此页面由 Cloud Translation API 翻译。

REST Resource: organizations.sources.findings

资源：Finding
方法

资源：Finding

Security Command Center 发现结果。

发现结果是指被提取到 Security Command Center 以进行展示、通知、分析、政策测试和实施的评估数据（如安全、风险、运行状况或隐私）记录。例如，App Engine 应用中的跨站脚本攻击 (XSS) 漏洞是一个发现结果。

JSON 表示法

JSON 表示法
{ "name": string, "canonicalName": string, "parent": string, "resourceName": string, "state": enum (`State`), "category": string, "externalUri": string, "sourceProperties": { string: value, ... }, "securityMarks": { object (`SecurityMarks`) }, "eventTime": string, "createTime": string, "severity": enum (`Severity`), "mute": enum (`Mute`), "muteInfo": { object (`MuteInfo`) }, "findingClass": enum (`FindingClass`), "indicator": { object (`Indicator`) }, "vulnerability": { object (`Vulnerability`) }, "muteUpdateTime": string, "externalSystems": { string: { object (`ExternalSystem`) }, ... }, "mitreAttack": { object (`MitreAttack`) }, "access": { object (`Access`) }, "connections": [ { object (`Connection`) } ], "muteInitiator": string, "processes": [ { object (`Process`) } ], "contacts": { string: { object (`ContactDetails`) }, ... }, "compliances": [ { object (`Compliance`) } ], "parentDisplayName": string, "description": string, "exfiltration": { object (`Exfiltration`) }, "iamBindings": [ { object (`IamBinding`) } ], "nextSteps": string, "moduleName": string, "containers": [ { object (`Container`) } ], "kubernetes": { object (`Kubernetes`) }, "database": { object (`Database`) }, "attackExposure": { object (`AttackExposure`) }, "files": [ { object (`File`) } ], "cloudDlpInspection": { object (`CloudDlpInspection`) }, "cloudDlpDataProfile": { object (`CloudDlpDataProfile`) }, "kernelRootkit": { object (`KernelRootkit`) }, "orgPolicies": [ { object (`OrgPolicy`) } ], "job": { object (`Job`) }, "application": { object (`Application`) }, "ipRules": { object (`IpRules`) }, "backupDisasterRecovery": { object (`BackupDisasterRecovery`) }, "securityPosture": { object (`SecurityPosture`) }, "logEntries": [ { object (`LogEntry`) } ], "loadBalancers": [ { object (`LoadBalancer`) } ], "cloudArmor": { object (`CloudArmor`) }, "notebook": { object (`Notebook`) }, "toxicCombination": { object (`ToxicCombination`) }, "groupMemberships": [ { object (`GroupMembership`) } ], "disk": { object (`Disk`) }, "dataAccessEvents": [ { object (`DataAccessEvent`) } ], "dataFlowEvents": [ { object (`DataFlowEvent`) } ], "networks": [ { object (`Network`) } ], "dataRetentionDeletionEvents": [ { object (`DataRetentionDeletionEvent`) } ] }

{
  "name": string,
  "canonicalName": string,
  "parent": string,
  "resourceName": string,
  "state": enum (State),
  "category": string,
  "externalUri": string,
  "sourceProperties": {
    string: value,
    ...
  },
  "securityMarks": {
    object (SecurityMarks)
  },
  "eventTime": string,
  "createTime": string,
  "severity": enum (Severity),
  "mute": enum (Mute),
  "muteInfo": {
    object (MuteInfo)
  },
  "findingClass": enum (FindingClass),
  "indicator": {
    object (Indicator)
  },
  "vulnerability": {
    object (Vulnerability)
  },
  "muteUpdateTime": string,
  "externalSystems": {
    string: {
      object (ExternalSystem)
    },
    ...
  },
  "mitreAttack": {
    object (MitreAttack)
  },
  "access": {
    object (Access)
  },
  "connections": [
    {
      object (Connection)
    }
  ],
  "muteInitiator": string,
  "processes": [
    {
      object (Process)
    }
  ],
  "contacts": {
    string: {
      object (ContactDetails)
    },
    ...
  },
  "compliances": [
    {
      object (Compliance)
    }
  ],
  "parentDisplayName": string,
  "description": string,
  "exfiltration": {
    object (Exfiltration)
  },
  "iamBindings": [
    {
      object (IamBinding)
    }
  ],
  "nextSteps": string,
  "moduleName": string,
  "containers": [
    {
      object (Container)
    }
  ],
  "kubernetes": {
    object (Kubernetes)
  },
  "database": {
    object (Database)
  },
  "attackExposure": {
    object (AttackExposure)
  },
  "files": [
    {
      object (File)
    }
  ],
  "cloudDlpInspection": {
    object (CloudDlpInspection)
  },
  "cloudDlpDataProfile": {
    object (CloudDlpDataProfile)
  },
  "kernelRootkit": {
    object (KernelRootkit)
  },
  "orgPolicies": [
    {
      object (OrgPolicy)
    }
  ],
  "job": {
    object (Job)
  },
  "application": {
    object (Application)
  },
  "ipRules": {
    object (IpRules)
  },
  "backupDisasterRecovery": {
    object (BackupDisasterRecovery)
  },
  "securityPosture": {
    object (SecurityPosture)
  },
  "logEntries": [
    {
      object (LogEntry)
    }
  ],
  "loadBalancers": [
    {
      object (LoadBalancer)
    }
  ],
  "cloudArmor": {
    object (CloudArmor)
  },
  "notebook": {
    object (Notebook)
  },
  "toxicCombination": {
    object (ToxicCombination)
  },
  "groupMemberships": [
    {
      object (GroupMembership)
    }
  ],
  "disk": {
    object (Disk)
  },
  "dataAccessEvents": [
    {
      object (DataAccessEvent)
    }
  ],
  "dataFlowEvents": [
    {
      object (DataFlowEvent)
    }
  ],
  "networks": [
    {
      object (Network)
    }
  ],
  "dataRetentionDeletionEvents": [
    {
      object (DataRetentionDeletionEvent)
    }
  ]
}

字段
`name`	`string` 相应发现的相对资源名称。以下列表显示了一些示例： + `organizations/{organization_id}/sources/{source_id}/findings/{findingId}` + `organizations/{organization_id}/sources/{source_id}/locations/{locationId}/findings/{findingId}` + `folders/{folder_id}/sources/{source_id}/findings/{findingId}` + `folders/{folder_id}/sources/{source_id}/locations/{locationId}/findings/{findingId}` + `projects/{projectId}/sources/{source_id}/findings/{findingId}` + `projects/{projectId}/sources/{source_id}/locations/{locationId}/findings/{findingId}`
`canonicalName`	`string` 仅限输出。发现结果的规范名称。以下列表显示了一些示例： + `organizations/{organization_id}/sources/{source_id}/findings/{findingId}` + `organizations/{organization_id}/sources/{source_id}/locations/{locationId}/findings/{findingId}` + `folders/{folder_id}/sources/{source_id}/findings/{findingId}` + `folders/{folder_id}/sources/{source_id}/locations/{locationId}/findings/{findingId}` + `projects/{projectId}/sources/{source_id}/findings/{findingId}` + `projects/{projectId}/sources/{source_id}/locations/{locationId}/findings/{findingId}` 前缀是与发现结果关联的资源的最近 CRM 祖先。
`parent`	`string` 相应发现所属的来源和位置的相对资源名称。请参阅：https://cloud.google.com/apis/design/resource_names#relative_resource_name 此字段在创建后将不可变。以下列表显示了一些示例： `organizations/{organization_id}/sources/{source_id}` `folders/{folders_id}/sources/{source_id}` `projects/{projects_id}/sources/{source_id}` + `organizations/{organization_id}/sources/{source_id}/locations/{locationId}` `folders/{folders_id}/sources/{source_id}/locations/{locationId}` `projects/{projects_id}/sources/{source_id}/locations/{locationId}`
`resourceName`	`string` 不可变。对于 Google Cloud 资源的发现结果，此发现结果所针对的 Google Cloud 资源的完整资源名称。请参阅：https://cloud.google.com/apis/design/resource_names#full_resource_name。如果发现问题涉及非 Google Cloud 资源，resourceName 可以是客户或合作伙伴定义的字符串。
`state`	`enum (State)` 仅限输出。发现结果的状态。
`category`	`string` 不可变。来自给定来源的发现结果中的其他分类群组。示例：“XSS_FLASH_INJECTION”
`externalUri`	`string` URI（如果有）指向 Security Command Center 之外的网页，您可以在该网页上找到有关发现结果的更多信息。此字段保证为空或格式正确的网址。
`sourceProperties`	`map (key: string, value: value (Value format))` 来源专用属性。这些属性由写入发现结果的来源管理。sourceProperties 映射中的键名称必须介于 1 到 255 个字符之间，并且必须以字母开头，并且只能包含字母数字字符或下划线。包含一系列 `"key": value` 对的对象。示例：`{ "name": "wrench", "mass": "1.3kg", "count": "3" }`。
`securityMarks`	`object (SecurityMarks)` 仅限输出。用户指定的安全标记。这些标记完全由用户管理，来自于相应发现结果所属的 SecurityMarks 资源。
`eventTime`	`string (Timestamp format)` 首次检测到发现结果的时间。如果现有发现结果已更新，则此项表示更新的时间。例如，如果发现结果表明防火墙处于打开状态，则此属性会捕获检测器认为防火墙处于打开状态的时间。准确性由检测器决定。如果发现结果在之后得以解决，那么该时间会反映解决发现结果的时间。此值不得设置为大于当前时间戳的值。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`createTime`	`string (Timestamp format)` 仅限输出。发现结果在 Security Command Center 中的创建时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`severity`	`enum (Severity)` 发现结果的严重程度。此字段由写入发现信息的来源管理。
`mute`	`enum (Mute)` 表示发现结果的忽略状态（已忽略、取消忽略或未定义）。与发现的其他属性不同，发现提供程序不应设置“静音”的值。
`muteInfo`	`object (MuteInfo)` 仅限输出。与此发现结果有关的忽略信息。
`findingClass`	`enum (FindingClass)` 发现结果的类。
`indicator`	`object (Indicator)` 表示计算机取证中通常称为“失陷指标”(IoC) 的概念。这是在网络或操作系统中观察到的工件，可高度确信地表明存在计算机入侵。如需了解详情，请参阅入侵指标。
`vulnerability`	`object (Vulnerability)` 表示特定于漏洞的字段，例如 CVE 和 CVSS 得分。CVE 是“常见漏洞和披露”的缩写 (https://cve.mitre.org/about/)
`muteUpdateTime`	`string (Timestamp format)` 仅限输出。此发现结果最近一次被忽略或取消忽略的时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`externalSystems`	`map (key: string, value: object (ExternalSystem))` 仅限输出。SCC 中的第三方 SIEM/SOAR 字段，包含外部系统信息和外部系统发现字段。包含一系列 `"key": value` 对的对象。示例：`{ "name": "wrench", "mass": "1.3kg", "count": "3" }`。
`mitreAttack`	`object (MitreAttack)` 与此发现结果相关的 MITRE ATT&CK 策略和技术。请参阅：https://attack.mitre.org
`access`	`object (Access)` 访问与相应发现结果相关的详细信息，例如有关调用方、访问了哪种方法以及从何处访问的更多信息。
`connections[]`	`object (Connection)` 包含与发现结果关联的 IP 连接的相关信息。
`muteInitiator`	`string` 记录与静音操作相关的其他信息，例如静音了相应发现的静音配置以及静音了相应发现的用户。
`processes[]`	`object (Process)` 表示与发现结果关联的操作系统进程。
`contacts`	`map (key: string, value: object (ContactDetails))` 仅限输出。包含指定发现结果的联系信息的地图。键表示联系人类型，而值包含相关的所有联系人的列表。请参阅：https://cloud.google.com/resource-manager/docs/managing-notification-contacts#notification-categories `{ "security": { "contacts": [ { "email": "person1@company.com" }, { "email": "person2@company.com" } ] } }` 包含一系列 `"key": value` 对的对象。示例：`{ "name": "wrench", "mass": "1.3kg", "count": "3" }`。
`compliances[]`	`object (Compliance)` 包含与发现结果相关联的安全标准的合规性信息。
`parentDisplayName`	`string` 仅限输出。发现来源的易于理解的显示名称，例如“事件威胁检测”或“安全性分析”。
`description`	`string` 包含有关发现结果的更多详细信息。
`exfiltration`	`object (Exfiltration)` 表示与发现结果关联的外泄。
`iamBindings[]`	`object (IamBinding)` 表示与发现结果关联的 IAM 绑定。
`nextSteps`	`string` 解决相应问题的步骤。
`moduleName`	`string` 生成发现结果的模块的唯一标识符。示例：folders/598186756061/securityHealthAnalyticsSettings/customModules/56799441161885
`containers[]`	`object (Container)` 与该发现结果关联的容器。此字段提供 Kubernetes 容器和非 Kubernetes 容器的信息。
`kubernetes`	`object (Kubernetes)` 与发现结果关联的 Kubernetes 资源。
`database`	`object (Database)` 与发现结果关联的数据库。
`attackExposure`	`object (AttackExposure)` 与此发现结果相关的攻击路径模拟结果。
`files[]`	`object (File)` 与发现结果关联的文件。
`cloudDlpInspection`	`object (CloudDlpInspection)` 与发现结果关联的 Cloud Data Loss Prevention (Cloud DLP) 检查结果。
`cloudDlpDataProfile`	`object (CloudDlpDataProfile)` 与发现结果关联的 Cloud DLP 数据剖析文件。
`kernelRootkit`	`object (KernelRootkit)` 内核 rootkit 的签名。
`orgPolicies[]`	`object (OrgPolicy)` 包含与发现结果关联的组织政策的相关信息。
`job`	`object (Job)` 与发现结果关联的作业。
`application`	`object (Application)` 表示与发现关联的应用。
`ipRules`	`object (IpRules)` 与发现结果关联的 IP 规则。
`backupDisasterRecovery`	`object (BackupDisasterRecovery)` 与备份和灾难恢复问题相关的字段。
`securityPosture`	`object (SecurityPosture)` 与发现结果关联的安全状况。
`logEntries[]`	`object (LogEntry)` 与发现结果相关的日志条目。
`loadBalancers[]`	`object (LoadBalancer)` 与发现结果关联的负载平衡器。
`cloudArmor`	`object (CloudArmor)` 与 Cloud Armor 发现结果相关的字段。
`notebook`	`object (Notebook)` 与发现结果关联的笔记本。
`toxicCombination`	`object (ToxicCombination)` 包含一组安全问题的详细信息。如果这些问题同时出现，所构成的风险要高于这些问题单独出现的风险。一组此类问题称为有害组合。此字段无法更新。所有更新请求都会忽略其值。
`groupMemberships[]`	`object (GroupMembership)` 包含此发现所属群组的详细信息。组是指一组在某种程度上相关的发现。此字段无法更新。所有更新请求都会忽略其值。
`disk`	`object (Disk)` 与发现结果关联的磁盘。
`dataAccessEvents[]`	`object (DataAccessEvent)` 与发现关联的数据访问事件。
`dataFlowEvents[]`	`object (DataFlowEvent)` 与相应发现关联的数据流事件。
`networks[]`	`object (Network)` 表示资源所附加的 VPC 网络。
`dataRetentionDeletionEvents[]`	`object (DataRetentionDeletionEvent)` 与相应发现相关联的数据保留删除事件。

州

发现结果的状态。

枚举
`STATE_UNSPECIFIED`	未指定状态。
`ACTIVE`	该发现结果需要关注，但尚未得到解决。
`INACTIVE`	相应发现结果已被修复、被判定为无问题或已通过其他方式解决，不再活跃。

安全标识

附加到父级 Security Command Center 资源的用户指定的安全标记。安全标记的范围在 Security Command Center 组织内 - 对该组织拥有适当权限的所有用户都可以修改和查看安全标记。

JSON 表示法
{ "name": string, "marks": { string: string, ... }, "canonicalName": string }

字段

字段
`name`	`string` SecurityMarks 的相对资源名称。请参阅：https://cloud.google.com/apis/design/resource_names#relative_resource_name。下表列出了一些示例： `organizations/{organization_id}/assets/{asset_id}/securityMarks` + `organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks` + `organizations/{organization_id}/sources/{source_id}/locations/{location}/findings/{findingId}/securityMarks`
`marks`	`map (key: string, value: string)` 属于父级资源的可变用户指定安全标记。限制条件如下：键和值不区分大小写密钥必须介于 1 到 256 个字符之间（包括这两个数值）键必须是字母、数字、下划线或短划线系统会修剪值开头和结尾的空白，剩余字符必须介于 1 到 4096（包括 1 和 4096）个字符之间包含一系列 `"key": value` 对的对象。示例：`{ "name": "wrench", "mass": "1.3kg", "count": "3" }`。
`canonicalName`	`string` 商标的规范名称。以下列表显示了一些示例： `organizations/{organization_id}/assets/{asset_id}/securityMarks` + `organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks` + `organizations/{organization_id}/sources/{source_id}/locations/{location}/findings/{findingId}/securityMarks` `folders/{folder_id}/assets/{asset_id}/securityMarks` + `folders/{folder_id}/sources/{source_id}/findings/{findingId}/securityMarks` + `folders/{folder_id}/sources/{source_id}/locations/{location}/findings/{findingId}/securityMarks` `projects/{project_number}/assets/{asset_id}/securityMarks` + `projects/{project_number}/sources/{source_id}/findings/{findingId}/securityMarks` + `projects/{project_number}/sources/{source_id}/locations/{location}/findings/{findingId}/securityMarks`

name

string

SecurityMarks 的相对资源名称。请参阅：https://cloud.google.com/apis/design/resource_names#relative_resource_name。下表列出了一些示例：

organizations/{organization_id}/assets/{asset_id}/securityMarks + organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks + organizations/{organization_id}/sources/{source_id}/locations/{location}/findings/{findingId}/securityMarks

marks

map (key: string, value: string)

属于父级资源的可变用户指定安全标记。限制条件如下：

键和值不区分大小写
密钥必须介于 1 到 256 个字符之间（包括这两个数值）
键必须是字母、数字、下划线或短划线
系统会修剪值开头和结尾的空白，剩余字符必须介于 1 到 4096（包括 1 和 4096）个字符之间

包含一系列 "key": value 对的对象。示例：{ "name": "wrench", "mass": "1.3kg", "count": "3" }。

canonicalName

string

商标的规范名称。以下列表显示了一些示例：

organizations/{organization_id}/assets/{asset_id}/securityMarks + organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks + organizations/{organization_id}/sources/{source_id}/locations/{location}/findings/{findingId}/securityMarks
folders/{folder_id}/assets/{asset_id}/securityMarks + folders/{folder_id}/sources/{source_id}/findings/{findingId}/securityMarks + folders/{folder_id}/sources/{source_id}/locations/{location}/findings/{findingId}/securityMarks
projects/{project_number}/assets/{asset_id}/securityMarks + projects/{project_number}/sources/{source_id}/findings/{findingId}/securityMarks + projects/{project_number}/sources/{source_id}/locations/{location}/findings/{findingId}/securityMarks

严重程度

发现结果的严重程度。

枚举
`SEVERITY_UNSPECIFIED`	当来源未写入严重程度值时，此值用于发现。
`CRITICAL`	漏洞：严重漏洞很容易被外部操作者发现，可被利用，并且会导致直接执行任意代码、外泄数据，甚至获得云端资源和工作负载的其他访问权限和特权。例如，可公开访问的未保护用户数据以及密码较弱或无密码的公开 SSH 访问权限。威胁：表示威胁能够访问、修改或删除数据，或在现有资源中执行未经授权的代码。
`HIGH`	漏洞：高风险漏洞很容易被发现，并且可与其他漏洞结合利用而获得直接存取权限来执行任意代码、外泄数据，以及获得云端资源和工作负载的其他访问权限和特权。例如，密码较弱或无密码且只能通过内部访问的数据库。此数据库很容易被有权访问内部网络的操作者破解。威胁：表示威胁能够在环境中创建新的计算资源，但无法在现有资源中访问数据或执行代码。
`MEDIUM`	漏洞：操作者可以使用中风险漏洞来获取资源的访问权限或特权，从而使他们最终（通过多步操作或复杂的漏洞利用）获得访问权限并能够执行任意代码或渗漏数据。例如，某个服务账号拥有的项目访问权限超出了应有的范围。如果操作者获得了服务账号的访问权限，则可能会使用该访问权限来操控服务账号原本不应操控的项目。威胁：表示威胁可能会造成运营影响，但可能无法访问数据或执行未经授权的代码。
`LOW`	漏洞：低风险漏洞会影响安全组织在部署中检测漏洞或有效威胁的能力，或阻止调查安全问题的根本原因。例如，停用了资源配置和访问权限的监控和日志记录功能。威胁：表示威胁获得了最低环境访问权限，但无法访问数据、执行代码或创建资源。

忽略

发现结果可能处于的忽略状态。

枚举
`MUTE_UNSPECIFIED`	未指定。
`MUTED`	发现结果已被忽略。
`UNMUTED`	已取消忽略相应发现结果。
`UNDEFINED`	从未忽略/取消忽略发现结果。

MuteInfo

与发现结果相关的忽略信息，包括发现结果是否有静态忽略规则或任何匹配的动态忽略规则。

JSON 表示法
{ "staticMute": { object (`StaticMute`) }, "dynamicMuteRecords": [ { object (`DynamicMuteRecord`) } ] }

字段

字段
`staticMute`	`object (StaticMute)` 如果已设置，则表示对此发现结果应用了静态忽略。静态忽略会覆盖动态忽略。如果未设置，则不会静音。
`dynamicMuteRecords[]`	`object (DynamicMuteRecord)` 当前与发现结果匹配的动态忽略规则的列表。

staticMute

object (StaticMute)

如果已设置，则表示对此发现结果应用了静态忽略。静态忽略会覆盖动态忽略。如果未设置，则不会静音。

dynamicMuteRecords[]

object (DynamicMuteRecord)

当前与发现结果匹配的动态忽略规则的列表。

StaticMute

有关静态忽略状态的信息。静态忽略状态会替换应用于此发现结果的所有动态忽略规则。静态忽略状态可以通过静态忽略规则设置，也可以直接忽略发现结果来设置。

JSON 表示法
{ "state": enum (`Mute`), "applyTime": string }

字段

字段
`state`	`enum (Mute)` 静态静音状态。如果值为 `MUTED` 或 `UNMUTED`，则发现的整体静音状态将具有相同的值。
`applyTime`	`string (Timestamp format)` 应用静态静音的时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。

state

enum (Mute)

静态静音状态。如果值为 MUTED 或 UNMUTED，则发现的整体静音状态将具有相同的值。

applyTime

string (Timestamp format)

应用静态静音的时间。

采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例："2014-10-02T15:01:23Z"、"2014-10-02T15:01:23.045123456Z" 或 "2014-10-02T15:01:23+05:30"。

DynamicMuteRecord

与发现结果匹配的动态忽略规则的记录。

JSON 表示法
{ "muteConfig": string, "matchTime": string }

字段

字段
`muteConfig`	`string` 创建此记录的静音规则的相对资源名称（由静音配置表示），例如 `organizations/123/muteConfigs/mymuteconfig` 或 `organizations/123/locations/global/muteConfigs/mymuteconfig`。
`matchTime`	`string (Timestamp format)` 动态忽略规则首次与发现结果匹配的时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。

muteConfig

string

创建此记录的静音规则的相对资源名称（由静音配置表示），例如 organizations/123/muteConfigs/mymuteconfig 或 organizations/123/locations/global/muteConfigs/mymuteconfig。

matchTime

string (Timestamp format)

动态忽略规则首次与发现结果匹配的时间。

FindingClass

表示发现结果的类型。

枚举
`FINDING_CLASS_UNSPECIFIED`	未指定发现结果类。
`THREAT`	说明不当或恶意活动。
`VULNERABILITY`	描述软件中可能存在的弱点，该弱点会增加机密性、完整性和可用性风险。
`MISCONFIGURATION`	描述云资源/资产配置中可能存在的潜在弱点，这些弱点会增加风险。
`OBSERVATION`	描述安全观察结果，仅供参考。
`SCC_ERROR`	介绍了导致某些 SCC 功能无法正常运行的错误。
`POSTURE_VIOLATION`	描述因安全状况发生变化而导致的潜在安全风险。
`TOXIC_COMBINATION`	描述一系列安全问题，这些问题合起来会构成更严重的安全问题。
`SENSITIVE_DATA_RISK`	说明包含敏感数据的数据资产存在的潜在安全风险。

指标

表示计算机取证中通常称为“失陷指标”(IoC) 的概念。这是在网络或操作系统中观察到的工件，可高度确信地表明存在计算机入侵。如需了解详情，请参阅入侵指标。

JSON 表示法
{ "ipAddresses": [ string ], "domains": [ string ], "signatures": [ { object (`ProcessSignature`) } ], "uris": [ string ] }

字段
`ipAddresses[]`	`string` 与相应发现结果关联的 IP 地址列表。
`domains[]`	`string` 与相应发现结果关联的网域列表。
`signatures[]`	`object (ProcessSignature)` 匹配的签名列表，表示给定进程存在于环境中。
`uris[]`	`string` 与相应发现相关联的 URI 列表。

ProcessSignature

表示与此进程匹配的签名。

JSON 表示法

JSON 表示法
{ "signatureType": enum (`SignatureType`), // Union field `signature` can be only one of the following: "memoryHashSignature": { object (`MemoryHashSignature`) }, "yaraRuleSignature": { object (`YaraRuleSignature`) } // End of list of possible types for union field `signature`. }

{
  "signatureType": enum (SignatureType),

  // Union field signature can be only one of the following:
  "memoryHashSignature": {
    object (MemoryHashSignature)
  },
  "yaraRuleSignature": {
    object (YaraRuleSignature)
  }
  // End of list of possible types for union field signature.
}

字段
`signatureType`	`enum (SignatureType)` 描述与签名关联的资源类型。
联合字段 `signature`。 `signature` 只能是下列其中一项：
`memoryHashSignature`	`object (MemoryHashSignature)` 表示匹配到二进制文件族的签名。
`yaraRuleSignature`	`object (YaraRuleSignature)` 表示匹配了 YARA 规则的签名。

MemoryHashSignature

与内存页面哈希对应的签名。

JSON 表示法
{ "binaryFamily": string, "detections": [ { object (`Detection`) } ] }

字段

字段
`binaryFamily`	`string` 二进制系列。
`detections[]`	`object (Detection)` 导致二进制系列匹配的内存哈希检测列表。

binaryFamily

string

二进制系列。

detections[]

object (Detection)

导致二进制系列匹配的内存哈希检测列表。

检测

有助于二进制系列匹配的内存哈希检测。

JSON 表示法
{ "binary": string, "percentPagesMatched": number }

字段

字段
`binary`	`string` 与内存哈希签名检测相关联的二进制文件的名称。
`percentPagesMatched`	`number` 签名中匹配的内存页面哈希所占的百分比。

binary

string

与内存哈希签名检测相关联的二进制文件的名称。

percentPagesMatched

number

签名中匹配的内存页面哈希所占的百分比。

YaraRuleSignature

与 YARA 规则对应的签名。

JSON 表示法
{ "yaraRule": string }

字段

字段
`yaraRule`	`string` YARA 规则的名称。

yaraRule

string

YARA 规则的名称。

SignatureType

可与签名关联的可能资源类型。

枚举
`SIGNATURE_TYPE_UNSPECIFIED`	默认的签名类型。
`SIGNATURE_TYPE_PROCESS`	用于与进程相关的签名。
`SIGNATURE_TYPE_FILE`	用于与磁盘相关的签名。

漏洞

指常见的漏洞字段，例如 cve、cvss、cwe 等。

JSON 表示法
{ "cve": { object (`Cve`) }, "offendingPackage": { object (`Package`) }, "fixedPackage": { object (`Package`) }, "securityBulletin": { object (`SecurityBulletin`) } }

字段
`cve`	`object (Cve)` CVE 是“常见漏洞和披露”的缩写 (https://cve.mitre.org/about/)
`offendingPackage`	`object (Package)` 违规软件包与发现的问题相关。
`fixedPackage`	`object (Package)` 已修复的软件包与发现的问题相关。
`securityBulletin`	`object (SecurityBulletin)` 安全公告与此发现结果相关。

Cve

CVE 是“常见漏洞和披露”的缩写。CVE 记录中用于描述此漏洞的信息。

JSON 表示法

JSON 表示法
{ "id": string, "references": [ { object (`Reference`) } ], "cvssv3": { object (`Cvssv3`) }, "upstreamFixAvailable": boolean, "impact": enum (`RiskRating`), "exploitationActivity": enum (`ExploitationActivity`), "observedInTheWild": boolean, "zeroDay": boolean, "exploitReleaseDate": string, "firstExploitationDate": string }

{
  "id": string,
  "references": [
    {
      object (Reference)
    }
  ],
  "cvssv3": {
    object (Cvssv3)
  },
  "upstreamFixAvailable": boolean,
  "impact": enum (RiskRating),
  "exploitationActivity": enum (ExploitationActivity),
  "observedInTheWild": boolean,
  "zeroDay": boolean,
  "exploitReleaseDate": string,
  "firstExploitationDate": string
}

字段
`id`	`string` 漏洞的唯一标识符，例如 CVE-2021-34527
`references[]`	`object (Reference)` 有关 CVE 的更多信息，例如 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527
`cvssv3`	`object (Cvssv3)` 描述 https://www.first.org/cvss/v3.1/specification-document 中指定的通用漏洞评分系统
`upstreamFixAvailable`	`boolean` 是否有上游修复程序可用于该 CVE。
`impact`	`enum (RiskRating)` 相应漏洞被利用后的潜在影响。
`exploitationActivity`	`enum (ExploitationActivity)` 外部的漏洞利用活动。
`observedInTheWild`	`boolean` 漏洞是否已在野外观察到。
`zeroDay`	`boolean` 在该发现发布时，漏洞是否为零日漏洞。
`exploitReleaseDate`	`string (Timestamp format)` 第一个公开可用的漏洞利用或 PoC 发布的日期。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`firstExploitationDate`	`string (Timestamp format)` 已知的最早利用日期。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。

参考文档

其他链接

JSON 表示法
{ "source": string, "uri": string }

字段

字段
`source`	`string` 参考文档的来源，例如 NVD
`uri`	`string` 提及的来源的 URI，例如 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527。

source

string

参考文档的来源，例如 NVD

uri

string

提及的来源的 URI，例如 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527。

CVSSV3

通用漏洞评分系统版本 3。

JSON 表示法

JSON 表示法
{ "baseScore": number, "attackVector": enum (`AttackVector`), "attackComplexity": enum (`AttackComplexity`), "privilegesRequired": enum (`PrivilegesRequired`), "userInteraction": enum (`UserInteraction`), "scope": enum (`Scope`), "confidentialityImpact": enum (`Impact`), "integrityImpact": enum (`Impact`), "availabilityImpact": enum (`Impact`) }

{
  "baseScore": number,
  "attackVector": enum (AttackVector),
  "attackComplexity": enum (AttackComplexity),
  "privilegesRequired": enum (PrivilegesRequired),
  "userInteraction": enum (UserInteraction),
  "scope": enum (Scope),
  "confidentialityImpact": enum (Impact),
  "integrityImpact": enum (Impact),
  "availabilityImpact": enum (Impact)
}

字段
`baseScore`	`number` 基准分数是基准指标分数的函数。
`attackVector`	`enum (AttackVector)` 基本指标：表示漏洞在时间和用户环境中始终不变的内在特性。此指标反映了可能导致漏洞被利用的环境。
`attackComplexity`	`enum (AttackComplexity)` 此指标描述了攻击者无法控制但必须存在才能利用漏洞的条件。
`privilegesRequired`	`enum (PrivilegesRequired)` 此指标描述了攻击者在成功利用漏洞之前必须具备的权限级别。
`userInteraction`	`enum (UserInteraction)` 此指标用于捕获攻击者以外的人类用户参与成功入侵易受攻击组件的要求。
`scope`	`enum (Scope)` “范围”指标用于捕获一个易受攻击组件中的漏洞是否会影响其安全范围之外的组件中的资源。
`confidentialityImpact`	`enum (Impact)` 此指标衡量成功被利用的漏洞对软件组件管理的信息资源的机密性的影响。
`integrityImpact`	`enum (Impact)` 此指标用于衡量成功被利用的漏洞对完整性的影响。
`availabilityImpact`	`enum (Impact)` 此指标衡量成功利用漏洞对受影响组件的可用性的影响。

AttackVector

此指标反映了可能导致漏洞被利用的环境。

枚举
`ATTACK_VECTOR_UNSPECIFIED`	值无效。
`ATTACK_VECTOR_NETWORK`	易受攻击的组件绑定到网络堆栈，并且可能的攻击者集群超出了下列其他选项，甚至包括整个互联网。
`ATTACK_VECTOR_ADJACENT`	易受攻击的组件绑定到网络堆栈，但攻击在协议级别仅限于逻辑上相邻的拓扑。
`ATTACK_VECTOR_LOCAL`	易受攻击的组件未绑定到网络堆栈，攻击者的路径是通过读取/写入/执行功能。
`ATTACK_VECTOR_PHYSICAL`	此类攻击需要攻击者实际触摸或操控易受攻击的组件。

AttackComplexity

此指标描述了攻击者无法控制但必须存在才能利用漏洞的条件。

枚举
`ATTACK_COMPLEXITY_UNSPECIFIED`	值无效。
`ATTACK_COMPLEXITY_LOW`	不存在特殊的访问权限条件或减轻处罚情节。攻击者可以预期在攻击易受攻击的组件时会取得可重复的成功。
`ATTACK_COMPLEXITY_HIGH`	攻击能否成功取决于攻击者无法控制的条件。也就是说，攻击者无法随意发起成功攻击，而是需要在针对易受攻击的组件进行准备或攻击时投入可衡量的努力，才能期待成功攻击。

PrivilegesRequired

此指标描述了攻击者在成功利用漏洞之前必须具备的权限级别。

枚举
`PRIVILEGES_REQUIRED_UNSPECIFIED`	值无效。
`PRIVILEGES_REQUIRED_NONE`	攻击者在攻击之前未经授权，因此无需对易受攻击的系统的设置或文件拥有任何访问权限即可发动攻击。
`PRIVILEGES_REQUIRED_LOW`	攻击者需要具有提供基本用户功能的特权，这些功能通常只会影响用户拥有的设置和文件。或者，具有“低”权限的攻击者只能访问非敏感资源。
`PRIVILEGES_REQUIRED_HIGH`	攻击者需要具有对易受攻击的组件提供重大（例如管理）控制权的权限，以便访问组件级设置和文件。

UserInteraction

此指标用于捕获攻击者以外的人类用户参与成功入侵易受攻击组件的要求。

枚举
`USER_INTERACTION_UNSPECIFIED`	值无效。
`USER_INTERACTION_NONE`	攻击者无需任何用户互动即可利用存在漏洞的系统。
`USER_INTERACTION_REQUIRED`	要成功利用此漏洞，攻击者需要先诱导用户执行某些操作，然后才能利用该漏洞。

范围

“范围”指标用于捕获一个易受攻击组件中的漏洞是否会影响其安全范围之外的组件中的资源。

枚举
`SCOPE_UNSPECIFIED`	值无效。
`SCOPE_UNCHANGED`	被利用的漏洞只能影响由同一安全权限机构管理的资源。
`SCOPE_CHANGED`	被利用的漏洞可能会影响受漏洞组件安全权限管理的安全范围之外的资源。

影响

影响指标可捕获成功被利用的漏洞对遭受最严重后果（与攻击最直接且最可预测）的组件的影响。

枚举
`IMPACT_UNSPECIFIED`	值无效。
`IMPACT_HIGH`	影响较大。
`IMPACT_LOW`	影响较小。
`IMPACT_NONE`	无影响。

RiskRating

相应漏洞被利用后的可能影响。

枚举
`RISK_RATING_UNSPECIFIED`	值无效或为空。
`LOW`	此类漏洞的利用对安全性的影响不大或没有影响。
`MEDIUM`	攻击者可以利用此漏洞执行活动，或者可以对系统产生直接影响，但需要执行额外的步骤。
`HIGH`	攻击者无需克服任何重大缓解因素，即可通过利用此漏洞产生显著的直接影响。
`CRITICAL`	利用此漏洞会从根本上破坏受影响系统的安全性，使攻击者能够不费吹灰之力发动重大攻击，并且几乎没有缓解因素可以克服。

ExploitationActivity

外部的漏洞利用活动的可能值。

枚举
`EXPLOITATION_ACTIVITY_UNSPECIFIED`	值无效或为空。
`WIDE`	已报告或确认存在广泛的漏洞利用行为。
`CONFIRMED`	报告或确认的利用活动有限。
`AVAILABLE`	漏洞利用方法已公开。
`ANTICIPATED`	尚无被攻击者利用的记录，但很有可能被利用。
`NO_KNOWN`	没有已知的利用活动。

软件包

软件包是对软件包的通用定义。

JSON 表示法
{ "packageName": string, "cpeUri": string, "packageType": string, "packageVersion": string }

字段
`packageName`	`string` 检测到漏洞的软件包的名称。
`cpeUri`	`string` 检测到漏洞的 CPE URI。
`packageType`	`string` 软件包类型，例如 os、maven 或 go。
`packageVersion`	`string` 软件包的版本。

SecurityBulletin

SecurityBulletin 是 Google 产品漏洞的通知。

JSON 表示法
{ "bulletinId": string, "submissionTime": string, "suggestedUpgradeVersion": string }

字段

字段
`bulletinId`	`string` 与漏洞对应的公告 ID。
`submissionTime`	`string (Timestamp format)` 此安全公告的提交时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`suggestedUpgradeVersion`	`string` 表示接收此通知的集群应根据其当前版本升级到的版本。例如 1.15.0

bulletinId

string

与漏洞对应的公告 ID。

submissionTime

string (Timestamp format)

此安全公告的提交时间。

suggestedUpgradeVersion

string

表示接收此通知的集群应根据其当前版本升级到的版本。例如 1.15.0

ExternalSystem

SCC 中第三方 SIEM/SOAR 字段的表示。

JSON 表示法

JSON 表示法
{ "name": string, "assignees": [ string ], "externalUid": string, "status": string, "externalSystemUpdateTime": string, "caseUri": string, "casePriority": string, "caseSla": string, "caseCreateTime": string, "caseCloseTime": string, "ticketInfo": { object (`TicketInfo`) } }

{
  "name": string,
  "assignees": [
    string
  ],
  "externalUid": string,
  "status": string,
  "externalSystemUpdateTime": string,
  "caseUri": string,
  "casePriority": string,
  "caseSla": string,
  "caseCreateTime": string,
  "caseCloseTime": string,
  "ticketInfo": {
    object (TicketInfo)
  }
}

字段
`name`	`string` 外部系统的完整资源名称。以下列表显示了一些示例： `organizations/1234/sources/5678/findings/123456/externalSystems/jira` + `organizations/1234/sources/5678/locations/us/findings/123456/externalSystems/jira` `folders/1234/sources/5678/findings/123456/externalSystems/jira` + `folders/1234/sources/5678/locations/us/findings/123456/externalSystems/jira` `projects/1234/sources/5678/findings/123456/externalSystems/jira` + `projects/1234/sources/5678/locations/us/findings/123456/externalSystems/jira`
`assignees[]`	`string` 引用外部系统中的主分配对象/次要分配对象等。
`externalUid`	`string` 用于在外部系统中跟踪相应问题的标识符。
`status`	`string` 外部系统报告的发现对应的支持请求的最新状态。
`externalSystemUpdateTime`	`string (Timestamp format)` 外部系统报告的支持请求上次更新的时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`caseUri`	`string` 指向外部系统中相应发现结果的支持请求的链接。
`casePriority`	`string` 相应外部系统中相应问题的优先级。
`caseSla`	`string (Timestamp format)` 外部系统中相应问题的服务等级协议 (SLA)。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`caseCreateTime`	`string (Timestamp format)` 支持请求的创建时间（由外部系统报告）。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`caseCloseTime`	`string (Timestamp format)` 外部系统报告的支持请求关闭时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`ticketInfo`	`object (TicketInfo)` 用于跟踪此发现结果所指出的问题解决情况的工单的相关信息（如果有）。

TicketInfo

用于跟踪此发现结果所指出的问题解决情况的工单的相关信息（如果有）。

JSON 表示法
{ "id": string, "assignee": string, "description": string, "uri": string, "status": string, "updateTime": string }

字段
`id`	`string` 票券在票券系统中的标识符。
`assignee`	`string` 工单系统中工单的分配对象。
`description`	`string` 工单系统中工单的说明。
`uri`	`string` 指向票务系统中支持请求的链接。
`status`	`string` 工单系统报告的工单最新状态。
`updateTime`	`string (Timestamp format)` 工单系统报告的上次更新时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。

MitreAttack

与此发现结果相关的 MITRE ATT&CK 策略和技术。请参阅：https://attack.mitre.org

JSON 表示法
{ "primaryTactic": enum (`Tactic`), "primaryTechniques": [ enum (`Technique`) ], "additionalTactics": [ enum (`Tactic`) ], "additionalTechniques": [ enum (`Technique`) ], "version": string }

字段
`primaryTactic`	`enum (Tactic)` 与此发现最相符的 MITRE ATT&CK 策略（如果有）。
`primaryTechniques[]`	`enum (Technique)` 与此发现最相符的 MITRE ATT&CK 技术（如果有）。primaryTechniques 是一个重复字段，因为 MITRE ATT&CK 技术有多个层级。如果此发现最能代表的技术是子技术（例如 `SCANNING_IP_BLOCKS`），系统会同时列出子技术及其父技术（例如 `SCANNING_IP_BLOCKS`、`ACTIVE_SCANNING`）。
`additionalTactics[]`	`enum (Tactic)` 与此发现结果相关的其他 MITRE ATT&CK 策略（如果有）。
`additionalTechniques[]`	`enum (Technique)` 与此发现结果相关的其他 MITRE ATT&CK 技术（如果有），以及其各自的父级技术。
`version`	`string` 上述字段引用的 MITRE ATT&CK 版本。例如“8”。

策略

SCC 发现结果可引用的 MITRE ATT&CK 策略。请参阅：https://attack.mitre.org/tactics/enterprise/

枚举
`TACTIC_UNSPECIFIED`	未指定值。
`RECONNAISSANCE`	TA0043
`RESOURCE_DEVELOPMENT`	TA0042
`INITIAL_ACCESS`	TA0001
`EXECUTION`	TA0002
`PERSISTENCE`	TA0003
`PRIVILEGE_ESCALATION`	TA0004
`DEFENSE_EVASION`	TA0005
`CREDENTIAL_ACCESS`	TA0006
`DISCOVERY`	TA0007
`LATERAL_MOVEMENT`	TA0008
`COLLECTION`	TA0009
`COMMAND_AND_CONTROL`	TA0011
`EXFILTRATION`	TA0010
`IMPACT`	TA0040

方法

SCC 发现结果可以引用的 MITRE ATT&CK 方法。请参阅：https://attack.mitre.org/techniques/enterprise/

枚举
`TECHNIQUE_UNSPECIFIED`	未指定值。
`AUTOMATED_EXFILTRATION`	T1020
`MASQUERADING`	T1036
`MATCH_LEGITIMATE_NAME_OR_LOCATION`	T1036.005
`BOOT_OR_LOGON_INITIALIZATION_SCRIPTS`	T1037
`STARTUP_ITEMS`	T1037.005
`NETWORK_SERVICE_DISCOVERY`	T1046
`PROCESS_DISCOVERY`	T1057
`COMMAND_AND_SCRIPTING_INTERPRETER`	T1059
`UNIX_SHELL`	T1059.004
`PYTHON`	T1059.006
`EXPLOITATION_FOR_PRIVILEGE_ESCALATION`	T1068
`PERMISSION_GROUPS_DISCOVERY`	T1069
`CLOUD_GROUPS`	T1069.003
`INDICATOR_REMOVAL_FILE_DELETION`	T1070.004
`APPLICATION_LAYER_PROTOCOL`	T1071
`DNS`	T1071.004
`SOFTWARE_DEPLOYMENT_TOOLS`	T1072
`VALID_ACCOUNTS`	T1078
`DEFAULT_ACCOUNTS`	T1078.001
`LOCAL_ACCOUNTS`	T1078.003
`CLOUD_ACCOUNTS`	T1078.004
`PROXY`	T1090
`EXTERNAL_PROXY`	T1090.002
`MULTI_HOP_PROXY`	T1090.003
`ACCOUNT_MANIPULATION`	T1098
`ADDITIONAL_CLOUD_CREDENTIALS`	T1098.001
`ADDITIONAL_CLOUD_ROLES`	T1098.003
`SSH_AUTHORIZED_KEYS`	T1098.004
`ADDITIONAL_CONTAINER_CLUSTER_ROLES`	T1098.006
`INGRESS_TOOL_TRANSFER`	T1105
`NATIVE_API`	T1106
`BRUTE_FORCE`	T1110
`SHARED_MODULES`	T1129
`ACCESS_TOKEN_MANIPULATION`	T1134
`TOKEN_IMPERSONATION_OR_THEFT`	T1134.001
`EXPLOIT_PUBLIC_FACING_APPLICATION`	T1190
`USER_EXECUTION`	T1204
`DOMAIN_POLICY_MODIFICATION`	T1484
`DATA_DESTRUCTION`	T1485
`SERVICE_STOP`	T1489
`INHIBIT_SYSTEM_RECOVERY`	T1490
`RESOURCE_HIJACKING`	T1496
`NETWORK_DENIAL_OF_SERVICE`	T1498
`CLOUD_SERVICE_DISCOVERY`	T1526
`STEAL_APPLICATION_ACCESS_TOKEN`	T1528
`ACCOUNT_ACCESS_REMOVAL`	T1531
`STEAL_WEB_SESSION_COOKIE`	T1539
`CREATE_OR_MODIFY_SYSTEM_PROCESS`	T1543
`EVENT_TRIGGERED_EXECUTION`	T1546
`ABUSE_ELEVATION_CONTROL_MECHANISM`	T1548
`UNSECURED_CREDENTIALS`	T1552
`MODIFY_AUTHENTICATION_PROCESS`	T1556
`IMPAIR_DEFENSES`	T1562
`DISABLE_OR_MODIFY_TOOLS`	T1562.001
`EXFILTRATION_OVER_WEB_SERVICE`	T1567
`EXFILTRATION_TO_CLOUD_STORAGE`	T1567.002
`DYNAMIC_RESOLUTION`	T1568
`LATERAL_TOOL_TRANSFER`	T1570
`MODIFY_CLOUD_COMPUTE_INFRASTRUCTURE`	T1578
`CREATE_SNAPSHOT`	T1578.001
`CLOUD_INFRASTRUCTURE_DISCOVERY`	T1580
`OBTAIN_CAPABILITIES`	T1588
`ACTIVE_SCANNING`	T1595
`SCANNING_IP_BLOCKS`	T1595.001
`CONTAINER_ADMINISTRATION_COMMAND`	T1609
`DEPLOY_CONTAINER`	T1610
`ESCAPE_TO_HOST`	T1611
`CONTAINER_AND_RESOURCE_DISCOVERY`	T1613
`STEAL_OR_FORGE_AUTHENTICATION_CERTIFICATES`	T1649

访问

表示访问事件。

JSON 表示法

{
  "principalEmail": string,
  "callerIp": string,
  "callerIpGeo": {
    object (Geolocation)
  },
  "userAgentFamily": string,
  "userAgent": string,
  "serviceName": string,
  "methodName": string,
  "principalSubject": string,
  "serviceAccountKeyName": string,
  "serviceAccountDelegationInfo": [
    {
      object (ServiceAccountDelegationInfo)
    }
  ],
  "userName": string
}

字段
`principalEmail`	`string` 关联的电子邮件地址，例如“foo@google.com”。经过身份验证的用户或代表发出请求的第三方主账号行事的服务账号的电子邮件地址。对于第三方身份调用方，系统会填充 `principalSubject` 字段，而不是此字段。出于隐私保护方面的原因，主电子邮件地址有时会被隐去。如需了解详情，请参阅审核日志中的调用方身份。
`callerIp`	`string` 调用方的 IP 地址，例如“1.1.1.1”。
`callerIpGeo`	`object (Geolocation)` 调用方 IP 的地理位置，用于标识来电来源。
`userAgentFamily`	`string` 与发现结果关联的用户代理的类型。例如，操作系统 shell 或嵌入式或独立应用。
`userAgent`	`string` 与发现结果关联的调用方的用户代理字符串。
`serviceName`	`string` 这是服务账号调用的 API 服务，例如“iam.googleapis.com”
`methodName`	`string` 服务账号调用的方法，例如“SetIamPolicy”。
`principalSubject`	`string` 表示与身份关联的 principalSubject 的字符串。与 `principalEmail` 不同，`principalSubject` 支持与电子邮件地址无关联的正文，例如第三方正文。对于大多数身份，格式为 `principal://iam.googleapis.com/{identity pool name}/subject/{subject}`。某些 GKE 身份（例如 GKE_WORKLOAD、FREEFORM 和 GKE_HUB_WORKLOAD）仍使用旧版格式 `serviceAccount:{identity pool name}[{subject}]`。
`serviceAccountKeyName`	`string` 在对发出请求的服务账号进行身份验证时，用于创建或交换凭据的服务账号密钥的名称。这是无传输协议的 URI 完整资源名称。例如： “//iam.googleapis.com/projects/{PROJECT_ID}/serviceAccounts/{ACCOUNT}/keys/{key}”。
`serviceAccountDelegationInfo[]`	`object (ServiceAccountDelegationInfo)` 发出请求的经过身份验证的服务账号的身份委托历史记录。`serviceAccountDelegationInfo[]` 对象包含有关尝试通过委托服务账号访问 Google Cloud 资源的真实授权方的相关信息。存在多个授权机构时，系统保证会根据身份委托事件的原始顺序对其进行排序。
`userName`	`string` 表示用户名的字符串。提供的用户名取决于发现项的类型，可能不是 IAM 主账号。例如，如果发现的问题与虚拟机相关，则此字段可以是系统用户名；如果发现的问题与应用登录相关，则此字段可以是应用登录用户名。

地理定位

表示给定访问权限的地理位置。

JSON 表示法
{ "regionCode": string }

字段

regionCode

string

CLDR。

ServiceAccountDelegationInfo

已验证身份的服务账号的身份委托历史记录。

JSON 表示法
{ "principalEmail": string, "principalSubject": string }

字段

principalEmail

string

Google 账号的电子邮件地址。

principalSubject

string

表示与身份关联的 principalSubject 的字符串。与 principalEmail 相比，支持与电子邮件地址无关的正文，例如第三方正文。对于大多数身份，格式为 principal://iam.googleapis.com/{identity pool name}/subjects/{subject}，但仍采用旧版格式 serviceAccount:{identity pool name}[{subject}] 的部分 GKE 身份（GKE_WORKLOAD、FREEFORM、GKE_HUB_WORKLOAD）除外

连接

包含与发现结果关联的 IP 连接的相关信息。

JSON 表示法
{ "destinationIp": string, "destinationPort": integer, "sourceIp": string, "sourcePort": integer, "protocol": enum (`Protocol`) }

字段
`destinationIp`	`string` 目的地 IP 地址。对于处于监听状态且未连接的套接字，不存在此字段。
`destinationPort`	`integer` 目标端口。对于处于监听状态且未连接的套接字，不存在此字段。
`sourceIp`	`string` 来源 IP 地址。
`sourcePort`	`integer` 来源端口。
`protocol`	`enum (Protocol)` IANA 互联网协议编号，例如 TCP(6) 和 UDP(17)。

协议

IANA 互联网协议编号，例如 TCP(6) 和 UDP(17)。

枚举
`PROTOCOL_UNSPECIFIED`	未指定协议（非 HOPOPT）。
`ICMP`	互联网控制消息协议。
`TCP`	传输控制协议。
`UDP`	用户数据报协议。
`GRE`	通用路由封装。
`ESP`	封装安全载荷。

流程

表示操作系统进程。

JSON 表示法

{
  "name": string,
  "binary": {
    object (File)
  },
  "libraries": [
    {
      object (File)
    }
  ],
  "script": {
    object (File)
  },
  "args": [
    string
  ],
  "argumentsTruncated": boolean,
  "envVariables": [
    {
      object (EnvironmentVariable)
    }
  ],
  "envVariablesTruncated": boolean,
  "pid": string,
  "parentPid": string
}

字段
`name`	`string` 进程名称，如 `top` 和 `ps` 等实用程序中显示的名称。您可以通过 `/proc/[pid]/comm` 访问此名称，并使用 `prctl(PR_SET_NAME)` 对其进行更改。
`binary`	`object (File)` 进程可执行文件的文件信息。
`libraries[]`	`object (File)` 进程加载的库的文件信息。
`script`	`object (File)` 当进程表示脚本的调用时，`binary` 会提供有关解释器的信息，而 `script` 会提供有关提供给解释器的脚本文件的信息。
`args[]`	`string` 将参数作为 JSON 编码的字符串进行处理。
`argumentsTruncated`	`boolean` 如果 `args` 不完整，则为 true。
`envVariables[]`	`object (EnvironmentVariable)` 处理环境变量。
`envVariablesTruncated`	`boolean` 如果 `envVariables` 不完整，则为 true。
`pid`	`string (int64 format)` 进程 ID。
`parentPid`	`string (int64 format)` 父级进程 ID。

文件

与可执行文件使用的相关二进制文件/库或脚本解释器使用的脚本相关的文件信息

JSON 表示法
{ "path": string, "size": string, "sha256": string, "hashedSize": string, "partiallyHashed": boolean, "contents": string, "diskPath": { object (`DiskPath`) } }

字段
`path`	`string` 文件的绝对路径（以 JSON 编码的字符串表示）。
`size`	`string (int64 format)` 文件的大小（以字节为单位）。
`sha256`	`string` 文件前 hashedSize 个字节的 SHA256 哈希，编码为十六进制字符串。如果 hashedSize == size，则 sha256 表示整个文件的 SHA256 哈希。
`hashedSize`	`string (int64 format)` 经过哈希处理的文件前缀的长度（以字节为单位）。如果 hashedSize == size，则报告的任何哈希都代表整个文件。
`partiallyHashed`	`boolean` 如果哈希仅涵盖文件的前缀，则为 true。
`contents`	`string` 文件内容的前缀，以 JSON 编码字符串的形式提供。
`diskPath`	`object (DiskPath)` 文件的路径（以底层磁盘/分区标识符为依据）。

DiskPath

文件的路径（以底层磁盘/分区标识符为依据）。

JSON 表示法
{ "partitionUuid": string, "relativePath": string }

字段

partitionUuid

string

分区的 UUID（格式为 https://wiki.archlinux.org/title/persistent_block_device_naming#by-uuid）

relativePath

string

分区中文件的相对路径（以 JSON 编码的字符串表示）。示例：/home/user1/executable_file.sh

EnvironmentVariable

表示操作系统进程中使用的环境变量的名称-值对。

JSON 表示法
{ "name": string, "val": string }

字段

name

string

环境变量名称（以 JSON 编码的字符串表示）。

val

string

环境变量值（以 JSON 编码的字符串形式）。

ContactDetails

特定联系人的详细信息

JSON 表示法
{ "contacts": [ { object (`Contact`) } ] }

字段

contacts[]

object (Contact)

联系人列表

联系人

联系人的电子邮件地址。

JSON 表示法
{ "email": string }

字段

email

string

电子邮件地址。例如“person123@company.com”。

合规性

包含有关安全标准的合规性信息，指明未满足建议。

JSON 表示法
{ "standard": string, "version": string, "ids": [ string ] }

字段

standard

string

行业级合规性标准或基准，例如 CIS、PCI 和 OWASP。

version

string

标准或基准的版本，例如 1.1

ids[]

string

标准或基准中的政策，例如 A.12.4.1

渗漏

渗漏表示从一个或多个来源向一个或多个目标进行数据渗漏的尝试。sources 属性列出了渗漏数据的来源。targets 属性会列出数据的复制目标位置。

JSON 表示法
{ "sources": [ { object (`ExfilResource`) } ], "targets": [ { object (`ExfilResource`) } ], "totalExfiltratedBytes": string }

字段

sources[]

object (ExfilResource)

如果有多个来源，则系统会将数据视为在这些来源之间“联接”的。例如，BigQuery 可以联接多个表，每个表都被视为一个来源。

targets[]

object (ExfilResource)

如果有多个目标，每个目标都会获得“联接”源数据的完整副本。

totalExfiltratedBytes

string (int64 format)

整个作业处理的渗漏字节总数。

ExfilResource

数据从中渗漏或渗漏到的资源。

JSON 表示法
{ "name": string, "components": [ string ] }

字段

name

string

资源的完整资源名称。

components[]

string

被渗漏的资源的子组件，例如渗漏期间使用的 URI、表名称、数据库和文件名。例如，可能从同一 Cloud SQL 实例中渗漏了多个表，或者从同一 Cloud Storage 存储分区中渗漏了多个文件。

IamBinding

表示特定的 IAM 绑定，用于捕获成员的角色添加、移除或状态。

JSON 表示法
{ "action": enum (`Action`), "role": string, "member": string }

字段

action

enum (Action)

对绑定执行的操作。

role

string

分配给“成员”的角色。例如，“roles/viewer”“roles/editor”或“roles/owner”。

member

string

请求访问 Cloud Platform 资源的单个身份，例如“foo@google.com”。

操作

对政策中绑定执行的操作类型。

枚举
`ACTION_UNSPECIFIED`	未指定。
`ADD`	添加了绑定。
`REMOVE`	移除绑定。

容器

与相应发现关联的容器。

JSON 表示法
{ "name": string, "uri": string, "imageId": string, "labels": [ { object (`Label`) } ], "createTime": string }

字段
`name`	`string` 容器的名称。
`uri`	`string` 配置 pod 或容器时提供的容器映像 URI。此字符串可以使用可变标记来识别容器映像版本。
`imageId`	`string` 可选的容器映像 ID（如果容器运行时提供）。使用容器映像摘要唯一标识启动的容器映像。
`labels[]`	`object (Label)` 容器标签（由容器运行时提供）。
`createTime`	`string (Timestamp format)` 容器的创建时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。

Kubernetes

与 Kubernetes 相关的属性。

JSON 表示法

{
  "pods": [
    {
      object (Pod)
    }
  ],
  "nodes": [
    {
      object (Node)
    }
  ],
  "nodePools": [
    {
      object (NodePool)
    }
  ],
  "roles": [
    {
      object (Role)
    }
  ],
  "bindings": [
    {
      object (Binding)
    }
  ],
  "accessReviews": [
    {
      object (AccessReview)
    }
  ],
  "objects": [
    {
      object (Object)
    }
  ]
}

字段
`pods[]`	`object (Pod)` 与相应发现关联的 Kubernetes Pod。此字段包含由 Pod 拥有的每个容器的 Pod 记录。
`nodes[]`	`object (Node)` 提供 Kubernetes 节点信息。
`nodePools[]`	`object (NodePool)` 与该发现结果关联的 GKE 节点池。此字段包含每个节点的节点池信息（如果有）。
`roles[]`	`object (Role)` 针对涉及 Role 或 ClusterRole 的发现提供 Kubernetes 角色信息。
`bindings[]`	`object (Binding)` 针对涉及 RoleBinding 或 ClusterRoleBinding 的发现提供 Kubernetes 角色绑定信息。
`accessReviews[]`	`object (AccessReview)` 提供与该发现相关的所有 Kubernetes 访问权限审核（权限检查）的相关信息。
`objects[]`	`object (Object)` 与发现结果相关的 Kubernetes 对象。

Pod

Kubernetes Pod。

JSON 表示法
{ "ns": string, "name": string, "labels": [ { object (`Label`) } ], "containers": [ { object (`Container`) } ] }

字段
`ns`	`string` Kubernetes Pod 命名空间。
`name`	`string` Kubernetes Pod 名称。
`labels[]`	`object (Label)` Pod 标签。对于 Kubernetes 容器，这些规则会应用于容器。
`containers[]`	`object (Container)` 与此发现结果关联的 Pod 容器（如果有）。

节点

与该发现结果关联的 Kubernetes 节点。

JSON 表示法
{ "name": string }

字段

name

string

运行集群节点的 Compute Engine 虚拟机的完整资源名称。

节点池

提供 GKE 节点池信息。

JSON 表示法
{ "name": string, "nodes": [ { object (`Node`) } ] }

字段

name

string

Kubernetes 节点池名称。

nodes[]

object (Node)

与相应发现结果关联的节点。

角色

Kubernetes 角色或 ClusterRole。

JSON 表示法
{ "kind": enum (`Kind`), "ns": string, "name": string }

字段

kind

enum (Kind)

角色类型。

ns

string

角色命名空间。

name

string

角色名称。

种类

Kubernetes 角色的类型。

枚举
`KIND_UNSPECIFIED`	未指定角色类型。
`ROLE`	Kubernetes 角色。
`CLUSTER_ROLE`	Kubernetes ClusterRole。

绑定

表示 Kubernetes RoleBinding 或 ClusterRoleBinding。

JSON 表示法
{ "ns": string, "name": string, "role": { object (`Role`) }, "subjects": [ { object (`Subject`) } ] }

字段
`ns`	`string` 绑定的命名空间。
`name`	`string` 绑定的名称。
`role`	`object (Role)` 绑定引用的角色或 ClusterRole。
`subjects[]`	`object (Subject)` 表示绑定到角色的一个或多个正文。并非始终适用于 PATCH 请求。

主题

表示 Kubernetes 主题。

JSON 表示法
{ "kind": enum (`AuthType`), "ns": string, "name": string }

字段

kind

enum (AuthType)

正文的身份验证类型。

ns

string

主题的命名空间。

name

string

主题的名称。

AuthType

可用于正文的 kind 字段的身份验证类型。

枚举
`AUTH_TYPE_UNSPECIFIED`	未指定身份验证。
`USER`	拥有有效证书的用户。
`SERVICEACCOUNT`	由 Kubernetes API 管理的用户，其凭据存储为 Secret。
`GROUP`	用户集合。

AccessReview

传达与发现结果相关的 Kubernetes 访问权限审核（例如 kubectl auth can-i 命令返回的审核）的相关信息。

JSON 表示法
{ "group": string, "ns": string, "name": string, "resource": string, "subresource": string, "verb": string, "version": string }

字段
`group`	`string` 资源的 API 组。“*” 表示所有。
`ns`	`string` 请求的操作的命名空间。目前，无命名空间与所有命名空间之间没有区别。这两者都由“”表示（空）。
`name`	`string` 所请求资源的名称。空表示全部。
`resource`	`string` 请求的可选资源类型。“*” 表示所有。
`subresource`	`string` 可选的子资源类型。
`verb`	`string` Kubernetes 资源 API 动词，例如 get、list、watch、create、update、delete、proxy。“*” 表示所有。
`version`	`string` 资源的 API 版本。“*” 表示所有。

对象

与发现相关的 Kubernetes 对象，由 GKNN 唯一标识。如果对象类型不是 Pod、Node、NodePool、Binding 或 AccessReview，则使用此值。

JSON 表示法
{ "group": string, "kind": string, "ns": string, "name": string, "containers": [ { object (`Container`) } ] }

字段
`group`	`string` Kubernetes 对象组，例如“policy.k8s.io/v1”。
`kind`	`string` Kubernetes 对象类型，例如“命名空间”。
`ns`	`string` Kubernetes 对象命名空间。必须是有效的 DNS 标签。命名为“ns”，以避免与 C++ 命名空间关键字冲突。如需了解详情，请参阅 https://kubernetes.io/docs/tasks/administer-cluster/namespaces/。
`name`	`string` Kubernetes 对象名称。如需了解详情，请参阅 https://kubernetes.io/docs/concepts/overview/working-with-objects/names/。
`containers[]`	`object (Container)` 与此发现结果关联的 Pod 容器（如果有）。

数据库

表示数据库访问信息，例如查询。数据库可以是实例的子资源（例如 Cloud SQL 实例或 Cloud Spanner 实例），也可以是数据库实例本身。某些数据库资源可能未填充完整资源名称，因为 Cloud Asset Inventory 尚不支持这些资源类型（例如 Cloud SQL 数据库）。在这种情况下，系统只会提供显示名称。

JSON 表示法
{ "name": string, "displayName": string, "userName": string, "query": string, "grantees": [ string ], "version": string }

字段
`name`	`string` 某些数据库资源可能未填充完整资源名称，因为 Cloud Asset Inventory 尚不支持这些资源类型（例如 Cloud SQL 数据库）。在这种情况下，系统只会提供显示名称。用户连接到的数据库的完整资源名称（如果 Cloud Asset Inventory 支持）。
`displayName`	`string` 用户连接到的数据库的人类可读名称。
`userName`	`string` 用于连接到数据库的用户名。用户名可能不是 IAM 主账号，并且没有固定格式。
`query`	`string` 与数据库访问相关联的 SQL 语句。
`grantees[]`	`string` SQL 权限授予的目标用户名、角色或群组，这不是 IAM 政策更改。
`version`	`string` 数据库的版本，例如 POSTGRES_14。请参阅完整列表。

AttackExposure

攻击风险包含运行攻击路径模拟的结果。

JSON 表示法

{
  "score": number,
  "latestCalculationTime": string,
  "attackExposureResult": string,
  "state": enum (State),
  "exposedHighValueResourcesCount": integer,
  "exposedMediumValueResourcesCount": integer,
  "exposedLowValueResourcesCount": integer
}

字段
`score`	`number` 介于 0（包括）和无穷大之间的数值，表示解决此发现的重要性。得分越高，表明需要采取补救措施的紧迫性就越高。
`latestCalculationTime`	`string (Timestamp format)` 此发现结果的攻击暴露情况上次更新的时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`attackExposureResult`	`string` 攻击路径模拟结果的资源名称，其中包含与此攻击风险得分相关的详细信息。示例：`organizations/123/simulations/456/attackExposureResults/789`
`state`	`enum (State)` 仅限输出。此 AttackExposure 的状态。此属性用于捕获是否已计算出攻击风险。
`exposedHighValueResourcesCount`	`integer` 受此发现结果影响而暴露的高价值资源的数量。
`exposedMediumValueResourcesCount`	`integer` 受此发现结果影响而存在攻击风险的中等价值资源的数量。
`exposedLowValueResourcesCount`	`integer` 受此发现结果影响而暴露的高价值资源的数量。

州

此枚举定义了 AttackExposure 可以处于的各种状态。

枚举
`STATE_UNSPECIFIED`	未指定状态。
`CALCULATED`	攻击风险已计算完毕。
`NOT_CALCULATED`	尚未计算攻击风险。

CloudDlpInspection

生成相应发现的 Cloud Data Loss Prevention (Cloud DLP) 检查作业的详细信息。

JSON 表示法
{ "inspectJob": string, "infoType": string, "infoTypeCount": string, "fullScan": boolean }

字段
`inspectJob`	`string` 检查作业的名称，例如 `projects/123/locations/europe/dlpJobs/i-8383929`。
`infoType`	`string` 找到的信息类型（或 infoType），例如 `EMAIL_ADDRESS` 或 `STREET_ADDRESS`。
`infoTypeCount`	`string (int64 format)` Cloud DLP 在此作业和资源中找到此 infoType 的次数。
`fullScan`	`boolean` Cloud DLP 是扫描了完整资源还是抽样的子集。

CloudDlpDataProfile

与发现结果关联的数据配置文件。

JSON 表示法
{ "dataProfile": string, "parentType": enum (`ParentType`) }

字段

dataProfile

string

数据分析文件的名称，例如 projects/123/locations/europe/tableProfiles/8383929。

parentType

enum (ParentType)

生成数据配置文件时所处的资源层次级别。

ParentType

生成数据分析文件发现结果的配置的父级。

枚举
`PARENT_TYPE_UNSPECIFIED`	未指定父级类型。
`ORGANIZATION`	组织级配置。
`PROJECT`	项目级配置。

KernelRootkit

内核模式 rootkit 签名。

JSON 表示法

{
  "name": string,
  "unexpectedCodeModification": boolean,
  "unexpectedReadOnlyDataModification": boolean,
  "unexpectedFtraceHandler": boolean,
  "unexpectedKprobeHandler": boolean,
  "unexpectedKernelCodePages": boolean,
  "unexpectedSystemCallHandler": boolean,
  "unexpectedInterruptHandler": boolean,
  "unexpectedProcessesInRunqueue": boolean
}

字段
`name`	`string` rootkit 名称（如果有）。
`unexpectedCodeModification`	`boolean` 如果内核代码内存存在意外修改行为，则为 true。
`unexpectedReadOnlyDataModification`	`boolean` 如果内核只读数据内存存在意外修改行为，则为 true。
`unexpectedFtraceHandler`	`boolean` 如果存在 `ftrace` 点，并且回调指向不在预期内核或模块代码范围内的区域，则为 true。
`unexpectedKprobeHandler`	`boolean` 如果存在 `kprobe` 点，并且回调指向不在预期内核或模块代码范围内的区域，则为 true。
`unexpectedKernelCodePages`	`boolean` 如果存在不在预期内核或模块代码区域的内核代码页面，则为 true。
`unexpectedSystemCallHandler`	`boolean` 如果存在不在预期内核或模块代码区域的系统调用处理程序，则为 true。
`unexpectedInterruptHandler`	`boolean` 如果存在不在预期内核或模块代码区域的中断处理程序，则为 true。
`unexpectedProcessesInRunqueue`	`boolean` 如果调度器运行队列中存在意外进程，则为 true。此类进程位于运行队列中，但不在进程任务列表中。

OrgPolicy

包含与发现结果关联的组织政策的相关信息。

JSON 表示法
{ "name": string }

字段

name

string

标识符。组织政策的资源名称。示例：“organizations/{organization_id}/policies/{constraint_name}”

作业

描述作业

JSON 表示法
{ "name": string, "state": enum (`JobState`), "errorCode": integer, "location": string }

字段
`name`	`string` 作业的完全限定名称，例如 `projects/<projectId>/jobs/<job_id>`
`state`	`enum (JobState)` 仅限输出。作业的状态，例如 `RUNNING` 或 `PENDING`。
`errorCode`	`integer` 可选。如果作业未成功完成，此字段会说明原因。
`location`	`string` 可选。提供作业运行的位置，例如 `US` 或 `europe-west1`

JobState

JobState 表示作业的状态。

枚举
`JOB_STATE_UNSPECIFIED`	“未指定”表示未知状态，不应使用。
`PENDING`	作业已安排并且正在等待运行
`RUNNING`	作业正在进行
`SUCCEEDED`	作业已成功完成
`FAILED`	作业已完成，但失败

应用

表示与发现相关联的应用。

JSON 表示法
{ "baseUri": string, "fullUri": string }

字段

baseUri

string

基本 URI，用于标识检测到漏洞的应用的网络位置。例如 http://example.com。

fullUri

string

包含可用于重现漏洞的载荷的完整 URI。例如 http://example.com?p=aMmYgI6H。

IpRules

与发现结果关联的 IP 规则。

JSON 表示法

{
  "direction": enum (Direction),
  "sourceIpRanges": [
    string
  ],
  "destinationIpRanges": [
    string
  ],
  "exposedServices": [
    string
  ],

  // Union field rules can be only one of the following:
  "allowed": {
    object (Allowed)
  },
  "denied": {
    object (Denied)
  }
  // End of list of possible types for union field rules.
}

字段
`direction`	`enum (Direction)` 规则适用的方向，即入站或出站。
`sourceIpRanges[]`	`string` 如果指定了来源 IP 地址范围，则防火墙规则仅适用于来源 IP 地址位于这些范围内的流量。这些范围必须采用 CIDR 格式表示。仅支持 IPv4。
`destinationIpRanges[]`	`string` 如果指定了目的地 IP 地址范围，则防火墙规则仅适用于目的地 IP 地址位于这些范围内的流量。这些范围必须采用 CIDR 格式表示。仅支持 IPv4。
`exposedServices[]`	`string` 开放端口公开的网络协议服务（例如 FTP）的名称。请遵循以下命名惯例：https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml。
联合字段 `rules`。此防火墙指定的允许规则列表。每条规则都指定一个协议和端口范围元组，用于描述允许的连接。`rules` 只能是下列其中一项：
`allowed`	`object (Allowed)` 包含允许规则的元组。
`denied`	`object (Denied)` 包含被拒绝规则的元组。

方向

规则适用的方向类型，即入站或出站。不适用于 OPEN_X_PORT 发现结果。

枚举
`DIRECTION_UNSPECIFIED`	未指定方向值。
`INGRESS`	入站方向值。
`EGRESS`	出站方向值。

允许

允许的 IP 规则。

JSON 表示法
{ "ipRules": [ { object (`IpRule`) } ] }

字段

ipRules[]

object (IpRule)

可选。允许的 IP 规则的可选列表。

IpRule

IP 规则信息。

JSON 表示法
{ "protocol": string, "portRanges": [ { object (`PortRange`) } ] }

字段

protocol

string

此规则适用的 IP 协议。此值可以是以下众所周知的协议字符串（TCP、UDP、ICMP、ESP、AH、IPIP、SCTP）之一，也可以是整数值的字符串表示法。

portRanges[]

object (PortRange)

可选。此规则适用的端口的可选列表。此字段仅适用于 UDP 或 (S)TCP 协议。每个条目都必须是整数或包含最小端口号和最大端口号的范围。

PortRange

端口范围（包括最小值和最大值）。值介于 0 到 2^16-1 之间。最大值可以等于 / 不得小于最小值。如果最小值和最大值相等，则表示它是单个端口。

JSON 表示法
{ "min": string, "max": string }

字段

min

string (int64 format)

端口值下限。

max

string (int64 format)

端口值上限。

遭拒

拒绝的 IP 规则。

JSON 表示法
{ "ipRules": [ { object (`IpRule`) } ] }

字段

ipRules[]

object (IpRule)

可选。拒绝的 IP 规则的可选列表。

BackupDisasterRecovery

与 Google Cloud Backup and DR Service 发现结果相关的信息。

JSON 表示法

{
  "backupTemplate": string,
  "policies": [
    string
  ],
  "host": string,
  "applications": [
    string
  ],
  "storagePool": string,
  "policyOptions": [
    string
  ],
  "profile": string,
  "appliance": string,
  "backupType": string,
  "backupCreateTime": string
}

字段
`backupTemplate`	`string` 备份和灾难恢复模板的名称，该模板包含一个或多个备份政策。如需了解详情，请参阅备份和灾难恢复文档。例如 `snap-ov`。
`policies[]`	`string` 与模板关联的备份和灾难恢复政策的名称。这些政策定义了何时运行备份、运行备份的频率以及保留备份映像的时长。例如 `onvaults`。
`host`	`string` 备份和灾难恢复主机的名称。该主机由备份和恢复设备管理，并且管理控制台知道该主机。主机可以是通用类型（例如 Compute Engine、SQL Server、Oracle 数据库、SMB 文件系统等）、vCenter 或 ESX 服务器。如需了解详情，请参阅有关主机的备份和灾难恢复文档。例如 `centos7-01`。
`applications[]`	`string` 备份和灾难恢复应用的名称。应用是指由备份和恢复设备监控的托管主机上的虚拟机、数据库或文件系统。例如 `centos7-01-vol00`、`centos7-01-vol01`、`centos7-01-vol02`。
`storagePool`	`string` 备份和恢复设备存储数据的备份和灾难恢复存储池的名称。存储池可以是 Cloud、Primary、Snapshot 或 OnVault 类型。请参阅有关存储空间池的备份和灾难恢复文档。例如 `DiskPoolOne`。
`policyOptions[]`	`string` 应用的备份和灾难恢复高级政策选项的名称。请参阅关于政策选项的备份和灾难恢复文档。例如 `skipofflineappsincongrp, nounmap`。
`profile`	`string` 备份和灾难恢复资源配置文件的名称，用于指定应用和虚拟机数据备份的存储介质。请参阅 Backup and DR 文档中的配置文件部分。例如 `GCP`。
`appliance`	`string` 用于捕获、移动和管理备份数据生命周期的备份和灾难恢复设备的名称。例如 `backup-server-57137`。
`backupType`	`string` Backup and DR 映像的备份类型。例如 `Snapshot`、`Remote Snapshot`、`OnVault`。
`backupCreateTime`	`string (Timestamp format)` Backup and DR 备份的创建时间戳。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。

SecurityPosture

表示由 Security Command Center 态势管理服务在 Google Cloud 上部署的态势。一种状态包含一个或多个政策集。政策集是一组在 Google Cloud 上强制执行一组安全规则的政策。

JSON 表示法

{
  "name": string,
  "revisionId": string,
  "postureDeploymentResource": string,
  "postureDeployment": string,
  "changedPolicy": string,
  "policySet": string,
  "policy": string,
  "policyDriftDetails": [
    {
      object (PolicyDriftDetails)
    }
  ]
}

字段
`name`	`string` 姿势的名称，例如 `CIS-Posture`。
`revisionId`	`string` 设备状态的版本，例如 `c7cfa2a8`。
`postureDeploymentResource`	`string` 部署态势的项目、文件夹或组织，例如 `projects/{project_number}`。
`postureDeployment`	`string` 安全状况部署的名称，例如 `organizations/{org_id}/posturedeployments/{posture_deployment_id}`。
`changedPolicy`	`string` 更新后的政策的名称，例如 `projects/{projectId}/policies/{constraint_name}`。
`policySet`	`string` 更新后的政策集的名称，例如 `cis-policyset`。
`policy`	`string` 更新后的政策的 ID，例如 `compute-policy-1`。
`policyDriftDetails[]`	`object (PolicyDriftDetails)` 有关更新后的政策中违反已部署状态的更改的详细信息。

PolicyDriftDetails

违反已部署的状态的政策字段及其预期值和检测到的值。

JSON 表示法
{ "field": string, "expectedValue": string, "detectedValue": string }

字段

field

string

更新的字段的名称，例如 constraint.implementation.policy_rules[0].enforce

expectedValue

string

在某种折叠状态下配置的此字段的值，例如 true 或 allowed_values={"projects/29831892"}。

detectedValue

string

违反已部署的状态的检测到的值，例如 false 或 allowed_values={"projects/22831892"}。

LogEntry

日志中的单个条目。

JSON 表示法
{ // Union field `log_entry` can be only one of the following: "cloudLoggingEntry": { object (`CloudLoggingEntry`) } // End of list of possible types for union field `log_entry`. }

字段

联合字段 log_entry。

log_entry 只能是下列其中一项：

cloudLoggingEntry

object (CloudLoggingEntry)

存储在 Cloud Logging 中的日志中的各条目。

CloudLoggingEntry

从 Cloud Logging LogEntry 中提取的元数据

JSON 表示法
{ "insertId": string, "logId": string, "resourceContainer": string, "timestamp": string }

字段
`insertId`	`string` 日志条目的唯一标识符。
`logId`	`string` 日志的类型（`logName` 的一部分）。`logName` 是此日志条目所属日志的资源名称。例如：`cloudresourcemanager.googleapis.com/activity` 请注意，此字段未进行网址编码，这与 `LogEntry` 不同。
`resourceContainer`	`string` 生成此日志条目的受监控资源所属的组织、文件夹或项目。
`timestamp`	`string (Timestamp format)` 日志条目所述事件发生的时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。

LoadBalancer

包含与发现结果关联的负载平衡器相关的信息。

JSON 表示法
{ "name": string }

字段

name

string

与相应发现关联的负载平衡器的名称。

CloudArmor

与 Google Cloud Armor 发现结果相关的字段。

JSON 表示法

{
  "securityPolicy": {
    object (SecurityPolicy)
  },
  "requests": {
    object (Requests)
  },
  "adaptiveProtection": {
    object (AdaptiveProtection)
  },
  "attack": {
    object (Attack)
  },
  "threatVector": string,
  "duration": string
}

字段
`securityPolicy`	`object (SecurityPolicy)` 与发现结果相关的 Google Cloud Armor 安全政策的相关信息。
`requests`	`object (Requests)` 有关由 Google Cloud Armor 安全政策评估的传入请求的信息。
`adaptiveProtection`	`object (AdaptiveProtection)` Google Cloud Armor 自动调节式保护检测到的潜在第 7 层 DDoS 攻击的相关信息。
`attack`	`object (Attack)` 有关 DDoS 攻击量和分类的信息。
`threatVector`	`string` 区分容量耗尽攻击和基于协议的 DDoS 攻击与应用层攻击。例如，对于第 3 层和第 4 层 DDoS 攻击，使用“L3_4”；对于第 7 层 DDoS 攻击，使用“L_7”。
`duration`	`string (Duration format)` 攻击从开始到当前时刻的持续时间（每 5 分钟更新一次）。该时长以秒为单位，最多包含九个小数位，以“`s`”结尾。示例：`"3.5s"`。

SecurityPolicy

与发现结果相关的 Google Cloud Armor 安全政策的相关信息。

JSON 表示法
{ "name": string, "type": string, "preview": boolean }

字段

name

string

Google Cloud Armor 安全政策的名称，例如“my-security-policy”。

type

string

Google Cloud Armor 安全政策的类型，例如“后端安全政策”“边缘安全政策”“网络边缘安全政策”或“始终开启的 DDoS 防护”。

preview

boolean

关联的规则或政策是否处于预览模式。

请求

与相应发现结果相关的请求的相关信息。

JSON 表示法
{ "ratio": number, "shortTermAllowed": integer, "longTermAllowed": integer, "longTermDenied": integer }

字段
`ratio`	`number` 对于“拒绝率提高”问题，该比率为被拒绝的流量除以允许的流量。对于“允许的流量高峰”，该比率为短期允许的流量除以长期允许的流量。
`shortTermAllowed`	`integer` 短期内允许的 RPS（每秒请求数）。
`longTermAllowed`	`integer` 长期允许的 RPS（每秒请求数）。
`longTermDenied`	`integer` 长期被拒绝的 RPS（每秒请求数）。

AdaptiveProtection

有关 Google Cloud Armor 自动调节式保护的信息。

JSON 表示法
{ "confidence": number }

字段

confidence

number

得分为 0 表示系统对检测到的事件是实际攻击的置信度较低。得分为 1 表示系统非常确信检测到的事件是攻击。如需进一步了解，请参阅自适应保护文档。

攻击

有关 DDoS 攻击量和分类的信息。

JSON 表示法
{ "volumePpsLong": string, "volumeBpsLong": string, "classification": string, "volumePps": integer, "volumeBps": integer }

字段
`volumePpsLong`	`string (int64 format)` 攻击的总 PPS（每秒数据包数）量。
`volumeBpsLong`	`string (int64 format)` 攻击的总 BPS（每秒字节数）量。
`classification`	`string` 攻击类型，例如“SYN 洪流攻击”“NTP-udp”或“CHARGEN-udp”。
`volumePps (deprecated)`	`integer` 此项已弃用！攻击的总 PPS（每秒数据包数）。已废弃 - 请改用 volumePpsLong。
`volumeBps (deprecated)`	`integer` 此项已弃用！攻击的总 BPS（每秒字节数）量。已废弃 - 请改用 volumeBpsLong。

笔记本

表示与发现关联的 Jupyter 笔记本 IPYNB 文件，例如 Colab Enterprise 笔记本文件。

JSON 表示法
{ "name": string, "service": string, "lastAuthor": string, "notebookUpdateTime": string }

字段
`name`	`string` 笔记本的名称。
`service`	`string` 来源笔记本服务，例如“Colab Enterprise”。
`lastAuthor`	`string` 修改该记事的最新作者的用户 ID。
`notebookUpdateTime`	`string (Timestamp format)` 笔记本最近一次更新的时间。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。

ToxicCombination

包含一组安全问题的详细信息。如果这些问题同时出现，所构成的风险要高于这些问题单独出现的风险。一组此类问题称为有害组合。

JSON 表示法
{ "attackExposureScore": number, "relatedFindings": [ string ] }

字段

attackExposureScore

number

此类危险组合的攻击风险得分。该得分衡量的是此类危险组合将一个或多个高价值资源暴露在潜在攻击下的程度。

relatedFindings[]

string

与此有毒组合相关联的发现结果的资源名称列表。例如 organizations/123/sources/456/findings/789。

GroupMembership

包含此发现所属群组的详细信息。组是指一组在某种程度上相关的发现。

JSON 表示法
{ "groupType": enum (`GroupType`), "groupId": string }

字段

groupType

enum (GroupType)

群组类型。

groupId

string

群组的 ID。

GroupType

可能的群组类型。

枚举
`GROUP_TYPE_UNSPECIFIED`	默认值。
`GROUP_TYPE_TOXIC_COMBINATION`	组表示有毒组合。

磁盘

包含与发现结果关联的磁盘的相关信息。

JSON 表示法
{ "name": string }

字段

name

string

磁盘的名称，例如“https://www.googleapis.com/compute/v1/projects/{project-id}/zones/{zone-id}/disks/{disk-id}”。

DataAccessEvent

有关不符合适用数据安全政策规定的主账号尝试访问数据的详细信息。

JSON 表示法
{ "eventId": string, "principalEmail": string, "operation": enum (`Operation`), "eventTime": string }

字段
`eventId`	`string` 数据访问事件的唯一标识符。
`principalEmail`	`string` 访问数据的主账号的电子邮件地址。主账号可以是用户账号、服务账号、Google 群组或其他账号。
`operation`	`enum (Operation)` 主账号执行的访问数据操作。
`eventTime`	`string (Timestamp format)` 数据访问事件的时间戳。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。

操作

数据访问事件的操作。

枚举
`OPERATION_UNSPECIFIED`	操作未指定。
`READ`	表示读取操作。
`MOVE`	表示移动操作。
`COPY`	表示复制操作。

DataFlowEvent

数据流事件的详细信息，其中数据要么移至不合规的地理位置，要么从不合规的地理位置访问（如适用的数据安全政策中所定义）。

JSON 表示法
{ "eventId": string, "principalEmail": string, "operation": enum (`Operation`), "violatedLocation": string, "eventTime": string }

字段
`eventId`	`string` 数据流事件的唯一标识符。
`principalEmail`	`string` 发起数据流事件的主账号的电子邮件地址。主账号可以是用户账号、服务账号、Google 群组或其他账号。
`operation`	`enum (Operation)` 主账号对数据流事件执行的操作。
`violatedLocation`	`string` 主账号或数据目标位置不合规。
`eventTime`	`string (Timestamp format)` 数据流事件的时间戳。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。

操作

数据流事件的操作。

枚举
`OPERATION_UNSPECIFIED`	操作未指定。
`READ`	表示读取操作。
`MOVE`	表示移动操作。
`COPY`	表示复制操作。

网络

包含与发现结果关联的 VPC 网络的相关信息。

JSON 表示法
{ "name": string }

字段

name

string

VPC 网络资源的名称，例如 //compute.googleapis.com/projects/my-project/global/networks/my-network。

DataRetentionDeletionEvent

有关数据保留/删除违规行为的详细信息，即数据的保留或删除时间不符合适用数据安全政策中所定义的要求。“数据保留删除”(DRD) 控件是 DSPM（数据安全状况管理）套件的一个控件，可让组织根据 GDPR 和 CRPA 等法规管理数据保留和删除政策。DRD 支持两种主要政策类型：存储时长上限 (max TTL) 和存储时长下限 (min TTL)。这两项认证旨在帮助组织履行法规和数据管理承诺。

JSON 表示法
{ "eventDetectionTime": string, "dataObjectCount": string, "maxRetentionAllowed": string, "eventType": enum (`EventType`) }

字段
`eventDetectionTime`	`string (Timestamp format)` 指示检测到事件的时间戳。采用 RFC 3339 标准，生成的输出将始终在末尾带 Z，并使用 0、3、6 或 9 个小数位。不带“Z”的偏差时间也是可以接受的。示例：`"2014-10-02T15:01:23Z"`、`"2014-10-02T15:01:23.045123456Z"` 或 `"2014-10-02T15:01:23+05:30"`。
`dataObjectCount`	`string (int64 format)` 违反此资源政策的对象数量。如果该数字小于 1,000，则此字段的值为确切数字。如果违反政策的对象数量大于或等于 1,000 个，则此字段的值为 1, 000。
`maxRetentionAllowed`	`string (Duration format)` DRD 控件允许的最长保留期限。这是通过 DRD 控件实现的，用户可以为其数据设置最大 TTL。例如，假设用户将 Cloud Storage 存储分区的最大 TTL 设置为 90 天。但是，该存储分区中有一个对象已经存放了 100 天。在这种情况下，系统会为该 Cloud Storage 存储分区生成 DataRetentionDeletionEvent，并且 maxRetentionAllowed 为 90 天。该时长以秒为单位，最多包含九个小数位，以“`s`”结尾。示例：`"3.5s"`。
`eventType`	`enum (EventType)` DRD 事件的类型。

EventType

DRD 事件的类型。

枚举
`EVENT_TYPE_UNSPECIFIED`	未指定的事件类型。
`EVENT_TYPE_MAX_TTL_EXCEEDED`	已超出最长保留时间。

方法
`create`	在某个位置创建发现结果。
`group`	过滤组织或来源的发现结果，并按其在某个位置的指定属性进行分组。
`list`	列出组织或来源的发现结果。
`patch`	创建或更新发现结果。
`setMute`	更新发现结果的忽略状态。
`setState`	更新发现结果的状态。
`updateSecurityMarks`	更新安全标记。

REST Resource: organizations.sources.findings

资源：Finding

州

安全标识

严重程度

忽略

MuteInfo

StaticMute

DynamicMuteRecord

FindingClass

指标

ProcessSignature

MemoryHashSignature

检测

YaraRuleSignature

SignatureType

漏洞

Cve

参考文档

CVSSV3

AttackVector

AttackComplexity

PrivilegesRequired

UserInteraction

范围

影响

RiskRating

ExploitationActivity

软件包

SecurityBulletin

ExternalSystem

TicketInfo

MitreAttack

策略

方法

访问

地理定位

ServiceAccountDelegationInfo

连接

协议

流程

文件

DiskPath

EnvironmentVariable

ContactDetails

联系人

合规性

渗漏

ExfilResource

IamBinding

操作

容器

标签

Kubernetes

Pod

节点

节点池

角色

种类

绑定

主题

AuthType

AccessReview

对象

数据库

AttackExposure

州

CloudDlpInspection

CloudDlpDataProfile

ParentType

KernelRootkit

OrgPolicy

作业

JobState

应用

IpRules

方向

允许

IpRule

PortRange

`create`

`group`

`list`

`patch`

`setMute`

`setState`

`updateSecurityMarks`