NETWORK_MALICIOUS |
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION |
SCAN_UNCATEGORIZED |
|
INVALID_CONTENT_TYPE |
SCAN_UNCATEGORIZED |
|
INVALID_HEADER |
SCAN_UNCATEGORIZED |
|
MISMATCHING_SECURITY_HEADER_VALUES |
SCAN_UNCATEGORIZED |
|
MISSPELLED_SECURITY_HEADER_NAME |
SCAN_UNCATEGORIZED |
|
MIXED_CONTENT |
SCAN_UNCATEGORIZED |
|
OUTDATED_LIBRARY |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
SERVER_SIDE_REQUEST_FORGERY |
SCAN_NETWORK |
NETWORK_MALICIOUS |
SESSION_ID_LEAK |
SCAN_NETWORK |
DATA_EXFILTRATION |
SQL_INJECTION |
SCAN_NETWORK |
利用 |
STRUTS_INSECURE_DESERIALIZATION |
SCAN_VULN_HOST |
SOFTWARE_SUSPICIOUS |
XSS |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ANGULAR_CALLBACK |
SCAN_NETWORK |
SOFTWARE_SUSPICIOUS |
XSS_ERROR |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
XXE_REFLECTED_FILE_LEAKAGE |
SCAN_HOST |
SOFTWARE_SUSPICIOUS |
BASIC_AUTHENTICATION_ENABLED |
SCAN_UNCATEGORIZED |
|
CLIENT_CERT_AUTHENTICATION_DISABLED |
SCAN_UNCATEGORIZED |
|
LABELS_NOT_USED |
SCAN_UNCATEGORIZED |
|
PUBLIC_STORAGE_OBJECT |
SCAN_UNCATEGORIZED |
|
SQL_BROAD_ROOT_LOGIN |
SCAN_UNCATEGORIZED |
|
WEAK_CREDENTIALS |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
ELASTICSEARCH_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_GRAFANA_ENDPOINT |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_METABASE |
SCAN_VULN_NETWORK |
NETWORK_MALICIOUS |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT |
SCAN_VULN_NETWORK |
|
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JAVA_JMX_RMI_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
JUPYTER_NOTEBOOK_EXPOSED_UI |
SCAN_VULN_NETWORK |
|
KUBERNETES_API_EXPOSED |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNFINISHED_WORDPRESS_INSTALLATION |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
APACHE_HTTPD_SSRF |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
CONSUL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
DRUID_RCE |
SCAN_VULN_NETWORK |
|
DRUPAL_RCE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
FLINK_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
NETWORK_SUSPICIOUS |
GITLAB_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
GoCD_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JENKINS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
JOOMLA_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
LOG4J_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
MANTISBT_PRIVILEGE_ESCALATION |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OGNL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OPENAM_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
ORACLE_WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHPUNIT_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PHP_CGI_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
PORTAL_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
REDIS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_FILE_EXPOSED |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
SOLR_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
STRUTS_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
TOMCAT_FILE_DISCLOSURE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VBULLETIN_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
VCENTER_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
WEBLOGIC_RCE |
SCAN_VULN_NETWORK |
SOFTWARE_SUSPICIOUS |
OS_VULNERABILITY |
SCAN_VULN_HOST |
|
IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
SERVICE_AGENT_GRANTED_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
UNUSED_IAM_ROLE |
SCAN_UNCATEGORIZED |
|
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE |
SCAN_UNCATEGORIZED |
SOFTWARE_SUSPICIOUS |
MISCONFIGURATION 类别更改为 UDM 事件类型
下表列出了“MISCONFIGURATION”类别及其对应的 UDM 事件类型。
| 事件标识符 | 事件类型 |
|---|---|
| API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED |
| API_KEY_EXISTS | SCAN_UNCATEGORIZED |
| API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| PUBLIC_COMPUTE_IMAGE | SCAN_HOST |
| CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST |
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED |
| COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST |
| DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED |
| FULL_API_ACCESS | SCAN_UNCATEGORIZED |
| OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED |
| SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED |
| COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK |
| DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| HTTP_LOAD_BALANCER | SCAN_NETWORK |
| IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED |
| WEAK_SSL_POLICY | SCAN_NETWORK |
| BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED |
| INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED |
| MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED |
| NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED |
| POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED |
| PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED |
| WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED |
| LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED |
| NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| WEB_UI_ENABLED | SCAN_UNCATEGORIZED |
| AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED |
| AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED |
| CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED |
| RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED |
| BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK |
| FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK |
| OPEN_CASSANDRA_PORT | SCAN_NETWORK |
| OPEN_SMTP_PORT | SCAN_NETWORK |
| OPEN_REDIS_PORT | SCAN_NETWORK |
| OPEN_POSTGRESQL_PORT | SCAN_NETWORK |
| OPEN_POP3_PORT | SCAN_NETWORK |
| OPEN_ORACLEDB_PORT | SCAN_NETWORK |
| OPEN_NETBIOS_PORT | SCAN_NETWORK |
| OPEN_MYSQL_PORT | SCAN_NETWORK |
| OPEN_MONGODB_PORT | SCAN_NETWORK |
| OPEN_MEMCACHED_PORT | SCAN_NETWORK |
| OPEN_LDAP_PORT | SCAN_NETWORK |
| OPEN_FTP_PORT | SCAN_NETWORK |
| OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK |
| OPEN_DNS_PORT | SCAN_NETWORK |
| OPEN_HTTP_PORT | SCAN_NETWORK |
| OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK |
| OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK |
| OPEN_RDP_PORT | SCAN_NETWORK |
| OPEN_TELNET_PORT | SCAN_NETWORK |
| OPEN_FIREWALL | SCAN_NETWORK |
| OPEN_SSH_PORT | SCAN_NETWORK |
| SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED |
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED |
| ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED |
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED |
| PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED |
| KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED |
| OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED |
| KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED |
| KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED |
| TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED |
| OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED |
| LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED |
| BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED |
| AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED |
| MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED |
| ROUTE_NOT_MONITORED | SCAN_NETWORK |
| OWNER_NOT_MONITORED | SCAN_NETWORK |
| AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED |
| BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED |
| CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| FIREWALL_NOT_MONITORED | SCAN_NETWORK |
| NETWORK_NOT_MONITORED | SCAN_NETWORK |
| SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED |
| DEFAULT_NETWORK | SCAN_NETWORK |
| DNS_LOGGING_DISABLED | SCAN_NETWORK |
| PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| PUBLIC_SQL_INSTANCE | SCAN_NETWORK |
| SSL_NOT_ENFORCED | SCAN_NETWORK |
| AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED |
| SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED |
| SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED |
| SQL_PUBLIC_IP | SCAN_NETWORK |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED |
| SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED |
| SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED |
| SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED |
| SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED |
| SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED |
| SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED |
| PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED |
| BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED |
| BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED |
| FLOW_LOGS_DISABLED | SCAN_NETWORK |
| PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK |
| kms_key_region_europe | SCAN_UNCATEGORIZED |
| kms_non_euro_region | SCAN_UNCATEGORIZED |
| LEGACY_NETWORK | SCAN_NETWORK |
| LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK |
| INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED |
| GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED |
| GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED |
| GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED |
| GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED |
| GKE_HOST_PORTS | SCAN_UNCATEGORIZED |
| GKE_CAPABILITIES | SCAN_UNCATEGORIZED |
OBSERVATION 类别更改为 UDM 事件类型
下表列出了“观察”类别及其对应的 UDM 事件类型。
| 事件标识符 | 事件类型 |
|---|---|
| 持久性:项目 SSH 密钥已添加 | SETTING_MODIFICATION |
| 持久性:添加敏感角色 | RESOURCE_PERMISSIONS_CHANGE |
| 影响:创建了 GPU 实例 | USER_RESOURCE_CREATION |
| 影响:许多实例已创建 | USER_RESOURCE_CREATION |
将“ERROR”类别更改为 UDM 事件类型
下表列出了 ERROR 类别及其对应的 UDM 事件类型。
| 事件标识符 | 事件类型 |
|---|---|
| VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED |
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED |
| API_DISABLED | SCAN_UNCATEGORIZED |
| KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED |
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED |
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED |
将“UNSPECIFIED”类别更改为 UDM 事件类型
下表列出了“UNSPECIFIED”类别及其对应的 UDM 事件类型。
| 事件标识符 | 事件类型 | 安全类别 |
|---|---|---|
OPEN_FIREWALL |
SCAN_VULN_HOST |
POLICY_VIOLATION |
POSTURE_VIOLATION 类别更改为 UDM 事件类型
下表列出了 POSTURE_VIOLATION 类别及其对应的 UDM 事件类型。
| 事件标识符 | 事件类型 |
|---|---|
SECURITY_POSTURE_DRIFT |
SERVICE_MODIFICATION |
SECURITY_POSTURE_POLICY_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_POLICY_DELETE |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DRIFT |
SCAN_UNCATEGORIZED |
SECURITY_POSTURE_DETECTOR_DELETE |
SCAN_UNCATEGORIZED |
字段映射参考:VULNERABILITY
下表列出了“VULNERABILITY”类别的日志字段及其对应的 UDM 字段。
| RawLog 字段 | UDM 映射 | 逻辑 |
|---|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
| assetId | target.asset.asset_id | |
| findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
| sourceProperties.description | extensions.vuln.vulnerabilities.description | |
| sourceProperties.finalUrl | network.http.referral_url | |
| sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
| sourceProperties.httpMethod | network.http.method | |
| sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
| sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
| sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
| sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
| externalUri | about.url | |
| category | extensions.vuln.vulnerabilities.name | |
| resourceName | principal.asset.location.name | 使用 Grok 模式从 resourceName 提取了 region,并映射到 principal.asset.location.name UDM 字段。 |
| resourceName | principal.asset.product_object_id | 使用 Grok 模式从 resourceName 提取了 asset_prod_obj_id,并映射到 principal.asset.product_object_id UDM 字段。 |
| resourceName | principal.asset.attribute.cloud.availability_zone | 使用 Grok 模式从 resourceName 中提取 zone_suffix,并映射到 principal.asset.attribute.cloud.availability_zone UDM 字段。 |
| sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
| sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
| sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
| iamBindings.role | about.user.attribute.roles.name | |
| iamBindings.member | about.user.email_addresses | |
| iamBindings.action | about.user.attribute.labels.key/value[操作] |
字段映射引用:MISCONFIGURATION
下表列出了“MISCONFIGURATION”类别的日志字段及其对应的 UDM 字段。
| RawLog 字段 | UDM 映射 |
|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] |
| assetId | target.asset.asset_id |
| externalUri | about.url |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] |
| sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] |
| sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] |
| sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] |
| sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] |
| sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] |
| sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] |
| sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] |
| sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name |
| sourceProperties.ExposedService | target.application |
| sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] |
| sourceProperties.OffendingIamRolesList.member | about.user.email_addresses |
| sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name |
| sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] |
| sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] |
| sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] |
| sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] |
| sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] |
| sourceProperties.cli_remediation | target.process.command_line_history |
| sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] |
| sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] |
| sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] |
| sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] |
| sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] |
| sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] |
| sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] |
| sourceProperties.TargetProxyUrl | target.url |
| sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description |
| sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] |
字段映射参考文档:OBSERVATION
下表列出了“观察”类别的日志字段及其对应的 UDM 字段。
| RawLog 字段 | UDM 映射 |
|---|---|
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
| assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] |
| assetId | target.asset.asset_id |
字段映射参考:ERROR
下表列出了“错误”类别的日志字段及其对应的 UDM 字段。
| RawLog 字段 | UDM 映射 |
|---|---|
| externalURI | about.url |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| findingProviderId | target.resource.attribute.labels[findingProviderId] |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
字段映射参考:UNSPECIFIED
下表列出了“UNSPECIFIED”类别的日志字段及其对应的 UDM 字段。
| RawLog 字段 | UDM 映射 |
|---|---|
| sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] |
| sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] |
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] |
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] |
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] |
字段映射参考信息:POSTURE_VIOLATION
下表列出了 POSTURE_VIOLATION 类别的日志字段及其对应的 UDM 字段。
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
finding.resourceName |
target.resource_ancestors.name |
如果 finding.resourceName 日志字段值不为空,则 finding.resourceName 日志字段会映射到 target.resource.name UDM 字段。使用 Grok 模式从 finding.resourceName 日志字段提取 project_name 字段。如果 project_name 字段值不为空,则 project_name 字段会映射到 target.resource_ancestors.name UDM 字段。 |
resourceName |
target.resource_ancestors.name |
如果 resourceName 日志字段值不为空,则 resourceName 日志字段会映射到 target.resource.name UDM 字段。使用 Grok 模式从 resourceName 日志字段提取 project_name 字段。如果 project_name 字段值不为空,则 project_name 字段会映射到 target.resource_ancestors.name UDM 字段。 |
finding.sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.posture_revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
sourceProperties.revision_id |
security_result.detection_fields[source_properties_posture_revision_id] |
|
finding.sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.expected_configuration |
security_result.rule_labels[policy_drift_details_expected_configuration] |
|
finding.sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
sourceProperties.policy_drift_details.drift_details.detected_configuration |
security_result.rule_labels[policy_drift_details_detected_configuration] |
|
finding.sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
sourceProperties.policy_drift_details.field_name |
security_result.rule_labels[policy_drift_details_field_name] |
|
finding.sourceProperties.changed_policy |
security_result.rule_name |
|
sourceProperties.changed_policy |
security_result.rule_name |
|
finding.sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
sourceProperties.posture_deployment_resource |
security_result.detection_fields[source_properties_posture_deployment_resource] |
|
finding.sourceProperties.posture_name |
target.application |
|
sourceProperties.posture_name |
target.application |
|
sourceProperties.name |
target.application |
|
finding.sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment_name |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
sourceProperties.posture_deployment |
security_result.detection_fields[source_properties_posture_deployment_name] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType |
security_result.rule_labels[expected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType |
security_result.rule_labels[detected_configuration_primitive_data_type] |
|
finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType |
security_result.rule_labels[field_name_primitive_data_type] |
|
finding.propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
propertyDataTypes.changed_policy.primitiveDataType |
security_result.rule_labels[changed_policy_primitive_data_type] |
|
finding.propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
propertyDataTypes.posture_revision_id.primitiveDataType |
security_result.detection_fields[posture_revision_id_primitiveDataType] |
|
finding.propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
propertyDataTypes.posture_name.primitiveDataType |
security_result.detection_fields[posture_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
propertyDataTypes.posture_deployment_name.primitiveDataType |
security_result.detection_fields[posture_deployment_name_primitiveDataType] |
|
finding.propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
propertyDataTypes.posture_deployment_resource.primitiveDataType |
security_result.detection_fields[posture_deployment_resource_primitiveDataType] |
|
finding.originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
originalProviderId |
target.resource.attribute.labels[original_provider_id] |
|
finding.securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
securityPosture.name |
security_result.detection_fields[security_posture_name] |
|
finding.securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
securityPosture.revisionId |
security_result.detection_fields[security_posture_revision_id] |
|
finding.securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
securityPosture.postureDeploymentResource |
security_result.detection_fields[posture_deployment_resource] |
|
finding.securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
securityPosture.postureDeployment |
security_result.detection_fields[posture_deployment] |
|
finding.securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
securityPosture.changedPolicy |
security_result.rule_labels[changed_policy] |
|
finding.cloudProvider |
about.resource.attribute.cloud.environment |
如果 finding.cloudProvider 日志字段值包含以下值之一,则 finding.cloudProvider 日志字段会映射到 about.resource.attribute.cloud.environment UDM 字段。
|
cloudProvider |
about.resource.attribute.cloud.environment |
如果 cloudProvider 日志字段值包含以下值之一,则 cloudProvider 日志字段会映射到 about.resource.attribute.cloud.environment UDM 字段。
|
resource.cloudProvider |
target.resource.attribute.cloud.environment |
如果 resource.cloudProvider 日志字段值包含以下任一值,则 resource.cloudProvider 日志字段会映射到 target.resource.attribute.cloud.environment UDM 字段。
|
resource.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.gcpMetadata.organization |
target.resource.attribute.labels[resource_organization] |
|
resource.service |
target.resource_ancestors.name |
|
resource.resourcePath.nodes.nodeType |
target.resource_ancestors.resource_subtype |
|
resource.resourcePath.nodes.id |
target.resource_ancestors.product_object_id |
|
resource.resourcePath.nodes.displayName |
target.resource_ancestors.name |
|
resource.resourcePathString |
target.resource.attribute.labels[resource_path_string] |
|
finding.risks.riskCategory |
security_result.detection_fields[risk_category] |
|
finding.securityPosture.policyDriftDetails.field |
security_result.rule_labels[policy_drift_details_field] |
|
finding.securityPosture.policyDriftDetails.expectedValue |
security_result.rule_labels[policy_drift_details_expected_value] |
|
finding.securityPosture.policyDriftDetails.detectedValue |
security_result.rule_labels[policy_drift_details_detected_value] |
|
finding.securityPosture.policySet |
security_result.rule_set |
|
sourceProperties.categories |
security_result.detection_fields[source_properties_categories] |
通用字段:SECURITY Command CENTER - VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION、TOXIC_COMBINATION
下表列出了 Security Command CENTER 的常用字段(VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION、TOXIC_COMBINATION 类别)及其对应的 UDM 字段。
| RawLog 字段 | UDM 映射 | 逻辑 |
|---|---|---|
compliances.ids |
about.labels [compliance_ids](已弃用) |
|
compliances.ids |
additional.fields [compliance_ids] |
|
compliances.version |
about.labels [compliance_version](已弃用) |
|
compliances.version |
additional.fields [compliance_version] |
|
compliances.standard |
about.labels [compliances_standard](已弃用) |
|
compliances.standard |
additional.fields [compliances_standard] |
|
connections.destinationIp |
about.labels [connections_destination_ip](已弃用) |
如果 connections.destinationIp 日志字段值不等于 sourceProperties.properties.ipConnection.destIp,则 connections.destinationIp 日志字段会映射到 about.labels.value UDM 字段。 |
connections.destinationIp |
additional.fields [connections_destination_ip] |
如果 connections.destinationIp 日志字段值不等于 sourceProperties.properties.ipConnection.destIp,则 connections.destinationIp 日志字段会映射到 additional.fields.value UDM 字段。 |
connections.destinationPort |
about.labels [connections_destination_port](已弃用) |
|
connections.destinationPort |
additional.fields [connections_destination_port] |
|
connections.protocol |
about.labels [connections_protocol](已弃用) |
|
connections.protocol |
additional.fields [connections_protocol] |
|
connections.sourceIp |
about.labels [connections_source_ip](已弃用) |
|
connections.sourceIp |
additional.fields [connections_source_ip] |
|
connections.sourcePort |
about.labels [connections_source_port](已弃用) |
|
connections.sourcePort |
additional.fields [connections_source_port] |
|
kubernetes.pods.ns |
target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] |
|
kubernetes.pods.name |
target.resource_ancestors.name |
|
kubernetes.nodes.name |
target.resource_ancestors.name |
|
kubernetes.nodePools.name |
target.resource_ancestors.name |
|
|
target.resource_ancestors.resource_type |
target.resource_ancestors.resource_type UDM 字段设置为 CLUSTER。 |
|
about.resource.attribute.cloud.environment |
about.resource.attribute.cloud.environment UDM 字段设置为 GOOGLE_CLOUD_PLATFORM。 |
externalSystems.assignees |
about.resource.attribute.labels.key/value [externalSystems_assignees] |
|
externalSystems.status |
about.resource.attribute.labels.key/value [externalSystems_status] |
|
kubernetes.nodePools.nodes.name |
target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] |
|
kubernetes.pods.containers.uri |
target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] |
|
kubernetes.roles.kind |
target.resource.attribute.labels.key/value [kubernetes_roles_kind] |
|
kubernetes.roles.name |
target.resource.attribute.labels.key/value [kubernetes_roles_name] |
|
kubernetes.roles.ns |
target.resource.attribute.labels.key/value [kubernetes_roles_ns] |
|
kubernetes.pods.containers.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] |
|
kubernetes.pods.labels.name/value |
target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] |
|
externalSystems.externalSystemUpdateTime |
about.resource.attribute.last_update_time |
|
externalSystems.name |
about.resource.name |
|
externalSystems.externalUid |
about.resource.product_object_id |
|
indicator.uris |
about.url |
|
vulnerability.cve.references.uri |
extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri](已弃用) |
|
vulnerability.cve.references.uri |
additional.fields [vulnerability.cve.references.uri] |
|
vulnerability.cve.cvssv3.attackComplexity |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity](已弃用) |
|
vulnerability.cve.cvssv3.attackComplexity |
additional.fields [vulnerability_cve_cvssv3_attackComplexity] |
|
vulnerability.cve.cvssv3.availabilityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact](已弃用) |
|
vulnerability.cve.cvssv3.availabilityImpact |
additional.fields [vulnerability_cve_cvssv3_availabilityImpact] |
|
vulnerability.cve.cvssv3.confidentialityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact](已弃用) |
|
vulnerability.cve.cvssv3.confidentialityImpact |
additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] |
|
vulnerability.cve.cvssv3.integrityImpact |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact](已弃用) |
|
vulnerability.cve.cvssv3.integrityImpact |
additional.fields [vulnerability_cve_cvssv3_integrityImpact] |
|
vulnerability.cve.cvssv3.privilegesRequired |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired](已弃用) |
|
vulnerability.cve.cvssv3.privilegesRequired |
additional.fields [vulnerability_cve_cvssv3_privilegesRequired] |
|
vulnerability.cve.cvssv3.scope |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope](已弃用) |
|
vulnerability.cve.cvssv3.scope |
additional.fields [vulnerability_cve_cvssv3_scope] |
|
vulnerability.cve.cvssv3.userInteraction |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction](已弃用) |
|
vulnerability.cve.cvssv3.userInteraction |
additional.fields [vulnerability_cve_cvssv3_userInteraction] |
|
vulnerability.cve.references.source |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source](已弃用) |
|
vulnerability.cve.references.source |
additional.fields [vulnerability_cve_references_source] |
|
vulnerability.cve.upstreamFixAvailable |
extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable](已弃用) |
|
vulnerability.cve.upstreamFixAvailable |
additional.fields [vulnerability_cve_upstreamFixAvailable] |
|
vulnerability.cve.id |
extensions.vulns.vulnerabilities.cve_id |
|
vulnerability.cve.cvssv3.baseScore |
extensions.vulns.vulnerabilities.cvss_base_score |
|
vulnerability.cve.cvssv3.attackVector |
extensions.vulns.vulnerabilities.cvss_vector |
|
vulnerability.cve.impact |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact] |
|
vulnerability.cve.exploitationActivity |
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity] |
|
parentDisplayName |
metadata.description |
|
eventTime |
metadata.event_timestamp |
|
category |
metadata.product_event_type |
|
sourceProperties.evidence.sourceLogId.insertId |
metadata.product_log_id |
如果 canonicalName 日志字段值不为空,则系统会使用 Grok 模式从 canonicalName 日志字段中提取 finding_id。如果 finding_id 日志字段值为空,则系统会将 sourceProperties.evidence.sourceLogId.insertId 日志字段映射到 metadata.product_log_id UDM 字段。如果 canonicalName 日志字段值为空,则系统会将 sourceProperties.evidence.sourceLogId.insertId 日志字段映射到 metadata.product_log_id UDM 字段。 |
sourceProperties.contextUris.cloudLoggingQueryUri.url |
security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] |
|
sourceProperties.sourceId.customerOrganizationNumber |
principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] |
如果 message 日志字段值与正则表达式 sourceProperties.sourceId.*?customerOrganizationNumber 匹配,则 sourceProperties.sourceId.customerOrganizationNumber 日志字段会映射到 principal.resource.attribute.labels.value UDM 字段。 |
resource.projectName |
principal.resource.name |
|
|
principal.user.account_type |
如果 access.principalSubject 日志字段值与正则表达式 serviceAccount 匹配,则 principal.user.account_type UDM 字段设置为 SERVICE_ACCOUNT_TYPE。否则,如果 access.principalSubject 日志字段值与正则表达式 user 匹配,则 principal.user.account_type UDM 字段设置为 CLOUD_ACCOUNT_TYPE。 |
access.principalSubject |
principal.user.attribute.labels.key/value [access_principalSubject] |
|
access.serviceAccountDelegationInfo.principalSubject |
principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] |
|
access.serviceAccountKeyName |
principal.user.attribute.labels.key/value [access_serviceAccountKeyName] |
|
access.principalEmail |
principal.user.email_addresses |
|
database.userName |
principal.user.userid |
|
workflowState |
security_result.about.investigation.status |
|
sourceProperties.findingId |
metadata.product_log_id |
|
kubernetes.accessReviews.group |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] |
|
kubernetes.accessReviews.name |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] |
|
kubernetes.accessReviews.ns |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] |
|
kubernetes.accessReviews.resource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] |
|
kubernetes.accessReviews.subresource |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] |
|
kubernetes.accessReviews.verb |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] |
|
kubernetes.accessReviews.version |
target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] |
|
kubernetes.bindings.name |
security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] |
|
kubernetes.bindings.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_ns] |
|
kubernetes.bindings.role.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] |
|
kubernetes.bindings.role.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] |
|
kubernetes.bindings.subjects.kind |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] |
|
kubernetes.bindings.subjects.name |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] |
|
kubernetes.bindings.subjects.ns |
target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] |
|
kubernetes.bindings.role.name |
target.resource.attribute.roles.name |
|
|
security_result.about.user.attribute.roles.name |
如果 message 日志字段值与正则表达式 contacts.?security 匹配,则 security_result.about.user.attribute.roles.name UDM 字段会设置为 security。如果 message 日志字段值与正则表达式 contacts.?technical 匹配,则 security_result.about.user.attribute.roles.name UDM 字段会设置为 Technical。 |
contacts.security.contacts.email |
security_result.about.user.email_addresses |
|
contacts.technical.contacts.email |
security_result.about.user.email_addresses |
|
|
security_result.alert_state |
如果 state 日志字段值等于 ACTIVE,则 security_result.alert_state UDM 字段会设置为 ALERTING。否则, security_result.alert_state UDM 字段会设置为 NOT_ALERTING。 |
findingClass, category |
security_result.catgory_details |
findingClass - category 日志字段会映射到 security_result.catgory_details UDM 字段。 |
description |
security_result.description |
|
indicator.signatures.memoryHashSignature.binaryFamily |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] |
|
indicator.signatures.memoryHashSignature.detections.binary |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] |
|
indicator.signatures.memoryHashSignature.detections.percentPagesMatched |
security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] |
|
indicator.signatures.yaraRuleSignature.yararule |
security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] |
|
mitreAttack.additionalTactics |
security_result.detection_fields.key/value [mitreAttack_additionalTactics] |
|
mitreAttack.additionalTechniques |
security_result.detection_fields.key/value [mitreAttack_additionalTechniques] |
|
mitreAttack.primaryTactic |
security_result.detection_fields.key/value [mitreAttack_primaryTactic] |
|
mitreAttack.primaryTechniques.0 |
security_result.detection_fields.key/value [mitreAttack_primaryTechniques] |
|
mitreAttack.version |
security_result.detection_fields.key/value [mitreAttack_version] |
|
muteInitiator |
security_result.detection_fields.key/value [mute_initiator] |
如果 mute 日志字段值等于 MUTED 或 UNMUTED,则 muteInitiator 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
muteUpdateTime |
security_result.detection_fields.key/value [mute_update_time] |
如果 mute 日志字段值等于 MUTED 或 UNMUTED,则 muteUpdateTimer 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
mute |
security_result.detection_fields.key/value [mute] |
|
securityMarks.canonicalName |
security_result.detection_fields.key/value [securityMarks_cannonicleName] |
|
securityMarks.marks |
security_result.detection_fields.key/value [securityMarks_marks] |
|
securityMarks.name |
security_result.detection_fields.key/value [securityMarks_name] |
|
sourceProperties.detectionCategory.indicator |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] |
|
sourceProperties.detectionCategory.technique |
security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] |
|
sourceProperties.contextUris.mitreUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] |
|
sourceProperties.contextUris.relatedFindingUri.url/displayName |
metadata.url_back_to_product |
如果 category 日志字段值等于 Active Scan: Log4j Vulnerable to RCE、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Over-Privileged Grant、Exfiltration: CloudSQL Restore Backup to External Organization、Initial Access: Log4j Compromise Attempt、Malware: Cryptomining Bad Domain、Malware: Cryptomining Bad IP 或 Persistence: IAM Anomalous Grant,则 security_result.detection_fields.key UDM 字段会设置为 sourceProperties_contextUris_relatedFindingUri_url,并且 sourceProperties.contextUris.relatedFindingUri.url 日志字段会映射到 metadata.url_back_to_product UDM 字段。 |
sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] |
如果 category 日志字段值等于 Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad Domain 或 Malware: Cryptomining Bad IP,则 sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.virustotalIndicatorQueryUri.url 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
sourceProperties.contextUris.workspacesUri.url/displayName |
security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] |
如果 category 日志字段值等于 Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Strong Authentication Disabled、Persistence: SSO Enablement Toggle 或 Persistence: SSO Settings Changed,则 sourceProperties.contextUris.workspacesUri.displayName 日志字段会映射到 security_result.detection_fields.key UDM 字段,sourceProperties.contextUris.workspacesUri.url 日志字段会映射到 security_result.detection_fields.value UDM 字段。 |
createTime |
security_result.detection_fields.key/value [create_time] |
|
nextSteps |
security_result.outcomes.key/value [next_steps] |
|
sourceProperties.detectionPriority |
security_result.priority |
如果 sourceProperties.detectionPriority 日志字段值等于 HIGH,则 security_result.priority UDM 字段会设置为 HIGH_PRIORITY。否则,如果 sourceProperties.detectionPriority 日志字段值等于 MEDIUM,则 security_result.priority UDM 字段值会设置为 MEDIUM_PRIORITY。否则,如果 sourceProperties.detectionPriority 日志字段值等于 LOW,则 security_result.priority UDM 字段会设置为 LOW_PRIORITY。 |
sourceProperties.detectionCategory.subRuleName |
security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] |
|
sourceProperties.detectionCategory.ruleName |
security_result.rule_name |
|
severity |
security_result.severity |
|
name |
security_result.url_back_to_product |
|
database.query |
src.process.command_line |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 database.query 日志字段会映射到 src.process.command_line UDM 字段。否则, database.query 日志字段会映射到 target.process.command_line UDM 字段。 |
resource.folders.resourceFolderDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.folders.resourceFolderDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.value UDM 字段。否则, resource.folders.resourceFolderDisplayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.parentDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.parentDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.key/value UDM 字段。否则, resource.parentDisplayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.parentName |
src.resource_ancestors.attribute.labels.key/value [resource_parentName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.parentName 日志字段会映射到 src.resource_ancestors.attribute.labels.key/value UDM 字段。否则, resource.parentName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.projectDisplayName |
src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.projectDisplayName 日志字段会映射到 src.resource_ancestors.attribute.labels.key/value UDM 字段。否则, resource.projectDisplayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.type |
src.resource_ancestors.resource_subtype |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.type 日志字段会映射到 src.resource_ancestors.resource_subtype UDM 字段。 |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 database.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Over-Privileged Grant,则 src.resource.attribute.labels.key UDM 字段会设置为 grantees,并且 database.grantees 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
resource.displayName |
src.resource.attribute.labels.key/value [resource_displayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive,则 resource.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。否则, resource.displayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.display_name |
src.resource.attribute.labels.key/value [resource_display_name] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive,则 resource.display_name 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。否则, resource.display_name 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.type |
src.resource_ancestors.resource_subtype |
如果 category 日志字段值等于 Exfiltration: BigQuery Data to Google Drive,则 resource.type 日志字段会映射到 src.resource_ancestors.resource_subtype UDM 字段。 |
database.displayName |
src.resource.attribute.labels.key/value [database_displayName] |
|
database.grantees |
src.resource.attribute.labels.key/value [database_grantees] |
|
resource.displayName |
target.resource.attribute.labels.key/value [resource_displayName] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive,则 resource.displayName 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。否则, resource.displayName 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
resource.display_name |
target.resource.attribute.labels.key/value [resource_display_name] |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration 或 Exfiltration: BigQuery Data to Google Drive,则 resource.display_name 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。否则, resource.display_name 日志字段会映射到 target.resource.attribute.labels.value UDM 字段。 |
exfiltration.sources.components |
src.resource.attribute.labels.key/value[exfiltration_sources_components] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration 或 Exfiltration: BigQuery Data Extraction,则 exfiltration.sources.components 日志字段会映射到 src.resource.attribute.labels.value UDM 字段。 |
resourceName |
src.resource.name |
如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive 或 Exfiltration: BigQuery Data Exfiltration,则 resourceName 日志字段会映射到 src.resource.name UDM 字段。 |
database.name |
src.resource.name |
|
exfiltration.sources.name |
src.resource.name |
|
access.serviceName |
target.application |
如果 category 日志字段值等于 Defense Evasion: Modify VPC Service Control、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、Exfiltration: CloudSQL Over-Privileged Grant、Persistence: New Geography 或 Persistence: IAM Anomalous Grant,则 access.serviceName 日志字段会映射到 target.application UDM 字段。 |
access.methodName |
target.labels [access_methodName](已弃用) |
|
access.methodName |
additional.fields [access_methodName] |
|
processes.argumentsTruncated |
target.labels [processes_argumentsTruncated](已弃用) |
|
processes.argumentsTruncated |
additional.fields [processes_argumentsTruncated] |
|
processes.binary.contents |
target.labels [processes_binary_contents](已弃用) |
|
processes.binary.contents |
additional.fields [processes_binary_contents] |
|
processes.binary.hashedSize |
target.labels [processes_binary_hashedSize](已弃用) |
|
processes.binary.hashedSize |
additional.fields [processes_binary_hashedSize] |
|
processes.binary.partiallyHashed |
target.labels [processes_binary_partiallyHashed](已弃用) |
|
processes.binary.partiallyHashed |
additional.fields [processes_binary_partiallyHashed] |
|
processes.envVariables.name |
target.labels [processes_envVariables_name](已弃用) |
|
processes.envVariables.name |
additional.fields [processes_envVariables_name] |
|
processes.envVariables.val |
target.labels [processes_envVariables_val](已弃用) |
|
processes.envVariables.val |
additional.fields [processes_envVariables_val] |
|
processes.envVariablesTruncated |
target.labels [processes_envVariablesTruncated](已弃用) |
|
processes.envVariablesTruncated |
additional.fields [processes_envVariablesTruncated] |
|
processes.libraries.contents |
target.labels [processes_libraries_contents](已弃用) |
|
processes.libraries.contents |
additional.fields [processes_libraries_contents] |
|
processes.libraries.hashedSize |
target.labels [processes_libraries_hashedSize](已弃用) |
|
processes.libraries.hashedSize |
additional.fields [processes_libraries_hashedSize] |
|
processes.libraries.partiallyHashed |
target.labels [processes_libraries_partiallyHashed](已弃用) |
|
processes.libraries.partiallyHashed |
additional.fields [processes_libraries_partiallyHashed] |
|
processes.script.contents |
target.labels [processes_script_contents](已弃用) |
|
processes.script.contents |
additional.fields [processes_script_contents] |
|
processes.script.hashedSize |
target.labels [processes_script_hashedSize](已弃用) |
|
processes.script.hashedSize |
additional.fields [processes_script_hashedSize] |
|
processes.script.partiallyHashed |
target.labels [processes_script_partiallyHashed](已弃用) |
|
processes.script.partiallyHashed |
additional.fields [processes_script_partiallyHashed] |
|
processes.parentPid |
target.parent_process.pid |
|
processes.args |
target.process.command_line_history [processes.args] |
|
processes.name |
target.process.file.full_path |
|
processes.binary.path |
target.process.file.full_path |
|
processes.libraries.path |
target.process.file.full_path |
|
processes.script.path |
target.process.file.full_path |
|
processes.binary.sha256 |
target.process.file.sha256 |
|
processes.libraries.sha256 |
target.process.file.sha256 |
|
processes.script.sha256 |
target.process.file.sha256 |
|
processes.binary.size |
target.process.file.size |
|
processes.libraries.size |
target.process.file.size |
|
processes.script.size |
target.process.file.size |
|
processes.pid |
target.process.pid |
|
containers.uri |
target.resource_ancestors.attribute.labels.key/value [containers_uri] |
|
containers.labels.name/value |
target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] |
|
resourceName |
target.resource_ancestors.name |
如果 category 日志字段值等于 Malware: Bad Domain、Malware: Bad IP 或 Malware: Cryptomining Bad IP,resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。如果 category 日志字段值等于 Brute Force: SSH,则 resourceName 日志字段值会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于 Persistence: GCE Admin Added SSH Key 或 Persistence: GCE Admin Added Startup Script,则 sourceProperties.properties.projectId 日志字段会映射到 target.resource_ancestors.name UDM 字段。 |
parent |
target.resource_ancestors.name |
|
sourceProperties.affectedResources.gcpResourceName |
target.resource_ancestors.name |
|
containers.name |
target.resource_ancestors.name |
|
kubernetes.pods.containers.name |
target.resource_ancestors.name |
|
sourceProperties.sourceId.projectNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.customerOrganizationNumber |
target.resource_ancestors.product_object_id |
|
sourceProperties.sourceId.organizationNumber |
target.resource_ancestors.product_object_id |
|
containers.imageId |
target.resource_ancestors.product_object_id |
|
sourceProperties.properties.zone |
target.resource.attribute.cloud.availability_zone |
如果 category 日志字段值等于 Brute Force: SSH,则 sourceProperties.properties.zone 日志字段会映射到 target.resource.attribute.cloud.availability_zone UDM 字段。 |
canonicalName |
metadata.product_log_id |
finding_id 是使用 Grok 模式从 canonicalName 日志字段中提取的。如果 finding_id 日志字段值不为空,则 finding_id 日志字段将映射到 metadata.product_log_id UDM 字段。 |
canonicalName |
src.resource.attribute.labels.key/value [finding_id] |
如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 src.resource.attribute.labels.key/value [finding_id] UDM 字段。如果 category 日志字段值等于以下某个值,系统会使用 Grok 模式从 canonicalName 日志字段中提取 finding_id:
|
canonicalName |
src.resource.product_object_id |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.product_object_id UDM 字段。如果 category 日志字段值等于以下某个值,系统会使用 Grok 模式从 canonicalName 日志字段中提取 source_id:
|
canonicalName |
src.resource.attribute.labels.key/value [source_id] |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 src.resource.attribute.labels.key/value [source_id] UDM 字段。如果 category 日志字段值等于以下值之一,则使用 Grok 模式从 canonicalName 日志字段提取 source_id:
|
canonicalName |
target.resource.attribute.labels.key/value [finding_id] |
如果 finding_id 日志字段值不为空,则 finding_id 日志字段会映射到 target.resource.attribute.labels.key/value [finding_id] UDM 字段。如果 category 日志字段值不等于以下任何值,则系统会使用 Grok 模式从 canonicalName 日志字段中提取 finding_id:
|
canonicalName |
target.resource.product_object_id |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.product_object_id UDM 字段。如果 category 日志字段值不等于以下任何值,则系统会使用 Grok 模式从 canonicalName 日志字段中提取 source_id:
|
canonicalName |
target.resource.attribute.labels.key/value [source_id] |
如果 source_id 日志字段值不为空,则 source_id 日志字段会映射到 target.resource.attribute.labels.key/value [source_id] UDM 字段。如果 category 日志字段值不等于以下任何值,系统会使用 Grok 模式从 canonicalName 日志字段中提取 source_id:
|
exfiltration.targets.components |
target.resource.attribute.labels.key/value[exfiltration_targets_components] |
如果 category 日志字段值等于 Exfiltration: CloudSQL Data Exfiltration 或 Exfiltration: BigQuery Data Extraction,则 exfiltration.targets.components 日志字段会映射到 target.resource.attribute.labels.key/value UDM 字段。 |
resourceName |
target.resource.name |
如果 category 日志字段值等于 Brute Force: SSH,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段。否则,如果 category 日志字段值等于 Malware: Bad Domain 或 Malware: Bad IP 或 Malware: Cryptomining Bad IP,则 resourceName 日志字段会映射到 target.resource_ancestors.name UDM 字段,并且 target.resource.resource_type UDM 字段会设为 VIRTUAL_MACHINE。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Extraction 或 Exfiltration: BigQuery Data to Google Drive,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则,如果 category 日志字段值等于 Exfiltration: BigQuery Data Exfiltration,则 exfiltration.target.name 日志字段会映射到 target.resource.name UDM 字段。否则, resourceName 日志字段会映射到 target.resource.name UDM 字段。 |
kubernetes.pods.containers.imageId |
target.resource_ancestors.product_object_id |
|
resource.project |
target.resource.attribute.labels.key/value [resource_project] |
|
resource.parent |
target.resource.attribute.labels.key/value [resource_parent] |
|
|
|
|
sourceProperties.Header_Signature.significantValues.value |
principal.location.country_or_region |
如果 sourceProperties.Header_Signature.name 日志字段值等于 RegionCode,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 principal.location.country_or_region UDM 字段。
|
sourceProperties.Header_Signature.significantValues.value |
principal.ip |
如果 sourceProperties.Header_Signature.name 日志字段值等于 RemoteHost,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 principal.ip UDM 字段。 |
sourceProperties.Header_Signature.significantValues.value |
network.http.user_agent |
如果 sourceProperties.Header_Signature.name 日志字段值等于 UserAgent,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 network.http.user_agent UDM 字段。
|
sourceProperties.Header_Signature.significantValues.value |
principal.url |
如果 sourceProperties.Header_Signature.name 日志字段值等于 RequestUriPath,则 sourceProperties.Header_Signature.significantValues.value 日志字段会映射到 principal.url UDM 字段。 |
sourceProperties.Header_Signature.significantValues.proportionInAttack |
security_result.detection_fields [proportionInAttack] |
|
sourceProperties.Header_Signature.significantValues.attackLikelihood |
security_result.detection_fields [attackLikelihood] |
|
sourceProperties.Header_Signature.significantValues.matchType |
security_result.detection_fields [matchType] |
|
sourceProperties.Header_Signature.significantValues.proportionInBaseline |
security_result.detection_fields [proportionInBaseline] |
|
sourceProperties.compromised_account |
principal.user.userid |
如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.compromised_account 日志字段会映射到 principal.user.userid UDM 字段,并且 principal.user.account_type UDM 字段会设为 SERVICE_ACCOUNT_TYPE。
|
sourceProperties.project_identifier |
principal.resource.product_object_id |
如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.project_identifier 日志字段会映射到 principal.resource.product_object_id UDM 字段。
|
sourceProperties.private_key_identifier |
principal.user.attribute.labels.key/value [private_key_identifier] |
如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.private_key_identifier 日志字段会映射到 principal.user.attribute.labels.value UDM 字段。
|
sourceProperties.action_taken |
principal.labels [action_taken](已弃用) |
如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.action_taken 日志字段会映射到 principal.labels.value UDM 字段。 |
sourceProperties.action_taken |
additional.fields [action_taken] |
如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.action_taken 日志字段会映射到 additional.fields.value UDM 字段。
|
sourceProperties.finding_type |
principal.labels [finding_type](已弃用) |
如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.finding_type 日志字段会映射到 principal.labels.value UDM 字段。 |
sourceProperties.finding_type |
additional.fields [finding_type] |
如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.finding_type 日志字段会映射到 additional.fields.value UDM 字段。
|
sourceProperties.url |
principal.user.attribute.labels.key/value [key_file_path] |
如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.url 日志字段会映射到 principal.user.attribute.labels.value UDM 字段。
|
sourceProperties.security_result.summary |
security_result.summary |
如果 category 日志字段值等于 account_has_leaked_credentials,则 sourceProperties.security_result.summary 日志字段会映射到 security_result.summary UDM 字段。
|
kubernetes.objects.kind |
target.resource.attribute.labels[kubernetes_objects_kind] |
|
kubernetes.objects.ns |
target.resource.attribute.labels[kubernetes_objects_ns] |
|
kubernetes.objects.name |
target.resource.attribute.labels[kubernetes_objects_name] |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] |
vulnerability.offendingPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] |
vulnerability.offendingPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] |
vulnerability.offendingPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] |
vulnerability.offendingPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] |
vulnerability.fixedPackage.packageName |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] |
vulnerability.fixedPackage.cpeUri |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] |
vulnerability.fixedPackage.packageType |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] |
vulnerability.fixedPackage.packageVersion |
|
extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] |
vulnerability.securityBulletin.bulletinId |
|
security_result.detection_fields[vulnerability_securityBulletin_submissionTime] |
vulnerability.securityBulletin.submissionTime |
|
security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] |
vulnerability.securityBulletin.suggestedUpgradeVersion |
|
target.location.name |
resource.location |
|
additional.fields[resource_service] |
resource.service |
|
target.resource_ancestors.attribute.labels[kubernetes_object_kind] |
kubernetes.objects.kind |
|
target.resource_ancestors.name |
kubernetes.objects.name |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] |
kubernetes.objects.ns |
|
kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] |
kubernetes.objects.group |