- 리소스: 찾기
- JSON 표현
- 상태
- SecurityMarks
- 심각도
- 음소거
- MuteInfo
- StaticMute
- DynamicMuteRecord
- FindingClass
- 표시기
- ProcessSignature
- MemoryHashSignature
- 감지
- YaraRuleSignature
- SignatureType
- 취약점
- Cve
- 참조
- Cvssv3
- AttackVector
- AttackComplexity
- PrivilegesRequired
- UserInteraction
- 범위
- 영향
- RiskRating
- ExploitationActivity
- 패키지
- SecurityBulletin
- ExternalSystem
- TicketInfo
- MitreAttack
- 전술
- 기법
- 액세스
- 위치정보
- ServiceAccountDelegationInfo
- 연결
- 프로토콜
- 절차
- 파일
- DiskPath
- EnvironmentVariable
- ContactDetails
- 문의
- 규정 준수
- 무단 반출
- ExfilResource
- IamBinding
- 작업
- 컨테이너
- 라벨
- Kubernetes
- 포드
- 노드
- NodePool
- 역할
- 종류
- 결합
- 제목
- AuthType
- AccessReview
- 객체
- 데이터베이스
- AttackExposure
- 상태
- CloudDlpInspection
- CloudDlpDataProfile
- ParentType
- KernelRootkit
- OrgPolicy
- 작업
- JobState
- 애플리케이션
- IpRules
- 방향
- 허용됨
- IpRule
- PortRange
- 거부됨
- BackupDisasterRecovery
- SecurityPosture
- PolicyDriftDetails
- LogEntry
- CloudLoggingEntry
- LoadBalancer
- CloudArmor
- SecurityPolicy
- 요청
- AdaptiveProtection
- 공격
- 메모장
- ToxicCombination
- GroupMembership
- GroupType
- 디스크
- DataAccessEvent
- 작업
- DataFlowEvent
- 작업
- 네트워크
- DataRetentionDeletionEvent
- EventType
- 메서드
리소스: Finding
Security Command Center 발견 항목
발견 항목은 프레젠테이션, 알림, 분석, 정책 테스트, 시행을 위해 Security Command Center에 수집되는 평가 데이터 레코드(예: 보안, 위험, 상태, 개인 정보 보호)입니다. 예를 들어 App Engine 애플리케이션의 교차 사이트 스크립팅 (XSS) 취약점이 발견 항목입니다.
| JSON 표현 |
|---|
{ "name": string, "canonicalName": string, "parent": string, "resourceName": string, "state": enum ( |
| 필드 | |
|---|---|
name |
발견의 상대 리소스 이름입니다. 다음 목록은 몇 가지 예를 보여줍니다. + |
canonicalName |
출력 전용입니다. 발견 항목의 표준 이름입니다. 다음 목록은 몇 가지 예를 보여줍니다. + 접두사는 발견 항목과 연결된 리소스의 가장 가까운 CRM 조상입니다. |
parent |
발견 항목이 속한 소스 및 위치의 상대 리소스 이름입니다. 참고: https://cloud.google.com/apis/design/resource_names#relative_resource_name 이 필드는 생성 후 변경할 수 없습니다. 다음 목록은 몇 가지 예를 보여줍니다.
|
resourceName |
변경할 수 없습니다. Google Cloud 리소스에 대한 발견 항목의 경우 이 발견 항목이 적용되는 Google Cloud 리소스의 전체 리소스 이름입니다. 참고: https://cloud.google.com/apis/design/resource_names#full_resource_name Google Cloud 이외의 리소스에 대한 발견 항목인 경우 resourceName은 고객 또는 파트너가 정의한 문자열일 수 있습니다. |
state |
출력 전용입니다. 발견 항목의 상태입니다. |
category |
변경할 수 없습니다. 특정 소스의 발견 항목 내 추가 분류 그룹입니다. 예: 'XSS_FLASH_INJECTION' |
externalUri |
발견 항목에 대한 추가 정보를 찾을 수 있는 Security Command Center 외부 웹페이지로 연결되는 URI(사용 가능한 경우)입니다. 이 필드는 비어 있거나 올바른 형식의 URL이어야 합니다. |
sourceProperties |
소스별 속성 이러한 속성은 발견 항목을 작성하는 소스에서 관리합니다. sourceProperties 맵의 키 이름은 1~255자여야 하며 문자로 시작하고 영숫자 문자 또는 밑줄만 포함해야 합니다.
|
securityMarks |
출력 전용입니다. 사용자가 지정한 보안 표시 이러한 마크는 사용자가 전적으로 관리하며 발견 항목에 속한 SecurityMarks 리소스에서 가져옵니다. |
eventTime |
발견 항목이 처음 감지된 시간입니다. 기존 발견 항목이 업데이트된 경우 업데이트가 발생한 시간입니다. 예를 들어 열린 방화벽을 나타내는 발견 항목의 경우 이 속성은 감지기에서 방화벽이 열렸다고 판단하는 시간을 캡처합니다. 정확성은 감지기에 의해 결정됩니다. 나중에 발견 항목이 해결되면 발견 항목이 해결된 시점이 이 시간에 반영됩니다. 이 값은 현재 타임스탬프보다 큰 값으로 설정해서는 안 됩니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
createTime |
출력 전용입니다. Security Command Center에서 발견 항목이 생성된 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
severity |
발견 항목의 심각도입니다. 이 필드는 발견 항목을 작성하는 소스에서 관리합니다. |
mute |
발견 항목의 숨기기 상태 (숨김, 숨기기 해제 또는 정의되지 않음)를 나타냅니다. 문제의 다른 속성과 달리 문제 제공업체는 음소거 값을 설정해서는 안 됩니다. |
muteInfo |
출력 전용입니다. 이 발견 항목과 관련된 숨기기 정보입니다. |
findingClass |
발견 항목의 클래스입니다. |
indicator |
컴퓨터 포렌식에서 일반적으로 침해 지표 (IoC)라고 하는 것을 나타냅니다. 네트워크 또는 운영체제에서 관찰되는 아티팩트로, 컴퓨터 침입을 높은 확률로 나타냅니다. 자세한 내용은 손상 표시기를 참고하세요. |
vulnerability |
CVE 및 CVSS 점수와 같은 취약점 관련 필드를 나타냅니다. CVE는 Common Vulnerabilities and Exposures의 약자입니다 (https://cve.mitre.org/about/). |
muteUpdateTime |
출력 전용입니다. 이 발견 항목이 숨겨지거나 숨김 해제된 가장 최근 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
externalSystems |
출력 전용입니다. SCC 내 서드 파티 SIEM/SOAR 필드로, 외부 시스템 정보 및 외부 시스템 발견 필드가 포함되어 있습니다.
|
mitreAttack |
이 발견 항목과 관련된 MITRE ATT&CK 전략 및 기법 https://attack.mitre.org를 참고하세요. |
access |
호출자에 관한 자세한 정보, 액세스된 메서드, 액세스 위치 등 발견 항목과 관련된 세부정보에 액세스합니다. |
connections[] |
발견 항목과 연결된 IP 연결에 관한 정보를 포함합니다. |
muteInitiator |
숨기기 작업에 관한 추가 정보를 기록합니다(예: 발견 항목을 숨긴 숨기기 구성 및 발견 항목을 숨긴 사용자). |
processes[] |
발견 항목과 연결된 운영체제 프로세스를 나타냅니다. |
contacts |
출력 전용입니다. 지정된 발견 항목의 담당자가 포함된 지도입니다. 키는 연락처 유형을 나타내고 값에는 관련된 모든 연락처 목록이 포함됩니다. https://cloud.google.com/resource-manager/docs/managing-notification-contacts#notification-categories를 참고하세요.
|
compliances[] |
발견 항목과 관련된 보안 표준의 규정 준수 정보를 포함합니다. |
parentDisplayName |
출력 전용입니다. 'Event Threat Detection' 또는 'Security Health Analytics'와 같이 인간이 읽을 수 있는 발견 소스의 표시 이름입니다. |
description |
발견 항목에 대한 세부정보가 포함됩니다. |
exfiltration |
발견 항목과 연결된 무단 반출을 나타냅니다. |
iamBindings[] |
발견 항목과 연결된 IAM 바인딩을 나타냅니다. |
nextSteps |
발견사항을 해결하기 위한 단계 |
moduleName |
발견 항목을 생성한 모듈의 고유 식별자입니다. 예: folders/598186756061/securityHealthAnalyticsSettings/customModules/56799441161885 |
containers[] |
발견 항목과 연결된 컨테이너입니다. 이 필드는 Kubernetes 및 비Kubernetes 컨테이너에 관한 정보를 모두 제공합니다. |
kubernetes |
발견 항목과 연결된 Kubernetes 리소스입니다. |
database |
발견 항목과 연결된 데이터베이스입니다. |
attackExposure |
이 발견 항목과 관련된 공격 경로 시뮬레이션의 결과입니다. |
files[] |
발견 항목과 연결된 파일입니다. |
cloudDlpInspection |
발견 항목과 연결된 Cloud Data Loss Prevention (Cloud DLP) 검사 결과입니다. |
cloudDlpDataProfile |
발견 항목과 연결된 Cloud DLP 데이터 프로필입니다. |
kernelRootkit |
커널 루트킷의 서명입니다. |
orgPolicies[] |
발견 항목과 연결된 조직 정책에 관한 정보를 포함합니다. |
job |
발견 항목과 연결된 작업입니다. |
application |
발견사항과 연결된 애플리케이션을 나타냅니다. |
ipRules |
발견 항목과 연결된 IP 규칙입니다. |
backupDisasterRecovery |
백업 및 DR 발견 항목과 관련된 필드입니다. |
securityPosture |
발견 항목과 연결된 보안 상황입니다. |
logEntries[] |
발견 항목과 관련된 로그 항목 |
loadBalancers[] |
발견 항목과 연결된 부하 분산기입니다. |
cloudArmor |
Cloud Armor 발견 항목과 관련된 필드입니다. |
notebook |
발견 항목과 연결된 노트북입니다. |
toxicCombination |
보안 문제 그룹에 관한 세부정보를 포함합니다. 이러한 보안 문제 그룹은 함께 발생할 경우 개별적으로 발생할 때보다 더 큰 위험을 나타냅니다. 이러한 문제 그룹을 유해한 조합이라고 합니다. 이 필드는 업데이트할 수 없습니다. 이 값은 모든 업데이트 요청에서 무시됩니다. |
groupMemberships[] |
이 발견 항목이 속한 그룹에 관한 세부정보가 포함됩니다. 그룹은 어떤 식으로든 관련된 발견 항목의 모음입니다. 이 필드는 업데이트할 수 없습니다. 이 값은 모든 업데이트 요청에서 무시됩니다. |
disk |
발견 항목과 연결된 디스크입니다. |
dataAccessEvents[] |
발견 항목과 연결된 데이터 액세스 이벤트입니다. |
dataFlowEvents[] |
발견 항목과 연결된 데이터 흐름 이벤트입니다. |
networks[] |
리소스가 연결된 VPC 네트워크를 나타냅니다. |
dataRetentionDeletionEvents[] |
발견 항목과 연결된 데이터 보관 삭제 이벤트 |
주
발견 항목의 상태입니다.
| 열거형 | |
|---|---|
STATE_UNSPECIFIED |
지정되지 않은 상태. |
ACTIVE |
발견 항목에 주의가 필요하고 아직 해결되지 않았습니다. |
INACTIVE |
발견 항목이 수정되었거나 문제로 분류되지 않았거나 다른 방식으로 해결되었으며 더 이상 활성 상태가 아닙니다. |
보안 표시
사용자가 지정하고 상위 Security Command Center 리소스에 연결된 보안 표시입니다. 보안 표시는 Security Command Center 조직 내에서만 사용할 수 있으며 조직에 적절한 권한이 있는 모든 사용자가 수정하고 볼 수 있습니다.
| JSON 표현 |
|---|
{ "name": string, "marks": { string: string, ... }, "canonicalName": string } |
| 필드 | |
|---|---|
name |
SecurityMarks의 상대 리소스 이름입니다. 참고: https://cloud.google.com/apis/design/resource_names#relative_resource_name 다음 목록에는 몇 가지 예가 나와 있습니다.
|
marks |
상위 리소스에 속하는 변경 가능한 사용자 지정 보안 마크입니다. 제약 조건은 다음과 같습니다.
|
canonicalName |
마크의 표준 이름입니다. 다음 목록은 몇 가지 예를 보여줍니다.
|
심각도
발견 항목의 심각도입니다.
| 열거형 | |
|---|---|
SEVERITY_UNSPECIFIED |
이 값은 소스가 심각도 값을 작성하지 않는 경우 발견 항목에 사용됩니다. |
CRITICAL |
취약점: 심각한 취약점은 외부 행위자가 쉽게 발견할 수 있고 악용될 수 있으며, 임의의 코드를 실행하고 데이터를 유출할 수 있으며 클라우드 리소스와 워크로드에 대한 추가 액세스 및 권한을 얻을 수 있는 능력으로 이어집니다. 예를 들어 공개적으로 액세스할 수 있는 비보호 사용자 데이터 및 비밀번호가 취약하거나 존재하지 않는 공개 SSH 액세스가 있습니다. 위협: 데이터에 액세스하거나 데이터를 수정 또는 삭제하거나 기존 리소스 내에서 승인되지 않은 코드를 실행할 수 있는 위협을 나타냅니다. |
HIGH |
취약점: 고위험 취약점은 다른 취약점과 함께 쉽게 발견되고 악용되어 직접적인 액세스 권한을 얻고 임의의 코드를 실행하거나 데이터를 유출하고, 클라우드 리소스와 워크로드에 대한 추가 액세스 및 권한을 얻을 수 있습니다. 예를 들어 비밀번호가 취약하거나 존재하지 않고 내부적으로만 액세스할 수 있는 데이터베이스가 있습니다. 이 데이터베이스는 내부 네트워크에 액세스할 수 있는 행위자가 쉽게 도용할 수 있습니다. 위협: 환경에서 새 컴퓨팅 리소스를 만들 수 있지만 데이터에 액세스하거나 기존 리소스에서 코드를 실행할 수 없는 위협을 나타냅니다. |
MEDIUM |
취약점: 행위자가 중간 위험 취약점을 이용해 리소스에 대한 액세스 권한을 얻거나, 여러 단계 또는 복잡한 악용을 통해 액세스할 수 있는 권한에 접근하여 임의 코드를 실행하거나 데이터를 유출할 수 있습니다. 예를 들어 서비스 계정에 있어야 할 것보다 더 많은 프로젝트에 대한 액세스 권한이 있는 경우를 들 수 있습니다. 행위자가 서비스 계정에 액세스하면 이 액세스 권한을 사용하여 서비스 계정의 의도와는 다른 프로젝트를 조작할 수 있습니다. 위협: 운영에 영향을 미칠 수 있지만 데이터에 액세스하거나 승인되지 않은 코드를 실행하지 않을 수 있는 위협을 나타냅니다. |
LOW |
취약점: 낮은 위험 취약점으로 인해 보안 조직은 배포에서 취약점이나 활성 위협을 감지하거나 보안 문제의 근본 원인을 예방하지 못하게 됩니다. 예를 들어 리소스 구성 및 액세스를 위해 모니터링 및 로그가 사용 중지된 시나리오가 있습니다. 위협: 환경에 대한 최소한의 액세스 권한을 얻었지만 데이터에 액세스하거나 코드를 실행하거나 리소스를 만들 수 없는 위협을 나타냅니다. |
음소거
발견 항목이 있을 수 있는 숨기기 상태입니다.
| 열거형 | |
|---|---|
MUTE_UNSPECIFIED |
지정되지 않음. |
MUTED |
발견 항목을 숨겼습니다. |
UNMUTED |
발견 항목의 숨기기가 해제되었습니다. |
UNDEFINED |
발견 항목을 숨기거나 숨김 해제한 적이 없습니다. |
MuteInfo
발견 항목에 정적 숨기기 또는 일치하는 동적 숨기기 규칙이 있는지 여부를 비롯하여 발견 항목에 대한 숨기기 정보입니다.
| JSON 표현 |
|---|
{ "staticMute": { object ( |
| 필드 | |
|---|---|
staticMute |
이 값이 설정되면 이 발견 항목에 정적 숨기기가 적용됩니다. 정적 숨기기는 동적 숨기기를 재정의합니다. 설정하지 않으면 정적 음소거가 적용되지 않습니다. |
dynamicMuteRecords[] |
현재 발견 항목과 일치하는 동적 숨기기 규칙 목록입니다. |
StaticMute
정적 음소거 상태에 관한 정보입니다. 정적 숨기기 상태는 이 발견 항목에 적용되는 모든 동적 숨기기 규칙보다 우선 적용됩니다. 정적 숨기기 상태는 정적 숨기기 규칙으로 설정하거나 발견 항목을 직접 숨겨서 설정할 수 있습니다.
| JSON 표현 |
|---|
{
"state": enum ( |
| 필드 | |
|---|---|
state |
정적 숨기기 상태입니다. 값이 |
applyTime |
정적 음소거가 적용된 시점입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
DynamicMuteRecord
발견 항목과 일치하는 동적 숨기기 규칙의 레코드입니다.
| JSON 표현 |
|---|
{ "muteConfig": string, "matchTime": string } |
| 필드 | |
|---|---|
muteConfig |
이 레코드를 만든 숨기기 구성으로 표시되는 숨기기 규칙의 상대 리소스 이름입니다(예: |
matchTime |
동적 숨기기 규칙이 발견 항목과 처음 일치한 시점입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
FindingClass
어떤 종류의 발견 항목인지 나타냅니다.
| 열거형 | |
|---|---|
FINDING_CLASS_UNSPECIFIED |
지정되지 않은 발견 항목 클래스 |
THREAT |
원치 않는 활동이나 악의적인 활동을 설명합니다. |
VULNERABILITY |
비밀유지, 무결성, 가용성에 대한 위험을 증가시키는 소프트웨어의 잠재적 약점을 설명합니다. |
MISCONFIGURATION |
위험을 증가시키는 클라우드 리소스/애셋 구성의 잠재적 취약점을 설명합니다. |
OBSERVATION |
정보 제공 목적으로 보안 관찰을 설명합니다. |
SCC_ERROR |
일부 SCC 기능을 방해하는 오류를 설명합니다. |
POSTURE_VIOLATION |
보안 태세 변경으로 인한 잠재적 보안 위험을 설명합니다. |
TOXIC_COMBINATION |
함께 고려할 때 더 심각한 보안 문제를 나타내는 보안 문제 조합을 설명합니다. |
SENSITIVE_DATA_RISK |
민감한 정보가 포함된 데이터 애셋에 대한 잠재적인 보안 위험을 설명합니다. |
표시기
컴퓨터 포렌식에서 일반적으로 침해 지표 (IoC)라고 하는 것을 나타냅니다. 네트워크 또는 운영체제에서 관찰되는 아티팩트로, 컴퓨터 침입을 높은 확률로 나타냅니다. 자세한 내용은 손상 표시기를 참고하세요.
| JSON 표현 |
|---|
{
"ipAddresses": [
string
],
"domains": [
string
],
"signatures": [
{
object ( |
| 필드 | |
|---|---|
ipAddresses[] |
발견 항목과 연결된 IP 주소 목록입니다. |
domains[] |
발견 항목과 연결된 도메인 목록입니다. |
signatures[] |
특정 프로세스가 환경에 있음을 나타내는 일치하는 서명 목록입니다. |
uris[] |
발견사항과 연결된 URI 목록입니다. |
ProcessSignature
이 프로세스와 일치하는 서명을 나타냅니다.
| JSON 표현 |
|---|
{ "signatureType": enum ( |
| 필드 | |
|---|---|
signatureType |
서명과 연결된 리소스 유형을 설명합니다. |
통합 필드
|
|
memoryHashSignature |
바이너리 패밀리가 일치했음을 나타내는 서명입니다. |
yaraRuleSignature |
YARA 규칙이 일치했음을 나타내는 서명입니다. |
MemoryHashSignature
메모리 페이지 해시에 해당하는 서명
| JSON 표현 |
|---|
{
"binaryFamily": string,
"detections": [
{
object ( |
| 필드 | |
|---|---|
binaryFamily |
바이너리 계열 |
detections[] |
바이너리 패밀리 일치에 기여한 메모리 해시 감지 목록입니다. |
감지
바이너리 계열 일치에 기여하는 메모리 해시 감지
| JSON 표현 |
|---|
{ "binary": string, "percentPagesMatched": number } |
| 필드 | |
|---|---|
binary |
메모리 해시 서명 감지와 연결된 바이너리의 이름입니다. |
percentPagesMatched |
서명에서 일치한 메모리 페이지 해시의 비율입니다. |
YaraRuleSignature
YARA 규칙에 해당하는 서명입니다.
| JSON 표현 |
|---|
{ "yaraRule": string } |
| 필드 | |
|---|---|
yaraRule |
YARA 규칙의 이름입니다. |
SignatureType
서명과 연결할 수 있는 리소스 유형입니다.
| 열거형 | |
|---|---|
SIGNATURE_TYPE_UNSPECIFIED |
기본 서명 유형입니다. |
SIGNATURE_TYPE_PROCESS |
프로세스와 관련된 서명에 사용됩니다. |
SIGNATURE_TYPE_FILE |
디스크와 관련된 서명에 사용됩니다. |
취약점
일반적인 취약점 필드(예: cve, cvss, cwe 등)를 나타냅니다.
| JSON 표현 |
|---|
{ "cve": { object ( |
| 필드 | |
|---|---|
cve |
CVE는 Common Vulnerabilities and Exposures의 약자입니다 (https://cve.mitre.org/about/). |
offendingPackage |
문제의 패키지가 발견과 관련이 있습니다. |
fixedPackage |
수정된 패키지가 발견사항과 관련이 있습니다. |
securityBulletin |
보안 게시판이 이 발견 항목과 관련이 있습니다. |
Cve
CVE는 Common Vulnerabilities and Exposures의 약자입니다. 이 취약점을 설명하는 CVE 레코드의 정보입니다.
| JSON 표현 |
|---|
{ "id": string, "references": [ { object ( |
| 필드 | |
|---|---|
id |
취약점의 고유 식별자입니다(예: CVE-2021-34527). |
references[] |
CVE에 대한 추가 정보입니다(예: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527). |
cvssv3 |
https://www.first.org/cvss/v3.1/specification-document에 지정된 공통 취약점 점수 산출 시스템을 설명합니다. |
upstreamFixAvailable |
CVE에 업스트림 수정사항을 사용할 수 있는지 여부입니다. |
impact |
취약점이 악용될 경우 미치는 잠재적 영향입니다. |
exploitationActivity |
실제 상황에서의 취약점 공격 활동입니다. |
observedInTheWild |
취약점이 실제 상황에서 관찰되었는지 여부입니다. |
zeroDay |
발견사항이 게시될 당시 취약점이 제로데이 취약점인지 여부입니다. |
exploitReleaseDate |
공개적으로 처음 제공된 익스플로잇 또는 PoC가 출시된 날짜입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
firstExploitationDate |
알려진 가장 빠른 악용 날짜입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
참조
추가 링크
| JSON 표현 |
|---|
{ "source": string, "uri": string } |
| 필드 | |
|---|---|
source |
참조 소스(예: NVD) |
uri |
언급된 소스의 URI(예: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527). |
Cvssv3
공통 취약점 점수 산출 시스템 버전 3
| JSON 표현 |
|---|
{ "baseScore": number, "attackVector": enum ( |
| 필드 | |
|---|---|
baseScore |
기본 점수는 기본 측정항목 점수의 함수입니다. |
attackVector |
기본 측정항목: 시간과 사용자 환경 전반에서 일정한 취약점의 고유한 특성을 나타냅니다. 이 측정항목은 취약점 악용이 가능한 컨텍스트를 반영합니다. |
attackComplexity |
이 측정항목은 취약점을 악용하기 위해 존재해야 하는 공격자가 제어할 수 없는 조건을 설명합니다. |
privilegesRequired |
이 측정항목은 공격자가 취약점을 성공적으로 악용하기 전에 보유해야 하는 권한 수준을 나타냅니다. |
userInteraction |
이 측정항목은 공격자가 아닌 사람이 취약한 구성요소를 손상시키는 데 참여해야 하는 요구사항을 나타냅니다. |
scope |
범위 측정항목은 취약한 구성요소의 취약점이 보안 범위를 벗어난 구성요소의 리소스에 영향을 미치는지 여부를 포착합니다. |
confidentialityImpact |
이 측정항목은 취약성이 성공적으로 악용되어 소프트웨어 구성요소에서 관리하는 정보 리소스의 기밀 유지에 미치는 영향을 측정합니다. |
integrityImpact |
이 측정항목은 악용된 취약점의 무결성에 미치는 영향을 측정합니다. |
availabilityImpact |
이 측정항목은 취약점 악용으로 인해 영향을 받은 구성요소의 가용성에 미치는 영향을 측정합니다. |
AttackVector
이 측정항목은 취약점 악용이 가능한 컨텍스트를 반영합니다.
| 열거형 | |
|---|---|
ATTACK_VECTOR_UNSPECIFIED |
값이 올바르지 않습니다. |
ATTACK_VECTOR_NETWORK |
취약한 구성요소는 네트워크 스택에 바인딩되며, 가능한 공격자 집합은 아래에 나열된 다른 옵션을 넘어 전체 인터넷까지 확장됩니다. |
ATTACK_VECTOR_ADJACENT |
취약한 구성요소는 네트워크 스택에 바인딩되지만 공격은 프로토콜 수준에서 논리적으로 인접한 토폴로지로 제한됩니다. |
ATTACK_VECTOR_LOCAL |
취약한 구성요소가 네트워크 스택에 바인딩되지 않았으며 공격자의 경로는 읽기/쓰기/실행 기능을 통해 이루어집니다. |
ATTACK_VECTOR_PHYSICAL |
이 공격을 실행하려면 공격자가 취약한 구성요소를 물리적으로 터치하거나 조작해야 합니다. |
AttackComplexity
이 측정항목은 취약점을 악용하기 위해 존재해야 하는 공격자가 제어할 수 없는 조건을 설명합니다.
| 열거형 | |
|---|---|
ATTACK_COMPLEXITY_UNSPECIFIED |
값이 올바르지 않습니다. |
ATTACK_COMPLEXITY_LOW |
특별한 액세스 조건이나 완화 요소가 없습니다. 공격자는 취약한 구성요소를 공격할 때 반복적으로 성공할 수 있습니다. |
ATTACK_COMPLEXITY_HIGH |
공격의 성공 여부는 공격자가 제어할 수 없는 조건에 따라 달라집니다. 즉, 공격이 성공적으로 이루어지기 위해서는 공격자가 취약한 구성요소에 대한 준비나 실행에 상당한 노력을 투자해야 합니다. |
PrivilegesRequired
이 측정항목은 공격자가 취약점을 성공적으로 악용하기 전에 보유해야 하는 권한 수준을 나타냅니다.
| 열거형 | |
|---|---|
PRIVILEGES_REQUIRED_UNSPECIFIED |
값이 올바르지 않습니다. |
PRIVILEGES_REQUIRED_NONE |
공격자는 공격 전에 승인되지 않았으므로 공격을 실행하기 위해 취약한 시스템의 설정이나 파일에 액세스할 필요가 없습니다. |
PRIVILEGES_REQUIRED_LOW |
공격자는 일반적으로 사용자가 소유한 설정 및 파일에만 영향을 줄 수 있는 기본 사용자 기능을 제공하는 권한이 필요합니다. 또는 권한이 낮은 공격자는 민감하지 않은 리소스에만 액세스할 수 있습니다. |
PRIVILEGES_REQUIRED_HIGH |
공격자는 구성요소 전반의 설정 및 파일에 액세스할 수 있도록 취약한 구성요소에 대한 상당한 (예: 관리) 제어 권한이 필요합니다. |
UserInteraction
이 측정항목은 공격자가 아닌 사람이 취약한 구성요소를 손상시키는 데 참여해야 하는 요구사항을 나타냅니다.
| 열거형 | |
|---|---|
USER_INTERACTION_UNSPECIFIED |
값이 올바르지 않습니다. |
USER_INTERACTION_NONE |
취약한 시스템은 사용자의 상호작용 없이 악용될 수 있습니다. |
USER_INTERACTION_REQUIRED |
이 취약점을 악용하려면 사용자가 먼저 몇 가지 조치를 취해야 합니다. |
범위
범위 측정항목은 취약한 구성요소의 취약점이 보안 범위를 벗어난 구성요소의 리소스에 영향을 미치는지 여부를 포착합니다.
| 열거형 | |
|---|---|
SCOPE_UNSPECIFIED |
값이 올바르지 않습니다. |
SCOPE_UNCHANGED |
악용된 취약점은 동일한 보안 기관에서 관리하는 리소스에만 영향을 줄 수 있습니다. |
SCOPE_CHANGED |
악용된 취약점은 취약한 구성요소의 보안 기관에서 관리하는 보안 범위를 벗어난 리소스에 영향을 줄 수 있습니다. |
영향
영향 측정항목은 공격과 가장 직접적이고 예측 가능한 방식으로 연결되어 가장 심각한 결과를 초래한 구성요소에 성공적으로 악용된 취약점이 미치는 영향을 포착합니다.
| 열거형 | |
|---|---|
IMPACT_UNSPECIFIED |
값이 올바르지 않습니다. |
IMPACT_HIGH |
영향이 큼 |
IMPACT_LOW |
영향이 낮습니다. |
IMPACT_NONE |
영향 없음. |
RiskRating
취약점이 악용될 경우 미치는 영향의 가능한 값입니다.
| 열거형 | |
|---|---|
RISK_RATING_UNSPECIFIED |
값이 잘못되었거나 비어 있습니다. |
LOW |
익스플로잇 발생 시 보안 영향이 거의 없거나 전혀 없습니다. |
MEDIUM |
익스플로잇을 사용하면 공격자가 활동을 실행하거나 직접적인 영향을 줄 수 있지만 그러한 상황이 발생하려면 추가 단계가 필요합니다. |
HIGH |
공격자가 주요 완화 요인을 극복하지 않고도 상당한 직접적인 영향을 미칠 수 있는 익스플로잇입니다. |
CRITICAL |
익스플로잇 발생 시 영향을 받는 시스템의 보안이 근본적으로 손상되어 공격자가 최소한의 노력으로 심각한 공격을 실행할 수 있고 극복해야 하는 완화 요소가 거의 없거나 전혀 없습니다. |
ExploitationActivity
실제 상황에서의 취약점 공격 활동의 가능한 값입니다.
| 열거형 | |
|---|---|
EXPLOITATION_ACTIVITY_UNSPECIFIED |
값이 잘못되었거나 비어 있습니다. |
WIDE |
익스플로잇이 신고되었거나 광범위하게 발생한 것으로 확인되었습니다. |
CONFIRMED |
보고되거나 확인된 익스플로잇 활동이 제한적입니다. |
AVAILABLE |
익스플로잇이 공개적으로 제공됩니다. |
ANTICIPATED |
알려진 익스플로잇 활동은 없지만 익스플로잇 가능성이 높습니다. |
NO_KNOWN |
알려진 익스플로잇 활동이 없습니다. |
패키지
패키지는 패키지의 일반 정의입니다.
| JSON 표현 |
|---|
{ "packageName": string, "cpeUri": string, "packageType": string, "packageVersion": string } |
| 필드 | |
|---|---|
packageName |
취약점이 감지된 패키지의 이름입니다. |
cpeUri |
취약점이 감지된 CPE URI입니다. |
packageType |
패키지 유형입니다(예: os, maven, go). |
packageVersion |
패키지의 버전입니다. |
SecurityBulletin
SecurityBulletin은 Google 제품의 취약점에 관한 알림입니다.
| JSON 표현 |
|---|
{ "bulletinId": string, "submissionTime": string, "suggestedUpgradeVersion": string } |
| 필드 | |
|---|---|
bulletinId |
취약점에 해당하는 게시판의 ID입니다. |
submissionTime |
이 보안 게시판의 제출 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
suggestedUpgradeVersion |
이 알림을 수신하는 클러스터가 현재 버전을 기준으로 업그레이드되어야 하는 버전을 나타냅니다. 예: 1.15.0 |
ExternalSystem
SCC 내 서드 파티 SIEM/SOAR 필드의 표현
| JSON 표현 |
|---|
{
"name": string,
"assignees": [
string
],
"externalUid": string,
"status": string,
"externalSystemUpdateTime": string,
"caseUri": string,
"casePriority": string,
"caseSla": string,
"caseCreateTime": string,
"caseCloseTime": string,
"ticketInfo": {
object ( |
| 필드 | |
|---|---|
name |
외부 시스템의 전체 리소스 이름입니다. 다음 목록은 몇 가지 예를 보여줍니다.
|
assignees[] |
외부 시스템의 기본/보조 등 담당자를 참조합니다. |
externalUid |
외부 시스템에서 발견사항의 해당 케이스를 추적하는 데 사용되는 식별자입니다. |
status |
외부 시스템에서 보고한 발견 항목의 해당 케이스의 최신 상태입니다. |
externalSystemUpdateTime |
외부 시스템에서 보고한 케이스가 마지막으로 업데이트된 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
caseUri |
외부 시스템에서 발견 항목의 해당 케이스로 연결되는 링크입니다. |
casePriority |
외부 시스템에서 발견 항목의 해당 케이스의 우선순위입니다. |
caseSla |
외부 시스템에서 발견사항의 해당 케이스의 SLA입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
caseCreateTime |
외부 시스템에서 보고한 케이스 생성 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
caseCloseTime |
외부 시스템에서 보고한 케이스 종료 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
ticketInfo |
이 발견으로 식별된 문제의 해결을 추적하는 데 사용되는 티켓에 관한 정보(있는 경우)입니다. |
TicketInfo
이 발견으로 식별된 문제의 해결을 추적하는 데 사용되는 티켓에 관한 정보(있는 경우)입니다.
| JSON 표현 |
|---|
{ "id": string, "assignee": string, "description": string, "uri": string, "status": string, "updateTime": string } |
| 필드 | |
|---|---|
id |
티켓 시스템에서 티켓의 식별자입니다. |
assignee |
티켓 시스템에서 티켓의 담당자입니다. |
description |
티켓 시스템의 티켓 설명입니다. |
uri |
티켓 시스템의 티켓 링크입니다. |
status |
티켓 시스템에서 보고한 티켓의 최신 상태입니다. |
updateTime |
티켓 시스템에서 보고한 티켓이 마지막으로 업데이트된 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
MitreAttack
이 발견 항목과 관련된 MITRE ATT&CK 전략 및 기법 https://attack.mitre.org를 참고하세요.
| JSON 표현 |
|---|
{ "primaryTactic": enum ( |
| 필드 | |
|---|---|
primaryTactic |
이 발견 항목과 가장 밀접하게 관련된 MITRE ATT&CK 전략(있는 경우) |
primaryTechniques[] |
이 발견 항목과 가장 밀접하게 관련된 MITRE ATT&CK 기법입니다(있는 경우). MITRE ATT&CK 기법에는 여러 수준이 있으므로 primaryTechniques는 반복되는 필드입니다. 이 발견으로 가장 잘 표현되는 기법이 하위 기법(예: |
additionalTactics[] |
이 발견 항목과 관련된 추가 MITRE ATT&CK 전략(있는 경우) |
additionalTechniques[] |
이 발견 항목과 관련된 추가 MITRE ATT&CK 기법(있는 경우) 및 각 상위 기법 |
version |
위 필드에서 참조하는 MITRE ATT&CK 버전입니다. 예: '8' |
전술
SCC 결과에서 참조할 수 있는 MITRE ATT&CK 전략 https://attack.mitre.org/tactics/enterprise/를 참고하세요.
| 열거형 | |
|---|---|
TACTIC_UNSPECIFIED |
지정되지 않은 값입니다. |
RECONNAISSANCE |
TA0043 |
RESOURCE_DEVELOPMENT |
TA0042 |
INITIAL_ACCESS |
TA0001 |
EXECUTION |
TA0002 |
PERSISTENCE |
TA0003 |
PRIVILEGE_ESCALATION |
TA0004 |
DEFENSE_EVASION |
TA0005 |
CREDENTIAL_ACCESS |
TA0006 |
DISCOVERY |
TA0007 |
LATERAL_MOVEMENT |
TA0008 |
COLLECTION |
TA0009 |
COMMAND_AND_CONTROL |
TA0011 |
EXFILTRATION |
TA0010 |
IMPACT |
TA0040 |
기법
SCC 발견 항목에서 참조할 수 있는 MITRE ATT&CK 기법 https://attack.mitre.org/techniques/enterprise/를 참고하세요.
| 열거형 | |
|---|---|
TECHNIQUE_UNSPECIFIED |
지정되지 않은 값입니다. |
AUTOMATED_EXFILTRATION |
T1020 |
MASQUERADING |
T1036 |
MATCH_LEGITIMATE_NAME_OR_LOCATION |
T1036.005 |
BOOT_OR_LOGON_INITIALIZATION_SCRIPTS |
T1037 |
STARTUP_ITEMS |
T1037.005 |
NETWORK_SERVICE_DISCOVERY |
T1046 |
PROCESS_DISCOVERY |
T1057 |
COMMAND_AND_SCRIPTING_INTERPRETER |
T1059 |
UNIX_SHELL |
T1059.004 |
PYTHON |
T1059.006 |
EXPLOITATION_FOR_PRIVILEGE_ESCALATION |
T1068 |
PERMISSION_GROUPS_DISCOVERY |
T1069 |
CLOUD_GROUPS |
T1069.003 |
INDICATOR_REMOVAL_FILE_DELETION |
T1070.004 |
APPLICATION_LAYER_PROTOCOL |
T1071 |
DNS |
T1071.004 |
SOFTWARE_DEPLOYMENT_TOOLS |
T1072 |
VALID_ACCOUNTS |
T1078 |
DEFAULT_ACCOUNTS |
T1078.001 |
LOCAL_ACCOUNTS |
T1078.003 |
CLOUD_ACCOUNTS |
T1078.004 |
PROXY |
T1090 |
EXTERNAL_PROXY |
T1090.002 |
MULTI_HOP_PROXY |
T1090.003 |
ACCOUNT_MANIPULATION |
T1098 |
ADDITIONAL_CLOUD_CREDENTIALS |
T1098.001 |
ADDITIONAL_CLOUD_ROLES |
T1098.003 |
SSH_AUTHORIZED_KEYS |
T1098.004 |
ADDITIONAL_CONTAINER_CLUSTER_ROLES |
T1098.006 |
INGRESS_TOOL_TRANSFER |
T1105 |
NATIVE_API |
T1106 |
BRUTE_FORCE |
T1110 |
SHARED_MODULES |
T1129 |
ACCESS_TOKEN_MANIPULATION |
T1134 |
TOKEN_IMPERSONATION_OR_THEFT |
T1134.001 |
EXPLOIT_PUBLIC_FACING_APPLICATION |
T1190 |
USER_EXECUTION |
T1204 |
DOMAIN_POLICY_MODIFICATION |
T1484 |
DATA_DESTRUCTION |
T1485 |
SERVICE_STOP |
T1489 |
INHIBIT_SYSTEM_RECOVERY |
T1490 |
RESOURCE_HIJACKING |
T1496 |
NETWORK_DENIAL_OF_SERVICE |
T1498 |
CLOUD_SERVICE_DISCOVERY |
T1526 |
STEAL_APPLICATION_ACCESS_TOKEN |
T1528 |
ACCOUNT_ACCESS_REMOVAL |
T1531 |
STEAL_WEB_SESSION_COOKIE |
T1539 |
CREATE_OR_MODIFY_SYSTEM_PROCESS |
T1543 |
EVENT_TRIGGERED_EXECUTION |
T1546 |
ABUSE_ELEVATION_CONTROL_MECHANISM |
T1548 |
UNSECURED_CREDENTIALS |
T1552 |
MODIFY_AUTHENTICATION_PROCESS |
T1556 |
IMPAIR_DEFENSES |
T1562 |
DISABLE_OR_MODIFY_TOOLS |
T1562.001 |
EXFILTRATION_OVER_WEB_SERVICE |
T1567 |
EXFILTRATION_TO_CLOUD_STORAGE |
T1567.002 |
DYNAMIC_RESOLUTION |
T1568 |
LATERAL_TOOL_TRANSFER |
T1570 |
MODIFY_CLOUD_COMPUTE_INFRASTRUCTURE |
T1578 |
CREATE_SNAPSHOT |
T1578.001 |
CLOUD_INFRASTRUCTURE_DISCOVERY |
T1580 |
OBTAIN_CAPABILITIES |
T1588 |
ACTIVE_SCANNING |
T1595 |
SCANNING_IP_BLOCKS |
T1595.001 |
CONTAINER_ADMINISTRATION_COMMAND |
T1609 |
DEPLOY_CONTAINER |
T1610 |
ESCAPE_TO_HOST |
T1611 |
CONTAINER_AND_RESOURCE_DISCOVERY |
T1613 |
STEAL_OR_FORGE_AUTHENTICATION_CERTIFICATES |
T1649 |
액세스
액세스 이벤트를 나타냅니다.
| JSON 표현 |
|---|
{ "principalEmail": string, "callerIp": string, "callerIpGeo": { object ( |
| 필드 | |
|---|---|
principalEmail |
연결된 이메일(예: 'foo@google.com') 인증된 사용자의 이메일 주소 또는 요청하는 서드 파티 주 구성원을 대신하는 서비스 계정의 이메일 주소입니다. 서드 파티 ID 호출자의 경우 이 필드 대신 |
callerIp |
호출자의 IP 주소(예: '1.1.1.1')입니다. |
callerIpGeo |
호출자가 어디에서 전화를 걸었는지 식별하는 호출자 IP의 위치정보입니다. |
userAgentFamily |
발견사항과 연결된 사용자 에이전트 유형입니다. 예를 들어 운영체제 셸 또는 삽입된 애플리케이션 또는 독립형 애플리케이션이 있습니다. |
userAgent |
발견사항과 연결된 호출자의 사용자 에이전트 문자열입니다. |
serviceName |
서비스 계정이 호출한 API 서비스입니다(예: 'iam.googleapis.com'). |
methodName |
서비스 계정이 호출한 메서드(예: 'SetIamPolicy')입니다. |
principalSubject |
ID와 연결된 principalSubject를 나타내는 문자열입니다. |
serviceAccountKeyName |
요청을 한 서비스 계정을 인증할 때 사용자 인증 정보를 만들거나 교환하는 데 사용된 서비스 계정 키의 이름입니다. 스키마가 따로 정의되지 않은 URI 전체 리소스 이름입니다. 예를 들면 다음과 같습니다. "//iam.googleapis.com/projects/{PROJECT_ID}/serviceAccounts/{ACCOUNT}/keys/{key}". |
serviceAccountDelegationInfo[] |
요청을 한 인증된 서비스 계정의 ID 위임 기록입니다. |
userName |
사용자 이름을 나타내는 문자열입니다. 제공된 사용자 이름은 발견 항목의 유형에 따라 다르며 IAM 주 구성원이 아닐 수 있습니다. 예를 들어 발견 항목이 가상 머신과 관련된 경우 시스템 사용자 이름이 될 수 있고 애플리케이션 로그인 사용자 이름일 수도 있습니다. |
위치정보
지정된 액세스의 지리적 위치를 나타냅니다.
| JSON 표현 |
|---|
{ "regionCode": string } |
| 필드 | |
|---|---|
regionCode |
CLDR |
ServiceAccountDelegationInfo
인증된 서비스 계정의 ID 위임 기록
| JSON 표현 |
|---|
{ "principalEmail": string, "principalSubject": string } |
| 필드 | |
|---|---|
principalEmail |
Google 계정의 이메일 주소입니다. |
principalSubject |
ID와 연결된 principalSubject를 나타내는 문자열입니다. |
연결
발견 항목과 연결된 IP 연결에 관한 정보를 포함합니다.
| JSON 표현 |
|---|
{
"destinationIp": string,
"destinationPort": integer,
"sourceIp": string,
"sourcePort": integer,
"protocol": enum ( |
| 필드 | |
|---|---|
destinationIp |
대상 IP 주소입니다. 수신 대기 중이고 연결되지 않은 소켓에는 없습니다. |
destinationPort |
대상 포트. 수신 대기 중이고 연결되지 않은 소켓에는 없습니다. |
sourceIp |
소스 IP 주소입니다. |
sourcePort |
소스 포트. |
protocol |
IANA 인터넷 프로토콜 번호(예: TCP(6), UDP(17)) |
프로토콜
IANA 인터넷 프로토콜 번호(예: TCP(6), UDP(17))
| 열거형 | |
|---|---|
PROTOCOL_UNSPECIFIED |
지정되지 않은 프로토콜 (HOPOPT 아님) |
ICMP |
인터넷 제어 메시지 프로토콜 |
TCP |
전송 제어 프로토콜 |
UDP |
사용자 데이터그램 프로토콜 |
GRE |
일반 라우팅 캡슐화 |
ESP |
보안 페이로드 캡슐화 |
처리
운영체제 프로세스를 나타냅니다.
| JSON 표현 |
|---|
{ "name": string, "binary": { object ( |
| 필드 | |
|---|---|
name |
|
binary |
프로세스 실행 파일의 파일 정보입니다. |
libraries[] |
프로세스에서 로드한 라이브러리의 파일 정보입니다. |
script |
프로세스가 스크립트 호출을 나타내는 경우 |
args[] |
인수를 JSON으로 인코딩된 문자열로 처리합니다. |
argumentsTruncated |
|
envVariables[] |
환경 변수를 처리합니다. |
envVariablesTruncated |
|
pid |
프로세스 ID입니다. |
parentPid |
상위 프로세스 ID입니다. |
파일
실행 파일에 사용된 관련 바이너리/라이브러리 또는 스크립트 인터프리터에 사용된 스크립트에 관한 파일 정보
| JSON 표현 |
|---|
{
"path": string,
"size": string,
"sha256": string,
"hashedSize": string,
"partiallyHashed": boolean,
"contents": string,
"diskPath": {
object ( |
| 필드 | |
|---|---|
path |
JSON으로 인코딩된 문자열로 된 파일의 절대 경로입니다. |
size |
파일 크기(바이트) |
sha256 |
파일의 첫 번째 hashedSize 바이트의 SHA256 해시로, 16진수 문자열로 인코딩됩니다. hashedSize == size인 경우 sha256은 전체 파일의 SHA256 해시를 나타냅니다. |
hashedSize |
해싱된 파일 접두사의 길이(바이트)입니다. hashedSize == size인 경우 보고된 해시는 전체 파일을 나타냅니다. |
partiallyHashed |
해시가 파일의 접두사만 포함하는 경우 true입니다. |
contents |
JSON으로 인코딩된 문자열로 파일 콘텐츠의 접두사입니다. |
diskPath |
기본 디스크/파티션 식별자의 관점에서 파일의 경로입니다. |
DiskPath
기본 디스크/파티션 식별자의 관점에서 파일의 경로입니다.
| JSON 표현 |
|---|
{ "partitionUuid": string, "relativePath": string } |
| 필드 | |
|---|---|
partitionUuid |
파티션의 UUID (형식: https://wiki.archlinux.org/title/persistent_block_device_naming#by-uuid) |
relativePath |
파티션의 파일의 상대 경로(JSON 인코딩된 문자열)입니다. 예: /home/user1/executable_file.sh |
EnvironmentVariable
운영체제 프로세스에 사용되는 환경 변수를 나타내는 이름-값 쌍입니다.
| JSON 표현 |
|---|
{ "name": string, "val": string } |
| 필드 | |
|---|---|
name |
JSON 인코딩된 문자열로 된 환경 변수 이름입니다. |
val |
JSON 인코딩된 문자열로 된 환경 변수 값입니다. |
ContactDetails
특정 연락처에 관한 세부정보
| JSON 표현 |
|---|
{
"contacts": [
{
object ( |
| 필드 | |
|---|---|
contacts[] |
연락처 목록 |
연락처
연락처의 이메일 주소입니다.
| JSON 표현 |
|---|
{ "email": string } |
| 필드 | |
|---|---|
email |
이메일 주소입니다. 예를 들면 ' |
규정 준수
충족되지 않은 권장사항을 나타내는 보안 표준에 관한 규정 준수 정보가 포함됩니다.
| JSON 표현 |
|---|
{ "standard": string, "version": string, "ids": [ string ] } |
| 필드 | |
|---|---|
standard |
CIS, PCI, OWASP와 같은 업계 전반의 규정 준수 표준 또는 업계 기준치 |
version |
표준 또는 벤치마크 버전입니다(예: 1.1). |
ids[] |
표준 또는 벤치마크 내의 정책(예: A.12.4.1) |
유출
무단 반출은 하나 이상의 소스에서 하나 이상의 대상에 대한 데이터 무단 반출 시도를 나타냅니다. sources 속성에는 유출된 데이터의 소스가 나열됩니다. targets 속성에는 데이터가 복사된 대상이 나열됩니다.
| JSON 표현 |
|---|
{ "sources": [ { object ( |
| 필드 | |
|---|---|
sources[] |
소스가 여러 개인 경우 데이터가 서로 '조인된' 것으로 간주됩니다. 예를 들어 BigQuery는 여러 테이블을 조인할 수 있으며 각 테이블은 소스로 간주됩니다. |
targets[] |
타겟이 여러 개인 경우 각 타겟은 '조인된' 소스 데이터의 전체 사본을 가져옵니다. |
totalExfiltratedBytes |
전체 작업에 대해 처리된 무단 반출된 총 바이트입니다. |
ExfilResource
데이터가 유출된 리소스 또는 데이터가 유출된 리소스입니다.
| JSON 표현 |
|---|
{ "name": string, "components": [ string ] } |
| 필드 | |
|---|---|
name |
리소스의 전체 리소스 이름입니다. |
components[] |
무단 반출 중에 사용된 URI, 테이블 이름, 데이터베이스, 파일 이름과 같이 무단 반출된 애셋의 하위 구성요소입니다. 예를 들어 동일한 Cloud SQL 인스턴스에서 여러 테이블이 유출되었거나 동일한 Cloud Storage 버킷에서 여러 파일이 유출되었을 수 있습니다. |
IamBinding
구성원의 역할 추가, 삭제 또는 상태를 캡처하는 특정 IAM 바인딩을 나타냅니다.
| JSON 표현 |
|---|
{
"action": enum ( |
| 필드 | |
|---|---|
action |
결합에서 수행된 작업입니다. |
role |
'회원'에게 할당된 역할입니다. 예를 들어 'roles/viewer', 'roles/editor' 또는 'roles/owner'입니다. |
member |
Cloud Platform 리소스에 대한 액세스를 요청하는 단일 ID(예: 'foo@google.com')입니다. |
작업
정책의 바인딩에서 실행되는 작업 유형입니다.
| 열거형 | |
|---|---|
ACTION_UNSPECIFIED |
지정되지 않음. |
ADD |
바인딩을 추가했습니다. |
REMOVE |
바인딩 삭제 |
컨테이너
발견사항과 연결된 컨테이너입니다.
| JSON 표현 |
|---|
{
"name": string,
"uri": string,
"imageId": string,
"labels": [
{
object ( |
| 필드 | |
|---|---|
name |
컨테이너 이름입니다. |
uri |
팟 또는 컨테이너를 구성할 때 제공된 컨테이너 이미지 URI입니다. 이 문자열은 변경 가능한 태그를 사용하여 컨테이너 이미지 버전을 식별할 수 있습니다. |
imageId |
컨테이너 런타임에서 제공하는 경우 선택적 컨테이너 이미지 ID입니다. 컨테이너 이미지 다이제스트를 사용하여 실행된 컨테이너 이미지를 고유하게 식별합니다. |
labels[] |
컨테이너 런타임에서 제공하는 컨테이너 라벨 |
createTime |
컨테이너가 생성된 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
라벨
일반 이름-값 라벨을 나타냅니다. 라벨에는 contains() 함수로 필터링을 지원하기 위한 별도의 이름 및 값 필드가 있습니다. 자세한 내용은 배열 유형 필드를 기준으로 필터링을 참고하세요.
| JSON 표현 |
|---|
{ "name": string, "value": string } |
| 필드 | |
|---|---|
name |
라벨 이름입니다. |
value |
라벨 이름에 해당하는 값입니다. |
Kubernetes
Kubernetes 관련 속성
| JSON 표현 |
|---|
{ "pods": [ { object ( |
| 필드 | |
|---|---|
pods[] |
발견사항과 연결된 Kubernetes 포드 이 필드에는 포드가 소유한 각 컨테이너의 포드 레코드가 포함됩니다. |
nodes[] |
Kubernetes 노드 정보를 제공합니다. |
nodePools[] |
발견 항목과 연결된 GKE 노드 풀 이 필드에는 각 노드의 노드 풀 정보(사용 가능한 경우)가 포함됩니다. |
roles[] |
역할 또는 ClusterRole과 관련된 발견 항목에 대한 Kubernetes 역할 정보를 제공합니다. |
bindings[] |
RoleBindings 또는 ClusterRoleBindings와 관련된 발견 항목에 대한 Kubernetes 역할 바인딩 정보를 제공합니다. |
accessReviews[] |
발견사항과 관련된 Kubernetes 액세스 검토 (권한 확인)에 관한 정보를 제공합니다. |
objects[] |
발견 항목과 관련된 Kubernetes 객체 |
포드
Kubernetes 포드
| JSON 표현 |
|---|
{ "ns": string, "name": string, "labels": [ { object ( |
| 필드 | |
|---|---|
ns |
Kubernetes 포드 네임스페이스입니다. |
name |
Kubernetes 포드 이름입니다. |
labels[] |
포드 라벨 Kubernetes 컨테이너의 경우 컨테이너에 적용됩니다. |
containers[] |
이 발견 항목과 연결된 포드 컨테이너(있는 경우)입니다. |
노드
발견 항목과 연결된 Kubernetes 노드입니다.
| JSON 표현 |
|---|
{ "name": string } |
| 필드 | |
|---|---|
name |
클러스터 노드를 실행하는 Compute Engine VM의 전체 리소스 이름입니다. |
NodePool
GKE 노드 풀 정보를 제공합니다.
| JSON 표현 |
|---|
{
"name": string,
"nodes": [
{
object ( |
| 필드 | |
|---|---|
name |
Kubernetes 노드 풀 이름입니다. |
nodes[] |
발견 항목과 연결된 노드입니다. |
역할
Kubernetes 역할 또는 ClusterRole입니다.
| JSON 표현 |
|---|
{
"kind": enum ( |
| 필드 | |
|---|---|
kind |
역할 유형입니다. |
ns |
역할 네임스페이스 |
name |
역할 이름입니다. |
종류
Kubernetes 역할 유형
| 열거형 | |
|---|---|
KIND_UNSPECIFIED |
역할 유형이 지정되지 않았습니다. |
ROLE |
Kubernetes 역할 |
CLUSTER_ROLE |
Kubernetes ClusterRole |
Binding
Kubernetes RoleBinding 또는 ClusterRoleBinding을 나타냅니다.
| JSON 표현 |
|---|
{ "ns": string, "name": string, "role": { object ( |
| 필드 | |
|---|---|
ns |
결합의 네임스페이스입니다. |
name |
결합의 이름입니다. |
role |
바인딩에서 참조하는 Role 또는 ClusterRole입니다. |
subjects[] |
역할에 바인딩된 하나 이상의 주제를 나타냅니다. PATCH 요청에는 항상 사용할 수 있는 것은 아닙니다. |
제목
Kubernetes 주체를 나타냅니다.
| JSON 표현 |
|---|
{
"kind": enum ( |
| 필드 | |
|---|---|
kind |
대상의 인증 유형입니다. |
ns |
주제의 네임스페이스입니다. |
name |
제목의 이름입니다. |
AuthType
대상의 kind 필드에 사용할 수 있는 인증 유형입니다.
| 열거형 | |
|---|---|
AUTH_TYPE_UNSPECIFIED |
인증이 지정되지 않았습니다. |
USER |
유효한 인증서가 있는 사용자 |
SERVICEACCOUNT |
Kubernetes API에서 보안 비밀로 저장된 사용자 인증 정보로 관리하는 사용자입니다. |
GROUP |
사용자 모음 |
AccessReview
발견과 관련된 Kubernetes 액세스 검토 (예: kubectl auth
can-i 명령어에서 반환된 액세스 검토)에 관한 정보를 전달합니다.
| JSON 표현 |
|---|
{ "group": string, "ns": string, "name": string, "resource": string, "subresource": string, "verb": string, "version": string } |
| 필드 | |
|---|---|
group |
리소스의 API 그룹입니다. '*'는 모두를 의미합니다. |
ns |
요청된 작업의 네임스페이스입니다. 현재 네임스페이스 없음과 모든 네임스페이스는 구분되지 않습니다. 둘 다 "" (비어 있음)로 표시됩니다. |
name |
요청된 리소스의 이름입니다. 비어 있으면 모두를 의미합니다. |
resource |
요청된 선택적 리소스 유형입니다. '*'는 모두를 의미합니다. |
subresource |
선택적 하위 리소스 유형입니다. |
verb |
get, list, watch, create, update, delete, proxy와 같은 Kubernetes 리소스 API 동사입니다. '*'는 모두를 의미합니다. |
version |
리소스의 API 버전입니다. '*'는 모두를 의미합니다. |
객체
발견과 관련된 Kubernetes 객체로, GKNN에서 고유하게 식별됩니다. 객체 종류가 Pod, Node, NodePool, Binding 또는 AccessReview가 아닌 경우에 사용됩니다.
| JSON 표현 |
|---|
{
"group": string,
"kind": string,
"ns": string,
"name": string,
"containers": [
{
object ( |
| 필드 | |
|---|---|
group |
Kubernetes 객체 그룹(예: 'policy.k8s.io/v1') |
kind |
Kubernetes 객체 종류(예: '네임스페이스') |
ns |
Kubernetes 객체 네임스페이스입니다. 유효한 DNS 라벨이어야 합니다. C++ 네임스페이스 키워드와의 충돌을 방지하기 위해 'ns'로 이름을 지정했습니다. 자세한 내용은 https://kubernetes.io/docs/tasks/administer-cluster/namespaces/를 참고하세요. |
name |
Kubernetes 객체 이름입니다. 자세한 내용은 https://kubernetes.io/docs/concepts/overview/working-with-objects/names/를 참고하세요. |
containers[] |
이 발견 항목과 연결된 포드 컨테이너(있는 경우)입니다. |
데이터베이스
쿼리와 같은 데이터베이스 액세스 정보를 나타냅니다. 데이터베이스는 인스턴스의 하위 리소스 (Cloud SQL 인스턴스 또는 Cloud Spanner 인스턴스의 경우)이거나 데이터베이스 인스턴스 자체일 수 있습니다. Cloud SQL 데이터베이스와 같은 이러한 리소스 유형은 아직 Cloud 애셋 인벤토리에서 지원되지 않으므로 일부 데이터베이스 리소스에 전체 리소스 이름이 채워지지 않을 수 있습니다. 이 경우 표시 이름만 제공됩니다.
| JSON 표현 |
|---|
{ "name": string, "displayName": string, "userName": string, "query": string, "grantees": [ string ], "version": string } |
| 필드 | |
|---|---|
name |
일부 데이터베이스 리소스에는 전체 리소스 이름이 채워지지 않을 수 있습니다. 이러한 리소스 유형은 아직 Cloud 애셋 인벤토리에서 지원되지 않기 때문입니다 (예: Cloud SQL 데이터베이스). 이 경우 표시 이름만 제공됩니다. Cloud 애셋 인벤토리에서 지원하는 경우 사용자가 연결한 데이터베이스의 전체 리소스 이름입니다. |
displayName |
사용자가 연결된 데이터베이스의 사람이 읽을 수 있는 이름입니다. |
userName |
데이터베이스에 연결하는 데 사용되는 사용자 이름입니다. 사용자 이름은 IAM 주 구성원이 아닐 수 있으며 지정된 형식이 없습니다. |
query |
데이터베이스 액세스와 연결된 SQL 문입니다. |
grantees[] |
IAM 정책 변경이 아닌 SQL 권한 부여의 대상 사용자 이름, 역할 또는 그룹입니다. |
version |
데이터베이스 버전입니다(예: POSTGRES_14). 전체 목록을 참고하세요. |
AttackExposure
공격 노출에는 공격 경로 시뮬레이션 실행 결과가 포함됩니다.
| JSON 표현 |
|---|
{
"score": number,
"latestCalculationTime": string,
"attackExposureResult": string,
"state": enum ( |
| 필드 | |
|---|---|
score |
이 발견사항을 해결하는 것이 얼마나 중요한지 나타내는 0 (양 끝값 포함)과 무한대 사이의 숫자입니다. 점수가 높을수록 문제를 해결하는 것이 중요합니다. |
latestCalculationTime |
이 발견 항목에서 공격 노출이 업데이트된 가장 최근 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
attackExposureResult |
이 공격 노출 점수와 관련된 세부정보가 포함된 공격 경로 시뮬레이션 결과의 리소스 이름입니다. 예: |
state |
출력 전용입니다. 이 AttackExposure의 상태입니다. 공격 노출이 계산되었는지 여부를 나타냅니다. |
exposedHighValueResourcesCount |
이 발견 항목으로 인해 노출된 가치가 높은 리소스의 수입니다. |
exposedMediumValueResourcesCount |
이 발견 항목으로 인해 노출된 중간 가치 리소스의 수입니다. |
exposedLowValueResourcesCount |
이 발견 항목으로 인해 노출된 가치가 높은 리소스의 수입니다. |
주
이 enum은 AttackExposure가 있을 수 있는 다양한 상태를 정의합니다.
| 열거형 | |
|---|---|
STATE_UNSPECIFIED |
상태가 지정되지 않았습니다. |
CALCULATED |
공격 노출이 계산되었습니다. |
NOT_CALCULATED |
공격 노출이 계산되지 않았습니다. |
CloudDlpInspection
위반사항을 발견한 Cloud Data Loss Prevention (Cloud DLP) 검사 작업에 관한 세부정보입니다.
| JSON 표현 |
|---|
{ "inspectJob": string, "infoType": string, "infoTypeCount": string, "fullScan": boolean } |
| 필드 | |
|---|---|
inspectJob |
검사 작업의 이름입니다(예: |
infoType |
발견된 정보 유형(또는 infoType)입니다(예: |
infoTypeCount |
Cloud DLP가 이 작업 및 리소스에서 이 infoType을 찾은 횟수입니다. |
fullScan |
Cloud DLP가 전체 리소스를 스캔했는지 아니면 샘플링된 하위 집합을 스캔했는지 여부입니다. |
CloudDlpDataProfile
발견 항목과 연결된 데이터 프로필입니다.
| JSON 표현 |
|---|
{
"dataProfile": string,
"parentType": enum ( |
| 필드 | |
|---|---|
dataProfile |
데이터 프로필의 이름입니다(예: |
parentType |
데이터 프로필이 생성된 리소스 계층 구조 수준입니다. |
ParentType
데이터 프로필 발견 항목을 생성하는 구성의 상위 요소입니다.
| 열거형 | |
|---|---|
PARENT_TYPE_UNSPECIFIED |
지정되지 않은 상위 유형입니다. |
ORGANIZATION |
조직 수준 구성 |
PROJECT |
프로젝트 수준 구성 |
KernelRootkit
커널 모드 루트킷 서명
| JSON 표현 |
|---|
{ "name": string, "unexpectedCodeModification": boolean, "unexpectedReadOnlyDataModification": boolean, "unexpectedFtraceHandler": boolean, "unexpectedKprobeHandler": boolean, "unexpectedKernelCodePages": boolean, "unexpectedSystemCallHandler": boolean, "unexpectedInterruptHandler": boolean, "unexpectedProcessesInRunqueue": boolean } |
| 필드 | |
|---|---|
name |
루트킷 이름(제공되는 경우) |
unexpectedCodeModification |
커널 코드 메모리가 예기치 않게 수정된 경우 true입니다. |
unexpectedReadOnlyDataModification |
커널 읽기 전용 데이터 메모리가 예기치 않게 수정된 경우 true입니다. |
unexpectedFtraceHandler |
예상 커널 또는 모듈 코드 범위에 속하지 않는 리전을 가리키는 콜백과 함께 |
unexpectedKprobeHandler |
예상 커널 또는 모듈 코드 범위에 속하지 않는 리전을 가리키는 콜백과 함께 |
unexpectedKernelCodePages |
예상 커널 또는 모듈 코드 리전에 없는 커널 코드 페이지가 있는 경우 true입니다. |
unexpectedSystemCallHandler |
예상 커널 또는 모듈 코드 리전에 없는 시스템 호출 핸들러가 있는 경우 true입니다. |
unexpectedInterruptHandler |
예상 커널 또는 모듈 코드 리전에 없는 인터럽트 핸들러가 있는 경우 true입니다. |
unexpectedProcessesInRunqueue |
스케줄러 실행 큐에 예기치 않은 프로세스가 있는 경우 true입니다. 이러한 프로세스는 실행 큐에 있지만 프로세스 태스크 목록에는 없습니다. |
OrgPolicy
발견 항목과 연결된 조직 정책에 관한 정보를 포함합니다.
| JSON 표현 |
|---|
{ "name": string } |
| 필드 | |
|---|---|
name |
식별자. 조직 정책의 리소스 이름입니다. 예: 'organizations/{organization_id}/policies/{constraint_name}' |
작업
작업을 설명합니다.
| JSON 표현 |
|---|
{
"name": string,
"state": enum ( |
| 필드 | |
|---|---|
name |
작업의 정규화된 이름입니다(예: |
state |
출력 전용입니다. 작업 상태(예: |
errorCode |
선택사항입니다. 작업이 완료되지 않은 경우 이 필드에 이유가 설명됩니다. |
location |
선택사항입니다. 작업이 실행된 위치(예: |
JobState
JobState는 작업의 상태를 나타냅니다.
| 열거형 | |
|---|---|
JOB_STATE_UNSPECIFIED |
지정되지 않음은 알 수 없는 상태를 나타내며 사용해서는 안 됩니다. |
PENDING |
작업이 예약되어 실행 대기 중입니다. |
RUNNING |
진행 중인 작업 |
SUCCEEDED |
작업이 완료되었습니다. |
FAILED |
작업이 완료되었으나 실패함 |
애플리케이션
발견사항과 연결된 애플리케이션을 나타냅니다.
| JSON 표현 |
|---|
{ "baseUri": string, "fullUri": string } |
| 필드 | |
|---|---|
baseUri |
취약점이 감지된 애플리케이션의 네트워크 위치를 식별하는 기본 URI입니다. 예를 들면 |
fullUri |
취약점을 재현하는 데 사용할 수 있는 페이로드가 포함된 전체 URI입니다. 예를 들면 |
IpRules
발견 항목과 연결된 IP 규칙입니다.
| JSON 표현 |
|---|
{ "direction": enum ( |
| 필드 | |
|---|---|
direction |
규칙이 적용되는 방향입니다(인그레스 또는 이그레스). |
sourceIpRanges[] |
소스 IP 범위가 지정된 경우 방화벽 규칙은 이러한 범위에 소스 IP 주소가 있는 트래픽에만 적용됩니다. 이러한 범위는 CIDR 형식으로 표현되어야 합니다. IPv4만 지원합니다. |
destinationIpRanges[] |
대상 IP 범위가 지정된 경우 방화벽 규칙은 이러한 범위에 대상 IP 주소가 있는 트래픽에만 적용됩니다. 이러한 범위는 CIDR 형식으로 표현되어야 합니다. IPv4만 지원합니다. |
exposedServices[] |
열린 포트에서 노출되는 네트워크 프로토콜 서비스의 이름(예: FTP)입니다. https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml에서 확인할 수 있는 이름 지정 규칙을 따릅니다. |
통합 필드 rules. 이 방화벽에서 지정한 허용 규칙 목록입니다. 각 규칙은 허용된 연결을 설명하는 프로토콜 및 포트 범위 튜플을 지정합니다. rules은 다음 중 하나여야 합니다. |
|
allowed |
허용된 규칙이 포함된 튜플입니다. |
denied |
거부된 규칙이 포함된 튜플입니다. |
방향
규칙이 적용되는 방향 유형입니다(인그레스 또는 이그레스 중 하나). OPEN_X_PORT 발견사항에는 적용되지 않습니다.
| 열거형 | |
|---|---|
DIRECTION_UNSPECIFIED |
지정되지 않은 방향 값입니다. |
INGRESS |
인그레스 방향 값입니다. |
EGRESS |
이그레스 방향 값입니다. |
허용됨
허용된 IP 규칙
| JSON 표현 |
|---|
{
"ipRules": [
{
object ( |
| 필드 | |
|---|---|
ipRules[] |
선택사항입니다. 허용된 IP 규칙의 선택적 목록입니다. |
IpRule
IP 규칙 정보
| JSON 표현 |
|---|
{
"protocol": string,
"portRanges": [
{
object ( |
| 필드 | |
|---|---|
protocol |
이 규칙이 적용되는 IP 프로토콜입니다. 이 값은 다음과 같은 잘 알려진 프로토콜 문자열 (TCP, UDP, ICMP, ESP, AH, IPIP, SCTP) 중 하나이거나 정수 값의 문자열 표현일 수 있습니다. |
portRanges[] |
선택사항입니다. 이 규칙이 적용되는 포트 목록(선택사항)입니다. 이 필드는 UDP 또는 (S)TCP 프로토콜에만 적용됩니다. 각 항목은 정수 또는 최소 및 최대 포트 번호를 포함하는 범위여야 합니다. |
PortRange
최솟값과 최댓값을 포함하는 포트 범위입니다. 값은 0과 2^16-1 사이입니다. 최댓값은 최솟값과 같을 수 있으며 최솟값보다 작아서는 안 됩니다. 최솟값과 최댓값이 동일하면 단일 포트임을 나타냅니다.
| JSON 표현 |
|---|
{ "min": string, "max": string } |
| 필드 | |
|---|---|
min |
최소 포트 값입니다. |
max |
최대 포트 값입니다. |
거부됨
IP 규칙을 거부했습니다.
| JSON 표현 |
|---|
{
"ipRules": [
{
object ( |
| 필드 | |
|---|---|
ipRules[] |
선택사항입니다. 거부된 IP 규칙의 선택적 목록입니다. |
BackupDisasterRecovery
Google Cloud 백업 및 DR 서비스 발견 항목과 관련된 정보입니다.
| JSON 표현 |
|---|
{ "backupTemplate": string, "policies": [ string ], "host": string, "applications": [ string ], "storagePool": string, "policyOptions": [ string ], "profile": string, "appliance": string, "backupType": string, "backupCreateTime": string } |
| 필드 | |
|---|---|
backupTemplate |
하나 이상의 백업 정책으로 구성된 백업 및 DR 템플릿의 이름입니다. 자세한 내용은 백업 및 DR 문서를 참고하세요. 예를 들면 |
policies[] |
템플릿과 연결되어 백업 실행 시점, 백업 실행 빈도, 백업 이미지 보관 기간을 정의하는 백업 및 DR 정책의 이름입니다. 예를 들면 |
host |
백업 및 복구 어플라이언스에서 관리하고 관리 콘솔에 알려진 백업 및 DR 호스트의 이름입니다. 호스트는 일반 유형 (예: Compute Engine, SQL Server, Oracle DB, SMB 파일 시스템 등), vCenter 또는 ESX 서버일 수 있습니다. 자세한 내용은 호스트의 백업 및 DR 문서를 참고하세요. 예를 들면 |
applications[] |
백업 및 DR 애플리케이션의 이름입니다. 애플리케이션은 백업 및 복구 어플라이언스에서 모니터링하는 관리형 호스트의 VM, 데이터베이스 또는 파일 시스템입니다. 예를 들면 |
storagePool |
백업 및 복구 어플라이언스가 데이터를 저장하는 백업 및 DR 스토리지 풀의 이름입니다. 스토리지 풀의 유형은 Cloud, Primary, Snapshot, OnVault일 수 있습니다. 스토리지 풀에 관한 백업 및 DR 문서를 참고하세요. 예를 들면 |
policyOptions[] |
애플리케이션에 적용되는 정책의 백업 및 DR 고급 정책 옵션 이름입니다. 정책 옵션에 관한 백업 및 DR 문서를 참고하세요. 예를 들면 |
profile |
애플리케이션 및 VM 데이터 백업의 스토리지 미디어를 지정하는 백업 및 DR 리소스 프로필의 이름입니다. 프로필에 관한 백업 및 DR 문서를 참고하세요. 예를 들면 |
appliance |
백업 데이터의 수명 주기를 캡처, 이동, 관리하는 백업 및 DR 어플라이언스의 이름입니다. 예를 들면 |
backupType |
백업 및 DR 이미지의 백업 유형입니다. 예를 들면 |
backupCreateTime |
백업 및 DR 백업이 생성된 타임스탬프입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
SecurityPosture
Security Command Center Posture Management 서비스에 의해 Google Cloud에 배포된 상태를 나타냅니다. 상황에는 하나 이상의 정책 집합이 포함됩니다. 정책 집합은 Google Cloud에 보안 규칙 집합을 적용하는 정책 그룹입니다.
| JSON 표현 |
|---|
{
"name": string,
"revisionId": string,
"postureDeploymentResource": string,
"postureDeployment": string,
"changedPolicy": string,
"policySet": string,
"policy": string,
"policyDriftDetails": [
{
object ( |
| 필드 | |
|---|---|
name |
자세의 이름입니다(예: |
revisionId |
자세의 버전입니다(예: |
postureDeploymentResource |
상황이 배포된 프로젝트, 폴더 또는 조직입니다(예: |
postureDeployment |
상황 배포의 이름입니다(예: |
changedPolicy |
업데이트된 정책의 이름입니다(예: |
policySet |
업데이트된 정책 세트의 이름입니다(예: |
policy |
업데이트된 정책의 ID입니다(예: |
policyDriftDetails[] |
배포된 상태를 위반하는 업데이트된 정책 변경사항에 관한 세부정보입니다. |
PolicyDriftDetails
배포된 상태를 위반하는 정책 필드와 예상 및 감지된 값입니다.
| JSON 표현 |
|---|
{ "field": string, "expectedValue": string, "detectedValue": string } |
| 필드 | |
|---|---|
field |
업데이트된 필드의 이름입니다(예: constraint.implementation.policy_rules[0].enforce). |
expectedValue |
자세에서 구성된 이 필드의 값입니다(예: |
detectedValue |
배포된 상태를 위반하는 감지된 값(예: |
LogEntry
로그의 개별 항목입니다.
| JSON 표현 |
|---|
{ // Union field |
| 필드 | |
|---|---|
통합 필드
|
|
cloudLoggingEntry |
Cloud Logging에 저장된 로그의 개별 항목입니다. |
CloudLoggingEntry
Cloud Logging LogEntry에서 가져온 메타데이터
| JSON 표현 |
|---|
{ "insertId": string, "logId": string, "resourceContainer": string, "timestamp": string } |
| 필드 | |
|---|---|
insertId |
로그 항목의 고유 식별자입니다. |
logId |
로그 유형입니다 ( |
resourceContainer |
이 로그 항목을 생성한 모니터링 리소스의 조직, 폴더 또는 프로젝트입니다. |
timestamp |
로그 항목에서 설명하는 이벤트가 발생한 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
LoadBalancer
발견 항목과 연결된 부하 분산기와 관련된 정보를 포함합니다.
| JSON 표현 |
|---|
{ "name": string } |
| 필드 | |
|---|---|
name |
문제와 연결된 부하 분산기의 이름입니다. |
CloudArmor
Google Cloud Armor 발견 항목과 관련된 필드입니다.
| JSON 표현 |
|---|
{ "securityPolicy": { object ( |
| 필드 | |
|---|---|
securityPolicy |
발견 항목과 관련된 Google Cloud Armor 보안 정책에 관한 정보입니다. |
requests |
Google Cloud Armor 보안 정책에서 평가한 수신 요청에 관한 정보입니다. |
adaptiveProtection |
Google Cloud Armor Adaptive Protection에서 식별한 잠재적인 레이어 7 DDoS 공격에 관한 정보입니다. |
attack |
DDoS 공격 규모 및 분류에 관한 정보 |
threatVector |
볼륨 및 프로토콜 DDoS 공격과 애플리케이션 계층 공격을 구분합니다. 예를 들어 레이어 3 및 레이어 4 DDoS 공격의 경우 'L3_4', 레이어 7 DDoS 공격의 경우 'L_7'입니다. |
duration |
시작부터 현재까지의 공격 기간입니다 (5분마다 업데이트됨). 소수점 아래가 최대 9자리까지이고 ' |
SecurityPolicy
발견 항목과 관련된 Google Cloud Armor 보안 정책에 관한 정보입니다.
| JSON 표현 |
|---|
{ "name": string, "type": string, "preview": boolean } |
| 필드 | |
|---|---|
name |
Google Cloud Armor 보안 정책의 이름입니다(예: 'my-security-policy'). |
type |
Google Cloud Armor 보안 정책 유형입니다(예: '백엔드 보안 정책', '에지 보안 정책', '네트워크 에지 보안 정책', '상시 DDoS 보호'). |
preview |
연결된 규칙 또는 정책이 미리보기 모드인지 여부입니다. |
요청
발견 항목과 관련된 요청에 대한 정보입니다.
| JSON 표현 |
|---|
{ "ratio": number, "shortTermAllowed": integer, "longTermAllowed": integer, "longTermDenied": integer } |
| 필드 | |
|---|---|
ratio |
'거부율 증가'의 경우 거부된 트래픽을 허용된 트래픽으로 나눈 비율입니다. '허용 트래픽 급증'의 경우 이 비율은 단기적으로 허용된 트래픽을 장기적으로 허용된 트래픽으로 나눈 값입니다. |
shortTermAllowed |
단기적으로 허용되는 RPS (초당 요청 수)입니다. |
longTermAllowed |
장기적으로 허용되는 RPS (초당 요청 수)입니다. |
longTermDenied |
장기간 거부된 RPS (초당 요청 수) |
AdaptiveProtection
| JSON 표현 |
|---|
{ "confidence": number } |
| 필드 | |
|---|---|
confidence |
점수가 0이면 감지된 이벤트가 실제 공격이라는 신뢰도가 낮다는 의미입니다. 점수가 1이면 감지된 이벤트가 공격일 가능성이 높다는 의미입니다. 자세한 내용은 Adaptive Protection 문서를 참고하세요. |
공격
DDoS 공격 규모 및 분류에 관한 정보
| JSON 표현 |
|---|
{ "volumePpsLong": string, "volumeBpsLong": string, "classification": string, "volumePps": integer, "volumeBps": integer } |
| 필드 | |
|---|---|
volumePpsLong |
총 PPS (초당 패킷 수) 공격량입니다. |
volumeBpsLong |
총 BPS (초당 바이트) 공격 볼륨입니다. |
classification |
공격 유형입니다(예: 'SYN-flood', 'NTP-udp', 'CHARGEN-udp'). |
volumePps |
총 PPS (초당 패킷 수) 공격량입니다. 지원 중단됨 - 대신 volumePpsLong을 참고하세요. |
volumeBps |
총 BPS (초당 바이트) 공격 볼륨입니다. 지원 중단됨 - 대신 volumeBpsLong을 참고하세요. |
노트북
발견 항목과 연결된 Jupyter 노트북 IPYNB 파일(예: Colab Enterprise 노트북 파일)을 나타냅니다.
| JSON 표현 |
|---|
{ "name": string, "service": string, "lastAuthor": string, "notebookUpdateTime": string } |
| 필드 | |
|---|---|
name |
노트북의 이름입니다. |
service |
소스 노트북 서비스(예: 'Colab Enterprise') |
lastAuthor |
노트북을 수정한 마지막 작성자의 사용자 ID입니다. |
notebookUpdateTime |
노트북이 마지막으로 업데이트된 시간입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
ToxicCombination
보안 문제 그룹에 관한 세부정보를 포함합니다. 이러한 보안 문제 그룹은 함께 발생할 경우 개별적으로 발생할 때보다 더 큰 위험을 나타냅니다. 이러한 문제 그룹을 유해한 조합이라고 합니다.
| JSON 표현 |
|---|
{ "attackExposureScore": number, "relatedFindings": [ string ] } |
| 필드 | |
|---|---|
attackExposureScore |
이 유해한 조합의 공격 노출 점수입니다. 이 점수는 유해한 조합이 가치가 높은 리소스 하나 이상을 잠재적 공격에 얼마나 노출하는지를 측정합니다. |
relatedFindings[] |
이 유해한 조합과 관련된 발견 항목의 리소스 이름 목록입니다. 예를 들면 |
GroupMembership
이 발견 항목이 속한 그룹에 관한 세부정보가 포함됩니다. 그룹은 어떤 식으로든 관련된 발견 항목의 모음입니다.
| JSON 표현 |
|---|
{
"groupType": enum ( |
| 필드 | |
|---|---|
groupType |
그룹 유형입니다. |
groupId |
그룹의 ID입니다. |
GroupType
가능한 그룹 유형입니다.
| 열거형 | |
|---|---|
GROUP_TYPE_UNSPECIFIED |
기본값 |
GROUP_TYPE_TOXIC_COMBINATION |
그룹은 유해한 조합을 나타냅니다. |
디스크
발견 항목과 연결된 디스크에 대한 정보를 포함합니다.
| JSON 표현 |
|---|
{ "name": string } |
| 필드 | |
|---|---|
name |
디스크의 이름입니다(예: 'https://www.googleapis.com/compute/v1/projects/{project-id}/zones/{zone-id}/disks/{disk-id}'). |
DataAccessEvent
관련 데이터 보안 정책에 따라 승인되지 않은 주 구성원이 데이터 액세스를 시도한 세부정보입니다.
| JSON 표현 |
|---|
{
"eventId": string,
"principalEmail": string,
"operation": enum ( |
| 필드 | |
|---|---|
eventId |
데이터 액세스 이벤트의 고유 식별자입니다. |
principalEmail |
데이터에 액세스한 주 구성원의 이메일 주소입니다. 주 구성원은 사용자 계정, 서비스 계정, Google 그룹 또는 기타일 수 있습니다. |
operation |
주 구성원이 데이터에 액세스하기 위해 실행한 작업입니다. |
eventTime |
데이터 액세스 이벤트의 타임스탬프입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
작업
데이터 액세스 이벤트의 작업입니다.
| 열거형 | |
|---|---|
OPERATION_UNSPECIFIED |
작업이 지정되지 않았습니다. |
READ |
읽기 작업을 나타냅니다. |
MOVE |
이동 작업을 나타냅니다. |
COPY |
복사 작업을 나타냅니다. |
DataFlowEvent
관련 데이터 보안 정책에 정의된 대로 규정을 준수하지 않는 위치로 데이터가 이동하거나 해당 위치에서 데이터에 액세스하는 데이터 흐름 이벤트에 관한 세부정보입니다.
| JSON 표현 |
|---|
{
"eventId": string,
"principalEmail": string,
"operation": enum ( |
| 필드 | |
|---|---|
eventId |
데이터 흐름 이벤트의 고유 식별자입니다. |
principalEmail |
데이터 흐름 이벤트를 시작한 주 구성원의 이메일 주소입니다. 주 구성원은 사용자 계정, 서비스 계정, Google 그룹 또는 기타일 수 있습니다. |
operation |
데이터 흐름 이벤트에 대해 주 구성원이 실행한 작업입니다. |
violatedLocation |
위반하는 사용자 또는 데이터 대상 위치 |
eventTime |
데이터 흐름 이벤트의 타임스탬프입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
작업
데이터 흐름 이벤트의 작업입니다.
| 열거형 | |
|---|---|
OPERATION_UNSPECIFIED |
작업이 지정되지 않았습니다. |
READ |
읽기 작업을 나타냅니다. |
MOVE |
이동 작업을 나타냅니다. |
COPY |
복사 작업을 나타냅니다. |
네트워크
발견 항목과 연결된 VPC 네트워크에 관한 정보를 포함합니다.
| JSON 표현 |
|---|
{ "name": string } |
| 필드 | |
|---|---|
name |
VPC 네트워크 리소스의 이름입니다(예: |
DataRetentionDeletionEvent
관련 데이터 보안 정책에 정의된 대로 보관 또는 삭제 시간에 따라 데이터가 정책을 준수하지 않는 데이터 보관 삭제 위반에 관한 세부정보입니다. 데이터 보관 삭제 (DRD) 제어는 조직이 GDPR 및 CRPA와 같은 규정을 준수하여 데이터 보관 및 삭제 정책을 관리할 수 있는 DSPM (데이터 보안 상황 관리) 모음의 제어입니다. DRD는 최대 저장소 길이 (최대 TTL) 및 최소 저장소 길이 (최소 TTL)라는 두 가지 기본 정책 유형을 지원합니다. 두 서비스 모두 조직이 규정 및 데이터 관리 약속을 준수하도록 지원하는 것을 목표로 합니다.
| JSON 표현 |
|---|
{
"eventDetectionTime": string,
"dataObjectCount": string,
"maxRetentionAllowed": string,
"eventType": enum ( |
| 필드 | |
|---|---|
eventDetectionTime |
이벤트가 감지된 시간을 나타내는 타임스탬프입니다. 생성된 출력은 항상 Z-정규화되고 소수점 이하 자릿수가 0, 3, 6 또는 9인 RFC 3339를 사용합니다. 'Z' 이외의 오프셋도 허용됩니다. 예를 들면 |
dataObjectCount |
이 리소스의 정책을 위반한 객체 수입니다. 숫자가 1,000 미만이면 이 필드의 값이 정확한 숫자입니다. 정책을 위반한 객체 수가 1,000개를 초과하면 이 필드의 값은 1, 000입니다. |
maxRetentionAllowed |
DRD 제어에서 허용되는 최대 보관 기간입니다. 이는 사용자가 데이터의 최대 TTL을 설정하는 DRD 제어에서 비롯됩니다. 예를 들어 사용자가 Cloud Storage 버킷의 최대 TTL을 90일로 설정했다고 가정해 보겠습니다. 하지만 해당 버킷의 객체는 100일 전의 객체입니다. 이 경우 해당 Cloud Storage 버킷에 대해 DataRetentionDeletionEvent가 생성되고 maxRetentionAllowed는 90일입니다. 소수점 아래가 최대 9자리까지이고 ' |
eventType |
DRD 이벤트 유형입니다. |
EventType
DRD 이벤트 유형입니다.
| 열거형 | |
|---|---|
EVENT_TYPE_UNSPECIFIED |
지정되지 않은 이벤트 유형입니다. |
EVENT_TYPE_MAX_TTL_EXCEEDED |
최대 보관 기간을 초과했습니다. |
메서드 |
|
|---|---|
|
위치에 발견 항목을 만듭니다. |
|
조직 또는 소스의 발견 항목을 필터링하고 위치에서 지정된 속성별로 그룹화합니다. |
|
조직 또는 소스의 발견 항목을 나열합니다. |
|
발견 항목을 만들거나 업데이트합니다. |
|
발견 항목의 숨기기 상태를 업데이트합니다. |
|
발견 항목의 상태를 업데이트합니다. |
|
보안 표시를 업데이트합니다. |