REST Resource: organizations.sources.findings

string

Der relative Ressourcenname des Ergebnisses. Beispiel: „organizations/{organization_id}/sources/{source_id}/findings/{findingId}“, „folders/{folder_id}/sources/{source_id}/findings/{findingId}“, „projects/{projectId}/sources/{source_id}/findings/{findingId}“.

string

Der relative Ressourcenname der Quelle, zu der der Hinweis gehört. Weitere Informationen finden Sie unter https://cloud.google.com/apis/design/resource_names#relative_resource_name. Dieses Feld ist nach der Erstellung unveränderlich. Beispiel: „organizations/{organization_id}/sources/{source_id}“

string

Bei Ergebnissen zu Google Cloud-Ressourcen der vollständige Ressourcenname der Google Cloud-Ressource, auf die sich das Ergebnis bezieht. Weitere Informationen finden Sie unter https://cloud.google.com/apis/design/resource_names#full_resource_name. Wenn sich der Hinweis auf eine nicht zu Google Cloud gehörende Ressource bezieht, kann „resourceName“ ein von einem Kunden oder Partner definierter String sein. Dieses Feld ist nach der Erstellung unveränderlich.

enum (State)

Der Status des Befunds.

string

Die zusätzliche Taxonomiegruppe in den Ergebnissen einer bestimmten Quelle. Dieses Feld ist nach der Erstellung unveränderlich. Beispiel: „XSS_FLASH_INJECTION“

string

Der URI, der gegebenenfalls auf eine Webseite außerhalb von Security Command Center verweist, auf der zusätzliche Informationen zum Ergebnis zu finden sind. Dieses Feld ist garantiert entweder leer oder eine korrekt formatierte URL.

map (key: string, value: value (Value format))

Quellspezifische Properties. Diese Eigenschaften werden von der Quelle verwaltet, die den Hinweis schreibt. Die Schlüsselnamen in der Zuordnung „sourceProperties“ müssen zwischen 1 und 255 Zeichen lang sein und mit einem Buchstaben beginnen. Sie dürfen nur alphanumerische Zeichen oder Unterstriche enthalten.

Ein Objekt, das eine Liste von "key": value-Paaren enthält. Beispiel: { "name": "wrench", "mass": "1.3kg", "count": "3" }.

object (SecurityMarks)

Nur Ausgabe. Vom Nutzer angegebene Sicherheitsmarkierungen. Diese Markierungen werden vollständig vom Nutzer verwaltet und stammen aus der SecurityMarks-Ressource, die zum Ergebnis gehört.

string (Timestamp format)

Der Zeitpunkt, zu dem das Ergebnis zum ersten Mal erfasst wurde. Wenn ein vorhandenes Ergebnis aktualisiert wird, ist dies der Zeitpunkt, zu dem die Aktualisierung stattgefunden hat. Wenn das Ergebnis beispielsweise eine offene Firewall darstellt, erfasst diese Property den Zeitpunkt, zu dem der Detektor der Meinung ist, dass die Firewall geöffnet ist. Die Genauigkeit wird vom Detektor bestimmt. Wenn das Ergebnis später behoben wird, gibt dieser Zeitpunkt an, wann das Ergebnis behoben wurde. Dieser Wert darf nicht höher als der aktuelle Zeitstempel sein.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string (Timestamp format)

Die Zeit, zu der das Ergebnis im Security Command Center erstellt wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

enum (Severity)

den Schweregrad des Ergebnisses. Dieses Feld wird von der Quelle verwaltet, die den Befund schreibt.

string

Der kanonische Name des Ergebnisses. Je nach dem CRM-Übergeordneten der Ressource, die mit dem Ergebnis verknüpft ist, ist dies entweder „organizations/{organization_id}/sources/{source_id}/findings/{findingId}“, „folders/{folder_id}/sources/{source_id}/findings/{findingId}“ oder „projects/{project_number}/sources/{source_id}/findings/{findingId}“.

enum (Mute)

Gibt den Ausblendungsstatus eines Ergebnisses an (entweder „Ausgeblendet“, „Aktiviert“ oder „Undefiniert“). Im Gegensatz zu anderen Attributen eines Ergebnisses sollte der Anbieter des Ergebnisses den Wert „Ausblenden“ nicht festlegen.

enum (FindingClass)

Die Klasse des Ergebnisses.

object (Indicator)

Stellt das dar, was in der Computerforensik als Kompromittierungsindikator (IoC) bezeichnet wird. Ein Artefakt, das in einem Netzwerk oder in einem Betriebssystem beobachtet wird und mit hoher Wahrscheinlichkeit auf einen Computereinbruch hinweist. Weitere Informationen finden Sie unter Indikator für eine Manipulation.

object (Vulnerability)

Stellt sicherheitslückespezifische Felder wie CVE- und CVSS-Werte dar. CVE steht für „Common Vulnerabilities and Exposures“ (https://cve.mitre.org/about/).

string (Timestamp format)

Nur Ausgabe. Das Datum und die Uhrzeit, zu dem dieses Ergebnis zuletzt ausgeblendet oder wieder eingeblendet wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

map (key: string, value: object (ExternalSystem))

Nur Ausgabe. SIEM-/SOAR-Felder von Drittanbietern im SCC, die Informationen zu externen Systemen und Felder für externe Systemfunde enthalten.

Ein Objekt, das eine Liste von "key": value-Paaren enthält. Beispiel: { "name": "wrench", "mass": "1.3kg", "count": "3" }.

object (MitreAttack)

MITRE ATT&CK-Taktiken und ‑Techniken, die sich auf diese Feststellung beziehen. Siehe: https://attack.mitre.org

object (Access)

Sie können auf Details zu dem Ergebnis zugreifen, z. B. weitere Informationen zum Anrufer, auf welche Methode zugegriffen wurde und von wo aus.

object (Connection)

Enthält Informationen zur IP-Verbindung, die mit dem Ergebnis verknüpft ist.

string

Hier werden zusätzliche Informationen zum Stummschalten aufgezeichnet, z. B. die Stummschaltungskonfiguration, mit der der Befund stummgeschaltet wurde, und der Nutzer, der den Befund stummgeschaltet hat.

object (MuteInfo)

Nur Ausgabe. Informationen zum Ausblenden dieses Ergebnisses.

object (Process)

Stellt Betriebssystemprozesse dar, die mit dem Ergebnis verknüpft sind.

map (key: string, value: object (ContactDetails))

Nur Ausgabe. Karte mit den Kontaktstellen für die jeweilige Feststellung. Der Schlüssel steht für die Art des Kontakts, während der Wert eine Liste aller zugehörigen Kontakte enthält. Weitere Informationen finden Sie unter https://cloud.google.com/resource-manager/docs/managing-notification-contacts#notification-categories.

{
  "security": {
    "contacts": [
      {
        "email": "person1@company.com"
      },
      {
        "email": "person2@company.com"
      }
    ]
  }
}

Ein Objekt, das eine Liste von "key": value-Paaren enthält. Beispiel: { "name": "wrench", "mass": "1.3kg", "count": "3" }.

object (Compliance)

Enthält Compliance-Informationen zu Sicherheitsstandards, die mit dem Ergebnis verknüpft sind.

string

Nur Ausgabe. Der visuell lesbare Anzeigename der Quelle der Ergebnisse, z. B. „Bedrohungserkennung“ oder „Security Health Analytics“.

string

Enthält weitere Details zum Ergebnis.

object (Exfiltration)

Stellt Datenexfiltrationen dar, die mit dem Ergebnis in Verbindung stehen.

object (IamBinding)

Stellt IAM-Bindungen dar, die mit dem Ergebnis verknüpft sind.

string

Schritte zur Behebung des Problems.

string

Die eindeutige Kennung des Moduls, das das Ergebnis generiert hat. Beispiel: folders/598186756061/securityHealthAnalyticsSettings/customModules/56799441161885

object (Container)

Container, die mit dem Ergebnis verknüpft sind. Dieses Feld enthält Informationen sowohl für Kubernetes- als auch für Nicht-Kubernetes-Container.

object (Kubernetes)

Kubernetes-Ressourcen, die mit dem Ergebnis verknüpft sind.

object (Database)

Datenbank, die mit dem Ergebnis verknüpft ist.

object (AttackExposure)

Die Ergebnisse einer Angriffspfadsimulation, die für diese Erkenntnis relevant sind.

object (File)

Datei, die mit dem Ergebnis verknüpft ist.

object (CloudDlpInspection)

Ergebnisse der Cloud Data Loss Prevention (Cloud DLP)-Inspektion, die mit dem Ergebnis verknüpft sind.

object (CloudDlpDataProfile)

Cloud DLP-Datenprofil, das dem Ergebnis zugeordnet ist.

object (KernelRootkit)

Signatur des Kernel-Rootkits.

object (OrgPolicy)

Enthält Informationen zu den mit dem Ergebnis verknüpften Richtlinien der Organisation.

object (Job)

Die mit dem Ergebnis verknüpfte Stelle.

object (Application)

Stellt eine Anwendung dar, die mit dem Ergebnis verknüpft ist.

object (IpRules)

IP-Regeln, die mit dem Ergebnis verknüpft sind.

object (BackupDisasterRecovery)

Felder im Zusammenhang mit Ergebnissen für Sicherung und Notfallwiederherstellung

object (SecurityPosture)

Der mit dem Ergebnis verbundene Sicherheitsstatus.

object (LogEntry)

Logeinträge, die für die Erkenntnis relevant sind.

object (LoadBalancer)

Die mit dem Ergebnis verknüpften Load Balancer.

object (CloudArmor)

Felder zu Cloud Armor-Ergebnissen.

object (Notebook)

Das mit dem Ergebnis verknüpfte Notebook.

object (ToxicCombination)

Enthält Details zu einer Gruppe von Sicherheitsproblemen, die bei gleichzeitigem Auftreten ein größeres Risiko darstellen als bei unabhängigem Auftreten. Eine Gruppe solcher Probleme wird als toxische Kombination bezeichnet. Dieses Feld kann nicht aktualisiert werden. Der Wert wird in allen Aktualisierungsanfragen ignoriert.

object (GroupMembership)

Enthält Details zu den Gruppen, zu denen diese Information gehört. Eine Gruppe besteht aus einer Reihe von Ergebnissen, die in gewisser Weise zusammenhängen. Dieses Feld kann nicht aktualisiert werden. Der Wert wird in allen Aktualisierungsanfragen ignoriert.

object (Disk)

Laufwerk, das mit dem Ergebnis verknüpft ist.

object (DataAccessEvent)

Datenzugriffsereignisse, die mit dem Ergebnis verknüpft sind.

object (DataFlowEvent)

Datenflussereignisse, die mit dem Ergebnis verknüpft sind.

object (Network)

Stellt die VPC-Netzwerke dar, mit denen die Ressource verbunden ist.

object (DataRetentionDeletionEvent)

Löschereignisse für die Datenaufbewahrung, die mit dem Ergebnis verknüpft sind.

string

Der relative Ressourcenname der Sicherheitskennzeichen. Weitere Informationen finden Sie unter https://cloud.google.com/apis/design/resource_names#relative_resource_name. Beispiele: „organizations/{organization_id}/assets/{asset_id}/securityMarks“ und „organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks“.

map (key: string, value: string)

Veränderliche, vom Nutzer angegebene Sicherheitskennzeichen, die zur übergeordneten Ressource gehören. Es gelten folgende Einschränkungen:

• Bei Schlüsseln und Werten wird die Groß- und Kleinschreibung nicht berücksichtigt.
• Schlüssel müssen zwischen 1 und 256 Zeichen (einschließlich) lang sein.
• Schlüssel müssen Buchstaben, Ziffern, Unterstriche oder Bindestriche enthalten
• Anführende und abschließende Leerzeichen werden aus den Werten entfernt. Die verbleibenden Zeichen müssen zwischen 1 und 4.096 Zeichen (einschließlich) lang sein.

Ein Objekt, das eine Liste von "key": value-Paaren enthält. Beispiel: { "name": "wrench", "mass": "1.3kg", "count": "3" }.

string

Der kanonische Name der Marken. Beispiele: „organizations/{organization_id}/assets/{asset_id}/securityMarks“ „folders/{folder_id}/assets/{asset_id}/securityMarks“ „projects/{project_number}/assets/{asset_id}/securityMarks“ „organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks“ „folders/{folder_id}/sources/{source_id}/findings/{findingId}/securityMarks“ „projects/{project_number}/sources/{source_id}/findings/{findingId}/securityMarks“

string

Die Liste der IP-Adressen, die mit dem Ergebnis verknüpft sind.

string

Liste der Domains, die mit dem Ergebnis verknüpft sind.

object (ProcessSignature)

Die Liste der übereinstimmenden Signaturen, die angibt, dass der angegebene Prozess in der Umgebung vorhanden ist.

string

Die Liste der URIs, die mit den Ergebnissen verknüpft sind.

enum (SignatureType)

Gibt den Ressourcentyp an, der mit der Signatur verknüpft ist.

object (MemoryHashSignature)

Signatur, die angibt, dass eine Binärfamilie übereinstimmt.

object (YaraRuleSignature)

Signatur, die angibt, dass eine YARA-Regel übereinstimmt hat.

string

Die Binärfamilie.

object (Detection)

Die Liste der Speicher-Hash-Erkennungen, die zur Übereinstimmung der Binärfamilie beitragen.

string

Der Name des Binärprogramms, das mit der Erkennung von Speicher-Hash-Signaturen verknüpft ist.

number

Der Prozentsatz der Speicherseiten-Hashes in der Signatur, die übereinstimmten.

string

Der Name der YARA-Regel.

object (Cve)

CVE steht für „Common Vulnerabilities and Exposures“ (https://cve.mitre.org/about/).

object (Package)

Das betreffende Paket ist für das Ergebnis relevant.

object (Package)

Das korrigierte Paket ist für den Befund relevant.

object (SecurityBulletin)

Das Sicherheitsbulletin ist für diese Erkenntnis relevant.

string

Die eindeutige Kennung für die Sicherheitslücke, z. B.CVE-2021-34527.

object (Reference)

Weitere Informationen zur CVE, z. B. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527

object (Cvssv3)

Beschreiben Sie das Common Vulnerability Scoring System, das unter https://www.first.org/cvss/v3.1/specification-document beschrieben ist.

boolean

Gibt an, ob eine Upstream-Korrektur für das CVE verfügbar ist.

enum (RiskRating)

Die potenziellen Auswirkungen der Sicherheitslücke, falls sie ausgenutzt werden sollte.

enum (ExploitationActivity)

Die derzeit beobachteten Ausnutzungsaktivitäten der Sicherheitslücke.

boolean

Gibt an, ob die Sicherheitslücke bereits ausgenutzt wurde.

boolean

Gibt an, ob die Sicherheitslücke zum Zeitpunkt der Veröffentlichung des Ergebnisses eine Zero-Day-Lücke war.

string (Timestamp format)

Datum, an dem der erste öffentlich verfügbare Exploit oder PoC veröffentlicht wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string (Timestamp format)

Datum der frühesten bekannten Ausnutzung.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string

Quelle der Referenz, z.B. NVD

string

URI für die genannte Quelle, z.B. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527.

number

Der Basiswert ist eine Funktion der Basismesswert-Bewertungen.

enum (AttackVector)

Basismesswerte: Die inhärenten Merkmale einer Sicherheitslücke, die im Zeitverlauf und in verschiedenen Nutzerumgebungen konstant sind. Dieser Messwert gibt Aufschluss über den Kontext, in dem die Ausnutzung von Sicherheitslücken möglich ist.

enum (AttackComplexity)

Dieser Messwert beschreibt die Bedingungen, die außerhalb der Kontrolle des Angreifers liegen und erfüllt sein müssen, damit die Sicherheitslücke ausgenutzt werden kann.

enum (PrivilegesRequired)

Dieser Messwert beschreibt die Berechtigungsstufe, die ein Angreifer haben muss, um die Sicherheitslücke erfolgreich auszunutzen.

enum (UserInteraction)

Dieser Messwert gibt an, ob ein menschlicher Nutzer, der nicht der Angreifer ist, an der erfolgreichen Manipulation der angreifbaren Komponente beteiligt sein muss.

enum (Scope)

Der Messwert „Umfang“ gibt an, ob sich eine Sicherheitslücke in einer angreifbaren Komponente auf Ressourcen in Komponenten außerhalb des Sicherheitsbereichs auswirkt.

enum (Impact)

Dieser Messwert misst die Auswirkungen auf die Vertraulichkeit der von einer Softwarekomponente verwalteten Informationsressourcen aufgrund einer erfolgreich ausgenutzten Sicherheitslücke.

enum (Impact)

Dieser Messwert misst die Auswirkungen auf die Integrität einer erfolgreich ausgenutzten Sicherheitslücke.

enum (Impact)

Dieser Messwert gibt Aufschluss über die Auswirkungen auf die Verfügbarkeit der betroffenen Komponente, die durch eine erfolgreich ausgenutzte Sicherheitslücke verursacht wurden.

string

Der Name des Pakets, in dem die Sicherheitslücke erkannt wurde.

string

Die CPE-URI, unter der die Sicherheitslücke erkannt wurde.

string

Pakettyp, z. B. „os“, „maven“ oder „go“.

string

Die Version des Pakets.

string

Die ID des Bulletins, das der Sicherheitslücke entspricht.

string (Timestamp format)

Datum und Uhrzeit der Einreichung dieses Sicherheitsbulletins.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string

Dies ist die Version, auf die der Cluster, der diese Benachrichtigung erhält, basierend auf seiner aktuellen Version aktualisiert werden sollte. Beispiel: 1.15.0

string

Vollständiger Ressourcenname des externen Systems, z. B. „organizations/1234/sources/5678/findings/123456/externalSystems/jira“, „folders/1234/sources/5678/findings/123456/externalSystems/jira“ oder „projects/1234/sources/5678/findings/123456/externalSystems/jira“

string

Verweise auf primäre/sekundäre usw. Bearbeiter im externen System.

string

Die Kennung, mit der der Fall der Feststellung im externen System verfolgt wird.

string

Der aktuelle Status des entsprechenden Falls der Feststellung, wie vom externen System gemeldet.

string (Timestamp format)

Die Uhrzeit, zu der der Fall laut externem System zuletzt aktualisiert wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string

Der Link zum entsprechenden Fall des Ergebnisses im externen System.

string

Die Priorität der Anfrage, die dem Ergebnis im externen System zugeordnet ist.

string (Timestamp format)

Das SLA des entsprechenden Falls der Feststellung im externen System.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string (Timestamp format)

Die Uhrzeit, zu der der Fall erstellt wurde, wie vom externen System angegeben.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string (Timestamp format)

Die Uhrzeit, zu der der Fall gemäß dem externen System geschlossen wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

object (TicketInfo)

Informationen zum Ticket, falls vorhanden, mit dem die Behebung des durch diese Feststellung identifizierten Problems verfolgt wird.

string

Die Kennung des Tickets im Ticketsystem.

string

Die Person, die im Ticketsystem als zuständige Person für das Ticket festgelegt ist.

string

Die Beschreibung des Tickets im Ticketsystem.

string

Der Link zum Ticket im Ticketsystem.

string

Der aktuelle Status des Tickets, wie vom Ticketsystem gemeldet.

string (Timestamp format)

Die Uhrzeit, zu der das Ticket laut Ticketsystem zuletzt aktualisiert wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

enum (Tactic)

Die MITRE ATT&CK-Taktik, die diesem Ergebnis am ehesten entspricht, sofern zutreffend.

enum (Technique)

Die MITRE ATT&CK-Technik, die diesem Ergebnis am ehesten entspricht, falls zutreffend. „primaryTechniques“ ist ein wiederholtes Feld, da es mehrere Ebenen von MITRE ATT&CK-Techniken gibt. Wenn die Technik, die durch diesen Befund am besten dargestellt wird, eine untergeordnete Technik ist (z.B. SCANNING_IP_BLOCKS), werden sowohl die untergeordnete Technik als auch die übergeordneten Techniken aufgeführt (z.B. SCANNING_IP_BLOCKS, ACTIVE_SCANNING).

enum (Tactic)

Zusätzliche MITRE ATT&CK-Taktiken, die sich auf diese Erkenntnis beziehen, falls zutreffend.

enum (Technique)

Zusätzliche MITRE ATT&CK-Techniken, die sich auf diese Erkenntnis beziehen, falls zutreffend, sowie alle zugehörigen übergeordneten Techniken.

string

Die MITRE ATT&CK-Version, auf die in den obigen Feldern verwiesen wird. Beispiel: „8“.

string

Die zugehörige E-Mail-Adresse, z. B. „foo@google.com“.

Die E-Mail-Adresse des authentifizierten Nutzers oder eines Dienstkontos, das im Namen eines Drittanbieters, der die Anfrage stellt, handelt. Bei Identitätsaufrufen von Drittanbietern wird anstelle dieses Felds das Feld principalSubject ausgefüllt. Aus Datenschutzgründen wird die Haupt-E-Mail-Adresse manchmal entfernt. Weitere Informationen finden Sie unter Aufruferidentitäten in Audit-Logs.

string

IP-Adresse des Anrufers, z. B. „1.1.1.1“.

object (Geolocation)

Die Geolokalisierung der IP-Adresse des Anrufers, die angibt, woher der Anruf stammt.

string

Der User-Agent-Typ, der mit der Feststellung verknüpft ist. Beispiel: eine Betriebssystem-Shell oder eine eingebettete oder eigenständige Anwendung.

string

Der User-Agent-String des Anrufers, der mit dem Ergebnis verknüpft ist.

string

Dies ist der API-Dienst, auf den das Dienstkonto einen Aufruf gesendet hat, z. B. „iam.googleapis.com“.

string

Die Methode, die vom Dienstkonto aufgerufen wurde, z.B. „SetIamPolicy“.

string

Ein String, der das Hauptsubjekt darstellt, das mit der Identität verknüpft ist. Im Gegensatz zu principalEmail unterstützt principalSubject Principals, die nicht mit E-Mail-Adressen verknüpft sind, z. B. Principals von Drittanbietern. Bei den meisten Identitäten ist das Format principal://iam.googleapis.com/{identity pool name}/subject/{subject}. Für einige GKE-Identitäten wie GKE_WORKLOAD, FREEFORM und GKE_HUB_WORKLOAD wird weiterhin das alte Format serviceAccount:{identity pool name}[{subject}] verwendet.

string

Der Name des Dienstkontoschlüssels, der zum Erstellen oder Austauschen von Anmeldedaten bei der Authentifizierung des Dienstkontos verwendet wurde, das die Anfrage gestellt hat. Dies ist ein vollständiger Ressourcenname ohne Schema. Beispiel:

„//iam.googleapis.com/projects/{PROJECT_ID}/serviceAccounts/{ACCOUNT}/keys/{key}“.

object (ServiceAccountDelegationInfo)

Der Identitätsdelegierungsverlauf eines authentifizierten Dienstkontos, das die Anfrage gestellt hat. Das serviceAccountDelegationInfo[]-Objekt enthält Informationen zu den tatsächlichen Autoritäten, die versuchen, über die Delegierung an ein Dienstkonto auf Google Cloud-Ressourcen zuzugreifen. Wenn mehrere Autoritäten vorhanden sind, werden sie garantiert gemäß der ursprünglichen Reihenfolge der Identitätsdelegierungsereignisse sortiert.

string

Ein String, der einen Nutzernamen darstellt. Der angegebene Nutzername hängt vom Typ des Ergebnisses ab und ist wahrscheinlich kein IAM-Hauptkonto. Dies kann beispielsweise ein Systemnutzername sein, wenn sich der Hinweis auf eine virtuelle Maschine bezieht, oder ein Anmeldename für eine Anwendung.

string

CLDR

string

Die E-Mail-Adresse eines Google-Kontos.

string

Ein String, der den mit der Identität verknüpften principalSubject darstellt. Im Vergleich zu principalEmail werden hier auch Hauptberechtigte unterstützt, die nicht mit E-Mail-Adressen verknüpft sind, z. B. Hauptberechtigte von Drittanbietern. Für die meisten Identitäten ist das Format principal://iam.googleapis.com/{identity pool name}/subjects/{subject}, mit Ausnahme einiger GKE-Identitäten (GKE_WORKLOAD, FREEFORM, GKE_HUB_WORKLOAD), die noch im alten Format serviceAccount:{identity pool name}[{subject}] vorliegen.

string

IP-Adresse des Ziels. Nicht vorhanden für Sockets, die warten und nicht verbunden sind.

integer

Zielport. Nicht vorhanden für Sockets, die warten und nicht verbunden sind.

string

IP-Adresse der Quelle.

integer

Quellport.

enum (Protocol)

IANA-Internetprotokollnummer wie TCP(6) und UDP(17).

object (StaticMute)

Wenn diese Option festgelegt ist, wird die statische Ausblendung auf dieses Ergebnis angewendet. Statische Ausblendungen überschreiben dynamische Ausblendungen. Wenn sie nicht festgelegt ist, wird die Funktion „Stummschalten“ nicht verwendet.

object (DynamicMuteRecord)

Die Liste der dynamischen Ausblendungsregeln, die derzeit mit dem Ergebnis übereinstimmen.

enum (Mute)

Der statische Ausblendungsstatus. Wenn der Wert MUTED oder UNMUTED ist, hat der Gesamtstummschaltungsstatus des Ergebnisses denselben Wert.

string (Timestamp format)

Wann die statische Stummschaltung angewendet wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string

Der relative Ressourcenname der Stummschaltungsregel, die durch eine Stummschaltungskonfiguration erstellt wurde, z. B. organizations/123/muteConfigs/mymuteconfig oder organizations/123/locations/global/muteConfigs/mymuteconfig.

string (Timestamp format)

Der Zeitpunkt, zu dem die dynamische Ausblendungsregel zum ersten Mal mit dem Ergebnis übereinstimmte.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string

Der Prozessname, wie er in Dienstprogrammen wie top und ps angezeigt wird. Auf diesen Namen kann über /proc/[pid]/comm zugegriffen und er mit prctl(PR_SET_NAME) geändert werden.

object (File)

Dateiinformationen für die ausführbare Datei des Prozesses.

object (File)

Dateiinformationen für vom Prozess geladene Bibliotheken.

object (File)

Wenn der Prozess den Aufruf eines Scripts darstellt, enthält binary Informationen zum Interpreter, während script Informationen zur Scriptdatei enthält, die dem Interpreter bereitgestellt wird.

string

Argumente als JSON-codierte Strings verarbeiten.

boolean

„Wahr“, wenn args unvollständig ist.

object (EnvironmentVariable)

Umgebungsvariablen verarbeiten

boolean

„Wahr“, wenn envVariables unvollständig ist.

string (int64 format)

Die Prozess-ID.

string (int64 format)

Die ID des übergeordneten Prozesses.

string

Absoluter Pfad der Datei als JSON-codierter String.

string (int64 format)

Größe der Datei in Byte.

string

SHA256-Hash der ersten hashedSize Byte der Datei, codiert als Hexadezimalstring. Wenn hashedSize == size, stellt sha256 den SHA256-Hash der gesamten Datei dar.

string (int64 format)

Die Länge in Byte des gehashten Dateipräfixes. Wenn hashedSize == size, beziehen sich alle gemeldeten Hash-Werte auf die gesamte Datei.

boolean

„Wahr“, wenn der Hash nur ein Präfix der Datei abdeckt.

string

Präfix des Dateiinhalts als JSON-codierter String.

object (DiskPath)

Pfad der Datei in Bezug auf die zugrunde liegenden Laufwerk-/Partitions-IDs.

string

UUID der Partition (Format https://wiki.archlinux.org/title/persistent_block_device_naming#by-uuid)

string

Relativer Pfad der Datei in der Partition als JSON-codierter String. Beispiel: /home/user1/executable_file.sh

string

Name der Umgebungsvariablen als JSON-codierter String.

string

Wert der Umgebungsvariablen als JSON-codierter String.

object (Contact)

Eine Liste mit Kontakten

string

Eine E-Mail-Adresse. Beispiel: „person123@company.com“.

string

Branchenweite Compliance-Standards oder -Benchmarks wie CIS, PCI und OWASP

string

Version des Standards oder Benchmarks, z. B. 1.1

string

Richtlinien im Standard oder Benchmark, z. B. A.12.4.1

object (ExfilResource)

Bei mehreren Quellen werden die Daten als „zusammengeführt“ betrachtet. In BigQuery können beispielsweise mehrere Tabellen zusammengeführt werden. Jede Tabelle wird dann als Quelle betrachtet.

object (ExfilResource)

Bei mehreren Zielen erhält jedes Ziel eine vollständige Kopie der zusammengeführten Quelldaten.

string (int64 format)

Gesamtzahl der exfiltrierten Byte, die für den gesamten Job verarbeitet wurden.

string

Der vollständige Ressourcenname der Ressource.

string

Unterkomponenten des Assets, das ausgeschleust wurde, z. B. URIs, die bei der Ausschleusung verwendet wurden, Tabellennamen, Datenbanken und Dateinamen. Beispielsweise wurden möglicherweise mehrere Tabellen aus derselben Cloud SQL-Instanz oder mehrere Dateien aus demselben Cloud Storage-Bucket extrahiert.

enum (Action)

Die Aktion, die für eine Bindung ausgeführt wurde.

string

Rolle, die „Mitgliedern“ zugewiesen ist. Beispiel: „roles/viewer“, „roles/editor“ oder „roles/owner“.

string

Eine einzelne Identität, die Zugriff auf eine Cloud-Plattform-Ressource anfordert, z. B. „foo@google.com“.

string

Name des Containers.

string

Der URI des Container-Images, der beim Konfigurieren eines Pods oder Containers angegeben wurde. Mit diesem String kann eine Container-Image-Version mithilfe von beweglichen Tags identifiziert werden.

string

Optionale Container-Image-ID, sofern von der Containerlaufzeit bereitgestellt. Identifiziert eindeutig das Container-Image, das mit einem Container-Image-Digest gestartet wurde.

object (Label)

Containerlabels, die von der Containerlaufzeit bereitgestellt werden.

string (Timestamp format)

Der Zeitpunkt, zu dem der Container erstellt wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string

Name des Labels.

string

Wert, der dem Namen des Labels entspricht.

object (Pod)

Mit der Feststellung verknüpfte Kubernetes-Pods Dieses Feld enthält Pod-Einträge für jeden Container, dessen Eigentümer ein Pod ist.

object (Node)

Bietet Informationen zu Kubernetes-Knoten.

object (NodePool)

GKE-Knotenpools, die mit der Feststellung verknüpft sind. Dieses Feld enthält Informationen zum Knotenpool für jeden Knoten, sofern verfügbar.

object (Role)

Bietet Informationen zu Kubernetes-Rollen für Ergebnisse, die Rollen oder ClusterRoles betreffen.

object (Binding)

Bietet Informationen zu Kubernetes-Rollenzuweisungen für Ergebnisse, die RoleBindings oder ClusterRoleBindings betreffen.

object (AccessReview)

Enthält Informationen zu allen für die Feststellung relevanten Kubernetes-Zugriffsüberprüfungen (Berechtigungsprüfungen).

object (Object)

Kubernetes-Objekte, die sich auf den Befund beziehen.

string

Kubernetes-Pod-Namespace.

string

Name des Kubernetes-Pods.

object (Label)

Pod-Labels Bei Kubernetes-Containern werden sie auf den Container angewendet.

object (Container)

Pod-Container, die mit diesem Ergebnis verknüpft sind, falls vorhanden.

string

Vollständiger Ressourcenname der Compute Engine-VM, auf der der Clusterknoten ausgeführt wird.

string

Name des Kubernetes-Knotenpools.

object (Node)

Knoten, die mit dem Ergebnis verknüpft sind.

enum (Kind)

Rollentyp.

string

Rollen-Namespace.

string

Rollenname.

string

Namespace für die Bindung.

string

Name für die Bindung.

object (Role)

Die Rolle oder ClusterRole, auf die in der Bindung verwiesen wird.

object (Subject)

Stellt eine oder mehrere Subjekte dar, die an die Rolle gebunden sind. Nicht immer für PATCH-Anfragen verfügbar.

enum (AuthType)

Authentifizierungstyp für das Subjekt.

string

Namespace für das Thema.

string

Name für das Fach.

string

Die API-Gruppe der Ressource. „*“ steht für „alle“.

string

Namespace der angeforderten Aktion. Derzeit wird nicht zwischen keinem Namespace und allen Namespaces unterschieden. Beide werden durch „"" (leer) dargestellt.

string

Der Name der angeforderten Ressource. Ein leeres Feld bedeutet „alle“.

string

Der optionale angeforderte Ressourcentyp. „*“ steht für „alle“.

string

Der optionale Unterressourcentyp.

string

Ein Kubernetes-Ressourcen-API-Verb wie „get“, „list“, „watch“, „create“, „update“, „delete“ oder „proxy“. „*“ steht für „alle“.

string

Die API-Version der Ressource. „*“ steht für „alle“.

string

Kubernetes-Objektgruppe, z. B. „policy.k8s.io/v1“.

string

Kubernetes-Objekttyp, z. B. „Namespace“.

string

Namespace des Kubernetes-Objekts. Muss ein gültiges DNS-Label sein. Benannt nach „ns“, um Konflikte mit dem C++-Namespace-Keyword zu vermeiden. Weitere Informationen finden Sie unter https://kubernetes.io/docs/tasks/administer-cluster/namespaces/.

string

Name des Kubernetes-Objekts. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/overview/working-with-objects/names/.

object (Container)

Pod-Container, die mit diesem Ergebnis verknüpft sind, falls vorhanden.

string

Bei einigen Datenbankressourcen ist der vollständige Ressourcenname möglicherweise nicht ausgefüllt, da diese Ressourcentypen von Cloud Asset Inventory noch nicht unterstützt werden (z.B. Cloud SQL-Datenbanken). In diesen Fällen wird nur der Anzeigename angegeben. Der vollständige Ressourcenname der Datenbank, mit der der Nutzer verbunden ist, sofern dies von Cloud Asset Inventory unterstützt wird.

string

Der visuell lesbare Name der Datenbank, mit der der Nutzer verbunden ist.

string

Der Nutzername für die Verbindung mit der Datenbank. Der Nutzername ist möglicherweise kein IAM-Hauptkonto und hat kein festgelegtes Format.

string

Die SQL-Anweisung, die mit dem Datenbankzugriff verknüpft ist.

string

Die Zielnutzernamen, -rollen oder -gruppen einer SQL-Berechtigungszuweisung. Dies ist keine Änderung der IAM-Richtlinie.

string

Die Version der Datenbank, z. B. POSTGRES_14. Vollständige Liste

number

Eine Zahl zwischen 0 (einschließlich) und unendlich, die angibt, wie wichtig es ist, diese Abweichung zu beheben. Je höher der Wert, desto wichtiger ist es, Abhilfe zu schaffen.

string (Timestamp format)

Das letzte Mal, als die Angriffsgefahr für diese Feststellung aktualisiert wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string

Der Ressourcenname des Ergebnisses der Angriffspfadsimulation, der die Details zu dieser Angriffsrisikobewertung enthält. Beispiel: organizations/123/simulations/456/attackExposureResults/789

enum (State)

Der Status dieser Angriffsbedrohung. Hier wird erfasst, ob eine Angriffsgefahr berechnet wurde oder nicht.

integer

Die Anzahl der wertvollen Ressourcen, die aufgrund dieses Ergebnisses gefährdet sind.

integer

Die Anzahl der mittelwertigen Ressourcen, die aufgrund dieses Ergebnisses gefährdet sind.

integer

Die Anzahl der wertvollen Ressourcen, die aufgrund dieses Ergebnisses gefährdet sind.

string

Name des Prüfauftrags, z. B. projects/123/locations/europe/dlpJobs/i-8383929.

string

Der gefundene Informationstyp (oder infoType), z. B. EMAIL_ADDRESS oder STREET_ADDRESS.

string (int64 format)

Die Häufigkeit, mit der Cloud DLP diesen infoType in diesem Job und dieser Ressource gefunden hat.

boolean

Gibt an, ob Cloud DLP die gesamte Ressource oder eine Stichprobenmenge gescannt hat.

string

Name des Datenprofils, z. B. projects/123/locations/europe/tableProfiles/8383929.

enum (ParentType)

Die Ebene der Ressourcenhierarchie, auf der das Datenprofil generiert wurde.

string

Name des Rootkits, sofern verfügbar.

boolean

„Wahr“, wenn unerwartete Änderungen am Kernel-Codespeicher vorhanden sind.

boolean

„True“, wenn unerwartete Änderungen am schreibgeschützten Kernel-Datenspeicher vorhanden sind.

boolean

„Wahr“, wenn ftrace Punkte mit Callbacks vorhanden sind, die auf Regionen verweisen, die nicht im erwarteten Kernel- oder Modulcodebereich liegen.

boolean

„Wahr“, wenn kprobe Punkte mit Callbacks vorhanden sind, die auf Regionen verweisen, die nicht im erwarteten Kernel- oder Modulcodebereich liegen.

boolean

„Wahr“, wenn Kernel-Codeseiten vorhanden sind, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden.

boolean

„Wahr“, wenn Systemaufruf-Handler vorhanden sind, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden.

boolean

„Wahr“, wenn Interrupt-Handler vorhanden sind, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden.

boolean

„Wahr“, wenn unerwartete Prozesse in der Ausführungswarteschlange des Schedulers vorhanden sind. Diese Prozesse befinden sich in der Ausführqueue, aber nicht in der Prozessaufgabenliste.

string

Der Ressourcenname der Organisationsrichtlinie. Beispiel: „organizations/{organization_id}/policies/{constraint_name}“

string

Der vollständig qualifizierte Name eines Jobs, z. B. projects/<projectId>/jobs/<job_id>

enum (JobState)

Nur Ausgabe. Status des Jobs, z. B. RUNNING oder PENDING.

integer

Optional. Wenn der Job nicht erfolgreich abgeschlossen wurde, wird in diesem Feld der Grund dafür angegeben.

string

Optional. Der Speicherort, an dem der Job ausgeführt wurde, z. B. US oder europe-west1

string

Der Basis-URI, der den Netzwerkstandort der Anwendung angibt, in der die Sicherheitslücke erkannt wurde. Beispiel: http://example.com.

string

Der vollständige URI mit Nutzlast, mit dem die Sicherheitslücke reproduziert werden kann. Beispiel: http://example.com?p=aMmYgI6H.

enum (Direction)

Die Richtung, für die die Regel gilt, entweder „ingress“ oder „egress“.

string

Wenn Quell-IP-Bereiche angegeben sind, gilt die Firewallregel nur für Traffic mit einer Quell-IP-Adresse in diesen Bereichen. Diese Bereiche müssen im CIDR-Format angegeben werden. Unterstützt nur IPv4.

string

Wenn Ziel-IP-Bereiche angegeben sind, gilt die Firewallregel nur für Traffic mit einer Ziel-IP-Adresse in diesen Bereichen. Diese Bereiche müssen im CIDR-Format angegeben werden. Unterstützt nur IPv4.

string

Name des Netzwerkprotokolldienstes, z. B. FTP, der über den offenen Port bereitgestellt wird. Sie folgt der Namenskonvention unter https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml.

object (Allowed)

Tupel mit zulässigen Regeln.

object (Denied)

Tupel mit abgelehnten Regeln.

object (IpRule)

Optional. Optionale Liste zulässiger IP-Regeln.

string

Das IP-Protokoll, auf das sich diese Regel bezieht. Dieser Wert kann entweder einer der folgenden bekannten Protokollstrings (TCP, UDP, ICMP, ESP, AH, IPIP, SCTP) oder eine Stringdarstellung der Ganzzahl sein.

object (PortRange)

Optional. Optionale Liste der Ports, auf die diese Regel angewendet wird. Dieses Feld gilt nur für die UDP- oder (S)TCP-Protokolle. Jeder Eintrag muss entweder eine ganze Zahl oder ein Bereich mit einer Mindest- und einer Höchstportnummer sein.

string (int64 format)

Minimaler Portwert.

string (int64 format)

Maximaler Portwert.

object (IpRule)

Optional. Optionale Liste der Regeln für abgelehnte IP-Adressen.

string

Der Name einer Sicherungs- und Notfallwiederherstellungsvorlage, die eine oder mehrere Sicherungsrichtlinien enthält. Weitere Informationen finden Sie in der Dokumentation zu Sicherung und Notfallwiederherstellung. Beispiel: snap-ov.

string

Die Namen der Sicherungs- und Notfallwiederherstellungsrichtlinien, die mit einer Vorlage verknüpft sind und festlegen, wann, wie oft und wie lange das Sicherungs-Image aufbewahrt werden soll. Beispiel: onvaults.

string

Der Name eines Sicherungs- und Notfallwiederherstellungshosts, der von der Sicherungs- und Wiederherstellungs-Appliance verwaltet und der Verwaltungskonsole bekannt ist. Der Host kann vom Typ „Generic“ (z. B. Compute Engine, SQL Server, Oracle-Datenbank, SMB-Dateisystem usw.), vCenter oder ESX-Server sein. Weitere Informationen finden Sie in der Dokumentation zu Sicherung und Notfallwiederherstellung auf Hosts. Beispiel: centos7-01.

string

Die Namen der Sicherungs- und Notfallwiederherstellungsanwendungen. Eine Anwendung ist eine VM, Datenbank oder ein Dateisystem auf einem verwalteten Host, das von einer Sicherungs- und Wiederherstellungs-Appliance überwacht wird. Beispiel: centos7-01-vol00, centos7-01-vol01, centos7-01-vol02.

string

Der Name des Speicherpools für Sicherung und Notfallwiederherstellung, in dem die Sicherungs-/Wiederherstellungs-Anwendung Daten speichert. Der Speicherpool kann vom Typ „Cloud“, „Primär“, „Snapshot“ oder „OnVault“ sein. Weitere Informationen finden Sie in der Dokumentation zu Speicherpools für Sicherung und Notfallwiederherstellung. Beispiel: DiskPoolOne.

string

Die Namen der erweiterten Sicherungs- und Notfallwiederherstellungsrichtlinienoptionen einer Richtlinie, die für eine Anwendung gilt. Weitere Informationen finden Sie in der Dokumentation zu Richtlinienoptionen für Sicherung und Notfallwiederherstellung. Beispiel: skipofflineappsincongrp, nounmap.

string

Der Name des Ressourcenprofils für Sicherung und Notfallwiederherstellung, in dem die Speichermedien für Sicherungen von Anwendungs- und VM-Daten angegeben sind. Weitere Informationen finden Sie in der Dokumentation zu Sicherung und Notfallwiederherstellung. Beispiel: GCP.

string

Der Name der Sicherungs- und Notfallwiederherstellungsanwendung, die den Lebenszyklus von Sicherungsdaten erfasst, verschiebt und verwaltet. Beispiel: backup-server-57137.

string

Der Sicherungstyp des Sicherungs- und Notfallwiederherstellungs-Images. Beispiel: Snapshot, Remote Snapshot, OnVault.

string (Timestamp format)

Der Zeitstempel, zu dem die Sicherung von „Sicherung und Notfallwiederherstellung“ erstellt wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string

Name der Körperhaltung, z. B. CIS-Posture.

string

Die Version der Haltung, z. B. c7cfa2a8.

string

Das Projekt, der Ordner oder die Organisation, in dem bzw. der die Position bereitgestellt wird, z. B. projects/{project_number}.

string

Der Name der Bereitstellung des Sicherheitsstatus, z. B. organizations/{org_id}/posturedeployments/{posture_deployment_id}.

string

Der Name der aktualisierten Richtlinie, z. B. projects/{projectId}/policies/{constraint_name}.

string

Der Name des aktualisierten Richtliniensatzes, z. B. cis-policyset.

string

Die ID der aktualisierten Richtlinie, z. B. compute-policy-1.

object (PolicyDriftDetails)

Details zu einer Änderung in einer aktualisierten Richtlinie, die gegen die bereitgestellte Position verstößt.

string

Der Name des aktualisierten Felds, z. B. constraint.implementation.policy_rules[0].enforce

string

Der Wert dieses Felds, der in einer Haltung konfiguriert wurde, z. B. true oder allowed_values={"projects/29831892"}.

string

Der erkannte Wert, der gegen die bereitgestellte Position verstößt, z. B. false oder allowed_values={"projects/22831892"}.

object (CloudLoggingEntry)

Ein einzelner Eintrag in einem Log, der in Cloud Logging gespeichert wird.

string

Eindeutige Kennung des Logeintrags.

string

Der Typ des Protokolls (Teil von logName. logName ist der Ressourcenname des Logs, zu dem dieser Logeintrag gehört. Beispiel: cloudresourcemanager.googleapis.com/activity. Dieses Feld ist im Gegensatz zum Feld LOG_ID in LogEntry nicht URL-codiert.

string

Die Organisation, der Ordner oder das Projekt der überwachten Ressource, von der der Logeintrag erzeugt wurde.

string (Timestamp format)

Zeit, zu der das im Logeintrag beschriebene Ereignis eingetreten ist.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

string

Der Name des Load Balancers, der mit der Feststellung verknüpft ist.

object (SecurityPolicy)

Informationen zur Google Cloud Armor-Sicherheitsrichtlinie, die für den Befund relevant sind.

object (Requests)

Informationen zu eingehenden Anfragen, die von Google Cloud Armor-Sicherheitsrichtlinien ausgewertet werden.

object (AdaptiveProtection)

Informationen zu potenziellen Layer-7-DDoS-Angriffen, die von Google Cloud Armor Adaptive Protection erkannt wurden.

object (Attack)

Informationen zum Volumen und zur Klassifizierung von DDoS-Angriffen.

string

Unterscheiden Sie zwischen volumetrischen und protokollbasierten DDoS-Angriffen und Angriffen auf Anwendungsebene. Beispiel: „L3_4“ für DDoS-Angriffe auf Ebene 3 und Ebene 4 oder „L_7“ für DDoS-Angriffe auf Ebene 7.

string (Duration format)

Dauer des Angriffs seit Beginn bis zum aktuellen Zeitpunkt (wird alle 5 Minuten aktualisiert).

Die Dauer in Sekunden mit bis zu neun Nachkommastellen und am Ende mit "s". Beispiel: "3.5s".

string

Der Name der Google Cloud Armor-Sicherheitsrichtlinie, z. B. „my-security-policy“.

string

Der Typ der Google Cloud Armor-Sicherheitsrichtlinie, z. B. „Backend-Sicherheitsrichtlinie“, „Edge-Sicherheitsrichtlinie“, „Sicherheitsrichtlinie für den Netzwerkrand“ oder „DDoS-Schutz (dauerhaft aktiviert)“.

boolean

Gibt an, ob sich die zugehörige Regel oder Richtlinie im Vorschaumodus befindet.

number

Bei „Ablehnungsverhältnis erhöhen“ ist das Verhältnis der abgelehnten Zugriffe geteilt durch die zugelassenen Zugriffe. Bei „Zulässige Traffic-Spitzen“ ist das Verhältnis der zulässige Traffic kurzfristig geteilt durch den zulässigen Traffic langfristig.

integer

Kurzfristig zulässige Anzahl von Anfragen pro Sekunde (RPS)

integer

Zulässige RPS (Anfragen pro Sekunde) auf lange Sicht.

integer

Langfristig abgelehnte RPS (Anfragen pro Sekunde)

number

Ein Wert von 0 bedeutet, dass die Wahrscheinlichkeit, dass es sich bei dem erkannten Ereignis um einen tatsächlichen Angriff handelt, gering ist. Ein Wert von 1 bedeutet, dass mit hoher Wahrscheinlichkeit davon auszugehen ist, dass es sich bei dem erkannten Ereignis um einen Angriff handelt. Weitere Informationen finden Sie in der Dokumentation zum adaptiven Schutz.

string (int64 format)

Gesamtes Angriffsvolumen in PPS (Pakete pro Sekunde).

string (int64 format)

Gesamtes Angriffsvolumen in BPS (Byte pro Sekunde).

string

Art des Angriffs, z. B. „SYN-Flood“, „NTP-udp“ oder „CHARGEN-udp“.

integer

Gesamtes Angriffsvolumen in PPS (Pakete pro Sekunde). Eingestellt. Verwenden Sie stattdessen „volumePpsLong“.

integer

Gesamtes Angriffsvolumen in BPS (Byte pro Sekunde). Eingestellt. Verwenden Sie stattdessen „volumeBpsLong“.

string

Der Name des Notebooks.

string

Der Quell-Notebook-Dienst, z. B. „Colab Enterprise“.

string

Die Nutzer-ID des letzten Autors, der das Notizbuch geändert hat.

string (Timestamp format)

Das Datum, an dem das Notebook zuletzt aktualisiert wurde.

Es wird RFC 3339 verwendet, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Glieder mit Dezimalstellen enthält. Andere Achsenbezeichnungen als „Z“ sind ebenfalls zulässig. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".

number

Die Angriffsbewertung dieser schädlichen Kombination. Der Wert gibt an, inwiefern eine oder mehrere wertvolle Ressourcen durch diese schädliche Kombination einem potenziellen Angriff ausgesetzt sind.

string

Liste der Ressourcennamen der Ergebnisse, die mit dieser schädlichen Kombination in Verbindung stehen. Beispiel: organizations/123/sources/456/findings/789.

enum (GroupType)

Gruppentyp.

string

ID der Gruppe.

string

Der Name des Laufwerks, z. B. „https://www.googleapis.com/compute/v1/projects/{project-id}/zones/{zone-id}/disks/{disk-id}“.