REST Resource: organizations.sources.findings

string

Nom de ressource relatif de l'anomalie. Exemples: "organizations/{organization_id}/sources/{source_id}/findings/{findingId}", "folders/{folder_id}/sources/{source_id}/findings/{findingId}", "projects/{projectId}/sources/{source_id}/findings/{findingId}".

string

Nom de ressource relatif de la source à laquelle la non-conformité appartient. Consultez https://cloud.google.com/apis/design/resource_names#relative_resource_name. Ce champ est immuable après la création. Par exemple: "organizations/{organization_id}/sources/{source_id}"

string

Pour les résultats concernant des ressources Google Cloud, nom complet de la ressource Google Cloud concernée. Consultez https://cloud.google.com/apis/design/resource_names#full_resource_name. Lorsque la découverte concerne une ressource autre que Google Cloud, resourceName peut être une chaîne définie par le client ou le partenaire. Ce champ est immuable après la création.

enum (State)

État de la découverte.

string

Groupe de taxonomie supplémentaire dans les résultats d'une source donnée. Ce champ est immuable après la création. Exemple: "XSS_FLASH_INJECTION"

string

URI qui, le cas échéant, pointe vers une page Web en dehors de Security Command Center où vous trouverez des informations supplémentaires sur le résultat. Ce champ est garanti vide ou contient une URL correctement formatée.

map (key: string, value: value (Value format))

Propriétés spécifiques à la source. Ces propriétés sont gérées par la source qui écrit le résultat. Les noms de clé dans la carte sourceProperties doivent comporter entre 1 et 255 caractères. Ils doivent commencer par une lettre et ne contenir que des caractères alphanumériques ou des traits de soulignement.

Objet contenant une liste de paires "key": value. Exemple : { "name": "wrench", "mass": "1.3kg", "count": "3" }.

object (SecurityMarks)

Uniquement en sortie. Marques de sécurité spécifiées par l'utilisateur. Ces marques sont entièrement gérées par l'utilisateur et proviennent de la ressource SecurityMarks appartenant à l'anomalie.

string (Timestamp format)

Date/Heure de la première détection du résultat. Si un résultat existant est mis à jour, il s'agit de la date et de l'heure auxquelles la mise à jour a eu lieu. Par exemple, si le résultat représente un pare-feu ouvert, cette propriété capture l'heure à laquelle le détecteur estime que le pare-feu est devenu ouvert. La précision est déterminée par le détecteur. Si le résultat est résolu par la suite, cette valeur indique l'heure de résolution du résultat. Cette valeur ne doit pas être supérieure au code temporel actuel.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string (Timestamp format)

Heure à laquelle le résultat a été créé dans Security Command Center.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

enum (Severity)

Gravité de l'anomalie. Ce champ est géré par la source qui écrit la découverte.

string

Nom canonique du résultat. Il s'agit de "organizations/{organization_id}/sources/{source_id}/findings/{findingId}", "folders/{folder_id}/sources/{source_id}/findings/{findingId}" ou "projects/{project_number}/sources/{source_id}/findings/{findingId}", en fonction de l'ancêtre CRM le plus proche de la ressource associée à l'anomalie.

enum (Mute)

Indique l'état de masquage d'un résultat (masqué, non masqué ou indéfini). Contrairement aux autres attributs d'un résultat, un fournisseur de résultats ne doit pas définir la valeur de la fonctionnalité de masquage.

enum (FindingClass)

Classe du résultat.

object (Indicator)

Représente ce qui est communément appelé indicateur de compromission (IoC) en informatique légale. Il s'agit d'un artefact observé sur un réseau ou dans un système d'exploitation qui indique, avec un niveau de confiance élevé, une intrusion informatique. Pour en savoir plus, consultez la section Indicateur de compromission.

object (Vulnerability)

Représente des champs spécifiques aux failles, tels que les CVE et les scores CVSS. CVE signifie "Common Vulnerabilities and Exposures" (https://cve.mitre.org/about/).

string (Timestamp format)

Uniquement en sortie. Date et heure de la dernière activation ou désactivation de ce résultat.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

map (key: string, value: object (ExternalSystem))

Uniquement en sortie. Les champs SIEM/SOAR tiers de la SCC contiennent des informations sur les systèmes externes et des champs de résultats sur les systèmes externes.

Objet contenant une liste de paires "key": value. Exemple : { "name": "wrench", "mass": "1.3kg", "count": "3" }.

object (MitreAttack)

Tactiques et techniques MITRE ATT&CK associées à cette observation Voir https://attack.mitre.org

object (Access)

Informations d'accès associées à la découverte, telles que des informations supplémentaires sur l'appelant, la méthode à laquelle il a accédé et l'emplacement d'accès.

object (Connection)

Contient des informations sur la connexion IP associée au résultat.

string

Enregistre des informations supplémentaires sur l'opération de masquage, par exemple la configuration de masquage qui a masqué la non-conformité et l'utilisateur qui l'a masquée.

object (MuteInfo)

Uniquement en sortie. Informations sur l'activation de la fonctionnalité de masquage pour ce résultat.

object (Process)

Représente les processus du système d'exploitation associés à l'anomalie.

map (key: string, value: object (ContactDetails))

Uniquement en sortie. Carte contenant les points de contact pour le résultat donné. La clé représente le type de contact, tandis que la valeur contient la liste de tous les contacts concernés. Veuillez consulter https://cloud.google.com/resource-manager/docs/managing-notification-contacts#notification-categories.

{
  "security": {
    "contacts": [
      {
        "email": "person1@company.com"
      },
      {
        "email": "person2@company.com"
      }
    ]
  }
}

Objet contenant une liste de paires "key": value. Exemple : { "name": "wrench", "mass": "1.3kg", "count": "3" }.

object (Compliance)

Contient des informations sur la conformité aux normes de sécurité associées à l'anomalie.

string

Uniquement en sortie. Nom à afficher de la source des résultats, par exemple "Event Threat Detection" ou "Security Health Analytics".

string

Contient plus de détails sur le résultat.

object (Exfiltration)

Représente les exfiltrations associées au résultat.

object (IamBinding)

Représente les liaisons IAM associées à la découverte.

string

Étapes à suivre pour corriger le problème.

string

Identifiant unique du module ayant généré le résultat. Exemple: folders/598186756061/securityHealthAnalyticsSettings/customModules/56799441161885

object (Container)

Conteneurs associés à la découverte. Ce champ fournit des informations pour les conteneurs Kubernetes et non Kubernetes.

object (Kubernetes)

Ressources Kubernetes associées à la découverte.

object (Database)

Base de données associée à la découverte.

object (AttackExposure)

Résultats d'une simulation de chemin d'attaque pertinents pour ce résultat.

object (File)

Fichier associé au résultat.

object (CloudDlpInspection)

Résultats de l'inspection Cloud Data Loss Prevention (Cloud DLP) associés à la découverte.

object (CloudDlpDataProfile)

Profil de données Cloud DLP associé au résultat.

object (KernelRootkit)

Signature du rootkit de kernel.

object (OrgPolicy)

Contient des informations sur les règles de l'organisation associées à l'anomalie.

object (Job)

Tâche associée à la découverte.

object (Application)

Représente une application associée à la découverte.

object (IpRules)

Règles IP associées à la découverte.

object (BackupDisasterRecovery)

Champs liés aux résultats de sauvegarde et de reprise après sinistre.

object (SecurityPosture)

Niveau de sécurité associé à la découverte.

object (LogEntry)

Entrées de journal pertinentes pour la découverte.

object (LoadBalancer)

Équilibreurs de charge associés à la découverte.

object (CloudArmor)

Champs liés aux résultats de Cloud Armor.

object (Notebook)

Notebook associé au résultat.

object (ToxicCombination)

Contient des informations sur un groupe de problèmes de sécurité qui, lorsqu'ils se produisent ensemble, représentent un risque plus élevé que lorsqu'ils se produisent indépendamment. Un groupe de problèmes de ce type est appelé "combinaison toxique". Ce champ ne peut pas être modifié. Sa valeur est ignorée dans toutes les requêtes de mise à jour.

object (GroupMembership)

Contient des informations sur les groupes dont cette observation fait partie. Un groupe est un ensemble de résultats qui sont liés d'une manière ou d'une autre. Ce champ ne peut pas être modifié. Sa valeur est ignorée dans toutes les requêtes de mise à jour.

object (Disk)

Disque associé au résultat.

object (DataAccessEvent)

Événements d'accès aux données associés à la découverte.

object (DataFlowEvent)

Événements de flux de données associés à la découverte.

object (Network)

Représente les réseaux VPC auxquels la ressource est associée.

object (DataRetentionDeletionEvent)

Événements de suppression liés à la conservation des données associés à la découverte.

string

Nom de ressource relatif des SecurityMarks. Voir: https://cloud.google.com/apis/design/resource_names#relative_resource_name Exemples: "organizations/{organization_id}/assets/{asset_id}/securityMarks" "organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks".

map (key: string, value: string)

Marques de sécurité modifiables spécifiées par l'utilisateur appartenant à la ressource parente. Les contraintes sont les suivantes:

• Les clés et les valeurs ne sont pas sensibles à la casse.
• Les clés doivent comporter entre 1 et 256 caractères (inclus).
• Les clés doivent être composées de lettres, de chiffres, de traits de soulignement ou de tirets.
• Les valeurs comportent des espaces en début et en fin de chaîne. Les caractères restants doivent être compris entre 1 et 4 096 caractères (inclus).

Objet contenant une liste de paires "key": value. Exemple : { "name": "wrench", "mass": "1.3kg", "count": "3" }.

string

Nom canonique des marques. Exemples: "organizations/{organization_id}/assets/{asset_id}/securityMarks" "folders/{folder_id}/assets/{asset_id}/securityMarks" "projects/{project_number}/assets/{asset_id}/securityMarks" "organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks" "folders/{folder_id}/sources/{source_id}/findings/{findingId}/securityMarks" "projects/{project_number}/sources/{source_id}/findings/{findingId}/securityMarks"

string

Liste des adresses IP associées à la découverte.

string

Liste des domaines associés à la recherche.

object (ProcessSignature)

Liste des signatures correspondantes indiquant que le processus donné est présent dans l'environnement.

string

Liste des URI associés aux résultats.

enum (SignatureType)

Décrit le type de ressource associé à la signature.

object (MemoryHashSignature)

Signature indiquant qu'une famille binaire a été mise en correspondance.

object (YaraRuleSignature)

Signature indiquant qu'une règle YARA a été mise en correspondance.

string

Famille binaire.

object (Detection)

Liste des détections de hachage de mémoire contribuant à la correspondance de famille binaire.

string

Nom du binaire associé à la détection de la signature de hachage de mémoire.

number

Pourcentage de hachages de pages de mémoire dans la signature qui ont été mis en correspondance.

string

Nom de la règle YARA.

object (Cve)

CVE signifie "Common Vulnerabilities and Exposures" (https://cve.mitre.org/about/).

object (Package)

Le package non conforme est pertinent par rapport à la non-conformité détectée.

object (Package)

Le package corrigé est pertinent par rapport à la découverte.

object (SecurityBulletin)

Le bulletin de sécurité est pertinent pour ce résultat.

string

Identifiant unique de la faille (par exemple, CVE-2021-34527)

object (Reference)

Informations supplémentaires sur la faille CVE, par exemple https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527

object (Cvssv3)

Décrire le Common Vulnerability Scoring System spécifié à l'adresse https://www.first.org/cvss/v3.1/specification-document

boolean

Indique si un correctif en amont est disponible pour la faille CVE.

enum (RiskRating)

Impact potentiel de la faille en cas d'exploitation.

enum (ExploitationActivity)

L'activité d'exploitation de la faille dans le monde réel.

boolean

Indique si la faille a été observée en circulation ou non.

boolean

Indique si la faille était une faille 0-day au moment de la publication de la découverte.

string (Timestamp format)

Date de publication du premier exploit ou PoC public.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string (Timestamp format)

Date de la première exploitation connue.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string

Source de la référence (par exemple, NVD)

string

URI de la source mentionnée (par exemple, https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527).

number

Le score de base dépend des scores de base des métriques.

enum (AttackVector)

Métriques de base Représente les caractéristiques intrinsèques d'une faille qui sont constantes au fil du temps et dans les environnements utilisateur. Cette métrique reflète le contexte dans lequel l'exploitation de la faille est possible.

enum (AttackComplexity)

Cette métrique décrit les conditions qui doivent exister pour que le pirate informatique puisse exploiter la faille, sans qu'il puisse les contrôler.

enum (PrivilegesRequired)

Cette métrique décrit le niveau d'autorisations dont un pirate informatique doit disposer pour exploiter la faille.

enum (UserInteraction)

Cette métrique indique si un utilisateur humain, autre que l'attaquant, doit participer à la compromission du composant vulnérable.

enum (Scope)

La métrique "Champ d'application" indique si une faille dans un composant vulnérable a un impact sur les ressources des composants en dehors de son champ d'application de sécurité.

enum (Impact)

Cette métrique mesure l'impact sur la confidentialité des ressources d'informations gérées par un composant logiciel en raison d'une faille exploitée avec succès.

enum (Impact)

Cette métrique mesure l'impact sur l'intégrité d'une faille exploitée avec succès.

enum (Impact)

Cette métrique mesure l'impact sur la disponibilité du composant concerné suite à une exploitation réussie d'une faille.

string

Nom du package dans lequel la faille a été détectée.

string

URI du CPE où la faille a été détectée.

string

Type de package, par exemple "os", "maven" ou "go".

string

Version du package.

string

ID du bulletin correspondant à la faille.

string (Timestamp format)

Heure d'envoi de ce bulletin de sécurité.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string

Il s'agit de la version vers laquelle le cluster qui reçoit cette notification doit être mis à niveau, en fonction de sa version actuelle. Par exemple, 1.15.0

string

Nom complet de la ressource du système externe, par exemple: "organizations/1234/sources/5678/findings/123456/externalSystems/jira", "folders/1234/sources/5678/findings/123456/externalSystems/jira", "projects/1234/sources/5678/findings/123456/externalSystems/jira"

string

Fait référence aux personnes responsables principales/secondaires, etc. dans le système externe.

string

Identifiant utilisé pour suivre la demande correspondante dans le système externe.

string

État le plus récent de la demande correspondant à l'anomalie, tel que signalé par le système externe.

string (Timestamp format)

Heure de la dernière mise à jour de la demande, comme indiqué par le système externe.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string

Lien vers le dossier correspondant à la non-conformité dans le système externe.

string

Priorité de la demande correspondante dans le système externe.

string (Timestamp format)

Le contrat de niveau de service du dossier correspondant à l'anomalie dans le système externe.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string (Timestamp format)

Heure à laquelle la demande a été créée, comme indiqué par le système externe.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string (Timestamp format)

Heure à laquelle la demande a été clôturée, comme indiqué par le système externe.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

object (TicketInfo)

Informations sur la demande, le cas échéant, qui sont utilisées pour suivre la résolution du problème identifié par ce résultat.

string

Identifiant du billet dans le système de billetterie.

string

Personne à qui la demande a été attribuée dans le système de gestion des demandes.

string

Description de la demande dans le système de gestion des demandes.

string

Lien vers la demande d'assistance dans le système de gestion des demandes.

string

Dernier état de la demande, tel que signalé par le système de gestion des demandes.

string (Timestamp format)

Heure de la dernière mise à jour de la demande, comme indiqué par le système de gestion des demandes.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

enum (Tactic)

Tactique MITRE ATT&CK la plus proche de cette observation, le cas échéant.

enum (Technique)

Technique MITRE ATT&CK la plus proche de cette observation, le cas échéant. primaryTechniques est un champ répété, car il existe plusieurs niveaux de techniques MITRE ATT&CK. Si la technique la plus proche de cette observation est une sous-technique (par exemple, SCANNING_IP_BLOCKS), la sous-technique et ses techniques parentes sont toutes deux listées (par exemple, SCANNING_IP_BLOCKS, ACTIVE_SCANNING).

enum (Tactic)

Tactiques MITRE ATT&CK supplémentaires associées à cette découverte, le cas échéant.

enum (Technique)

Techniques MITRE ATT&CK supplémentaires associées à cette découverte, le cas échéant, ainsi que leurs techniques parentes respectives.

string

Version MITRE ATT&CK référencée par les champs ci-dessus. Exemple : "8".

string

Adresse e-mail associée, par exemple "foo@google.com".

Adresse e-mail de l'utilisateur authentifié ou d'un compte de service agissant au nom d'un principal tiers à l'origine de la requête. Pour les appelants d'identité tiers, le champ principalSubject est renseigné à la place de ce champ. Pour des raisons de confidentialité, l'adresse e-mail principale est parfois masquée. Pour en savoir plus, consultez la section Identités des appelants dans les journaux d'audit.

string

Adresse IP de l'appelant, par exemple "1.1.1.1".

object (Geolocation)

Géolocalisation de l'adresse IP de l'appelant, qui identifie l'origine de l'appel.

string

Type d'user-agent associé à la découverte. Par exemple, un shell de système d'exploitation ou une application intégrée ou autonome.

string

Chaîne user-agent de l'appelant associée à la découverte.

string

Il s'agit du service d'API auquel le compte de service a effectué un appel, par exemple "iam.googleapis.com".

string

Méthode appelée par le compte de service, par exemple "SetIamPolicy".

string

Chaîne représentant le principalSubject associé à l'identité. Contrairement à principalEmail, principalSubject accepte les principaux qui ne sont pas associés à des adresses e-mail, comme les principaux tiers. Pour la plupart des identités, le format est principal://iam.googleapis.com/{identity pool name}/subject/{subject}. Certaines identités GKE, telles que GKE_WORKLOAD, FREEFORM et GKE_HUB_WORKLOAD, utilisent toujours l'ancien format serviceAccount:{identity pool name}[{subject}].

string

Nom de la clé de compte de service utilisée pour créer ou échanger des identifiants lors de l'authentification du compte de service à l'origine de la requête. Il s'agit d'un nom de ressource complet d'URI sans schéma. Exemple :

"//iam.googleapis.com/projects/{PROJECT_ID}/serviceAccounts/{ACCOUNT}/keys/{key}".

object (ServiceAccountDelegationInfo)

Historique de la délégation d'identité d'un compte de service authentifié ayant effectué la requête. L'objet serviceAccountDelegationInfo[] contient des informations sur les autorités réelles qui tentent d'accéder aux ressources Google Cloud en déléguant sur un compte de service. Lorsque plusieurs autorités sont présentes, elles sont triées en fonction de l'ordre d'origine des événements de délégation d'identité.

string

Chaîne représentant un nom d'utilisateur. Le nom d'utilisateur fourni dépend du type de la découverte et n'est probablement pas un principal IAM. Il peut s'agir, par exemple, d'un nom d'utilisateur système si la découverte est liée à une machine virtuelle, ou d'un nom d'utilisateur de connexion à une application.

string

Un CLDR

string

Adresse e-mail d'un compte Google.

string

Chaîne représentant le principalSubject associé à l'identité. Contrairement à principalEmail, il accepte les principaux qui ne sont pas associés à des adresses e-mail, tels que les principaux tiers. Pour la plupart des identités, le format est principal://iam.googleapis.com/{identity pool name}/subjects/{subject}, à l'exception de certaines identités GKE (GKE_WORKLOAD, FREEFORM, GKE_HUB_WORKLOAD) qui utilisent toujours l'ancien format serviceAccount:{identity pool name}[{subject}].

string

Adresse IP de destination. Absent pour les sockets en écoute et non connectés.

integer

Port de destination. Absent pour les sockets en écoute et non connectés.

string

Adresse IP source.

integer

Port source

enum (Protocol)

Numéro de protocole Internet IANA, par exemple TCP(6) et UDP(17).

object (StaticMute)

Si cette valeur est définie, la désactivation statique est appliquée à ce résultat. Les masquages statiques remplacent les masquages dynamiques. Si ce paramètre n'est pas défini, le son n'est pas coupé de manière statique.

object (DynamicMuteRecord)

Liste des règles Ignorer dynamiques qui correspondent actuellement au résultat.

enum (Mute)

État de désactivation du son statique. Si la valeur est MUTED ou UNMUTED, l'état de masquage global de la recherche aura la même valeur.

string (Timestamp format)

Date à laquelle la désactivation du son statique a été appliquée.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string

Nom de ressource relatif de la règle de masquage, représentée par une configuration de masquage, qui a créé cet enregistrement (par exemple, organizations/123/muteConfigs/mymuteconfig ou organizations/123/locations/global/muteConfigs/mymuteconfig).

string (Timestamp format)

Date/Heure à laquelle la règle Ignorer dynamique a correspondu pour la première fois au résultat.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string

Nom du processus, tel qu'il apparaît dans des utilitaires tels que top et ps. Vous pouvez accéder à ce nom via /proc/[pid]/comm et le modifier avec prctl(PR_SET_NAME).

object (File)

Informations sur le fichier de l'exécutable du processus.

object (File)

Informations sur les fichiers pour les bibliothèques chargées par le processus.

object (File)

Lorsque le processus représente l'appel d'un script, binary fournit des informations sur l'interprète, tandis que script fournit des informations sur le fichier de script fourni à l'interprète.

string

Traite les arguments en tant que chaînes encodées au format JSON.

boolean

"True" si args est incomplet.

object (EnvironmentVariable)

Traiter les variables d'environnement

boolean

"True" si envVariables est incomplet.

string (int64 format)

ID du processus.

string (int64 format)

ID du processus parent.

string

Chemin d'accès absolu du fichier sous forme de chaîne encodée en JSON.

string (int64 format)

Taille du fichier, en octets.

string

Hachage SHA256 des premiers hashedSize octets du fichier, encodé sous forme de chaîne hexadécimale. Si hashedSize == size, sha256 représente le hachage SHA-256 de l'intégralité du fichier.

string (int64 format)

Longueur en octets du préfixe de fichier haché. Si hashedSize == size, tous les hachages signalés représentent l'intégralité du fichier.

boolean

"True" lorsque le hachage ne couvre qu'un préfixe du fichier.

string

Préfixe du contenu du fichier sous forme de chaîne encodée au format JSON.

object (DiskPath)

Chemin d'accès du fichier en termes d'identifiants de disque/partition sous-jacents.

string

UUID de la partition (format https://wiki.archlinux.org/title/persistent_block_device_naming#by-uuid)

string

Chemin d'accès relatif du fichier dans la partition sous la forme d'une chaîne encodée en JSON. Exemple: /home/user1/executable_file.sh

string

Nom de la variable d'environnement sous la forme d'une chaîne encodée en JSON.

string

Valeur de la variable d'environnement sous forme de chaîne encodée en JSON.

object (Contact)

Une liste de contacts

string

Adresse e-mail (par exemple, "person123@company.com").

string

Normes ou benchmarks de conformité à l'échelle du secteur, tels que CIS, PCI et OWASP.

string

Version de la norme ou du benchmark, par exemple : 1.1

string

Règles de la norme ou du benchmark, par exemple, A.12.4.1

object (ExfilResource)

S'il existe plusieurs sources, les données sont considérées comme "jointes" entre elles. Par exemple, BigQuery peut joindre plusieurs tables, et chaque table est considérée comme une source.

object (ExfilResource)

Si plusieurs cibles sont définies, chacune d'elles reçoit une copie complète des données sources "jointes".

string (int64 format)

Nombre total d'octets exfiltrés traités pour l'ensemble de la tâche.

string

Nom complet de la ressource

string

Sous-composants de l'élément exfiltré, comme les URI utilisés lors de l'exfiltration, les noms de tables, les bases de données et les noms de fichiers. Par exemple, plusieurs tables peuvent avoir été exfiltrées de la même instance Cloud SQL ou plusieurs fichiers peuvent avoir été exfiltrés du même bucket Cloud Storage.

enum (Action)

Action effectuée sur une liaison.

string

Rôle attribué aux "membres". Par exemple, "roles/viewer", "roles/editor" ou "roles/owner".

string

Une seule identité demandant l'accès à une ressource Cloud Platform, par exemple "foo@google.com".

string

Nom du conteneur.

string

URI de l'image du conteneur fourni lors de la configuration d'un pod ou d'un conteneur. Cette chaîne peut identifier une version d'image de conteneur à l'aide de balises modifiables.

string

ID d'image de conteneur facultatif, le cas échéant. Identifie de manière unique l'image de conteneur lancée à l'aide d'un condensé d'image de conteneur.

object (Label)

Étiquettes de conteneur, telles que fournies par l'environnement d'exécution du conteneur.

string (Timestamp format)

Heure de création du conteneur.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string

Nom du libellé.

string

Valeur correspondant au nom du libellé.

object (Pod)

Pods Kubernetes associés à la découverte. Ce champ contient des enregistrements de pod pour chaque conteneur appartenant à un pod.

object (Node)

Fournit des informations sur le nœud Kubernetes.

object (NodePool)

Pools de nœuds GKE associés à la découverte. Ce champ contient des informations sur le pool de nœuds pour chaque nœud, le cas échéant.

object (Role)

Fournit des informations sur les rôles Kubernetes pour les résultats impliquant des rôles ou ClusterRoles.

object (Binding)

Fournit des informations sur la liaison de rôle Kubernetes pour les résultats impliquant des objets RoleBinding ou ClusterRoleBinding.

object (AccessReview)

Fournit des informations sur les examens des accès Kubernetes (vérifications des droits) pertinents pour la découverte.

object (Object)

Objets Kubernetes associés au résultat.

string

Espace de noms du pod Kubernetes.

string

Nom du pod Kubernetes.

object (Label)

Étiquettes des pods Pour les conteneurs Kubernetes, ils sont appliqués au conteneur.

object (Container)

Conteneurs de pod associés à ce résultat, le cas échéant.

string

Nom de ressource complet de la VM Compute Engine exécutant le nœud de cluster.

string

Nom du pool de nœuds Kubernetes.

object (Node)

Nœuds associés au résultat.

enum (Kind)

Type de rôle.

string

Espace de noms du rôle.

string

Nom du rôle.

string

Espace de noms de la liaison.

string

Nom de la liaison.

object (Role)

Rôle ou ClusterRole référencé par la liaison.

object (Subject)

Représente un ou plusieurs sujets liés au rôle. Pas toujours disponible pour les requêtes PATCH.

enum (AuthType)

Type d'authentification de l'objet.

string

Espace de noms de l'objet.

string

Nom du sujet.

string

Groupe d'API de la ressource. "*" signifie "tout".

string

Espace de noms de l'action demandée. Actuellement, il n'y a aucune distinction entre l'absence d'espace de noms et tous les espaces de noms. Les deux sont représentés par "" (vide).

string

Nom de la ressource demandée. Une valeur vide signifie "tout".

string

Type de ressource facultatif demandé. "*" signifie "tout".

string

Type de sous-ressource facultatif.

string

Verbe de l'API de ressources Kubernetes, comme "get", "list", "watch", "create", "update", "delete" ou "proxy". "*" signifie "tout".

string

Version de l'API de la ressource. "*" signifie "tout".

string

Groupe d'objets Kubernetes, par exemple "policy.k8s.io/v1".

string

Type d'objet Kubernetes, par exemple "Namespace".

string

Espace de noms des objets Kubernetes. Doit être un libellé DNS valide. Nom "ns" pour éviter les conflits avec le mot clé d'espace de noms C++. Pour en savoir plus, consultez la page https://kubernetes.io/docs/tasks/administer-cluster/namespaces/.

string

Nom de l'objet Kubernetes. Pour en savoir plus, consultez la page https://kubernetes.io/docs/concepts/overview/working-with-objects/names/.

object (Container)

Conteneurs de pod associés à ce résultat, le cas échéant.

string

Il est possible que le nom complet de la ressource ne soit pas renseigné pour certaines ressources de base de données, car ces types de ressources ne sont pas encore compatibles avec l'inventaire des ressources Cloud (par exemple, les bases de données Cloud SQL). Dans ce cas, seul le nom à afficher sera fourni. Nom de ressource complet de la base de données à laquelle l'utilisateur s'est connecté, si elle est compatible avec Cloud Asset Inventory.

string

Nom lisible de la base de données à laquelle l'utilisateur s'est connecté.

string

Nom d'utilisateur utilisé pour se connecter à la base de données. Le nom d'utilisateur peut ne pas être un principal IAM et n'a pas de format défini.

string

Instruction SQL associée à l'accès à la base de données.

string

Noms d'utilisateur, rôles ou groupes cibles d'une autorisation SQL, ce qui ne constitue pas une modification de la stratégie IAM.

string

Version de la base de données, par exemple POSTGRES_14. Consultez la liste complète.

number

Nombre compris entre 0 (inclus) et l'infini qui indique l'importance de corriger ce problème. Plus le score est élevé, plus il est important de corriger le problème.

string (Timestamp format)

Date de la dernière mise à jour de l'exposition à une attaque pour ce résultat.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string

Nom de la ressource du résultat de la simulation de chemin d'attaque contenant les détails de ce score d'exposition au piratage. Exemple : organizations/123/simulations/456/attackExposureResults/789

enum (State)

État de cette exposition à une attaque. Indique si une exposition à une attaque a été calculée ou non.

integer

Nombre de ressources de forte valeur exposées en raison de ce résultat.

integer

Nombre de ressources de valeur moyenne exposées en raison de cette anomalie.

integer

Nombre de ressources de forte valeur exposées en raison de ce résultat.

string

Nom de la tâche d'inspection, par exemple projects/123/locations/europe/dlpJobs/i-8383929.

string

Type d'informations (ou infoType) détecté, par exemple EMAIL_ADDRESS ou STREET_ADDRESS.

string (int64 format)

Nombre de fois où Cloud DLP a détecté cet infoType dans cette tâche et cette ressource.

boolean

Indique si Cloud DLP a analysé la ressource complète ou un sous-ensemble échantillonné.

string

Nom du profil de données, par exemple projects/123/locations/europe/tableProfiles/8383929.

enum (ParentType)

Niveau de la hiérarchie des ressources au niveau duquel le profil de données a été généré.

string

Nom du rootkit, le cas échéant.

boolean

"True" si des modifications inattendues de la mémoire de code du noyau sont présentes.

boolean

"True" si des modifications inattendues de la mémoire de données en lecture seule du noyau sont présentes.

boolean

"True" si des points ftrace sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du noyau ou du module attendue.

boolean

"True" si des points kprobe sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du noyau ou du module attendue.

boolean

"True" si des pages de code kernel qui ne se trouvent pas dans les régions de code kernel ou de module attendues sont présentes.

boolean

"True" si des gestionnaires d'appels système qui ne se trouvent pas dans les régions de code de kernel ou de module attendues sont présents.

boolean

"True" si des gestionnaires d'interruption qui ne se trouvent pas dans les régions de code du kernel ou du module attendues sont présents.

boolean

"True" si des processus inattendus sont présents dans la file d'attente d'exécution de l'ordonnanceur. Ces processus se trouvent dans la file d'attente d'exécution, mais pas dans la liste des tâches de processus.

string

Nom de la ressource de la règle d'administration. Exemple: "organizations/{organization_id}/policies/{constraint_name}"

string

Nom complet d'une tâche (par exemple, projects/<projectId>/jobs/<job_id>)

enum (JobState)

Uniquement en sortie. État de la tâche, par exemple RUNNING ou PENDING.

integer

Facultatif. Si la tâche ne s'est pas terminée correctement, ce champ indique pourquoi.

string

Facultatif. Indique l'emplacement où la tâche a été exécutée, par exemple US ou europe-west1.

string

URI de base qui identifie l'emplacement réseau de l'application dans laquelle la faille a été détectée. Par exemple, http://example.com.

string

URI complet avec la charge utile pouvant être utilisée pour reproduire la faille. Par exemple, http://example.com?p=aMmYgI6H.

enum (Direction)

Direction à laquelle la règle s'applique (entrée ou sortie).

string

Si des plages d'adresses IP sources sont spécifiées, la règle de pare-feu ne s'applique qu'au trafic dont l'adresse IP source se trouve dans ces plages. Ces plages doivent être exprimées au format CIDR. Compatible uniquement avec IPv4.

string

Si des plages d'adresses IP de destination sont spécifiées, la règle de pare-feu ne s'applique qu'au trafic dont l'adresse IP de destination se trouve dans ces plages. Ces plages doivent être exprimées au format CIDR. Compatible uniquement avec IPv4.

string

Nom du service de protocole réseau, tel que FTP, exposé par le port ouvert. Respecte la convention d'attribution de noms disponible sur https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml.

object (Allowed)

Tuple avec les règles autorisées.

object (Denied)

Tuple avec des règles de refus.

object (IpRule)

Facultatif. Liste facultative des règles d'adresses IP autorisées.

string

Protocole IP auquel cette règle s'applique. Cette valeur peut correspondre à l'une des chaînes de protocole connues suivantes (TCP, UDP, ICMP, ESP, AH, IPIP, SCTP) ou à une représentation de chaîne de la valeur entière.

object (PortRange)

Facultatif. Liste facultative des ports auxquels cette règle s'applique. Ce champ ne s'applique qu'aux protocoles UDP ou (S)TCP. Chaque entrée doit être un entier ou une plage comprenant un numéro de port minimal et maximal.

string (int64 format)

Valeur de port minimale.

string (int64 format)

Valeur de port maximale.

object (IpRule)

Facultatif. Liste facultative des règles d'adresses IP refusées.

string

Nom d'un modèle de sauvegarde et de reprise après sinistre qui comprend une ou plusieurs stratégies de sauvegarde. Pour en savoir plus, consultez la documentation sur la sauvegarde et la reprise après sinistre. Exemple :snap-ov

string

Noms des règles de sauvegarde et de reprise après sinistre associées à un modèle et qui définissent quand exécuter une sauvegarde, la fréquence d'exécution et la durée de conservation de l'image de sauvegarde. Par exemple, onvaults.

string

Nom d'un hôte Backup and DR, géré par l'appareil de sauvegarde et de récupération et connu de la console de gestion. L'hôte peut être de type générique (par exemple, Compute Engine, SQL Server, base de données Oracle, système de fichiers SMB, etc.), vCenter ou un serveur ESX. Pour en savoir plus, consultez la documentation sur la sauvegarde et la reprise après sinistre sur les hôtes. Exemple :centos7-01

string

Noms des applications de sauvegarde et de reprise après sinistre. Une application est une VM, une base de données ou un système de fichiers sur un hôte géré surveillé par un appareil de sauvegarde et de restauration. Par exemple, centos7-01-vol00, centos7-01-vol01, centos7-01-vol02.

string

Nom du pool de stockage de sauvegarde et de reprise après sinistre dans lequel l'appareil de sauvegarde et de récupération stocke les données. Le pool de stockage peut être de type Cloud, Principal, Instantané ou Sur Vault. Consultez la documentation Backup and DR sur les pools de stockage. Exemple :DiskPoolOne

string

Noms des options avancées de sauvegarde et reprise après sinistre d'une règle s'appliquant à une application. Consultez la documentation sur les options de règles de sauvegarde et de DR. Exemple :skipofflineappsincongrp, nounmap

string

Nom du profil de ressources de sauvegarde et de reprise après sinistre qui spécifie le support de stockage pour les sauvegardes des données d'application et de VM. Consultez la documentation sur les profils Backup and DR. Exemple :GCP

string

Nom de l'appareil de sauvegarde et de reprise après sinistre qui capture, déplace et gère le cycle de vie des données de sauvegarde. Par exemple, backup-server-57137.

string

Type de sauvegarde de l'image Backup and DR. Par exemple, Snapshot, Remote Snapshot, OnVault.

string (Timestamp format)

Code temporel de la sauvegarde Backup and DR.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string

Nom de la posture, par exemple CIS-Posture.

string

Version de la posture (par exemple, c7cfa2a8)

string

Projet, dossier ou organisation sur lesquels la posture est déployée (par exemple, projects/{project_number}).

string

Nom du déploiement de la stratégie, par exemple organizations/{org_id}/posturedeployments/{posture_deployment_id}.

string

Nom de la règle mise à jour, par exemple projects/{projectId}/policies/{constraint_name}.

string

Nom du jeu de règles mis à jour, par exemple cis-policyset.

string

ID de la règle mise à jour (par exemple, compute-policy-1).

object (PolicyDriftDetails)

Informations sur une modification d'une règle mise à jour qui ne respecte pas la posture déployée.

string

Nom du champ mis à jour, par exemple constraint.implementation.policy_rules[0].enforce

string

Valeur de ce champ qui a été configurée dans une posture, par exemple true ou allowed_values={"projects/29831892"}.

string

Valeur détectée qui ne respecte pas la posture déployée, par exemple false ou allowed_values={"projects/22831892"}.

object (CloudLoggingEntry)

Entrée individuelle d'un journal stocké dans Cloud Logging.

string

Identifiant unique pour l'entrée de journal.

string

Type du journal (fait partie de logName. logName est le nom de la ressource du journal auquel appartient cette entrée de journal). Par exemple : cloudresourcemanager.googleapis.com/activity. Notez que ce champ n'est pas encodé en URL, contrairement au champ LOG_ID dans LogEntry.

string

Organisation, dossier ou projet de la ressource surveillée qui a généré cette entrée de journal.

string (Timestamp format)

Heure à laquelle l'événement décrit par l'entrée de journal s'est produit.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

string

Nom de l'équilibreur de charge associé à l'anomalie.

object (SecurityPolicy)

Informations sur la stratégie de sécurité Google Cloud Armor pertinentes pour le résultat.

object (Requests)

Informations sur les requêtes entrantes évaluées par les stratégies de sécurité Google Cloud Armor.

object (AdaptiveProtection)

Informations sur les attaques DDoS de couche 7 potentielles identifiées par Google Cloud Armor Adaptive Protection.

object (Attack)

Informations sur le volume et la classification des attaques DDoS.

string

Distinguez les attaques DDoS volumétriques et par protocole des attaques de couche application. Par exemple, "L3_4" pour les attaques DDoS de couche 3 et de couche 4, ou "L_7" pour les attaques DDoS de couche 7.

string (Duration format)

Durée de l'attaque du début à l'instant présent (mise à jour toutes les cinq minutes).

Durée en secondes avec neuf chiffres au maximum après la virgule et se terminant par "s". Exemple : "3.5s"

string

Nom de la stratégie de sécurité Google Cloud Armor, par exemple "my-security-policy".

string

Type de stratégie de sécurité Google Cloud Armor, par exemple "Stratégie de sécurité backend", "Stratégie de sécurité de périphérie", "Stratégie de sécurité de périphérie du réseau" ou "Protection DDoS permanente".

boolean

Indique si la règle ou la stratégie associée est en mode Aperçu.

number

Pour "Augmentation du taux de refus", le ratio correspond au trafic refusé divisé par le trafic autorisé. Pour "Pic de trafic autorisé", le ratio correspond au trafic autorisé à court terme divisé par le trafic autorisé à long terme.

integer

RPS (requêtes par seconde) autorisés à court terme.

integer

RPS (requêtes par seconde) autorisés sur le long terme.

integer

RPS (requêtes par seconde) refusés sur le long terme

number

Un score de 0 signifie que le niveau de confiance est faible quant à la probabilité que l'événement détecté soit une attaque réelle. Un score de 1 signifie que l'événement détecté est très probablement une attaque. Pour en savoir plus, consultez la documentation sur la protection adaptative.

string (int64 format)

Volume total de l'attaque en paquets par seconde (pps).

string (int64 format)

Volume total de l'attaque en BPS (octets par seconde).

string

Type d'attaque (par exemple, "SYN-flood", "NTP-udp" ou "CHARGEN-udp").

integer

Volume total de l'attaque en paquets par seconde (pps). Obsolète. Utilisez plutôt volumePpsLong.

integer

Volume total de l'attaque en BPS (octets par seconde). Obsolète. Utilisez plutôt volumeBpsLong.

string

Nom du notebook.

string

Le service de notebook source, par exemple "Colab Enterprise".

string

ID de l'utilisateur qui a modifié le notebook le plus récemment.

string (Timestamp format)

Date et heure de la dernière mise à jour du notebook.

Utilise la norme RFC 3339, où la sortie générée est toujours normalisée avec le suffixe Z et utilise 0, 3, 6 ou 9 chiffres décimaux. Les décalages autres que "Z" sont également acceptés. Exemples: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" ou "2014-10-02T15:01:23+05:30".

number

Niveau d'exposition aux attaques de cette combinaison toxique. Ce score mesure dans quelle mesure cette combinaison toxique expose une ou plusieurs ressources à forte valeur à une attaque potentielle.

string

Liste des noms de ressources des résultats associés à cette combinaison toxique. Par exemple, organizations/123/sources/456/findings/789.

enum (GroupType)

Type de groupe.

string

ID du groupe.

string

Nom du disque, par exemple "https://www.googleapis.com/compute/v1/projects/{project-id}/zones/{zone-id}/disks/{disk-id}".