- リソース: 検出結果
- 都道府県
- SecurityMarks
- 重大度
- ミュート
- FindingClass
- インジケーター
- ProcessSignature
- MemoryHashSignature
- 検出
- YaraRuleSignature
- SignatureType
- 脆弱性
- Cve
- リファレンス
- Cvssv3
- AttackVector
- AttackComplexity
- PrivilegesRequired
- UserInteraction
- スコープ
- 効果
- RiskRating
- ExploitationActivity
- パッケージ
- SecurityBulletin
- ExternalSystem
- TicketInfo
- MitreAttack
- 戦術
- 手法
- アクセス
- 位置情報
- ServiceAccountDelegationInfo
- 接続
- プロトコル
- MuteInfo
- StaticMute
- DynamicMuteRecord
- プロセス
- ファイル
- DiskPath
- EnvironmentVariable
- ContactDetails
- お問い合わせ
- コンプライアンス
- データの引き出し
- ExfilResource
- IamBinding
- 操作
- コンテナ
- ラベル
- Kubernetes
- Pod
- Node
- NodePool
- ロール
- Kind
- バインディング
- Subject
- AuthType
- AccessReview
- Object
- データベース
- AttackExposure
- 都道府県
- CloudDlpInspection
- CloudDlpDataProfile
- ParentType
- KernelRootkit
- OrgPolicy
- ジョブ
- JobState
- Application
- IpRules
- 方向
- 許可
- IpRule
- PortRange
- 拒否
- BackupDisasterRecovery
- SecurityPosture
- PolicyDriftDetails
- LogEntry
- CloudLoggingEntry
- LoadBalancer
- CloudArmor
- SecurityPolicy
- リクエスト
- AdaptiveProtection
- 攻撃
- ノートブック
- ToxicCombination
- GroupMembership
- GroupType
- ディスク
- DataAccessEvent
- 操作
- DataFlowEvent
- 操作
- ネットワーク
- DataRetentionDeletionEvent
- イベントタイプ
- メソッド
リソース: Finding
Security Command Center の検出結果。
検出結果は、セキュリティ、リスク、健全性、プライバシーなどの評価データの記録。Security Command Center に取り込まれ、表示、通知、分析、ポリシーテスト、適用で使用されます。たとえば、App Engine アプリケーションで見つかったクロスサイト スクリプティング(XSS)の脆弱性が記録されます。
| JSON 表現 |
|---|
{ "name": string, "parent": string, "resourceName": string, "state": enum ( |
| フィールド | |
|---|---|
name |
検出結果の相対リソース名。例: "organizations/{organization_id}/sources/{source_id}/findings/{findingId}"、"folders/{folder_id}/sources/{source_id}/findings/{findingId}"、"projects/{projectId}/sources/{source_id}/findings/{findingId}"。 |
parent |
検出結果が属するソースの相対リソース名。参照: https://cloud.google.com/apis/design/resource_names#relative_resource_name このフィールドは、作成後に変更できません。例: "organizations/{organization_id}/sources/{source_id}" |
resourceName |
Google Cloud リソースに関する検出結果の場合は、この検出結果が対象とする Google Cloud リソースの完全なリソース名。参照: https://cloud.google.com/apis/design/resource_names#full_resource_name Google Cloud 以外のリソースに関する検出結果の場合、resourceName はお客様またはパートナーが定義した文字列にできます。このフィールドは作成後に変更できません。 |
state |
検出結果の状態。 |
category |
特定のソースの検出結果内の追加の分類グループ。このフィールドは作成後に変更できません。例: "XSS_FLASH_INJECTION" |
externalUri |
検出結果に関する追加情報を見つけることができる Security Command Center の外部にあるウェブページを指す URI(利用可能な場合)。このフィールドは、空か適切な形式の URL のいずれかになります。 |
sourceProperties |
ソース固有のプロパティ。これらのプロパティは、検出結果を書き込むソースによって管理されます。sourceProperties マップのキー名は 1 ~ 255 文字で、文字で始まり、英数字またはアンダースコアのみを含む必要があります。
|
securityMarks |
出力専用。ユーザーが指定したセキュリティ マーク。これらのマークはユーザーによって完全に管理され、検出結果に属する SecurityMarks リソースから取得されます。 |
eventTime |
検出結果が最初に検出された時刻。既存の検出結果が更新された場合は、更新が行われた時刻になります。たとえば、検出結果がオープン状態のファイアウォールを表している場合、このプロパティは、検出機能がオープン状態のファイアウォールを検出した時間になります。精度は検出機能によって異なります。検出結果が後で解決された場合、この解決時間が反映されます。現在のタイムスタンプより大きい値に設定することはできません。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
createTime |
検出結果が Security Command Center で作成された時刻。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
severity |
検出結果の重大度。このフィールドは、検出結果を書き込むソースによって管理されます。 |
canonicalName |
検出結果の正規名。検出結果に関連付けられているリソースの最も近い CRM 祖先に応じて、「organizations/{organization_id}/sources/{source_id}/findings/{findingId}」、「folders/{folder_id}/sources/{source_id}/findings/{findingId}」、または「projects/{project_number}/sources/{source_id}/findings/{findingId}」のいずれかになります。 |
mute |
検出結果のミュート状態(ミュート、ミュート解除、未定義)を示します。検出結果の他の属性とは異なり、検出結果プロバイダはミュート値を設定できません。 |
findingClass |
検出結果のクラス。 |
indicator |
コンピュータ フォレンジックで一般に侵害インジケーター(IoC)と呼ばれるものを表します。これは、ネットワークまたはオペレーティング システムで検出されたアーティファクトで、コンピュータ侵入を高い信頼性で示します。詳細については、侵害の兆候をご覧ください。 |
vulnerability |
CVE や CVSS スコアなど、脆弱性固有のフィールドを表します。CVE は Common Vulnerabilities and Exposures の略です(https://cve.mitre.org/about/)。 |
muteUpdateTime |
出力専用。この検出結果がミュートまたはミュート解除された直近の日時。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
externalSystems |
出力専用。SCC 内のサードパーティの SIEM/SOAR フィールドには、外部システム情報と外部システム検出フィールドが含まれています。
|
mitreAttack |
この検出結果に関連する MITRE ATT&CK の戦術と手法。https://attack.mitre.org をご覧ください。 |
access |
検出結果に関連する詳細(呼び出し元の詳細、アクセスされた方法、アクセス元など)にアクセスします。 |
connections[] |
検出結果に関連付けられている IP 接続に関する情報が含まれます。 |
muteInitiator |
ミュート オペレーションに関する追加情報を記録します。たとえば、検出結果をミュートしたミュート設定や、検出結果をミュートしたユーザーなどです。 |
muteInfo |
出力専用。この検出結果に関するミュート情報。 |
processes[] |
検出結果に関連付けられているオペレーティング システムのプロセスを表します。 |
contacts |
出力専用。特定の検出結果の連絡先を含むマップ。キーは連絡先の種類を表し、値には関連するすべての連絡先のリストが含まれます。https://cloud.google.com/resource-manager/docs/managing-notification-contacts#notification-categories をご覧ください。
|
compliances[] |
検出結果に関連するセキュリティ標準のコンプライアンス情報が含まれます。 |
parentDisplayName |
出力専用。検出結果のソースの読み取り可能な表示名(「Event Threat Detection」や「Security Health Analytics」など)。 |
description |
検出結果の詳細が含まれます。 |
exfiltration |
検出結果に関連するエクスフィルトレーションを表します。 |
iamBindings[] |
検出結果に関連付けられた IAM バインディングを表します。 |
nextSteps |
検出結果に対処する手順。 |
moduleName |
検出結果を生成するモジュールの一意の識別子。例: folders/598186756061/securityHealthAnalyticsSettings/customModules/56799441161885 |
containers[] |
検出結果に関連付けられているコンテナ。このフィールドには、Kubernetes コンテナと Kubernetes 以外のコンテナの両方の情報が表示されます。 |
kubernetes |
検出結果に関連付けられている Kubernetes リソース。 |
database |
検出結果に関連付けられているデータベース。 |
attackExposure |
この検出結果に関連する攻撃パス シミュレーションの結果。 |
files[] |
検出結果に関連付けられたファイル。 |
cloudDlpInspection |
検出結果に関連付けられている Cloud Data Loss Prevention(Cloud DLP)検査結果。 |
cloudDlpDataProfile |
検出結果に関連付けられている Cloud DLP データ プロファイル。 |
kernelRootkit |
カーネル ルートキットの署名。 |
orgPolicies[] |
検出結果に関連付けられている組織のポリシーに関する情報が含まれます。 |
job |
検出結果に関連付けられたジョブ。 |
application |
検出結果に関連付けられているアプリケーションを表します。 |
ipRules |
検出結果に関連付けられている IP ルール。 |
backupDisasterRecovery |
バックアップと DR の検出結果に関連するフィールド。 |
securityPosture |
検出結果に関連するセキュリティ対策。 |
logEntries[] |
検出結果に関連するログエントリ。 |
loadBalancers[] |
検出結果に関連付けられているロードバランサ。 |
cloudArmor |
Cloud Armor の検出結果に関連するフィールド。 |
notebook |
検出結果に関連付けられているノートブック。 |
toxicCombination |
セキュリティ問題のグループに関する詳細情報が含まれます。これらの問題が同時に発生すると、個別に発生する場合よりもリスクが高くなります。このような問題のグループを有害な組み合わせと呼びます。このフィールドは更新できません。この値は、すべての更新リクエストで無視されます。 |
groupMemberships[] |
この検出結果がメンバーであるグループの詳細が含まれます。グループとは、なんらかの関連性を持つ検出結果の集合です。このフィールドは更新できません。この値は、すべての更新リクエストで無視されます。 |
disk |
検出結果に関連付けられているディスク。 |
dataAccessEvents[] |
検出結果に関連付けられているデータアクセス イベント。 |
dataFlowEvents[] |
検出結果に関連付けられているデータフロー イベント。 |
networks[] |
リソースが接続されている VPC ネットワークを表します。 |
dataRetentionDeletionEvents[] |
検出結果に関連付けられているデータ保持削除イベント。 |
州
検出結果の状態。
| 列挙型 | |
|---|---|
STATE_UNSPECIFIED |
未指定の状態 |
ACTIVE |
検出結果に注意を払う必要があり、まだ対処されていない。 |
INACTIVE |
検出結果が修正されたか、問題外として優先度が付けられたか、または他の方法で対処され、アクティブではなくなった。 |
セキュリティ マーク
親の Security Command Center リソースに適用されている、ユーザー指定のセキュリティ マーク。セキュリティ マークのスコープは Security Command Center の組織内です。組織に対して適切な権限を持つすべてのユーザーが、セキュリティ マークを変更および表示できます。
| JSON 表現 |
|---|
{ "name": string, "marks": { string: string, ... }, "canonicalName": string } |
| フィールド | |
|---|---|
name |
SecurityMarks の相対リソース名。https://cloud.google.com/apis/design/resource_names#relative_resource_name をご覧ください。例: "organizations/{organization_id}/assets/{asset_id}/securityMarks" "organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks"。 |
marks |
親リソースに属する、変更可能なユーザー指定のセキュリティ マーク。制約は次のとおりです。
|
canonicalName |
マークの正規名。例: "organizations/{organization_id}/assets/{asset_id}/securityMarks" "folders/{folder_id}/assets/{asset_id}/securityMarks" "projects/{project_number}/assets/{asset_id}/securityMarks" "organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks" "folders/{folder_id}/sources/{source_id}/findings/{findingId}/securityMarks" "projects/{project_number}/sources/{source_id}/findings/{findingId}/securityMarks" |
重大度
検出結果の重大度。
| 列挙型 | |
|---|---|
SEVERITY_UNSPECIFIED |
この値は、ソースが重大度値を書き込まない検出結果に使用されます。 |
CRITICAL |
脆弱性: 重大な脆弱性は外部行為者によって簡単に検出でき、悪用されると、任意のコードの実行、データの引き出し、クラウド リソースやワークロードに対する追加のアクセス権と権限の取得が直接可能になるおそれがあります。例としては、一般公開されている保護されていないユーザーデータや、パスワードが弱いかパスワードがない公開 SSH アクセスなどがあります。 脅威: 既存のリソース内でデータにアクセス、変更、削除を行うか、不正なコードを実行できる脅威を示します。 |
HIGH |
脆弱性: 高リスクの脆弱性は容易に検出でき、他の脆弱性と組み合わせて悪用されると、直接アクセスして任意のコードを実行するかデータを引き出して、クラウド リソースやワークロードに対する追加のアクセス権と権限が取得されるおそれがあります。たとえば、パスワードが弱いかパスワードがなく、内部でしかアクセスできないデータベースなどです。このデータベースは、内部ネットワークにアクセスできるアクターによって簡単に不正使用される可能性があります。 脅威: 環境内に新しいコンピューティング リソースを作成できるが、既存のリソースでデータにアクセスしたりコードを実行したりできない脅威を示します。 |
MEDIUM |
脆弱性: 中リスクの脆弱性は、アクターが悪用してリソースに対するアクセス権または特権を取得し、最終的には(複数のステップまたは複雑なエクスプロイトを通じて)アクセスして任意のコードの実行やデータの引き出しが可能になるおそれがあります。たとえば、必要以上に多くのプロジェクトにアクセスできるサービス アカウントなどです。攻撃者がサービス アカウントにアクセスできる場合、そのアクセス権を使用して、サービス アカウントが意図していないプロジェクトを操作する可能性があります。 脅威: 運用に影響を与える可能性のある脅威ですが、データへのアクセスや不正なコードの実行は行われない可能性があります。 |
LOW |
脆弱性: 低リスクの脆弱性は、セキュリティ組織がデプロイメントの脆弱性や有効な脅威を検出する際の妨げになる可能性があります。また、セキュリティ問題の根本原因の調査を妨げることもあります。たとえば、リソースの構成とアクセスについてモニタリングとログが無効になっている場合が該当します。 脅威: 環境に対する最小限の権限が盗まれますが、データへのアクセス、コードの実行、リソースの作成はできません。 |
ミュート
検出結果がミュートされる状態。
| 列挙型 | |
|---|---|
MUTE_UNSPECIFIED |
未設定。 |
MUTED |
検出結果がミュートされています。 |
UNMUTED |
検出結果のミュートが解除されました。 |
UNDEFINED |
検出結果がミュートまたはミュート解除されたことがない。 |
FindingClass
検出結果の種類を表します。
| 列挙型 | |
|---|---|
FINDING_CLASS_UNSPECIFIED |
検出クラスが指定されていません。 |
THREAT |
望ましくないアクティビティや悪意のあるアクティビティを記述します。 |
VULNERABILITY |
機密性、完全性、可用性のリスクを高めるソフトウェアの潜在的な弱点を説明します。 |
MISCONFIGURATION |
リスクを高めるクラウド リソース/アセット構成の潜在的な弱点を説明します。 |
OBSERVATION |
情報提供を目的としたセキュリティ検出結果を記述します。 |
SCC_ERROR |
SCC の一部の機能が使用できないエラーについて説明します。 |
POSTURE_VIOLATION |
セキュリティ対策の変更による潜在的なセキュリティ リスクについて説明します。 |
TOXIC_COMBINATION |
セキュリティ問題のグループを記述します。これらの問題が一緒に発生すると、問題が個別に発生する場合よりもリスクが高くなります。このような問題のグループを有害な組み合わせと呼びます。 |
SENSITIVE_DATA_RISK |
機密データを含むデータアセットに対する潜在的なセキュリティ リスクについて説明します。 |
インジケーター
コンピュータ フォレンジックで一般に侵害インジケーター(IoC)と呼ばれるものを表します。これは、ネットワークまたはオペレーティング システムで検出されたアーティファクトで、コンピュータ侵入を高い信頼性で示します。詳細については、侵害の兆候をご覧ください。
| JSON 表現 |
|---|
{
"ipAddresses": [
string
],
"domains": [
string
],
"signatures": [
{
object ( |
| フィールド | |
|---|---|
ipAddresses[] |
検出結果に関連付けられている IP アドレスのリスト。 |
domains[] |
検出結果に関連付けられているドメインのリスト。 |
signatures[] |
特定のプロセスが環境に存在することを示す、一致したシグネチャのリスト。 |
uris[] |
検出結果に関連付けられている URI のリスト。 |
ProcessSignature
このプロセスに一致したシグネチャを示します。
| JSON 表現 |
|---|
{ "signatureType": enum ( |
| フィールド | |
|---|---|
signatureType |
署名に関連付けられているリソースのタイプを記述します。 |
共用体フィールド
|
|
memoryHashSignature |
バイナリ ファミリーが一致したことを示すシグネチャ。 |
yaraRuleSignature |
YARA ルールが一致したことを示すシグネチャ。 |
MemoryHashSignature
メモリページのハッシュに対応するシグネチャ。
| JSON 表現 |
|---|
{
"binaryFamily": string,
"detections": [
{
object ( |
| フィールド | |
|---|---|
binaryFamily |
バイナリ ファミリー。 |
detections[] |
バイナリ ファミリーの一致に寄与したメモリハッシュ検出のリスト。 |
検出
バイナリ ファミリーの一致に貢献するメモリハッシュの検出。
| JSON 表現 |
|---|
{ "binary": string, "percentPagesMatched": number } |
| フィールド | |
|---|---|
binary |
メモリハッシュ シグネチャの検出に関連付けられているバイナリの名前。 |
percentPagesMatched |
シグネチャ内のメモリページ ハッシュのうち、一致したハッシュの割合。 |
YaraRuleSignature
YARA ルールに対応するシグネチャ。
| JSON 表現 |
|---|
{ "yaraRule": string } |
| フィールド | |
|---|---|
yaraRule |
YARA ルールの名前。 |
SignatureType
署名に関連付けることができるリソースタイプ。
| 列挙型 | |
|---|---|
SIGNATURE_TYPE_UNSPECIFIED |
デフォルトの署名タイプ。 |
SIGNATURE_TYPE_PROCESS |
プロセスに関する署名に使用されます。 |
SIGNATURE_TYPE_FILE |
ディスクに関する署名に使用されます。 |
脆弱性
一般的な脆弱性フィールド(cve、cvss、cwe など)を指します。
| JSON 表現 |
|---|
{ "cve": { object ( |
| フィールド | |
|---|---|
cve |
CVE は Common Vulnerabilities and Exposures の略です(https://cve.mitre.org/about/)。 |
offendingPackage |
問題のパッケージが検出結果に関連している。 |
fixedPackage |
修正済みのパッケージが検出結果に関連している。 |
securityBulletin |
セキュリティに関する公開情報がこの検出結果に関連している。 |
Cve
CVE は Common Vulnerabilities and Exposures の略です。この脆弱性に関する CVE レコードの情報。
| JSON 表現 |
|---|
{ "id": string, "references": [ { object ( |
| フィールド | |
|---|---|
id |
脆弱性の一意の識別子(例: CVE-2021-34527) |
references[] |
CVE に関する追加情報(例: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527) |
cvssv3 |
https://www.first.org/cvss/v3.1/specification-document で指定されている Common Vulnerability Scoring System について説明します。 |
upstreamFixAvailable |
CVE にアップストリームの修正が適用可能かどうか。 |
impact |
脆弱性が悪用された場合の潜在的な影響。 |
exploitationActivity |
実際の環境で脆弱性を悪用したアクティビティ。 |
observedInTheWild |
脆弱性が実際の環境で観察されたかどうか。 |
zeroDay |
検出結果が公開された時点で、脆弱性がゼロデイだったかどうか。 |
exploitReleaseDate |
一般公開された最初のエクスプロイトまたは PoC がリリースされた日付。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
firstExploitationDate |
最初に確認された悪用日。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
リファレンス
参考リンク
| JSON 表現 |
|---|
{ "source": string, "uri": string } |
| フィールド | |
|---|---|
source |
参照元(NVD など) |
uri |
記載されているソースの URI(例: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527)。 |
Cvssv3
Common Vulnerability Scoring System バージョン 3。
| JSON 表現 |
|---|
{ "baseScore": number, "attackVector": enum ( |
| フィールド | |
|---|---|
baseScore |
ベーススコアは、ベース指標スコアの関数です。 |
attackVector |
ベース指標 時間の経過やユーザー環境にかかわらず一定である脆弱性の固有の特性を表します。この指標は、脆弱性の悪用が可能なコンテキストを反映しています。 |
attackComplexity |
この指標は、脆弱性を悪用するために存在する必要がある、攻撃者の制御範囲外の条件を表します。 |
privilegesRequired |
この指標は、攻撃者が脆弱性を悪用するために必要な権限レベルを表します。 |
userInteraction |
この指標は、攻撃者以外の人間のユーザーが、脆弱なコンポーネントの不正使用に成功するために必要な要件をキャプチャします。 |
scope |
スコープ指標は、1 つの脆弱なコンポーネントの脆弱性が、そのセキュリティ スコープ外のコンポーネントのリソースに影響するかどうかをキャプチャします。 |
confidentialityImpact |
この指標は、脆弱性が悪用された場合に、ソフトウェア コンポーネントによって管理される情報リソースの機密性に及ぼす影響を測定します。 |
integrityImpact |
この指標は、悪用に成功した脆弱性の完全性への影響を測定します。 |
availabilityImpact |
この指標は、悪用された脆弱性によって影響を受けるコンポーネントの可用性への影響を測定します。 |
AttackVector
この指標は、脆弱性の悪用が可能なコンテキストを反映しています。
| 列挙型 | |
|---|---|
ATTACK_VECTOR_UNSPECIFIED |
値が無効です。 |
ATTACK_VECTOR_NETWORK |
脆弱なコンポーネントはネットワーク スタックにバインドされており、考えられる攻撃者の範囲は、以下に示す他のオプションを超えて、インターネット全体にまで広がります。 |
ATTACK_VECTOR_ADJACENT |
脆弱なコンポーネントはネットワーク スタックにバインドされていますが、攻撃はプロトコル レベルで論理的に隣接するトポロジに限定されます。 |
ATTACK_VECTOR_LOCAL |
脆弱なコンポーネントがネットワーク スタックにバインドされておらず、攻撃者のパスが読み取り/書き込み/実行機能経由である。 |
ATTACK_VECTOR_PHYSICAL |
この攻撃では、攻撃者が脆弱なコンポーネントに物理的に接触するか、操作する必要があります。 |
AttackComplexity
この指標は、脆弱性を悪用するために存在する必要がある、攻撃者の制御範囲外の条件を表します。
| 列挙型 | |
|---|---|
ATTACK_COMPLEXITY_UNSPECIFIED |
値が無効です。 |
ATTACK_COMPLEXITY_LOW |
特別なアクセス条件ややむを得ない事情はありません。攻撃者は、脆弱なコンポーネントを攻撃する際に、攻撃が繰り返されることを想定できます。 |
ATTACK_COMPLEXITY_HIGH |
攻撃が成功するかどうかは、攻撃者の制御を超えた条件によって異なります。つまり、攻撃が成功するかどうかは攻撃者の意志に左右されず、攻撃が成功する見込みがある場合は、攻撃者が脆弱なコンポーネントに対する準備や実行に一定の労力を費やす必要があります。 |
PrivilegesRequired
この指標は、攻撃者が脆弱性を悪用するために必要となる権限レベルを表します。
| 列挙型 | |
|---|---|
PRIVILEGES_REQUIRED_UNSPECIFIED |
値が無効です。 |
PRIVILEGES_REQUIRED_NONE |
攻撃者は攻撃前に不正なアクセス権を取得しているため、攻撃を実行するために脆弱なシステムの設定やファイルにアクセスする必要はありません。 |
PRIVILEGES_REQUIRED_LOW |
攻撃者は、通常はユーザーが所有する設定とファイルにのみ影響する基本的なユーザー機能を提供する権限が必要です。低い権限を持つ攻撃者は、機密性のないリソースにのみアクセスできます。 |
PRIVILEGES_REQUIRED_HIGH |
攻撃者は、脆弱なコンポーネントを大幅に制御(管理者権限など)できる権限を必要とし、コンポーネント全体の設定とファイルにアクセスできます。 |
UserInteraction
この指標は、攻撃者以外の人間のユーザーが、脆弱なコンポーネントの不正使用に成功するために必要な要件をキャプチャします。
| 列挙型 | |
|---|---|
USER_INTERACTION_UNSPECIFIED |
値が無効です。 |
USER_INTERACTION_NONE |
脆弱性のあるシステムは、ユーザーの操作なしで悪用される可能性があります。 |
USER_INTERACTION_REQUIRED |
この脆弱性を悪用するには、ユーザーが何らかの操作を行う必要があります。 |
範囲
スコープ指標は、1 つの脆弱なコンポーネントの脆弱性が、そのセキュリティ スコープ外のコンポーネントのリソースに影響するかどうかをキャプチャします。
| 列挙型 | |
|---|---|
SCOPE_UNSPECIFIED |
値が無効です。 |
SCOPE_UNCHANGED |
悪用された脆弱性は、同じセキュリティ システムによって管理されているリソースにのみ影響します。 |
SCOPE_CHANGED |
悪用された脆弱性は、脆弱なコンポーネントのセキュリティ コンテキストで管理されているセキュリティ スコープ外のリソースに影響する可能性があります。 |
影響
影響指標は、攻撃に最も直接的かつ予測可能な形で関連付けられている最悪の結果を被るコンポーネントに対する、悪用された脆弱性の効果を把握します。
| 列挙型 | |
|---|---|
IMPACT_UNSPECIFIED |
値が無効です。 |
IMPACT_HIGH |
大きい影響。 |
IMPACT_LOW |
小さい影響。 |
IMPACT_NONE |
影響なし。 |
RiskRating
脆弱性が悪用された場合の影響の値。
| 列挙型 | |
|---|---|
RISK_RATING_UNSPECIFIED |
値が無効であるか、空です。 |
LOW |
脆弱性利用型不正プログラムによるセキュリティへの影響はほとんどありません。 |
MEDIUM |
脆弱性利用型不正プログラムにより、攻撃者がアクティビティを実行したり、攻撃者が直接影響を与えたりすることが可能になる可能性があるが、追加の手順が必要になります。 |
HIGH |
脆弱性利用型不正プログラムにより、攻撃者は主要な緩和要因を克服することなく、重大な直接的な影響を及ぼすことが可能となります。 |
CRITICAL |
脆弱性利用型不正プログラムは、影響を受けるシステムのセキュリティを根本的に損なうため、攻撃者は最小限の労力で重大な攻撃を実行でき、克服すべき緩和要因がほとんどまたはまったくありません。 |
ExploitationActivity
実際の環境で脆弱性を悪用したアクティビティの値。
| 列挙型 | |
|---|---|
EXPLOITATION_ACTIVITY_UNSPECIFIED |
値が無効であるか、空です。 |
WIDE |
悪用が報告されているか、広範囲に発生していることが確認されています。 |
CONFIRMED |
報告または確認された悪用アクティビティは限定的です。 |
AVAILABLE |
エクスプロイトが一般公開されている。 |
ANTICIPATED |
既知の悪用アクティビティはありませんが、悪用される可能性が高いです。 |
NO_KNOWN |
既知の悪用アクティビティはありません。 |
パッケージ
Package はパッケージの一般的な定義です。
| JSON 表現 |
|---|
{ "packageName": string, "cpeUri": string, "packageType": string, "packageVersion": string } |
| フィールド | |
|---|---|
packageName |
脆弱性が検出されたパッケージの名前。 |
cpeUri |
脆弱性が検出された CPE URI。 |
packageType |
パッケージのタイプ(os、maven、go など)。 |
packageVersion |
パッケージのバージョン。 |
SecurityBulletin
SecurityBulletin は、Google プロダクトの脆弱性に関する通知です。
| JSON 表現 |
|---|
{ "bulletinId": string, "submissionTime": string, "suggestedUpgradeVersion": string } |
| フィールド | |
|---|---|
bulletinId |
脆弱性に対応する公開情報の ID。 |
submissionTime |
このセキュリティに関する公開情報の送信時間。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
suggestedUpgradeVersion |
これは、この通知を受信したクラスタを現在のバージョンに基づいてアップグレードする必要があるバージョンを表します。例: 1.15.0 |
ExternalSystem
SCC 内のサードパーティの SIEM/SOAR フィールドの表現。
| JSON 表現 |
|---|
{
"name": string,
"assignees": [
string
],
"externalUid": string,
"status": string,
"externalSystemUpdateTime": string,
"caseUri": string,
"casePriority": string,
"caseSla": string,
"caseCreateTime": string,
"caseCloseTime": string,
"ticketInfo": {
object ( |
| フィールド | |
|---|---|
name |
外部システムの完全なリソース名(例:「organizations/1234/sources/5678/findings/123456/externalSystems/jira」、「folders/1234/sources/5678/findings/123456/externalSystems/jira」、「projects/1234/sources/5678/findings/123456/externalSystems/jira」)。 |
assignees[] |
外部システムのプライマリ/セカンダリなどの割り当て先を参照します。 |
externalUid |
外部システムで検出結果に対応するケースを追跡するために使用される識別子。 |
status |
外部システムから報告された、検出結果に対応するケースの最新のステータス。 |
externalSystemUpdateTime |
外部システムから報告された、ケースが最後に更新された日時。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
caseUri |
外部システム内の検出結果に対応するケースへのリンク。 |
casePriority |
外部システムの検出結果に対応するケースの優先度。 |
caseSla |
外部システムの検出結果に対応するケースの SLA。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
caseCreateTime |
外部システムから報告されたケースの作成日時。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
caseCloseTime |
外部システムから報告されたケースのクローズ日時。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
ticketInfo |
この検出結果で特定された問題の解決状況を追跡するために使用されているチケットに関する情報(該当する場合)。 |
TicketInfo
この検出結果で特定された問題の解決状況を追跡するために使用されているチケットに関する情報(該当する場合)。
| JSON 表現 |
|---|
{ "id": string, "assignee": string, "description": string, "uri": string, "status": string, "updateTime": string } |
| フィールド | |
|---|---|
id |
チケット システム内のチケットの識別子。 |
assignee |
チケット システム内のチケットの割り当て先。 |
description |
チケット システム内のチケットの説明。 |
uri |
チケット システム内のチケットへのリンク。 |
status |
チケット システムから報告されたチケットの最新のステータス。 |
updateTime |
チケット システムから報告された、チケットが最後に更新された日時。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
MitreAttack
この検出結果に関連する MITRE ATT&CK の戦術と手法。https://attack.mitre.org をご覧ください。
| JSON 表現 |
|---|
{ "primaryTactic": enum ( |
| フィールド | |
|---|---|
primaryTactic |
この検出結果に最も近い MITRE ATT&CK の戦術(該当する場合)。 |
primaryTechniques[] |
この検出結果に最も近い MITRE ATT&CK 手法(該当する場合)。MITRE ATT&CK 手法には複数のレベルがあるため、primaryTechniques は繰り返しフィールドです。この検出結果で最もよく表される手法がサブ手法( |
additionalTactics[] |
この検出結果に関連するその他の MITRE ATT&CK の戦術(該当する場合)。 |
additionalTechniques[] |
この検出結果に関連するその他の MITRE ATT&CK 手法(存在する場合)と、それぞれの親手法。 |
version |
上記のフィールドで参照される MITRE ATT&CK のバージョン。例:「8」。 |
戦術
SCC の検出結果で参照できる MITRE ATT&CK の戦術。参照: https://attack.mitre.org/tactics/enterprise/
| 列挙型 | |
|---|---|
TACTIC_UNSPECIFIED |
未指定の値。 |
RECONNAISSANCE |
TA0043 |
RESOURCE_DEVELOPMENT |
TA0042 |
INITIAL_ACCESS |
TA0001 |
EXECUTION |
TA0002 |
PERSISTENCE |
TA0003 |
PRIVILEGE_ESCALATION |
TA0004 |
DEFENSE_EVASION |
TA0005 |
CREDENTIAL_ACCESS |
TA0006 |
DISCOVERY |
TA0007 |
LATERAL_MOVEMENT |
TA0008 |
COLLECTION |
TA0009 |
COMMAND_AND_CONTROL |
TA0011 |
EXFILTRATION |
TA0010 |
IMPACT |
TA0040 |
手法
SCC の検出結果で参照できる MITRE ATT&CK の手法。参照: https://attack.mitre.org/techniques/enterprise/
| 列挙型 | |
|---|---|
TECHNIQUE_UNSPECIFIED |
未指定の値。 |
AUTOMATED_EXFILTRATION |
T1020 |
MASQUERADING |
T1036 |
MATCH_LEGITIMATE_NAME_OR_LOCATION |
T1036.005 |
BOOT_OR_LOGON_INITIALIZATION_SCRIPTS |
T1037 |
STARTUP_ITEMS |
T1037.005 |
NETWORK_SERVICE_DISCOVERY |
T1046 |
PROCESS_DISCOVERY |
T1057 |
COMMAND_AND_SCRIPTING_INTERPRETER |
T1059 |
UNIX_SHELL |
T1059.004 |
PYTHON |
T1059.006 |
EXPLOITATION_FOR_PRIVILEGE_ESCALATION |
T1068 |
PERMISSION_GROUPS_DISCOVERY |
T1069 |
CLOUD_GROUPS |
T1069.003 |
INDICATOR_REMOVAL_FILE_DELETION |
T1070.004 |
APPLICATION_LAYER_PROTOCOL |
T1071 |
DNS |
T1071.004 |
SOFTWARE_DEPLOYMENT_TOOLS |
T1072 |
VALID_ACCOUNTS |
T1078 |
DEFAULT_ACCOUNTS |
T1078.001 |
LOCAL_ACCOUNTS |
T1078.003 |
CLOUD_ACCOUNTS |
T1078.004 |
PROXY |
T1090 |
EXTERNAL_PROXY |
T1090.002 |
MULTI_HOP_PROXY |
T1090.003 |
ACCOUNT_MANIPULATION |
T1098 |
ADDITIONAL_CLOUD_CREDENTIALS |
T1098.001 |
ADDITIONAL_CLOUD_ROLES |
T1098.003 |
SSH_AUTHORIZED_KEYS |
T1098.004 |
ADDITIONAL_CONTAINER_CLUSTER_ROLES |
T1098.006 |
INGRESS_TOOL_TRANSFER |
T1105 |
NATIVE_API |
T1106 |
BRUTE_FORCE |
T1110 |
SHARED_MODULES |
T1129 |
ACCESS_TOKEN_MANIPULATION |
T1134 |
TOKEN_IMPERSONATION_OR_THEFT |
T1134.001 |
EXPLOIT_PUBLIC_FACING_APPLICATION |
T1190 |
USER_EXECUTION |
T1204 |
DOMAIN_POLICY_MODIFICATION |
T1484 |
DATA_DESTRUCTION |
T1485 |
SERVICE_STOP |
T1489 |
INHIBIT_SYSTEM_RECOVERY |
T1490 |
RESOURCE_HIJACKING |
T1496 |
NETWORK_DENIAL_OF_SERVICE |
T1498 |
CLOUD_SERVICE_DISCOVERY |
T1526 |
STEAL_APPLICATION_ACCESS_TOKEN |
T1528 |
ACCOUNT_ACCESS_REMOVAL |
T1531 |
STEAL_WEB_SESSION_COOKIE |
T1539 |
CREATE_OR_MODIFY_SYSTEM_PROCESS |
T1543 |
EVENT_TRIGGERED_EXECUTION |
T1546 |
ABUSE_ELEVATION_CONTROL_MECHANISM |
T1548 |
UNSECURED_CREDENTIALS |
T1552 |
MODIFY_AUTHENTICATION_PROCESS |
T1556 |
IMPAIR_DEFENSES |
T1562 |
DISABLE_OR_MODIFY_TOOLS |
T1562.001 |
EXFILTRATION_OVER_WEB_SERVICE |
T1567 |
EXFILTRATION_TO_CLOUD_STORAGE |
T1567.002 |
DYNAMIC_RESOLUTION |
T1568 |
LATERAL_TOOL_TRANSFER |
T1570 |
MODIFY_CLOUD_COMPUTE_INFRASTRUCTURE |
T1578 |
CREATE_SNAPSHOT |
T1578.001 |
CLOUD_INFRASTRUCTURE_DISCOVERY |
T1580 |
OBTAIN_CAPABILITIES |
T1588 |
ACTIVE_SCANNING |
T1595 |
SCANNING_IP_BLOCKS |
T1595.001 |
CONTAINER_ADMINISTRATION_COMMAND |
T1609 |
DEPLOY_CONTAINER |
T1610 |
ESCAPE_TO_HOST |
T1611 |
CONTAINER_AND_RESOURCE_DISCOVERY |
T1613 |
STEAL_OR_FORGE_AUTHENTICATION_CERTIFICATES |
T1649 |
アクセス
アクセス イベントを表します。
| JSON 表現 |
|---|
{ "principalEmail": string, "callerIp": string, "callerIpGeo": { object ( |
| フィールド | |
|---|---|
principalEmail |
関連付けられたメールアドレス(「foo@google.com」など)。 認証されたユーザーのメールアドレス、またはリクエストを行うサードパーティ プリンシパルの代理で動作するサービス アカウントのメールアドレス。サードパーティ ID 呼び出し元の場合、このフィールドの代わりに |
callerIp |
呼び出し元の IP アドレス(「1.1.1.1」など)。 |
callerIpGeo |
呼び出し元の IP の位置情報。通話の発信元を特定します。 |
userAgentFamily |
検出結果に関連付けられているユーザー エージェントのタイプ。たとえば、オペレーティング システム シェル、組み込みアプリケーション、スタンドアロン アプリケーションなどです。 |
userAgent |
検出結果に関連付けられた呼び出し元のユーザー エージェント文字列。 |
serviceName |
サービス アカウントが呼び出した API サービス(「iam.googleapis.com」など) |
methodName |
サービス アカウントが呼び出したメソッド(「SetIamPolicy」など)。 |
principalSubject |
アイデンティティに関連付けられているプリンシパル サブジェクトを表す文字列。 |
serviceAccountKeyName |
リクエストを行ったサービス アカウントの認証時に、認証情報の作成または交換に使用されたサービス アカウント キーの名前。これはスキームのない URI の完全なリソース名です。次に例を示します。 「//iam.googleapis.com/projects/{PROJECT_ID}/serviceAccounts/{ACCOUNT}/keys/{key}」 |
serviceAccountDelegationInfo[] |
リクエストを行った認証済みサービス アカウントの ID 委任履歴。 |
userName |
ユーザー名を表す文字列。指定されたユーザー名は検出結果のタイプによって異なり、IAM プリンシパルではない可能性があります。たとえば、検出結果が仮想マシンに関連している場合はシステム ユーザー名、アプリケーションのログイン ユーザー名などになります。 |
位置情報
特定のアクセスの地理的位置を表します。
| JSON 表現 |
|---|
{ "regionCode": string } |
| フィールド | |
|---|---|
regionCode |
CLDR。 |
ServiceAccountDelegationInfo
認証されたサービス アカウントの ID 委任履歴。
| JSON 表現 |
|---|
{ "principalEmail": string, "principalSubject": string } |
| フィールド | |
|---|---|
principalEmail |
Google アカウントのメールアドレス。 |
principalSubject |
アイデンティティに関連付けられたプリンシパル サブジェクトを表す文字列。 |
接続
検出結果に関連付けられている IP 接続に関する情報が含まれます。
| JSON 表現 |
|---|
{
"destinationIp": string,
"destinationPort": integer,
"sourceIp": string,
"sourcePort": integer,
"protocol": enum ( |
| フィールド | |
|---|---|
destinationIp |
宛先 IP アドレス。リッスンしていて接続されていないソケットには存在しません。 |
destinationPort |
宛先ポート。リッスンしていて接続されていないソケットには存在しません。 |
sourceIp |
送信元 IP アドレス。 |
sourcePort |
ソースポート。 |
protocol |
IANA インターネット プロトコル番号(TCP(6)や UDP(17)など)。 |
プロトコル
IANA インターネット プロトコル番号(TCP(6)や UDP(17)など)。
| 列挙型 | |
|---|---|
PROTOCOL_UNSPECIFIED |
未指定のプロトコル(HOPOPT 以外)。 |
ICMP |
インターネット コントロール メッセージ プロトコル。 |
TCP |
Transmission Control Protocol。 |
UDP |
User Datagram Protocol。 |
GRE |
Generic Routing Encapsulation。 |
ESP |
カプセル化セキュリティ ペイロード。 |
MuteInfo
検出結果に関するミュート情報(検出結果に静的ミュートがあるかどうか、一致する動的ミュートルールが設定されているかどうかなど)。
| JSON 表現 |
|---|
{ "staticMute": { object ( |
| フィールド | |
|---|---|
staticMute |
設定されている場合、この検出結果に静的ミュートが適用されます。静的ミュートは動的ミュートをオーバーライドします。設定されていない場合、静的ミュートはありません。 |
dynamicMuteRecords[] |
現在検出結果に一致する動的ミュートルールのリスト。 |
StaticMute
静的ミュート状態に関する情報。静的ミュート状態は、この検出結果に適用される動的ミュートルールをオーバーライドします。静的ミュート状態は、静的ミュートルールによって設定することも、検出結果を直接ミュートすることで設定することもできます。
| JSON 表現 |
|---|
{
"state": enum ( |
| フィールド | |
|---|---|
state |
静的ミュート状態。値が |
applyTime |
静的ミュートが適用された日時。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
DynamicMuteRecord
検出結果に一致する動的ミュートルールのレコード。
| JSON 表現 |
|---|
{ "muteConfig": string, "matchTime": string } |
| フィールド | |
|---|---|
muteConfig |
このレコードを作成したミュートルールの相対リソース名(ミュート構成で表されます)。例: |
matchTime |
動的ミュート ルールが検出結果に最初に一致した日時。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
プロセス
オペレーティング システムのプロセスを表します。
| JSON 表現 |
|---|
{ "name": string, "binary": { object ( |
| フィールド | |
|---|---|
name |
|
binary |
プロセスの実行可能ファイルの情報。 |
libraries[] |
プロセスによって読み込まれたライブラリのファイル情報。 |
script |
プロセスがスクリプトの呼び出しを表す場合、 |
args[] |
引数を JSON エンコードされた文字列として処理します。 |
argumentsTruncated |
|
envVariables[] |
環境変数を処理します。 |
envVariablesTruncated |
|
pid |
プロセス ID。 |
parentPid |
親プロセス ID。 |
ファイル
実行可能ファイルで使用される関連するバイナリ/ライブラリ、またはスクリプト インタープリタで使用されるスクリプトに関するファイル情報
| JSON 表現 |
|---|
{
"path": string,
"size": string,
"sha256": string,
"hashedSize": string,
"partiallyHashed": boolean,
"contents": string,
"diskPath": {
object ( |
| フィールド | |
|---|---|
path |
ファイルの絶対パス(JSON エンコードされた文字列)。 |
size |
ファイルのサイズ(バイト単位)。 |
sha256 |
ファイルの最初の hashedSize バイトの SHA256 ハッシュ(16 進数文字列としてエンコード)。hashedSize == size の場合、sha256 はファイル全体の SHA256 ハッシュを表します。 |
hashedSize |
ハッシュ化されたファイル接頭辞の長さ(バイト単位)。hashedSize == size の場合、報告されるハッシュはファイル全体を表します。 |
partiallyHashed |
ハッシュがファイルの接頭辞のみをカバーする場合は true。 |
contents |
ファイルの内容の接頭辞(JSON エンコードされた文字列)。 |
diskPath |
基盤となるディスク/パーティション ID で表したファイルのパス。 |
DiskPath
基盤となるディスク/パーティション ID で表したファイルのパス。
| JSON 表現 |
|---|
{ "partitionUuid": string, "relativePath": string } |
| フィールド | |
|---|---|
partitionUuid |
パーティションの UUID(形式: https://wiki.archlinux.org/title/persistent_block_device_naming#by-uuid) |
relativePath |
パーティション内のファイルの相対パス(JSON エンコードされた文字列)。例: /home/user1/executable_file.sh |
EnvironmentVariable
オペレーティング システムのプロセスで使用される環境変数を表す名前と値のペア。
| JSON 表現 |
|---|
{ "name": string, "val": string } |
| フィールド | |
|---|---|
name |
JSON エンコードされた文字列としての環境変数名。 |
val |
JSON エンコードされた文字列としての環境変数値。 |
ContactDetails
特定の連絡先に関する詳細
| JSON 表現 |
|---|
{
"contacts": [
{
object ( |
| フィールド | |
|---|---|
contacts[] |
連絡先のリスト |
連絡先
連絡先のメールアドレス。
| JSON 表現 |
|---|
{ "email": string } |
| フィールド | |
|---|---|
email |
メールアドレス。例: |
コンプライアンス
満たされていない推奨事項を示すセキュリティ標準に関するコンプライアンス情報が含まれています。
| JSON 表現 |
|---|
{ "standard": string, "version": string, "ids": [ string ] } |
| フィールド | |
|---|---|
standard |
CIS、PCI、OWASP などの業界全体のコンプライアンス標準またはベンチマーク。 |
version |
標準またはベンチマークのバージョン(1.1 など) |
ids[] |
標準またはベンチマーク内のポリシー(A.12.4.1 など) |
データの引き出し
データの引き出しは、1 つ以上のソースから 1 つ以上のターゲットへのデータの引き出しの試行を表します。sources 属性には、漏洩したデータのソースが一覧表示されます。targets 属性には、データがコピーされた宛先が一覧表示されます。
| JSON 表現 |
|---|
{ "sources": [ { object ( |
| フィールド | |
|---|---|
sources[] |
ソースが複数ある場合、データはソース間で「結合」されていると見なされます。たとえば、BigQuery では複数のテーブルを結合できます。各テーブルはソースと見なされます。 |
targets[] |
ターゲットが複数ある場合、各ターゲットには「結合」されたソースデータの完全なコピーが送信されます。 |
totalExfiltratedBytes |
ジョブ全体で処理された抽出された合計バイト数。 |
ExfilResource
データが漏洩したリソースまたは漏洩先のリソース。
| JSON 表現 |
|---|
{ "name": string, "components": [ string ] } |
| フィールド | |
|---|---|
name |
リソースの完全なリソース名。 |
components[] |
抽出されたアセットのサブコンポーネント(抽出時に使用された URI、テーブル名、データベース、ファイル名など)。たとえば、同じ Cloud SQL インスタンスから複数のテーブルが漏洩している場合や、同じ Cloud Storage バケットから複数のファイルが漏洩している場合があります。 |
IamBinding
特定の IAM バインディングを表します。これは、メンバーのロール追加、削除、状態をキャプチャします。
| JSON 表現 |
|---|
{
"action": enum ( |
| フィールド | |
|---|---|
action |
バインディングで実行されたアクション。 |
role |
「メンバー」に割り当てるロール。たとえば、「roles/viewer」、「roles/editor」、「roles/owner」などです。 |
member |
Cloud Platform リソースへのアクセスをリクエストする単一の ID(「foo@google.com」など)。 |
アクション
ポリシーのバインディングに対して実行されるアクションのタイプ。
| 列挙型 | |
|---|---|
ACTION_UNSPECIFIED |
未設定。 |
ADD |
バインディングの追加。 |
REMOVE |
Binding の削除。 |
コンテナ
検出結果に関連付けられているコンテナ。
| JSON 表現 |
|---|
{
"name": string,
"uri": string,
"imageId": string,
"labels": [
{
object ( |
| フィールド | |
|---|---|
name |
コンテナの名前。 |
uri |
Pod またはコンテナの構成時に指定されたコンテナ イメージの URI。この文字列は、変更可能なタグを使用してコンテナ イメージのバージョンを識別できます。 |
imageId |
コンテナ ランタイムから提供された場合のコンテナ イメージ ID(省略可)。コンテナ イメージ ダイジェストを使用して起動されたコンテナ イメージを一意に識別します。 |
labels[] |
コンテナ ランタイムから提供されるコンテナラベル。 |
createTime |
コンテナが作成された時刻。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
ラベル
汎用の名前と値のラベルを表します。ラベルには、contains() 関数によるフィルタリングをサポートするために、名前フィールドと値フィールドが別々に用意されています。詳細については、配列型フィールドでのフィルタリングをご覧ください。
| JSON 表現 |
|---|
{ "name": string, "value": string } |
| フィールド | |
|---|---|
name |
ラベルの名前。 |
value |
ラベル名に対応する値。 |
Kubernetes
Kubernetes 関連の属性。
| JSON 表現 |
|---|
{ "pods": [ { object ( |
| フィールド | |
|---|---|
pods[] |
検出結果に関連付けられている Kubernetes Pod。このフィールドには、Pod が所有する各コンテナの Pod レコードが含まれます。 |
nodes[] |
Kubernetes ノード情報を提供します。 |
nodePools[] |
検出結果に関連付けられている GKE ノードプール。このフィールドには、利用可能な場合に、各ノードのノードプール情報が含まれます。 |
roles[] |
Role または ClusterRole に関連する検出結果の Kubernetes ロール情報を提供します。 |
bindings[] |
RoleBinding または ClusterRoleBinding に関連する検出結果の Kubernetes ロール バインディング情報を提供します。 |
accessReviews[] |
検出結果に関連する Kubernetes アクセス レビュー(権限チェック)に関する情報を提供します。 |
objects[] |
検出結果に関連する Kubernetes オブジェクト。 |
Pod
Kubernetes Pod。
| JSON 表現 |
|---|
{ "ns": string, "name": string, "labels": [ { object ( |
| フィールド | |
|---|---|
ns |
Kubernetes Pod の Namespace。 |
name |
Kubernetes Pod 名。 |
labels[] |
Pod ラベル。Kubernetes コンテナの場合、これらはコンテナに適用されます。 |
containers[] |
この検出結果に関連付けられている Pod コンテナ(存在する場合)。 |
ノード
検出結果に関連付けられている Kubernetes ノード。
| JSON 表現 |
|---|
{ "name": string } |
| フィールド | |
|---|---|
name |
クラスタノードを実行している Compute Engine VM の完全なリソース名。 |
ノードプール
GKE ノードプール情報を提供します。
| JSON 表現 |
|---|
{
"name": string,
"nodes": [
{
object ( |
| フィールド | |
|---|---|
name |
Kubernetes ノードプール名。 |
nodes[] |
検出結果に関連付けられているノード。 |
ロール
Kubernetes Role または ClusterRole。
| JSON 表現 |
|---|
{
"kind": enum ( |
| フィールド | |
|---|---|
kind |
ロールの種類。 |
ns |
ロールの名前空間。 |
name |
ロール名。 |
種類
Kubernetes ロールの種類。
| 列挙型 | |
|---|---|
KIND_UNSPECIFIED |
ロールのタイプが指定されていません。 |
ROLE |
Kubernetes ロール。 |
CLUSTER_ROLE |
Kubernetes ClusterRole。 |
バインディング
Kubernetes の RoleBinding または ClusterRoleBinding を表します。
| JSON 表現 |
|---|
{ "ns": string, "name": string, "role": { object ( |
| フィールド | |
|---|---|
ns |
バインディングの名前空間。 |
name |
バインディングの名前。 |
role |
バインディングが参照する Role または ClusterRole。 |
subjects[] |
ロールにバインドされている 1 つ以上のサブジェクトを表します。PATCH リクエストでは常に使用できるとは限りません。 |
件名
Kubernetes サブジェクトを表します。
| JSON 表現 |
|---|
{
"kind": enum ( |
| フィールド | |
|---|---|
kind |
サブジェクトの認証タイプ。 |
ns |
サブジェクトの名前空間。 |
name |
被写体の名前。 |
AuthType
サブジェクトの kind フィールドに使用できる認証タイプ。
| 列挙型 | |
|---|---|
AUTH_TYPE_UNSPECIFIED |
認証が指定されていません。 |
USER |
有効な証明書を持つユーザー。 |
SERVICEACCOUNT |
認証情報がシークレットとして保存され、Kubernetes API によって管理されるユーザー。 |
GROUP |
ユーザーのコレクション。 |
AccessReview
検出結果に関連する Kubernetes アクセス レビュー(kubectl auth
can-i コマンドで返されたものなど)に関する情報を提供します。
| JSON 表現 |
|---|
{ "group": string, "ns": string, "name": string, "resource": string, "subresource": string, "verb": string, "version": string } |
| フィールド | |
|---|---|
group |
リソースの API グループ。「*」はすべてを意味します。 |
ns |
リクエストされるアクションの名前空間。現在、Namespace が指定されていない場合とすべての Namespace を指定した場合の区別はありません。どちらも ""(空)で表されます。 |
name |
リクエストされたリソースの名前。空白の場合はすべてを意味します。 |
resource |
リクエストされたオプションのリソースタイプ。「*」はすべてを意味します。 |
subresource |
省略可能なサブリソース タイプ。 |
verb |
Kubernetes リソース API 動詞(get、list、watch、create、update、delete、proxy など)。「*」はすべてを意味します。 |
version |
リソースの API バージョン。「*」はすべてを意味します。 |
オブジェクト
検出結果に関連する Kubernetes オブジェクト。GKNN によって一意に識別されます。オブジェクトの Kind が Pod、Node、NodePool、Binding、AccessReview のいずれでない場合。
| JSON 表現 |
|---|
{
"group": string,
"kind": string,
"ns": string,
"name": string,
"containers": [
{
object ( |
| フィールド | |
|---|---|
group |
Kubernetes オブジェクト グループ(policy.k8s.io/v1 など)。 |
kind |
Kubernetes オブジェクトの種類(Namespace など)。 |
ns |
Kubernetes オブジェクトの Namespace。有効な DNS ラベルにする必要があります。C++ 名前空間キーワードとの競合を避けるため、「ns」という名前になっています。詳細については、https://kubernetes.io/docs/tasks/administer-cluster/namespaces/ をご覧ください。 |
name |
Kubernetes オブジェクト名。詳細については、https://kubernetes.io/docs/concepts/overview/working-with-objects/names/ をご覧ください。 |
containers[] |
この検出結果に関連付けられている Pod コンテナ(存在する場合)。 |
データベース
クエリなどのデータベース アクセス情報を表します。データベースは、インスタンスのサブリソース(Cloud SQL インスタンスや Cloud Spanner インスタンスの場合)またはデータベース インスタンス自体のいずれかです。Cloud SQL データベースなどのリソースタイプは Cloud Asset Inventory でまだサポートされていないため、一部のデータベース リソースにはリソースの完全な名前が入力されていない場合があります。この場合、表示名のみが提供されます。
| JSON 表現 |
|---|
{ "name": string, "displayName": string, "userName": string, "query": string, "grantees": [ string ], "version": string } |
| フィールド | |
|---|---|
name |
一部のデータベース リソースには、リソースの完全な名前が入力されていない場合があります。これは、これらのリソースタイプが Cloud Asset Inventory でまだサポートされていないためです(Cloud SQL データベースなど)。この場合、表示名のみが提供されます。ユーザーが接続したデータベースの完全なリソース名(Cloud Asset Inventory でサポートされている場合)。 |
displayName |
ユーザーが接続したデータベースの読み取り可能な名前。 |
userName |
データベースへの接続に使用するユーザー名。ユーザー名は IAM プリンシパルではなく、形式も設定されていません。 |
query |
データベース アクセスに関連付けられている SQL ステートメント。 |
grantees[] |
SQL 権限付与のターゲット ユーザー名、ロール、グループ。IAM ポリシーの変更ではありません。 |
version |
データベースのバージョン(POSTGRES_14 など)。全リストをご覧ください。 |
AttackExposure
攻撃の発生可能性には、攻撃パス シミュレーションの実行結果が含まれます。
| JSON 表現 |
|---|
{
"score": number,
"latestCalculationTime": string,
"attackExposureResult": string,
"state": enum ( |
| フィールド | |
|---|---|
score |
0(含む)~無限大の数値。この検出結果を修正する重要度を表します。スコアが高いほど、修正の重要度が高くなります。 |
latestCalculationTime |
この検出結果で攻撃の発生可能性が更新された最新の日時。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
attackExposureResult |
この攻撃の発生可能性スコアに関する詳細を含む、攻撃パス シミュレーションの結果のリソース名。例: |
state |
この AttackExposure の状態。攻撃の発生可能性の計算が行われたかどうかをキャプチャします。 |
exposedHighValueResourcesCount |
この検出結果によって公開された高価値リソースの数。 |
exposedMediumValueResourcesCount |
この検出結果によって公開された中程度の価値のリソースの数。 |
exposedLowValueResourcesCount |
この検出結果によって公開された高価値リソースの数。 |
州
この列挙型は、攻撃曝露が存在する可能性のあるさまざまな状態を定義します。
| 列挙型 | |
|---|---|
STATE_UNSPECIFIED |
状態は指定されていません。 |
CALCULATED |
攻撃の発生可能性が計算されました。 |
NOT_CALCULATED |
攻撃の発生可能性は計算されていません。 |
CloudDlpInspection
検出結果を生成する Cloud Data Loss Prevention(Cloud DLP)検査ジョブの詳細。
| JSON 表現 |
|---|
{ "inspectJob": string, "infoType": string, "infoTypeCount": string, "fullScan": boolean } |
| フィールド | |
|---|---|
inspectJob |
検査ジョブの名前(例: |
infoType |
検出された情報のタイプ(または infoType)( |
infoTypeCount |
Cloud DLP がこのジョブとリソース内でこの infoType を見つけた回数。 |
fullScan |
Cloud DLP がスキャンしたリソースが完全なものか、サンプルのサブセットか。 |
CloudDlpDataProfile
検出結果に関連付けられているデータ プロファイル。
| JSON 表現 |
|---|
{
"dataProfile": string,
"parentType": enum ( |
| フィールド | |
|---|---|
dataProfile |
データ プロファイルの名前(例: |
parentType |
データ プロファイルが生成されたリソース階層レベル。 |
ParentType
データ プロファイルの検出結果を生成する構成の親。
| 列挙型 | |
|---|---|
PARENT_TYPE_UNSPECIFIED |
親タイプが指定されていません。 |
ORGANIZATION |
組織レベルの構成。 |
PROJECT |
プロジェクト レベルの構成。 |
KernelRootkit
カーネルモード ルートキットのシグネチャ。
| JSON 表現 |
|---|
{ "name": string, "unexpectedCodeModification": boolean, "unexpectedReadOnlyDataModification": boolean, "unexpectedFtraceHandler": boolean, "unexpectedKprobeHandler": boolean, "unexpectedKernelCodePages": boolean, "unexpectedSystemCallHandler": boolean, "unexpectedInterruptHandler": boolean, "unexpectedProcessesInRunqueue": boolean } |
| フィールド | |
|---|---|
name |
ルートキット名(利用可能な場合)。 |
unexpectedCodeModification |
カーネルコード メモリで予期しない変更が発生している場合は true。 |
unexpectedReadOnlyDataModification |
カーネルの読み取り専用データメモリに予期しない変更が加えられている場合、true。 |
unexpectedFtraceHandler |
|
unexpectedKprobeHandler |
|
unexpectedKernelCodePages |
カーネルまたはモジュール コードに想定されているリージョンにないカーネルコード ページが存在する場合は true。 |
unexpectedSystemCallHandler |
カーネルまたはモジュール コードに想定されているリージョンに存在しないシステム呼び出しハンドラが存在する場合は true。 |
unexpectedInterruptHandler |
カーネルまたはモジュール コードに想定されているリージョンにない割り込みハンドラが存在する場合は true。 |
unexpectedProcessesInRunqueue |
スケジューラの実行キューに予期しないプロセスが存在する場合は true。このようなプロセスは実行キューには存在しますが、プロセスタスク リストには存在しません。 |
OrgPolicy
検出結果に関連付けられている組織のポリシーに関する情報が含まれます。
| JSON 表現 |
|---|
{ "name": string } |
| フィールド | |
|---|---|
name |
組織のポリシーのリソース名。例: "organizations/{organization_id}/policies/{constraint_name}" |
ジョブ
ジョブを記述します。
| JSON 表現 |
|---|
{
"name": string,
"state": enum ( |
| フィールド | |
|---|---|
name |
ジョブの完全修飾名(例: |
state |
出力専用。ジョブの状態( |
errorCode |
省略可。ジョブが正常に完了しなかった場合は、このフィールドにその理由が示されます。 |
location |
省略可。ジョブが実行されたロケーション( |
JobState
JobState はジョブの状態を表します。
| 列挙型 | |
|---|---|
JOB_STATE_UNSPECIFIED |
未指定は不明な状態を表し、使用しないでください。 |
PENDING |
ジョブはスケジュールされ、実行待ちです |
RUNNING |
進行中のジョブ |
SUCCEEDED |
ジョブは正常に完了しました |
FAILED |
ジョブは完了したが失敗した |
アプリケーション
検出結果に関連付けられたアプリケーションを表します。
| JSON 表現 |
|---|
{ "baseUri": string, "fullUri": string } |
| フィールド | |
|---|---|
baseUri |
脆弱性が検出されたアプリケーションのネットワーク ロケーションを識別するベース URI。例: |
fullUri |
脆弱性の再現に使用できるペイロードを含む完全な URI。例: |
IpRules
検出結果に関連付けられている IP ルール。
| JSON 表現 |
|---|
{ "direction": enum ( |
| フィールド | |
|---|---|
direction |
ルールが適用される方向(上りまたは下り)。 |
sourceIpRanges[] |
送信元 IP 範囲が指定されている場合、ファイアウォール ルールは、これらの範囲内の送信元 IP アドレスを持つトラフィックにのみ適用されます。これらの範囲は CIDR 形式で表す必要があります。IPv4 のみをサポートします。 |
destinationIpRanges[] |
宛先 IP 範囲が指定されている場合、ファイアウォール ルールは、これらの範囲内の宛先 IP アドレスを持つトラフィックにのみ適用されます。これらの範囲は CIDR 形式で表す必要があります。IPv4 のみをサポートします。 |
exposedServices[] |
開いているポートによって公開されるネットワーク プロトコル サービスの名前(FTP など)。https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml で確認できる命名規則に従います。 |
共用体フィールド rules。このファイアウォールで指定された許可ルールのリスト。各ルールには、許可された接続を記述するプロトコルとポート範囲のタプルを指定します。rules は次のいずれかになります。 |
|
allowed |
許可されたルールを含むタプル。 |
denied |
拒否されたルールを含むタプル。 |
方向
ルールが適用される方向のタイプ(上り(内向き)または下り(外向き)のいずれか)。OPEN_X_PORT の検出結果には適用されません。
| 列挙型 | |
|---|---|
DIRECTION_UNSPECIFIED |
指定されていない方向の値。 |
INGRESS |
上り(内向き)方向の値。 |
EGRESS |
下り(外向き)の方向の値。 |
許可
許可される IP ルール。
| JSON 表現 |
|---|
{
"ipRules": [
{
object ( |
| フィールド | |
|---|---|
ipRules[] |
省略可。許可される IP ルールのリスト(省略可)。 |
IpRule
IP ルール情報。
| JSON 表現 |
|---|
{
"protocol": string,
"portRanges": [
{
object ( |
| フィールド | |
|---|---|
protocol |
このルールが適用される IP プロトコル。この値は、次のよく知られたプロトコル文字列(TCP、UDP、ICMP、ESP、AH、IPIP、SCTP)のいずれか、または整数値の文字列表現のいずれかです。 |
portRanges[] |
省略可。このルールが適用されるポートのリスト(省略可)。このフィールドは、UDP または(S)TCP プロトコルにのみ適用されます。各エントリは、整数または最小ポート番号と最大ポート番号を含む範囲である必要があります。 |
PortRange
最小値と最大値を含むポート範囲。値は 0 ~ 2^16-1 です。最大値は最小値と同じか、それより大きい値にする必要があります。min と max が等しい場合は、単一のポートであることを示します。
| JSON 表現 |
|---|
{ "min": string, "max": string } |
| フィールド | |
|---|---|
min |
最小ポート値。 |
max |
最大ポート値。 |
拒否
拒否される IP ルール。
| JSON 表現 |
|---|
{
"ipRules": [
{
object ( |
| フィールド | |
|---|---|
ipRules[] |
省略可。拒否された IP ルールのリスト(省略可)。 |
BackupDisasterRecovery
Google Cloud バックアップと DR サービスの検出結果に関する情報。
| JSON 表現 |
|---|
{ "backupTemplate": string, "policies": [ string ], "host": string, "applications": [ string ], "storagePool": string, "policyOptions": [ string ], "profile": string, "appliance": string, "backupType": string, "backupCreateTime": string } |
| フィールド | |
|---|---|
backupTemplate |
1 つ以上のバックアップ ポリシーで構成されるバックアップと DR テンプレートの名前。詳細については、バックアップと DR のドキュメントをご覧ください。例: |
policies[] |
テンプレートに関連付けられ、バックアップの実行タイミング、バックアップの実行頻度、バックアップ イメージの保持期間を定義する Backup and DR ポリシーの名前。例: |
host |
バックアップと DR ホストの名前。バックアップとリカバリ アプライアンスによって管理され、管理コンソールに認識されています。ホストのタイプは、汎用(Compute Engine、SQL Server、Oracle DB、SMB ファイル システムなど)、vCenter、または ESX サーバーのいずれかです。詳細については、ホストのバックアップと DR のドキュメントをご覧ください。例: |
applications[] |
バックアップと DR のアプリケーションの名前。アプリケーションは、バックアップとリカバリ アプライアンスによってモニタリングされるマネージド ホスト上の VM、データベース、ファイル システムです。例: |
storagePool |
バックアップとリカバリ アプライアンスがデータを保存している Backup and DR ストレージ プールの名前。ストレージ プールのタイプは、Cloud、プライマリ、スナップショット、OnVault のいずれかです。ストレージ プールに関するバックアップと DR のドキュメントをご覧ください。例: |
policyOptions[] |
アプリケーションに適用されるポリシーのバックアップと DR の詳細なポリシー オプションの名前。ポリシー オプションに関するバックアップと DR のドキュメントをご覧ください。例: |
profile |
アプリケーションと VM データのバックアップ用のストレージ メディアを指定する Backup and DR リソース プロファイルの名前。プロファイルに関する Backup and DR のドキュメントをご覧ください。例: |
appliance |
バックアップ データのライフサイクルをキャプチャ、移動、管理するバックアップと DR アプライアンスの名前。例: |
backupType |
Backup and DR イメージのバックアップ タイプ。例: |
backupCreateTime |
Backup and DR バックアップが作成されたときのタイムスタンプ。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
SecurityPosture
Security Command Center の Posture Management サービスによって Google Cloud にデプロイされるポスチャーを表します。対策には 1 つ以上のポリシーセットが含まれます。ポリシーセットは、Google Cloud にセキュリティ ルールのセットを適用するポリシーのグループです。
| JSON 表現 |
|---|
{
"name": string,
"revisionId": string,
"postureDeploymentResource": string,
"postureDeployment": string,
"changedPolicy": string,
"policySet": string,
"policy": string,
"policyDriftDetails": [
{
object ( |
| フィールド | |
|---|---|
name |
姿勢の名前(例: |
revisionId |
ポーズのバージョン( |
postureDeploymentResource |
対策がデプロイされているプロジェクト、フォルダ、または組織( |
postureDeployment |
対策のデプロイの名前(例: |
changedPolicy |
更新するポリシーの名前(例: |
policySet |
更新されたポリシーセットの名前(例: |
policy |
更新されたポリシーの ID(例: |
policyDriftDetails[] |
デプロイされた対策に違反する更新されたポリシーの変更の詳細。 |
PolicyDriftDetails
デプロイされたポスチャに違反しているポリシー フィールドと、その期待値と検出された値。
| JSON 表現 |
|---|
{ "field": string, "expectedValue": string, "detectedValue": string } |
| フィールド | |
|---|---|
field |
更新するフィールドの名前(例: constraint.implementation.policy_rules[0].enforce) |
expectedValue |
ポーズで構成されたこのフィールドの値( |
detectedValue |
デプロイされたポスチャに違反する検出された値( |
LogEntry
ログ内の個々のエントリ。
| JSON 表現 |
|---|
{ // Union field |
| フィールド | |
|---|---|
共用体フィールド
|
|
cloudLoggingEntry |
Cloud Logging に保存されているログ内の個々のエントリ。 |
CloudLoggingEntry
Cloud Logging LogEntry から取得したメタデータ
| JSON 表現 |
|---|
{ "insertId": string, "logId": string, "resourceContainer": string, "timestamp": string } |
| フィールド | |
|---|---|
insertId |
ログエントリの一意の識別子。 |
logId |
ログのタイプ( |
resourceContainer |
このログエントリを生成したモニタリング対象リソースの組織、フォルダ、またはプロジェクト。 |
timestamp |
ログエントリが表すイベントの発生日時。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
LoadBalancer
検出結果に関連付けられているロードバランサに関する情報が含まれます。
| JSON 表現 |
|---|
{ "name": string } |
| フィールド | |
|---|---|
name |
検出結果に関連付けられているロードバランサの名前。 |
CloudArmor
Google Cloud Armor の検出結果に関連するフィールド。
| JSON 表現 |
|---|
{ "securityPolicy": { object ( |
| フィールド | |
|---|---|
securityPolicy |
検出結果に関連する Google Cloud Armor セキュリティ ポリシーに関する情報。 |
requests |
Google Cloud Armor セキュリティ ポリシーによって評価された受信リクエストに関する情報。 |
adaptiveProtection |
Google Cloud Armor 適応型保護によって検出された潜在的なレイヤ 7 DDoS 攻撃に関する情報。 |
attack |
DDoS 攻撃の量と分類に関する情報。 |
threatVector |
ボリューム型 DDoS 攻撃とプロトコル DDoS 攻撃とアプリケーション レイヤ攻撃を区別します。たとえば、レイヤ 3 とレイヤ 4 の DDoS 攻撃の場合は「L3_4」、レイヤ 7 の DDoS 攻撃の場合は「L_7」です。 |
duration |
攻撃の開始から現在の時点までの時間(5 分ごとに更新)。
|
SecurityPolicy
検出結果に関連する Google Cloud Armor セキュリティ ポリシーに関する情報。
| JSON 表現 |
|---|
{ "name": string, "type": string, "preview": boolean } |
| フィールド | |
|---|---|
name |
Google Cloud Armor セキュリティ ポリシーの名前(my-security-policy など)。 |
type |
Google Cloud Armor セキュリティ ポリシーのタイプ(「バックエンド セキュリティ ポリシー」、「エッジ セキュリティ ポリシー」、「ネットワーク エッジ セキュリティ ポリシー」、「常時オンの DDoS 対策」など)。 |
preview |
関連付けられているルールまたはポリシーがプレビュー モードかどうか。 |
リクエスト
検出結果に関連するリクエストに関する情報。
| JSON 表現 |
|---|
{ "ratio": number, "shortTermAllowed": integer, "longTermAllowed": integer, "longTermDenied": integer } |
| フィールド | |
|---|---|
ratio |
[拒否率の増加] の比率は、拒否されたトラフィックを許可されたトラフィックに割った値です。[許可されたトラフィックの急増] の場合、この比率は短期間の許可されたトラフィックを長期間の許可されたトラフィックで除算したものです。 |
shortTermAllowed |
短期的に許可される RPS(リクエスト数/秒)。 |
longTermAllowed |
長期にわたって許可される RPS(リクエスト数/秒)。 |
longTermDenied |
長期にわたる拒否された RPS(リクエスト数/秒)。 |
AdaptiveProtection
Google Cloud Armor 適応型保護に関する情報。
| JSON 表現 |
|---|
{ "confidence": number } |
| フィールド | |
|---|---|
confidence |
スコアが 0 の場合、検出されたイベントが実際の攻撃である可能性は低いことを意味します。スコアが 1 の場合、検出されたイベントが攻撃である可能性が高いことを意味します。詳細については、適応型保護のドキュメントをご覧ください。 |
攻撃
DDoS 攻撃の量と分類に関する情報。
| JSON 表現 |
|---|
{ "volumePpsLong": string, "volumeBpsLong": string, "classification": string, "volumePps": integer, "volumeBps": integer } |
| フィールド | |
|---|---|
volumePpsLong |
攻撃の合計 PPS(パケット数/秒)。 |
volumeBpsLong |
攻撃の合計 BPS(1 秒あたりのバイト数)。 |
classification |
攻撃の種類(「SYN-flood」、「NTP-udp」、「CHARGEN-udp」など)。 |
volumePps |
攻撃の合計 PPS(パケット数 / 秒)。非推奨 - 代わりに volumePpsLong を使用してください。 |
volumeBps |
攻撃の合計 BPS(1 秒あたりのバイト数)。非推奨 - 代わりに volumeBpsLong を使用してください。 |
ノートブック
検出結果に関連付けられている Jupyter ノートブック IPYNB ファイル(Colab Enterprise ノートブック ファイルなど)を表します。
| JSON 表現 |
|---|
{ "name": string, "service": string, "lastAuthor": string, "notebookUpdateTime": string } |
| フィールド | |
|---|---|
name |
ノートブックの名前。 |
service |
ソース ノートブック サービス(「Colab Enterprise」など)。 |
lastAuthor |
ノートブックを最後に変更した作成者のユーザー ID。 |
notebookUpdateTime |
ノートブックが最後に更新された時刻。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
ToxicCombination
セキュリティ問題のグループに関する詳細情報が含まれます。これらの問題が同時に発生すると、個別に発生する場合よりもリスクが高くなります。このような問題のグループを有害な組み合わせと呼びます。
| JSON 表現 |
|---|
{ "attackExposureScore": number, "relatedFindings": [ string ] } |
| フィールド | |
|---|---|
attackExposureScore |
この有害な組み合わせの攻撃の発生可能性スコア。このスコアは、この有害な組み合わせによって 1 つ以上の高価値リソースが潜在的な攻撃にどの程度露出されるかを示す尺度です。 |
relatedFindings[] |
この有害な組み合わせに関連付けられている検出結果のリソース名のリスト。例: |
GroupMembership
この検出結果がメンバーであるグループの詳細が含まれます。グループとは、なんらかの関連性を持つ検出結果の集まりです。
| JSON 表現 |
|---|
{
"groupType": enum ( |
| フィールド | |
|---|---|
groupType |
グループのタイプ。 |
groupId |
グループの ID。 |
GroupType
グループのタイプ。
| 列挙型 | |
|---|---|
GROUP_TYPE_UNSPECIFIED |
デフォルト値。 |
GROUP_TYPE_TOXIC_COMBINATION |
グループは有害な組み合わせを表します。 |
ディスク
検出結果に関連付けられているディスクに関する情報が含まれます。
| JSON 表現 |
|---|
{ "name": string } |
| フィールド | |
|---|---|
name |
ディスクの名前(例: https://www.googleapis.com/compute/v1/projects/{project-id}/zones/{zone-id}/disks/{disk-id})。 |
DataAccessEvent
該当するデータ セキュリティ ポリシーで承認されていないプリンシパルが行ったデータアクセスの試行に関する詳細。
| JSON 表現 |
|---|
{
"eventId": string,
"principalEmail": string,
"operation": enum ( |
| フィールド | |
|---|---|
eventId |
データアクセス イベントの一意の識別子。 |
principalEmail |
データにアクセスしたプリンシパルのメールアドレス。プリンシパルは、ユーザー アカウント、サービス アカウント、Google グループなどです。 |
operation |
プリンシパルがデータにアクセスするために実行するオペレーション。 |
eventTime |
データアクセス イベントのタイムスタンプ。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
オペレーション
データアクセス イベントのオペレーション。
| 列挙型 | |
|---|---|
OPERATION_UNSPECIFIED |
オペレーションは指定されていません。 |
READ |
読み取りオペレーションを表します。 |
MOVE |
移動オペレーションを表します。 |
COPY |
コピー オペレーションを表します。 |
DataFlowEvent
データ フロー イベントの詳細。該当するデータ セキュリティ ポリシーで定義されているように、データが準拠していない位置情報に移動されたか、または準拠していない位置情報からアクセスされたイベントです。
| JSON 表現 |
|---|
{
"eventId": string,
"principalEmail": string,
"operation": enum ( |
| フィールド | |
|---|---|
eventId |
データフロー イベントの一意の識別子。 |
principalEmail |
データフロー イベントを開始したプリンシパルのメールアドレス。プリンシパルは、ユーザー アカウント、サービス アカウント、Google グループなどです。 |
operation |
データ フロー イベントのプリンシパルが実行するオペレーション。 |
violatedLocation |
プリンシパルまたはデータの宛先がポリシーに準拠していない。 |
eventTime |
データフロー イベントのタイムスタンプ。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
オペレーション
データ フロー イベントのオペレーション。
| 列挙型 | |
|---|---|
OPERATION_UNSPECIFIED |
オペレーションは指定されていません。 |
READ |
読み取りオペレーションを表します。 |
MOVE |
移動オペレーションを表します。 |
COPY |
コピー オペレーションを表します。 |
ネットワーク
検出結果に関連付けられている VPC ネットワークに関する情報が含まれています。
| JSON 表現 |
|---|
{ "name": string } |
| フィールド | |
|---|---|
name |
VPC ネットワーク リソースの名前( |
DataRetentionDeletionEvent
データ保持削除違反の詳細。該当するデータ セキュリティ ポリシーで定義されている保持期間または削除期間に基づいて、データがポリシーに準拠していない場合。データ保持削除(DRD)制御は、DSPM(データ セキュリティ対策管理)スイートの制御です。これにより、組織は GDPR や CRPA などの規制に準拠してデータ保持と削除のポリシーを管理できます。DRD は、最大保存期間(最大 TTL)と最小保存期間(最小 TTL)の 2 つの主要なポリシータイプをサポートしています。どちらも、組織が規制とデータ管理のコミットメントを果たすのを支援することを目的としています。
| JSON 表現 |
|---|
{
"eventDetectionTime": string,
"dataObjectCount": string,
"maxRetentionAllowed": string,
"eventType": enum ( |
| フィールド | |
|---|---|
eventDetectionTime |
イベントが検出された日時を示すタイムスタンプ。 RFC 3339 を使用します。生成された出力は常に Z 正規化され、小数点以下は 0、3、6、または 9 桁になります。「Z」以外のオフセットも使用できます。例: |
dataObjectCount |
このリソースのポリシーに違反したオブジェクトの数。数が 1,000 未満の場合、このフィールドの値は正確な数値です。ポリシーに違反したオブジェクトの数が 1,000 以上の場合、このフィールドの値は 1, 000 です。 |
maxRetentionAllowed |
DRD コントロールで許可される保持期間の最大値。これは、ユーザーがデータの最大 TTL を設定する DRD コントロールによるものです。たとえば、ユーザーが Cloud Storage バケットの最大 TTL を 90 日間に設定したとします。ただし、そのバケット内のオブジェクトは 100 日経過しています。この場合、その Cloud Storage バケットに対して DataRetentionDeletionEvent が生成され、maxRetentionAllowed は 90 日になります。
|
eventType |
DRD イベントのタイプ。 |
EventType
DRD イベントのタイプ。
| 列挙型 | |
|---|---|
EVENT_TYPE_UNSPECIFIED |
イベントタイプの指定なし。 |
EVENT_TYPE_MAX_TTL_EXCEEDED |
最大保持時間が超過しました。 |
メソッド |
|
|---|---|
|
検出結果を作成します。 |
|
組織またはソースの検出結果をフィルタし、指定したプロパティでグループ化します。 |
|
組織またはソースの検出結果を一覧表示します。 |
|
検出結果を作成または更新します。 |
|
検出結果のミュート状態を更新します。 |
|
検出結果の状態を更新します。 |
|
セキュリティ マークを更新します。 |