Security Command Center の検出結果を収集する
このドキュメントでは、Security Command Center を構成して検出結果を Google Security Operations に取り込むことで、Security Command Center のログを収集する方法について説明します。このドキュメントでは、サポートされているイベントの一覧も記載しています。
詳細については、Google Security Operations へのデータの取り込みと Security Command Center の検出結果を Google Security Operations にエクスポートするをご覧ください。 一般的なデプロイは、Security Command Center と Google Security Operations にログを送信するように構成された Google Security Operations フィードで構成されます。お客様のデプロイはそれぞれ異なり、より複雑になる場合もあります。
デプロイには次のコンポーネントが含まれます。
- Google Cloud: Security Command Center がインストールされているモニタリング対象のシステム。 
- Security Command Center Event Threat Detection の検出結果: データソースから情報を収集し、検出結果を生成します。 
- Google Security Operations: Security Command Center のログを保持して分析します。 
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、次の取り込みラベルを持つ Security Command Center パーサーに適用されます。
- GCP_SECURITYCENTER_ERROR
- GCP_SECURITYCENTER_MISCONFIGURATION
- GCP_SECURITYCENTER_OBSERVATION
- GCP_SECURITYCENTER_THREAT
- GCP_SECURITYCENTER_UNSPECIFIED
- GCP_SECURITYCENTER_VULNERABILITY
- GCP_SECURITYCENTER_POSTURE_VIOLATION
- GCP_SECURITYCENTER_TOXIC_COMBINATION
- GCP_SECURITYCENTER_CHOKEPOINT
Security Command Center と Google Cloud を構成して、検出結果を Google Security Operations に送信する
- デプロイ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。 
- Security Command Center の検出結果の取り込みを有効にします。 
サポートされている Event Threat Detection の検出結果
このセクションでは、サポートされている Event Threat Detection の検出結果について説明します。Security Command Center Event Threat Detection のルールと検出結果については、Event Threat Detection のルールをご覧ください。
| 検出結果の名前 | 説明 | 
|---|---|
| アクティブ スキャン: RCE に対して脆弱な Log4j | サポートされている Log4j 脆弱性スキャナによって開始された難読化されていないドメインの DNS クエリを識別して、アクティブな Log4j の脆弱性を検出します。 | 
| ブルート フォース: SSH | ホストに対するブルート フォース攻撃で SSH 認証に成功した試行を検出しています。 | 
| 認証情報アクセス: 特権グループに追加された外部メンバー | 外部のメンバーが特権 Google グループ(機密性の高いロールまたは権限が付与されたグループ)に追加されたことを検出します。検出結果が生成されるのは、新しく追加されたメンバーと同じ組織に属する別の外部メンバーがグループにまだ含まれていない場合に限られます。詳しくは、安全ではない Google グループの変更をご覧ください。 | 
| 認証情報アクセス: 一般公開された特権グループ | 特権 Google グループ(機密性の高いロールまたは権限が付与されたグループ)が一般公開に変更されていることを検出します。詳しくは、安全ではない Google グループの変更をご覧ください。 | 
| 認証情報アクセス: ハイブリッド グループに付与される機密性の高いロール | 外部メンバーを含む Google グループに機密性の高いロールが付与されたことを検出します。詳しくは、安全ではない Google グループの変更をご覧ください。 | 
| 防御回避: VPC Service Control の変更 | 保護能力の低下を招く、既存の VPC Service Controls の境界に対する変更を検出します。 | 
| 検出: 機密性の高い Kubernetes オブジェクトのチェックプレビュー | 悪意のある行為者が、kubectl auth can-i get コマンドを使用して、Google Kubernetes Engine(GKE)内でクエリ可能な機密オブジェクトの特定を試みました。 | 
| 検出: サービス アカウントの自己調査 | 同じサービス アカウントに関連付けられたロールと権限の調査に使用される Identity and Access Management(IAM)サービス アカウントの認証情報の検出。 | 
| 回避: 匿名化プロキシからのアクセス | Tor IP アドレスなどの匿名プロキシ IP アドレスから発生した Google Cloud サービス変更の検出。 | 
| データ漏洩: BigQuery データの漏洩 | 次のシナリオを検出します。 
 | 
| データ漏洩: BigQuery データの抽出 | 次のシナリオを検出します。 
 | 
| データ漏洩: Google ドライブへの BigQuery データ | 次のシナリオを検出します。 保護された組織が所有する BigQuery リソースが、抽出オペレーションによって Google ドライブ フォルダに保存されます。 | 
| データ漏洩: Cloud SQL データの漏洩 | 次のシナリオを検出します。 
 | 
| データ漏洩: Cloud SQL から外部組織へのバックアップの復元 | Cloud SQL インスタンスのバックアップが組織外のインスタンスに復元された場合に、それを検出します。 | 
| データ漏洩: Cloud SQL の過剰な権限付与 | Cloud SQL Postgres のユーザーまたはロールに、データベースに対するすべての権限が付与されているか、スキーマ内のすべてのテーブル、プロシージャ、または関数に対するすべての権限が付与されている場合に検出します。 | 
| 防御への侵害: 強力な認証の無効化 | 組織で 2 段階認証プロセスが無効になりました。 | 
| 防御への侵害: 2 段階認証プロセスの無効化 | ユーザーが 2 段階認証プロセスを無効にしました。 | 
| 初期アクセス: アカウントの無効化(ハイジャック) | 不審なアクティビティが検出されたため、ユーザーのアカウントが一時停止されました。 | 
| 初期アクセス: 無効化(パスワードの漏洩) | パスワード漏洩が検出されたため、ユーザーのアカウントが無効になっています。 | 
| 初期アクセス: 政府支援による攻撃 | 政府の支援を受けた攻撃者がユーザー アカウントまたはパソコンの不正使用を試みた可能性があります。 | 
| 初期アクセス: Log4j の悪用 | ヘッダーまたは URL パラメータ内の Java Naming and Directory Interface(JNDI)のルックアップを検出します。このような検索は、Log4Shell の悪用の試みを示す可能性があります。これらの検出結果は脆弱性や侵害ではなく、検出や悪用を試みるものであるため、重大度は「低」です。 | 
| 初期アクセス: 不審なログインのブロック | ユーザーのアカウントへの不審なログインが検出され、ブロックされました。 | 
| Log4j マルウェア: 不正なドメイン | Log4j 攻撃で使用される既知のドメインへの接続やルックアップに基づく Log4j エクスプロイト トラフィックの検出。 | 
| Log4j マルウェア: 不正な IP | Log4j 攻撃で使用される既知の IP アドレスへの接続に基づく Log4j エクスプロイト トラフィックの検出。 | 
| マルウェア: 不正ドメイン | 既知の不正ドメインへの接続やルックアップに基づくマルウェアの検出。 | 
| マルウェア: 不正 IP | 既知の不正な IP アドレスへの接続に基づくマルウェアの検出。 | 
| マルウェア: 不正ドメインの暗号化 | 既知の暗号通貨マイニング ドメインへの接続またはルックアップに基づくクリプトマイニングの検出。 | 
| マルウェア: クリプトマイニングの不正な IP | 既知のマイニング IP アドレスへの接続に基づく暗号通貨マイニングの検出。 | 
| 送信 DoS | 送信サービス拒否攻撃トラフィックの検出 | 
| 永続性: Compute Engine 管理者による SSH 認証鍵の追加 | 確立されたインスタンスの Compute Engine インスタンス メタデータ SSH 認証鍵の値の変更の検出(1 週間以上前)。 | 
| 永続性: Compute Engine 管理者による起動スクリプトの追加 | 確立されたインスタンスの Compute Engine インスタンス メタデータ起動スクリプトの値の変更の検出(1 週間以上前)。 | 
| 永続性: IAM 異常付与 | 組織のメンバーではない IAM ユーザーおよびサービス アカウントに付与された権限の検出。この検出機能は、組織の既存の IAM ポリシーをコンテキストとして使用します。外部メンバーへの機密性の高い IAM の付与があり、それに似た既存の IAM ポリシーが 3 つ未満の場合、検出機能によって検出結果が生成されます。 | 
| 永続性: 新しい API メソッドプレビュー | IAM サービス アカウントによる Google Cloud サービスの異常な使用の検出。 | 
| 永続性: 新しい地域 | リクエスト元の IP アドレスの位置情報に基づいて、通常とは異なるロケーションから Google Cloud にアクセスする IAM ユーザーとサービス アカウントを異常なロケーションから検出。 | 
| 永続性: 新しいユーザー エージェント | 通常と異なるユーザー エージェントまたは不審なユーザー エージェントから Google Cloud にアクセスする IAM サービス アカウントの検出。 | 
| 永続性: SSO の有効化の切り替え | 管理者アカウントで SSO(シングル サインオン)の有効化の設定が無効になりました。 | 
| 永続性: 変更された SSO 設定 | 管理者アカウントの SSO の設定が変更されました。 | 
| 権限昇格: Kubernetes RBAC 機密オブジェクトの変更プレビュー | 権限の昇格を目的として、悪意のある行為者が PUT または PATCH リクエストを使用して cluster-admin ClusterRole オブジェクトと ClusterRoleBinding オブジェクトの変更を試みました。 | 
| 権限昇格: マスター証明書の Kubernetes CSR の作成プレビュー | 悪意の可能性がある行為者が、Kubernetes マスター証明書署名リクエスト(CSR)を作成しました。これによりクラスタ管理者アクセス権が付与されます。 | 
| 権限昇格: 機密性の高い Kubernetes バインディングの作成プレビュー | 悪意のある行為者が、新しいクラスタ管理者の RoleBinding オブジェクトまたは ClusterRoleBinding オブジェクトを作成して、権限昇格を試みました。 | 
| 権限昇格: 侵害されたブートストラップ認証情報を使用した Kubernetes CSR の取得プレビュー | 悪意のある行為者が、漏洩したブートストラップ認証情報を使用して kubectl コマンドを実行し、証明書署名リクエスト(CSR)をクエリしました。 | 
| 権限昇格: Kubernetes 特権コンテナのリリースプレビュー | 悪意のある行為者が、特権コンテナまたは権限昇格機能を持つコンテナを備えた Pod を作成しました。 特権コンテナの privileged フィールドは true に設定されています。権限昇格機能を備えたコンテナは allowPrivilegeEscalation フィールドが true に設定されています。 | 
| 初期アクセス: 休眠状態のサービス アカウントに対するキーの作成 | 休眠状態のユーザー管理サービス アカウントに対して鍵が作成されたイベントを検出します。ここでは 180 日を超えて非アクティブなサービス アカウントが、休眠状態と見なされます。 | 
| プロセスツリー | この検出機能は、実行中のすべてのプロセスのプロセスツリーを確認します。プロセスがシェルバイナリの場合、検出機能は親プロセスを確認します。親プロセスが、シェルプロセスを生成しないバイナリである場合、検出機能は検出結果をトリガーします。 | 
| 予期しない子シェル | この検出機能は、実行中のすべてのプロセスのプロセスツリーを確認します。プロセスがシェルバイナリの場合、検出機能は親プロセスを確認します。親プロセスが、シェルプロセスを生成しないバイナリである場合、検出機能は検出結果をトリガーします。 | 
| 実行: 追加された悪意のあるバイナリが実行された | この検出機能では、元のコンテナ イメージの一部ではなく、脅威インテリジェンスに基づいて悪意があると特定されたバイナリが実行されていないかどうかを調べます。 | 
| 実行: 変更された悪意のあるバイナリが実行された | この検出機能では、コンテナ イメージに元々含まれていたバイナリが実行時に変更され、脅威インテリジェンスに基づいて悪意があるものとして特定されたバイナリが実行されていないかどうかを調べます。 | 
| 権限昇格: 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任 | 管理アクティビティで異常なマルチステップの委任リクエストが見つかった場合に、検出します。 | 
| 使用するブレークグラス アカウント: break_glass_account | 緊急アクセス(ブレークグラス)アカウントの使用を検出します | 
| 構成可能な不正ドメイン: APT29_Domains | 指定されたドメイン名への接続を検出します | 
| 想定外のロールの付与: 禁止されているロール | 指定されたロールがユーザーに付与されたことを検出します | 
| 構成可能な不正 IP | 指定された IP アドレスへの接続を検出します | 
| 想定外の Compute Engine インスタンス タイプ | 指定されたインスタンス タイプや構成に一致しない Compute Engine インスタンスの作成を検出します。 | 
| 想定外の Compute Engine ソースイメージ | 指定したリストに一致しないイメージまたはイメージ ファミリーを持つ Compute Engine インスタンスの作成を検出します | 
| 想定外の Compute Engine リージョン | 指定したリストにないリージョンでの Compute Engine インスタンスの作成を検出します | 
| 禁止されている権限があるカスタムロール | 指定された IAM 権限のいずれかを含むカスタムロールがプリンシパルに付与されたことを検出します。 | 
| 予期しない Cloud API 呼び出し | 指定したプリンシパルが、指定されたリソースに対して指定されたメソッドを呼び出す場合に、検出します。検出結果は、単一のログエントリ内のすべての正規表現が一致した場合にのみ生成されます。 | 
サポートされている GCP_SECURITYCENTER_ERROR の検出結果
UDM マッピングは、フィールド マッピング リファレンス: ERROR テーブルで確認できます。
| 検出結果の名前 | 説明 | 
|---|---|
| VPC_SC_RESTRICTION | Security Health Analytics では、プロジェクトの特定の検出結果を生成できません。プロジェクトがサービス境界で保護されており、Security Command Center のサービス アカウントがその境界にアクセスできません。 | 
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | Cloud Logging に継続的なエクスポートを行うために構成したプロジェクトが使用できません。Security Command Center は、検出結果を Logging に送信できません。 | 
| API_DISABLED | プロジェクトで必須の API が無効になっています。無効になっているサービスは、Security Command Center に検出結果を送信できません。 | 
| KTD_IMAGE_PULL_FAILURE | 必要なコンテナ イメージを gcr.io(Container Registry イメージホスト)から pull(ダウンロード)できないため、クラスタで Container Threat Detection を有効にできません。このイメージは、Container Threat Detection に必要な Container Threat Detection DaemonSet をデプロイするために必要です。 | 
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | Kubernetes クラスタで Container Threat Detection を有効にすることはできません。サードパーティのアドミッション コントローラにより、Container Threat Detection に必要な Kubernetes DaemonSet オブジェクトのデプロイがブロックされています。 Google Cloud コンソールで確認すると、検出結果の詳細には、Container Threat Detection が Container Threat Detection DaemonSet オブジェクトをデプロイしようとしたときに Google Kubernetes Engine から返されたエラー メッセージが含まれます。 | 
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | サービス アカウントに Container Threat Detection に必要な権限がありません。検出計測の有効化、アップグレード、または無効化ができないため、Container Threat Detection が正常に機能できなくなりました。 | 
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | クラスタの GKE のデフォルト サービス アカウントに権限が不足しているため、Container Threat Detection は Google Kubernetes Engine クラスタの検出結果を生成できません。このため、クラスタで Container Threat Detection を有効にできません。 | 
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | Security Command Center サービス アカウントに、正しく機能するために必要な権限がありません。検出結果は生成されません。 | 
サポートされている GCP_SECURITYCENTER_OBSERVATION の検出結果
UDM マッピングは、フィールド マッピング リファレンス: OBSERVATION テーブルで確認できます。
| 検出結果の名前 | 説明 | 
|---|---|
| 永続性: プロジェクトの SSH 認証鍵の追加 | 10 日以上経過したプロジェクトに、プロジェクト レベルの SSH 認証鍵が作成されました。 | 
| 永続性: 機密性の高いロールの追加 | 10 日以上経過した組織で、機密性または権限の高い組織レベルの IAM ロールが付与されました。 | 
サポートされている GCP_SECURITYCENTER_UNSPECIFIED の検出結果
UDM マッピングは、フィールド マッピング リファレンス: UNSPECIFIED テーブルで確認できます。
| 検出結果の名前 | 説明 | 
|---|---|
| OPEN_FIREWALL | ファイアウォールが、一般公開のアクセスを受け入れるように構成されている。 | 
サポートされている GCP_SECURITYCENTER_VULNERABILITY の検出結果
UDM マッピングは、フィールド マッピング リファレンス: VULNERABILITY テーブルで確認できます。
| 検出結果の名前 | 説明 | 
|---|---|
| DISK_CSEK_DISABLED | この VM のディスクは顧客指定の暗号鍵(CSEK)で暗号化されていない。この検出機能を有効にするには、追加の構成が必要です。手順については、特殊なケースの検出機能をご覧ください。 | 
| ALPHA_CLUSTER_ENABLED | アルファ クラスタ機能が GKE クラスタで有効になっています。 | 
| AUTO_REPAIR_DISABLED | ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。 | 
| AUTO_UPGRADE_DISABLED | GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。 | 
| CLUSTER_SHIELDED_NODES_DISABLED | シールドされた GKE ノードがクラスタで有効になっていません。 | 
| COS_NOT_USED | Compute Engine VM が、 Google Cloud で Docker コンテナを安全に実行するように設計された Container-Optimized OS を使用していません。 | 
| INTEGRITY_MONITORING_DISABLED | GKE クラスタの整合性モニタリングが無効になっています。 | 
| IP_ALIAS_DISABLED | GKE クラスタが無効なエイリアス IP 範囲で作成されています。 | 
| LEGACY_METADATA_ENABLED | GKE クラスタで以前のメタデータが有効になっています。 | 
| RELEASE_CHANNEL_DISABLED | GKE クラスタはリリース チャンネルに登録されていません。 | 
| DATAPROC_IMAGE_OUTDATED | Dataproc クラスタは、Apache Log4j 2 ユーティリティのセキュリティ脆弱性(CVE-2021-44228 および CVE-2021-45046)の影響を受ける Dataproc イメージ バージョンを使用して作成されています。 | 
| PUBLIC_DATASET | データセットが、一般公開のアクセスを受け入れるように構成されている。 | 
| DNSSEC_DISABLED | Cloud DNS ゾーンで DNSSEC が無効になっている。 | 
| RSASHA1_FOR_SIGNING | RSASHA1 が Cloud DNS ゾーンにログインする鍵に使用されています。 | 
| REDIS_ROLE_USED_ON_ORG | Redis IAM ロールが組織レベルまたはフォルダレベルで割り当てられています。 | 
| KMS_PUBLIC_KEY | Cloud KMS 暗号鍵は一般公開されています。 | 
| SQL_CONTAINED_DATABASE_AUTHENTICATION | 含まれている Cloud SQL for SQL Server インスタンスのデータベース認証データベース フラグが、オフに設定されていません。 | 
| SQL_CROSS_DB_OWNERSHIP_CHAINING | Cloud SQL for SQL Server インスタンスの cross_db_ownership_chaining データベース フラグがオフに設定されていません。 | 
| SQL_EXTERNAL_SCRIPTS_ENABLED | Cloud SQL for SQL Server インスタンスの外部スクリプト対応データベース フラグがオフに設定されていません。 | 
| SQL_LOCAL_INFILE | Cloud SQL for MySQL インスタンスの local_infile データベース フラグがオフに設定されていません。 | 
| SQL_LOG_ERROR_VERBOSITY | Cloud SQL for PostgreSQL インスタンスの log_error_verbosity データベース フラグが、デフォルトまたはより厳密な値に設定されていません。 | 
| SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_min_duration_statement データベース フラグが「-1」に設定されていません。 | 
| SQL_LOG_MIN_ERROR_STATEMENT | Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグが適切に設定されていません。 | 
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグには、適切な重大度がありません。 | 
| SQL_LOG_MIN_MESSAGES | Cloud SQL for PostgreSQL インスタンスの log_min_messages データベース フラグが、警告に設定されていません。 | 
| SQL_LOG_EXECUTOR_STATS_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_executor_status データベース フラグがオフに設定されていません。 | 
| SQL_LOG_HOSTNAME_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_hostname データベース フラグがオフに設定されていません。 | 
| SQL_LOG_PARSER_STATS_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_parser_stats データベース フラグがオフに設定されていません。 | 
| SQL_LOG_PLANNER_STATS_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_planner_stats データベース フラグがオフに設定されていません。 | 
| SQL_LOG_STATEMENT_STATS_ENABLED | Cloud SQL for PostgreSQL インスタンスの log_statement_stats データベース フラグがオフに設定されていません。 | 
| SQL_LOG_TEMP_FILES | Cloud SQL for PostgreSQL インスタンスの log_temp_files データベース フラグが「0」に設定されていません。 | 
| SQL_REMOTE_ACCESS_ENABLED | Cloud SQL for SQL Server インスタンスのリモート アクセス データベース フラグがオフに設定されていません。 | 
| SQL_SKIP_SHOW_DATABASE_DISABLED | Cloud SQL for MySQL インスタンスの skip_show_database データベース フラグがオンに設定されていません。 | 
| SQL_TRACE_FLAG_3625 | Cloud SQL for SQL Server インスタンスの 3625(トレースフラグ)データベース フラグがオンに設定されていません。 | 
| SQL_USER_CONNECTIONS_CONFIGURED | Cloud SQL for SQL Server インスタンスのユーザー接続データベース フラグが構成されています。 | 
| SQL_USER_OPTIONS_CONFIGURED | Cloud SQL for SQL Server インスタンスのユーザー オプション データベース フラグが構成されています。 | 
| SQL_WEAK_ROOT_PASSWORD | Cloud SQL データベースに、root アカウント用に構成された弱いパスワードがある。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 | 
| PUBLIC_LOG_BUCKET | ログシンクとして使用されるストレージ バケットが一般公開されています。 | 
| ACCESSIBLE_GIT_REPOSITORY | Git リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。 | 
| ACCESSIBLE_SVN_REPOSITORY | SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。 | 
| ACCESSIBLE_ENV_FILE | ENV ファイルが一般公開されています。この問題を解決するには、ENV ファイルへの意図しない公開アクセスを削除します。 | 
| CACHEABLE_PASSWORD_INPUT | ウェブ アプリケーションに入力したパスワードが、安全なパスワード ストレージではなく、通常のブラウザ キャッシュに保存できます。 | 
| CLEAR_TEXT_PASSWORD | パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。 | 
| INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | クロスサイト HTTP または HTTPS エンドポイントが、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのサフィックスのみを検証しています。この問題を解決するには、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、想定どおりのルートドメインが Origin ヘッダー値の一部になっていることを確認します。サブドメインのワイルドカードの場合は、ルートドメインに先頭にドットを追加します(例: .endsWith("".google.com""))。 | 
| INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | クロスサイト HTTP または HTTPS エンドポイントが、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのプレフィックスのみを検証しています。この問題を解決するには、Access-Control-Allow-Origin レスポンス ヘッダーに反映する前に、想定どおりのドメインが Origin ヘッダーの値に完全に一致しているかどうか確認します(例: equals("".google.com""))。 | 
| INVALID_CONTENT_TYPE | レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれた。この問題を解決するには、X-Content-Type-Options HTTP ヘッダーに正しい値を設定します。 | 
| INVALID_HEADER | セキュリティ ヘッダーに構文エラーがあり、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 | 
| MISMATCHING_SECURITY_HEADER_VALUES | セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 | 
| MISSPELLED_SECURITY_HEADER_NAME | セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 | 
| MIXED_CONTENT | HTTPS ページ上で HTTP を介してリソースが提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。 | 
| OUTDATED_LIBRARY | 既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。 | 
| SERVER_SIDE_REQUEST_FORGERY | サーバー側のリクエスト フォージェリ(SSRF)の脆弱性が検出された。この問題を解決するには、許可リストを使用して、ウェブ アプリケーションがリクエストできるドメインと IP アドレスを制限します。 | 
| SESSION_ID_LEAK | クロスドメイン リクエストを行うときに、ウェブ アプリケーションの Referer リクエスト ヘッダーにユーザーのセッション ID が含まれています。この脆弱性により、受信側ドメインにセッション ID へのアクセス権が付与されます。この ID は、ユーザーになりすますことや、ユーザーを一意に識別するために使用される可能性があります。 | 
| SQL_INJECTION | 潜在的な SQL インジェクション脆弱性が検出された。この問題を解決するには、パラメータ化されたクエリを使用して、ユーザー入力が SQL クエリの構造に影響を与えないようにします。 | 
| STRUTS_INSECURE_DESERIALIZATION | 脆弱なバージョンの Apache Struts の使用が検出されました。この問題を解決するには、Apache Struts を最新バージョンにアップグレードしてください。 | 
| XSS | このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。 | 
| XSS_ANGULAR_CALLBACK | ユーザーが指定した文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、信頼されていないユーザーが指定し、Angular フレームワークによって処理されたデータを検証してエスケープします。 | 
| XSS_ERROR | このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。 | 
| XXE_REFLECTED_FILE_LEAKAGE | XML 外部エンティティ(XXE)の脆弱性が検出された。この脆弱性により、ウェブ アプリケーションによりホスト上のファイルが漏洩する可能性があります。この問題を解決するには、外部エンティティを許可しないように XML パーサーを構成します。 | 
| BASIC_AUTHENTICATION_ENABLED | Kubernetes クラスタで、IAM またはクライアント証明書認証を有効にする必要があります。 | 
| CLIENT_CERT_AUTHENTICATION_DISABLED | Kubernetes クラスタは、クライアント証明書を有効にして作成する必要があります。 | 
| LABELS_NOT_USED | お支払い情報の内訳を示すためにラベルを使用できます。 | 
| PUBLIC_STORAGE_OBJECT | ストレージ オブジェクト ACL で allUsers にアクセス権を付与してはいけません。 | 
| SQL_BROAD_ROOT_LOGIN | SQL データベースへのルートアクセスは、許可リストに含まれている信頼できる IP のみに制限する必要があります。 | 
| WEAK_CREDENTIALS | この検出機能は、ncrack ブルート フォース手法を使用して、脆弱な認証情報をチェックします。 サポートされているサービス: SSH、RDP、FTP、WordPress、TELNET、POP3、IMAP、VCS、SMB、SMB2、VNC、SIP、REDIS、PSQL、MYSQL、MSSQL、MQTT、MONGODB、WINRM、DICOM | 
| ELASTICSEARCH_API_EXPOSED | Elasticsearch API を使用すると、呼び出し元は任意のクエリの実行、スクリプトの作成と実行、サービスへのドキュメントの追加を行うことができます。 | 
| EXPOSED_GRAFANA_ENDPOINT | Grafana 8.0.0 から 8.3.0 では、ユーザーはディレクトリ トラバーサルの脆弱性があるエンドポイントに認証なしでアクセスできます。この脆弱性を悪用すると、認証なしでサーバー上のファイルを読み取ることができます。詳細については、CVE-2021-43798 をご覧ください。 | 
| EXPOSED_METABASE | オープンソースのデータ分析プラットフォームである Metabase のバージョン x.40.0 ~ x.40.4 には、カスタム GeoJSON マップサポートの脆弱性が存在し、環境変数などのローカル ファイルへのインクルードが行われる可能性があります。URL は読み込み前に検証されていません。詳細については、CVE-2021-41277 をご覧ください。 | 
| EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | この検出機能は、Spring Boot アプリケーションの機密性の高い Actuator エンドポイントが公開されているかどうかを確認します。/heapdump など、一部のデフォルトのエンドポイントでは機密情報が公開される可能性があります。/env などの他のエンドポイントでは、リモートからコードが実行されるおそれがあります。現在、/heapdump のみがチェックされます。 | 
| HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | この検出機能は、Hadoop クラスタの計算リソースとストレージ リソースを制御する Hadoop Yarn ResourceManager API が公開され、未認証のコード実行を許可しているかどうかをチェックします。 | 
| JAVA_JMX_RMI_EXPOSED | Java Management Extension(JMX)を使用すると、Java アプリケーションに対してリモート モニタリングと診断を行うことができます。保護されていない Remote Method Invocation エンドポイントで JMX を実行すると、リモート ユーザーは javax.management.loading.MLet MBean を作成し、それを使用して任意の URL から新しい MBeans を作成できます。 | 
| JUPYTER_NOTEBOOK_EXPOSED_UI | この検出機能は、未認証の Jupyter Notebook が公開されているかどうかをチェックします。Jupyter では、ホストマシン上で設計することでリモートコードの実行が可能となります。未認証の Jupyter Notebook を使用すると、ホストしている VM がリモートコード実行の危険にさらされます。 | 
| KUBERNETES_API_EXPOSED | Kubernetes API が公開されており、未認証の呼出し元からもアクセス可能です。これにより、Kubernetes クラスタで任意のコードを実行できます。 | 
| UNFINISHED_WORDPRESS_INSTALLATION | この検出機能は、WordPress のインストールが完了していないかどうかチェックします。WordPress のインストールが完了していないと、/wp-admin/install.php ページが表示されるため、攻撃者が管理者パスワードを設定でき、場合によってはシステムが侵害される可能性があります。 | 
| UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | この検出機能は、匿名ユーザーとして、/view/all/newJob エンドポイントにプローブ ping を送信することにより、未認証の Jenkins インスタンスをチェックします。認証済みの Jenkins インスタンスは createItem フォームを表示しますが、このフォームを使用すると、リモートコード実行を引き起こす可能性のある任意のジョブを作成できます。 | 
| APACHE_HTTPD_RCE | Apache HTTP Server 2.4.49 に、パス トラバーサル攻撃により、想定されるドキュメント ルート以外のファイルに URL がマッピングされ、CGI スクリプトなどの解釈されたファイルのソースが開示される脆弱性が見つかりました。この問題は、実際に悪用されていることが確認されています。この問題は、Apache 2.4.49 と 2.4.50 に影響しますが、以前のバージョンには影響しません。この脆弱性の詳細については、以下をご覧ください。 | 
| APACHE_HTTPD_SSRF | mod_proxy が攻撃者によって選択された配信元サーバーにリクエストを転送するように、Apache ウェブサーバーへの URI が作成される可能性があります。この問題は、Apache HTTP サーバー 2.4.48 以前に影響します。この脆弱性の詳細については、以下をご覧ください。 | 
| CONSUL_RCE | Consul インスタンスが、-enable-script-checks で true に設定され、Consul HTTP API が保護されずにネットワーク経由でアクセスできるため、攻撃者は Consul サーバーで任意のコードを実行できます。Consul 0.9.0 以前では、スクリプト チェックはデフォルトでオンになっています。詳細については、特定の構成での RCE リスクからの Consul の保護をご覧ください。この脆弱性を確認するために、Rapid Vulnerability Detection は /v1/health/service REST エンドポイントを使用して Consul インスタンスにサービスを登録し、次のいずれかを実行します。 * ネットワーク外のリモート サーバーへの curl コマンド。攻撃者は、curl コマンドを使用してサーバーからデータを抜き取ることができます。 * printf コマンド。次に、Rapid Vulnerability Detection は、/v1/health/service REST エンドポイントを使用してコマンドの出力を確認します。 * チェック後、Rapid Vulnerability Detection は /v1/agent/service/deregister/ REST エンドポイントを使用してサービスをクリーンアップし、登録解除します。 | 
| DRUID_RCE | Apache Druid には、さまざまなタイプのリクエストに埋め込まれたユーザー提供の JavaScript コードを実行する機能があります。この機能は高信頼性環境で使用することを想定しており、デフォルトでは無効になっています。ただし、Druid 0.20.0 以前では、認証済みユーザーが特別なリクエストを送信して、Druid にユーザー指定の JavaScript コードを実行させることができます。これはサーバー構成に関係なく可能です。これにより、Druid サーバー プロセスの権限を使用してターゲット マシンでコードを実行できます。詳細については、CVE-2021-25646 の詳細をご覧ください。 | 
| DRUPAL_RCE | Drupal の 7.58 より前のバージョン、8.3.9 より前のバージョン 8.x、8.4.6 より前のバージョン 8.4.x、8.5.1 より前のバージョン 8.5.x は、Form API AJAX リクエストでのリモートコード実行に対して脆弱です。 Drupal の 8.5.11 より前のバージョン 8.5.x、8.6.10 より前のバージョン 8.6.x では、RESTful Web Service モジュールまたは JSON:API のいずれかが有効になっている場合、リモートコード実行に対して脆弱です。この脆弱性は、悪意のある非人称ユーザーがカスタム POST リクエストを使用して悪用する可能性があります。 | 
| FLINK_FILE_DISCLOSURE | Apache Flink バージョン 1.11.0、1.11.1、1.11.2 に脆弱性があります。これにより、JobManager プロセスの REST インターフェースを介して JobManager のローカル ファイルシステム上のファイルが読み取られる可能性があります。アクセスは、JobManager プロセスがアクセスできるファイルに制限されます。 | 
| GITLAB_RCE | GitLab Community Edition(CE)と Enterprise Edition(EE)バージョン 11.9 以降で、GitLab はファイル パーサーに渡される画像ファイルを正しく検証しません。この脆弱性が悪用され、リモートからコマンドが実行される可能性があります。 | 
| GoCD_RCE | GoCD 21.2.0 以前に、認証なしでアクセスできるエンドポイントがあります。このエンドポイントにはディレクトリ トラバーサルの脆弱性があり、ユーザーは認証なしでサーバー上の任意のファイルを読み取ることができます。 | 
| JENKINS_RCE | Jenkins バージョン 2.56 以前と 2.46.1 LTS 以前に、リモートコード実行の脆弱性が存在します。未認証の攻撃者がシリアル化された不正な Java オブジェクトを使用して、この脆弱性をトリガーする可能性があります。 | 
| JOOMLA_RCE | Joomla の 3.4.6 より前のバージョン 1.5.x、2.x、3.x には、リモートコード実行の脆弱性が存在します。シリアル化された PHP オブジェクトを含む詳細なヘッダーによって、この脆弱性がトリガーされる可能性があります。 Joomla のバージョン 3.0.0 ~ 3.4.6 にリモートコード実行の脆弱性が存在します。シリアル化された不正な PHP オブジェクトを含む POST リクエストを送信することで、この脆弱性がトリガーされる可能性があります。 | 
| LOG4J_RCE | Apache Log4j2 2.14.1 以前では、構成、ログメッセージ、パラメータで使用される JNDI 機能は、攻撃者が制御する LDAP やその他の JNDI 関連エンドポイントから保護しません。詳細については、CVE-2021-44228 をご覧ください。 | 
| MANTISBT_PRIVILEGE_ESCALATION | MantisBT バージョン 2.3.0 までは、verify.php に空の confirm_hash 値を指定することで、任意のパスワードのリセットと未認証管理者のアクセスが可能になります。 | 
| OGNL_RCE | Confluence Server インスタンスと Data Center インスタンスには、未認証の攻撃者が任意のコードを実行する可能性のある OGNL インジェクションの脆弱性が存在します。詳細については、CVE-2021-26084 をご覧ください。 | 
| OPENAM_RCE | OpenAM サーバー 14.6.2 以前と ForgeRock AM サーバー 6.5.3 以前には、複数のページの jato.pageSession パラメータに Java のシリアル化解除の脆弱性があります。悪用には認証が不要であり、細工した 1 つの /ccversion/* リクエストをサーバーに送信することでリモートからのコード実行が可能になります。この脆弱性は、Sun ONE アプリケーションの使用が原因で発生します。詳細については、CVE-2021-35464 をご覧ください。 | 
| ORACLE_WEBLOGIC_RCE | Oracle Fusion Middleware(コンポーネント: Console)の Oracle WebLogic Server プロダクトの特定のバージョン(10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 など)に脆弱性が存在します。この脆弱性は悪用されやすく、ネットワーク アクセス権限のある未認証のユーザーが HTTP 経由で Oracle WebLogic Server を侵害できます。この脆弱性が攻撃されると、Oracle WebLogic Server が乗っ取られる可能性があります。詳細については、CVE-2020-14882 をご覧ください。 | 
| PHPUNIT_RCE | 5.6.3 より前のバージョンの PHPUnit では、未認証の POST リクエストによってリモートコードが実行される可能性があります。 | 
| PHP_CGI_RCE | PHP のバージョン 5.3.12 以前と 5.4.2 より前のバージョン 5.4.x では、CGI スクリプトとして構成されているリモートコードの実行が可能です。脆弱性のあるコードでは、=(等号)文字のないクエリ文字列が適切に処理されません。攻撃者は、サーバー上で実行されるコマンドライン オプションを追加できます。 | 
| PORTAL_RCE | 7.2.1 CE GA2 より前の Liferay Portal バージョンでは、信頼できないデータを逆シリアル化することで、リモートの攻撃者が JSON ウェブサービス経由で任意のコードを実行できます。 | 
| REDIS_RCE | Redis インスタンスで管理者コマンドを実行するための認証が不要な場合、攻撃者は任意のコードを実行できる可能性があります。 | 
| SOLR_FILE_EXPOSED | オープンソースの検索サーバーである Apache Solr で認証が有効になっていません。Apache Solr が認証を必要としない場合、攻撃者は特定の構成を有効にするリクエストを直接作成できます。最終的には、サーバー側のリクエスト フォージェリ(SSRF)を実装したり、任意のファイルを読み取ることが可能になります。 | 
| SOLR_RCE | Apache Solr のバージョン 5.0.0 ~ 8.3.1 で、params.resource.loader.enabled が true に設定されていると、VelocityResponseWriter からのリモートコード実行に対して脆弱です。この設定により、攻撃者が悪意のあるベロシティ テンプレートを含むパラメータを作成できます。 | 
| STRUTS_RCE | 
 | 
| TOMCAT_FILE_DISCLOSURE | Apache Tomcat の 9.0.31 より前のバージョン 9.x、8.5.51 より前のバージョン 8.x、7.0.100 より前のバージョン 7.x、および すべての 6.x に、公開されている Apache JServ Protocol コネクタを介してソースコードと構成が開示される脆弱性が存在します。ファイルのアップロードが許可されている場合、この脆弱性がリモートコードの実行に利用されることがあります。 | 
| VBULLETIN_RCE | バージョン 5.0.0 から 5.5.4 を実行する vBulletin サーバーに、リモートコード実行の脆弱性が存在します。この脆弱性は、routestring リクエストでクエリ パラメータを使用している未認証の攻撃者に悪用される可能性があります。 | 
| VCENTER_RCE | VMware vCenter Server の 7.0 U1c より前のバージョン 7.x、6.7 U3l より前のバージョン 6.7、6.5 U3n より前のバージョン 6.5 に、リモートコード実行の脆弱性が存在します。この脆弱性により、攻撃者は不正な Java Server Pages ファイルをウェブアクセス可能なディレクトリにアップロードして、そのファイルを実行する可能性があります。 | 
| WEBLOGIC_RCE | Oracle Fusion Middleware(コンポーネント: Console)の Oracle WebLogic Server プロダクトの特定のバージョン(10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 など)に、リモートコード実行の脆弱性が存在します。この脆弱性は、CVE-2020-14750、CVE-2020-14882、CVE-2020-14883 に関連しています。詳細については、CVE-2020-14883 をご覧ください。 | 
| OS_VULNERABILITY | VM Manager が、Compute Engine VM にインストールされているオペレーティング システム(OS)パッケージに脆弱性を検出しました。 | 
| UNUSED_IAM_ROLE | IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザー アカウントを検出しました。 | 
| GKE_RUNTIME_OS_VULNERABILITY | GKE は、登録済みの GKE クラスタで実行されるコンテナ イメージの脆弱性を継続的にスキャンします。GKE は、NIST などの公開 CVE データベースからの脆弱性データを使用します。GKE は任意のレジストリからイメージをスキャンできますが、OS バージョンはサポートされている必要があります。サポートされているオペレーティング システムの一覧については、サポートされている Linux のバージョンをご覧ください。 | 
| GKE_SECURITY_BULLETIN | GKE で脆弱性が発見された場合、脆弱性にパッチが適用された後にセキュリティに関する公開情報が公開されます。脆弱性パッチの適用プロセスとタイムラインの詳細については、GKE セキュリティ パッチをご覧ください。 | 
| SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | IAM Recommender は、サービス エージェントに付与された元のデフォルトの IAM ロールが IAM 基本ロール(オーナー、編集者、閲覧者)のいずれかに置き換えられたことを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。 | 
サポートされる GCP_SECURITYCENTER_MISCONFIGURATION の検出結果
UDM マッピングは、フィールド マッピング リファレンス: MISCONFIGURATION テーブルで確認できます。
| 検出結果の名前 | 説明 | 
|---|---|
| API_KEY_APIS_UNRESTRICTED | API キーが広すぎる範囲で使用されている。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。 | 
| API_KEY_APPS_UNRESTRICTED | 無制限に使用され、信頼できないアプリによる使用が許可されている API キーがあります。 | 
| API_KEY_EXISTS | プロジェクトが標準認証ではなく API キーを使用しています。 | 
| API_KEY_NOT_ROTATED | API キーが 90 日以上ローテーションされていません。 | 
| PUBLIC_COMPUTE_IMAGE | Compute Engine イメージが一般公開されている。 | 
| CONFIDENTIAL_COMPUTING_DISABLED | Compute Engine インスタンスで Confidential Computing が無効になっています。 | 
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | プロジェクト全体の SSH 認証鍵が使用され、プロジェクト内のすべてのインスタンスにログインできるようになっています。 | 
| COMPUTE_SECURE_BOOT_DISABLED | この Shielded VM で、セキュアブートが有効になっていません。セキュアブートの使用は、ルートキットやブートキットなどの高度な脅威から仮想マシン インスタンスを保護するうえで有効です。 | 
| DEFAULT_SERVICE_ACCOUNT_USED | インスタンスは、デフォルトのサービス アカウントを使用するように構成されています。 | 
| FULL_API_ACCESS | すべての Google Cloud API に対する完全アクセス権を持つデフォルトのサービス アカウントを使用するように、インスタンスが構成されています。 | 
| OS_LOGIN_DISABLED | このインスタンスでは OS Login が無効になっている。 | 
| PUBLIC_IP_ADDRESS | インスタンスにパブリック IP アドレスがある。 | 
| SHIELDED_VM_DISABLED | このインスタンスでは Shielded VM が無効になっています。 | 
| COMPUTE_SERIAL_PORTS_ENABLED | インスタンスのシリアルポートが有効になっているため、インスタンスのシリアル コンソールへ接続できるようになっています。 | 
| DISK_CMEK_DISABLED | この VM のディスクは顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 | 
| HTTP_LOAD_BALANCER | インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。 | 
| IP_FORWARDING_ENABLED | インスタンスで IP 転送が有効になっている。 | 
| WEAK_SSL_POLICY | インスタンスに弱い SSL ポリシーがある。 | 
| BINARY_AUTHORIZATION_DISABLED | GKE クラスタで Binary Authorization が無効になっています。 | 
| CLUSTER_LOGGING_DISABLED | GKE クラスタのロギングが有効になっていません。 | 
| CLUSTER_MONITORING_DISABLED | GKE クラスタでモニタリングが無効になっています。 | 
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | クラスタホストが、Google API へのアクセスにプライベート内部 IP アドレスのみを使用するように構成されていません。 | 
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | GKE クラスタでアプリケーション レイヤでのシークレットの暗号化が無効になっています。 | 
| INTRANODE_VISIBILITY_DISABLED | GKE クラスタでノード内の可視化が無効になっています。 | 
| MASTER_AUTHORIZED_NETWORKS_DISABLED | GKE クラスタでコントロール プレーン承認済みネットワークが有効になっていません。 | 
| NETWORK_POLICY_DISABLED | GKE クラスタでネットワーク ポリシーが無効になっています。 | 
| NODEPOOL_SECURE_BOOT_DISABLED | GKE クラスタのセキュアブートが無効になっています。 | 
| OVER_PRIVILEGED_ACCOUNT | サービス アカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。 | 
| OVER_PRIVILEGED_SCOPES | ノードのサービス アカウントに、範囲の広いアクセス スコープがあります。 | 
| POD_SECURITY_POLICY_DISABLED | GKE クラスタで PodSecurityPolicy が無効になっています。 | 
| PRIVATE_CLUSTER_DISABLED | GKE クラスタで限定公開クラスタが無効になっています。 | 
| WORKLOAD_IDENTITY_DISABLED | GKE クラスタはリリース チャンネルに登録されていません。 | 
| LEGACY_AUTHORIZATION_ENABLED | GKE クラスタで、以前の承認が有効になっています。 | 
| NODEPOOL_BOOT_CMEK_DISABLED | このノードプール内のブートディスクは、顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 | 
| WEB_UI_ENABLED | GKE ウェブ UI(ダッシュボード)が有効になっています。 | 
| AUTO_REPAIR_DISABLED | ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。 | 
| AUTO_UPGRADE_DISABLED | GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。 | 
| CLUSTER_SHIELDED_NODES_DISABLED | シールドされた GKE ノードがクラスタで有効になっていません。 | 
| RELEASE_CHANNEL_DISABLED | GKE クラスタはリリース チャンネルに登録されていません。 | 
| BIGQUERY_TABLE_CMEK_DISABLED | BigQuery テーブルが顧客管理の暗号鍵(CMEK)を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。 | 
| DATASET_CMEK_DISABLED | BigQuery データセットが、デフォルトの CMEK を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。 | 
| EGRESS_DENY_RULE_NOT_SET | 下り(外向き)拒否ルールがファイアウォールに設定されていない。不要なアウトバウンド トラフィックをブロックするには、下り(外向き)拒否ルールを設定する必要があります。 | 
| FIREWALL_RULE_LOGGING_DISABLED | ファイアウォール ルールのロギングが無効になっている。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります。 | 
| OPEN_CASSANDRA_PORT | ファイアウォールが、一般的なアクセスを許可するオープン CASSANDRA ポートを持つように構成されている。 | 
| OPEN_SMTP_PORT | ファイアウォールが、一般的なアクセスを許可するオープン SMTP ポートを持つように構成されている。 | 
| OPEN_REDIS_PORT | ファイアウォールが、一般的なアクセスを許可するオープン REDIS ポートを持つように構成されている。 | 
| OPEN_POSTGRESQL_PORT | ファイアウォールが、一般的なアクセスを許可するオープン POSTGRESQL ポートを持つように構成されている。 | 
| OPEN_POP3_PORT | ファイアウォールが、一般的なアクセスを許可するオープン POP3 ポートを持つように構成されている。 | 
| OPEN_ORACLEDB_PORT | ファイアウォールが、一般的なアクセスを許可するオープン NETBIOS ポートを持つように構成されている。 | 
| OPEN_NETBIOS_PORT | ファイアウォールが、一般的なアクセスを許可するオープン NETBIOS ポートを持つように構成されている。 | 
| OPEN_MYSQL_PORT | ファイアウォールが、一般的なアクセスを許可するオープン MYSQL ポートを持つように構成されている。 | 
| OPEN_MONGODB_PORT | ファイアウォールが、一般的なアクセスを許可するオープン MONGODB ポートを持つように構成されている。 | 
| OPEN_MEMCACHED_PORT | ファイアウォールが、一般的なアクセスを許可するオープン MEMCACHED ポートを持つように構成されている。 | 
| OPEN_LDAP_PORT | ファイアウォールが、一般的なアクセスを許可するオープン LDAP ポートを持つように構成されている。 | 
| OPEN_FTP_PORT | ファイアウォールが、一般的なアクセスを許可するオープン FTP ポートを持つように構成されている。 | 
| OPEN_ELASTICSEARCH_PORT | ファイアウォールが、一般的なアクセスを許可するオープン ELASTICSEARCH ポートを持つように構成されている。 | 
| OPEN_DNS_PORT | ファイアウォールが、一般的なアクセスを許可するオープン DNS ポートを持つように構成されている。 | 
| OPEN_HTTP_PORT | ファイアウォールが、一般的なアクセスを許可するオープン HTTP ポートを持つように構成されている。 | 
| OPEN_DIRECTORY_SERVICES_PORT | ファイアウォールが、一般的なアクセスを許可する DIRECTORY_SERVICES ポートを持つように構成されている。 | 
| OPEN_CISCOSECURE_WEBSM_PORT | ファイアウォールが、一般的なアクセスを許可する CISCOSECURE_WEBSM ポートを持つように構成されている。 | 
| OPEN_RDP_PORT | ファイアウォールが、一般的なアクセスを許可するオープン RDP ポートを持つように構成されている。 | 
| OPEN_TELNET_PORT | ファイアウォールが、一般的なアクセスを許可するオープン TELNET ポートを持つように構成されている。 | 
| OPEN_FIREWALL | ファイアウォールが、一般公開のアクセスを受け入れるように構成されている。 | 
| OPEN_SSH_PORT | ファイアウォールが、一般的なアクセスを許可するオープン SSH ポートを持つように構成されている。 | 
| SERVICE_ACCOUNT_ROLE_SEPARATION | ユーザーにサービス アカウント管理者とサービス アカウント ユーザーロールが割り当てられている。これは「職掌分散」の原則に違反しています。 | 
| NON_ORG_IAM_MEMBER | 組織の認証情報を使用していないユーザーがいる。現在 CIS Google Cloud Foundations 1.0 では、この検出機能は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。 | 
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | ユーザーが、特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ユーザーまたはサービス アカウント トークン作成者のロールを持っています。 | 
| ADMIN_SERVICE_ACCOUNT | サービス アカウントには管理者、オーナー、または編集者の権限があります。これらのロールは、ユーザーが作成するサービス アカウントに割り当てないでください。 | 
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | サービス アカウント キーが 90 日以上ローテーションされていない。 | 
| USER_MANAGED_SERVICE_ACCOUNT_KEY | ユーザーがサービス アカウント キーを管理しています。 | 
| PRIMITIVE_ROLES_USED | ユーザーが基本ロール(オーナー、書き込み、読み取り)を持っています。これらのロールには過剰な権限が付与されるため、使用を回避する必要があります。 | 
| KMS_ROLE_SEPARATION | 職掌分散が適用されていません。また、暗号鍵の暗号化 / 復号、暗号化、または復号のいずれかの Cloud Key Management Service(Cloud KMS)ロールが同時に割り当てられているユーザーが存在します。 | 
| OPEN_GROUP_IAM_MEMBER | 承認なしで結合できる Google グループ アカウントが、IAM 許可ポリシーのプリンシパルとして使用されます。 | 
| KMS_KEY_NOT_ROTATED | ローテーションが Cloud KMS 暗号鍵に構成されていない。鍵は 90 日以内にローテーションする必要があります。 | 
| KMS_PROJECT_HAS_OWNER | ユーザーが、暗号鍵が含まれるプロジェクトに対するオーナー権限を持っています。 | 
| TOO_MANY_KMS_USERS | 暗号鍵のユーザーが 3 人を超えています。 | 
| OBJECT_VERSIONING_DISABLED | シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていません。 | 
| LOCKED_RETENTION_POLICY_NOT_SET | ログにロックされた保持ポリシーが設定されていません。 | 
| BUCKET_LOGGING_DISABLED | ロギングが有効になっていないストレージ バケットがあります。 | 
| LOG_NOT_EXPORTED | 適切なログシンクが構成されていないリソースがある。 | 
| AUDIT_LOGGING_DISABLED | このリソースの監査ロギングが無効になっています。 | 
| MFA_NOT_ENFORCED | 2 段階認証プロセスを使用していないユーザーが存在します。 | 
| ROUTE_NOT_MONITORED | ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていない。 | 
| OWNER_NOT_MONITORED | ログ指標とアラートが、プロジェクト所有権の割り当て、または変更をモニタリングするように構成されていない。 | 
| AUDIT_CONFIG_NOT_MONITORED | ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていません。 | 
| BUCKET_IAM_NOT_MONITORED | ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていません。 | 
| CUSTOM_ROLE_NOT_MONITORED | ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていない。 | 
| FIREWALL_NOT_MONITORED | ログ指標とアラートが、Virtual Private Cloud(VPC)ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていません。 | 
| NETWORK_NOT_MONITORED | ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていない。 | 
| SQL_INSTANCE_NOT_MONITORED | ログ指標とアラートが、Cloud SQL インスタンスの構成の変更をモニタリングするように構成されていません。 | 
| DEFAULT_NETWORK | デフォルト ネットワークがプロジェクト内に存在しています。 | 
| DNS_LOGGING_DISABLED | VPC ネットワーク上の DNS ロギングが有効になっていません。 | 
| PUBSUB_CMEK_DISABLED | Pub/Sub トピックが、顧客管理の暗号鍵(CMEK)で暗号化されません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 | 
| PUBLIC_SQL_INSTANCE | Cloud SQL データベース インスタンスが、すべての IP アドレスからの接続を受け入れている。 | 
| SSL_NOT_ENFORCED | Cloud SQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていない。 | 
| AUTO_BACKUP_DISABLED | Cloud SQL データベースに、有効な自動バックアップがありません。 | 
| SQL_CMEK_DISABLED | SQL データベース インスタンスが、顧客管理の暗号鍵(CMEK)で暗号化されていません。 この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 | 
| SQL_LOG_CHECKPOINTS_DISABLED | Cloud SQL for PostgreSQL インスタンスの log_checkpoints データベース フラグがオンに設定されていません。 | 
| SQL_LOG_CONNECTIONS_DISABLED | Cloud SQL for PostgreSQL インスタンスの log_connections データベース フラグがオンに設定されていません。 | 
| SQL_LOG_DISCONNECTIONS_DISABLED | Cloud SQL for PostgreSQL インスタンスの log_disconnections データベース フラグがオンに設定されていません。 | 
| SQL_LOG_DURATION_DISABLED | Cloud SQL for PostgreSQL インスタンスの log_duration データベース フラグがオンに設定されていません。 | 
| SQL_LOG_LOCK_WAITS_DISABLED | Cloud SQL for PostgreSQL インスタンスの log_lock_waits データベース フラグがオンに設定されていません。 | 
| SQL_LOG_STATEMENT | Cloud SQL for PostgreSQL インスタンスの log_statement データベース フラグが Ddl(すべてのデータ定義ステートメント)に設定されていません。 | 
| SQL_NO_ROOT_PASSWORD | Cloud SQL データベースに、root アカウント用に構成されたパスワードがない。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 | 
| SQL_PUBLIC_IP | Cloud SQL データベースに、パブリック IP アドレスがあります。 | 
| SQL_CONTAINED_DATABASE_AUTHENTICATION | 含まれている Cloud SQL for SQL Server インスタンスのデータベース認証データベース フラグが、オフに設定されていません。 | 
| SQL_CROSS_DB_OWNERSHIP_CHAINING | Cloud SQL for SQL Server インスタンスの cross_db_ownership_chaining データベース フラグがオフに設定されていません。 | 
| SQL_LOCAL_INFILE | Cloud SQL for MySQL インスタンスの local_infile データベース フラグがオフに設定されていません。 | 
| SQL_LOG_MIN_ERROR_STATEMENT | Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグが適切に設定されていません。 | 
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグには、適切な重大度がありません。 | 
| SQL_LOG_TEMP_FILES | Cloud SQL for PostgreSQL インスタンスの log_temp_files データベース フラグが「0」に設定されていません。 | 
| SQL_REMOTE_ACCESS_ENABLED | Cloud SQL for SQL Server インスタンスのリモート アクセス データベース フラグがオフに設定されていません。 | 
| SQL_SKIP_SHOW_DATABASE_DISABLED | Cloud SQL for MySQL インスタンスの skip_show_database データベース フラグがオンに設定されていません。 | 
| SQL_TRACE_FLAG_3625 | Cloud SQL for SQL Server インスタンスの 3625(トレースフラグ)データベース フラグがオンに設定されていません。 | 
| SQL_USER_CONNECTIONS_CONFIGURED | Cloud SQL for SQL Server インスタンスのユーザー接続データベース フラグが構成されています。 | 
| SQL_USER_OPTIONS_CONFIGURED | Cloud SQL for SQL Server インスタンスのユーザー オプション データベース フラグが構成されています。 | 
| PUBLIC_BUCKET_ACL | Cloud Storage バケットが一般公開になっている。 | 
| BUCKET_POLICY_ONLY_DISABLED | 均一なバケットレベルのアクセス(以前の「バケット ポリシーのみ」)が構成されていません。 | 
| BUCKET_CMEK_DISABLED | バケットは、顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 | 
| FLOW_LOGS_DISABLED | 無効なフローログを持つ VPC サブネットワークがあります。 | 
| PRIVATE_GOOGLE_ACCESS_DISABLED | Google の公開 API にアクセスできない限定公開サブネットワークがあります。 | 
| kms_key_region_europe | 会社のポリシーにより、すべての暗号鍵はヨーロッパに保存する必要があります。 | 
| kms_non_euro_region | 会社のポリシーにより、すべての暗号鍵はヨーロッパに保存する必要があります。 | 
| LEGACY_NETWORK | 以前のネットワークがプロジェクト内に存在します。 | 
| LOAD_BALANCER_LOGGING_DISABLED | ロギングがロードバランサに対して無効になっています。 | 
サポートされている GCP_SECURITYCENTER_POSTURE_VIOLATION の検出結果
UDM マッピングは、フィールド マッピング リファレンス: POSTURE VIOLATION テーブルで確認できます。
| 検出結果の名前 | 説明 | 
|---|---|
| SECURITY_POSTURE_DRIFT | セキュリティ ポスチャー内で定義されたポリシーから逸脱する。これは、セキュリティ ポスチャー サービスによって検出されます。 | 
| SECURITY_POSTURE_POLICY_DRIFT | セキュリティ ポスチャー サービスが、ポスチャーの更新外で発生した組織のポリシーの変更を検出しました。 | 
| SECURITY_POSTURE_POLICY_DELETE | セキュリティ ポスチャー サービスが、組織のポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。 | 
| SECURITY_POSTURE_DETECTOR_DRIFT | セキュリティ ポスチャー サービスが、ポスチャーの更新外で発生した Security Health Analytics 検出機能への変更を検出しました。 | 
| SECURITY_POSTURE_DETECTOR_DELETE | セキュリティ ポスチャー サービスが、Security Health Analytics のカスタム モジュールが削除されたことを検出しました。この削除は、対策の更新外で発生しました。 | 
サポートされている Security Center のログ形式
Security Center パーサーは JSON 形式のログをサポートしています。
サポートされている Security Center のログサンプル
- GCP_SECURITYCENTER_THREAT のサンプルログ - JSON
 - { "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME", "state": "ACTIVE", "category": "Credential Access: External Member Added To Privileged Group", "sourceProperties": { "sourceId": { "organizationNumber": "ORGANIZATION_ID", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "external_member_added_to_privileged_group" }, "detectionPriority": "HIGH", "affectedResources": [ { "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID" } ], "evidence": [ { "sourceLogId": { "resourceContainer": "organizations/ORGANIZATION_ID", "timestamp": { "seconds": "1633622881", "nanos": 6.73869E8 }, "insertId": "INSERT_ID" } } ], "properties": { "externalMemberAddedToPrivilegedGroup": { "principalEmail": "abc@gmail.com", "groupName": "group:GROUP_NAME@ORGANIZATION_NAME", "externalMember": "user:abc@gamil.com", "sensitiveRoles": [ { "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "roleName": [ "ROLES" ] } ] } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "dummy display name", "url": " dummy.url.com" }, "cloudLoggingQueryUri": [ { "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d" } ] } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-10-01T16:08:03.888Z", "createTime": "2022-10-01T16:08:04.516Z", "severity": "HIGH", "workflowState": "NEW", "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "findingClass": "THREAT" }, "resource": { "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME" } }
- GCP_SECURITYCENTER_MISCONFIGURATION のサンプルログ - JSON
 - { "findings": { "access": {}, "assetDisplayName": "eventApps", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab", "category": "API_KEY_APIS_UNRESTRICTED", "compliances": [ { "standard": "cis", "version": "1.0", "ids": [ "1.12" ] }, { "standard": "cis", "version": "1.1", "ids": [ "1.14" ] }, { "standard": "cis", "version": "1.2", "ids": [ "1.14" ] } ], "contacts": { "security": { "contacts": [ { "email": "test@domainname.com" } ] }, "technical": { "contacts": [ { "email": "test@domainname.com" } ] } }, "createTime": "2022-12-01T15:16:21.119Z", "database": {}, "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "eventTime": "2022-12-01T14:35:42.317Z", "exfiltration": {}, "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705", "findingClass": "MISCONFIGURATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Security Health Analytics", "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "severity": "MEDIUM", "sourceDisplayName": "Security Health Analytics", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "display_name": "dummy-display-name", "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "domainname.com", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\" "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.", "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions", "ScannerName": "API_KEY_SCANNER", "ResourcePath": [ "projects/eventapps-27705/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "cis": [ { "version": "1.0", "ids": [ "1.12" ] }, { "version": "1.1", "ids": [ "1.14" ] }, { "version": "1.2", "ids": [ "1.14" ] } ] }, "ReactivationCount": 0 } }
- GCP_SECURITYCENTER_OBSERVATION のサンプルログ - JSON
 - { "findings": { "access": { "principalEmail": "dummy.user@dummy.com", "callerIp": "198.51.100.1", "callerIpGeo": { "regionCode": "SG" }, "serviceName": "compute.googleapis.com", "methodName": "v1.compute.projects.setCommonInstanceMetadata", "principalSubject": "user:dummy.user@dummy.com" }, "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID", "category": "Persistence: Project SSH Key Added", "contacts": { "security": { "contacts": [ { "email": "dummy.user@dummy.com" } ] }, "technical": { "contacts": [ { "email": "dummy.user@dummy.xyz" } ] } }, "createTime": "2022-11-10T18:33:07.631Z", "database": {}, "eventTime": "2022-11-10T18:33:07.271Z", "exfiltration": {}, "findingClass": "OBSERVATION", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "primaryTactic": "PERSISTENCE", "primaryTechniques": [ "ACCOUNT_MANIPULATION", "SSH_AUTHORIZED_KEYS" ] }, "mute": "UNDEFINED", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID", "parentDisplayName": "Sensitive Actions Service", "resourceName": "//compute.googleapis.com/projects/spring-banner-350111", "severity": "LOW", "sourceDisplayName": "Sensitive Actions Service", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/spring-banner-350111", "display_name": "spring-banner-350111", "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "project_display_name": "dummy-project", "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908", "parent_display_name": "spring-banner-350111", "type": "google.compute.Project", "folders": [] }, "sourceProperties": { "sourceId": { "projectNumber": "856289305908", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "ruleName": "sensitive_action", "subRuleName": "add_ssh_key" }, "detectionPriority": "LOW", "affectedResources": [ { "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908" } ], "evidence": [ { "sourceLogId": { "projectId": "spring-banner-350111", "resourceContainer": "projects/spring-banner-350111", "timestamp": { "seconds": "1668105185", "nanos": 642158000 }, "insertId": "v2stobd9ihi" } } ], "properties": {}, "findingId": "findingId", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "dummy.domain.com" } } } }
- GCP_SECURITYCENTER_VULNERABILITY のサンプルログ - JSON
 - { "findings": { "access": {}, "assetDisplayName": "Sample-00000", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "CLEAR_TEXT_PASSWORD", "compliances": [ { "standard": "owasp", "version": "2017", "ids": [ "A3" ] }, { "standard": "owasp", "version": "2021", "ids": [ "A02" ] } ], "contacts": { "security": { "contacts": [ { "email": "dummy@sample.com" } ] }, "technical": { "contacts": [ { "email": "dummy@sample.com" } ] } }, "createTime": "2022-11-24T09:28:52.589Z", "database": {}, "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "eventTime": "2022-11-24T04:56:26Z", "exfiltration": {}, "externalUri": "https://sample.dummy.com/", "findingClass": "VULNERABILITY", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Web Security Scanner", "resourceName": "//dummy.sample.com", "severity": "MEDIUM", "sourceDisplayName": "Web Security Scanner", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com", "display_name": "dummy_name", "project_name": "//cloudresourcemanager.googleapis.com", "project_display_name": "dummy_name", "parent_name": "//dummy.sample.com", "parent_display_name": "Sample-Dev-Project", "type": "sample.cloud.dummy.Project", "folders": [ { "resourceFolderDisplayName": "Sample-Dev-Project", "resourceFolder": "//cloudresourcemanager.googleapis.com/" } ] }, "sourceProperties": { "severity": "MEDIUM", "fuzzedUrl": "dummy.domain.com", "form": { "actionUri": "dummy.domain.com", "fields": [ "os_username", "os_password", "", "os_cookie", "os_destination", "user_role", "atl_token", "login" ] }, "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID", "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.", "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=", "httpMethod": "GET", "finalUrl": "http://0.0.0.0:0000/sample.dummy=", "ResourcePath": [ "projects/sample-dummy/", "folders/FOLDER_ID/", "organizations/ORGANIZATION_ID/" ], "compliance_standards": { "owasp": [ { "version": "2017", "ids": [ "A3" ] }, { "version": "2021", "ids": [ "A02" ] } ] } } }
- GCP_SECURITYCENTER_ERROR のサンプルログ - JSON
 - { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423", "state": "ACTIVE", "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS", "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2022-11-23T16:36:03.458107Z", "createTime": "2022-11-01T07:36:37.078Z", "severity": "CRITICAL", "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "SCC_ERROR", "access": { "callerIpGeo": {} }, "contacts": { "security": { "contacts": [ { "email": "test.user@domain.com" } ] }, "technical": { "contacts": [ { "email": "test.user@domain.com" } ] } }, "parentDisplayName": "Security Command Center", "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.", "iamBindings": [ { "member": "test.user@domain.com" } ], "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n - If you don\\u0027t see the service account listed, click **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n 1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update" }
- GCP_SECURITYCENTER_UNSPECIFIED のサンプルログ - JSON
 - { "findings": { "access": {}, "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "category": "OPEN_FIREWALL", "compliances": [ { "standard": "pci", "ids": [ "1.2.1" ] } ], "contacts": { "security": { "contacts": [ { "email": "test.user@dummy.xyz" } ] }, "technical": { "contacts": [ { "email": "test.user@dummy.xyz" } ] } }, "createTime": "2021-07-20T08:33:25.343Z", "database": {}, "eventTime": "2022-07-19T07:44:38.374Z", "exfiltration": {}, "externalUri": "dummy.domain.com", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "MUTED", "muteInitiator": "Muted by test.user@dummy.xyz", "muteUpdateTime": "2022-03-08T05:41:06.507Z", "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/595779152576/sources/SOURCE_ID" "parentDisplayName": "Security Health Analytics", "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "severity": "HIGH", "sourceDisplayName": "Sanity_grc", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704", "display_name": "", "project_name": "", "project_display_name": "", "parent_name": "", "parent_display_name": "", "type": "", "folders": [] }, "sourceProperties": { "ScannerName": "FIREWALL_SCANNER", "ResourcePath": [ "projects/calcium-vial-280707/", "organizations/ORGANIZATION_ID/" ], "ReactivationCount": 0, "AllowedIpRange": "All", "ExternallyAccessibleProtocolsAndPorts": [ { "IPProtocol": "tcp", "ports": [ "80" ] } ] } }
フィールド マッピング リファレンス
このセクションでは、Google Security Operations パーサーが Security Command Center ログフィールドをデータセットの Google Security Operations Unified Data Model(UDM)フィールドにマッピングする方法について説明します。
フィールド マッピング リファレンス: デバイスログ フィールドから UDM フィールド
次の表に、Security Command Center の Event Threat Detection の検出結果のログフィールドと対応する UDM マッピングを示します。
| RawLog フィールド | UDM マッピング | 論理 | 
|---|---|---|
| compliances.ids | about.labels [compliance_ids](非推奨) | |
| compliances.ids | additional.fields [compliance_ids] | |
| compliances.version | about.labels [compliance_version](非推奨) | |
| compliances.version | additional.fields [compliance_version] | |
| compliances.standard | about.labels [compliances_standard](非推奨) | |
| compliances.standard | additional.fields [compliances_standard] | |
| connections.destinationIp | about.labels [connections_destination_ip](非推奨) | connections.destinationIpログフィールドの値がsourceProperties.properties.ipConnection.destIpと等しくない場合、connections.destinationIpログフィールドはabout.labels.valueUDM フィールドにマッピングされます。 | 
| connections.destinationIp | additional.fields [connections_destination_ip] | connections.destinationIpログフィールドの値がsourceProperties.properties.ipConnection.destIpと等しくない場合、connections.destinationIpログフィールドはadditional.fields.value.string_valueUDM フィールドにマッピングされます。 | 
| connections.destinationPort | about.labels [connections_destination_port](非推奨) | |
| connections.destinationPort | additional.fields [connections_destination_port] | |
| connections.protocol | about.labels [connections_protocol](非推奨) | |
| connections.protocol | additional.fields [connections_protocol] | |
| connections.sourceIp | about.labels [connections_source_ip](非推奨) | |
| connections.sourceIp | additional.fields [connections_source_ip] | |
| connections.sourcePort | about.labels [connections_source_port](非推奨) | |
| connections.sourcePort | additional.fields [connections_source_port] | |
| kubernetes.pods.ns | target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] | |
| kubernetes.pods.name | target.resource_ancestors.name | |
| kubernetes.nodes.name | target.resource_ancestors.name | |
| kubernetes.nodePools.name | target.resource_ancestors.name | |
|  | target.resource_ancestors.resource_type | messageログフィールドの値が正規表現パターンkubernetesと一致する場合、target.resource_ancestors.resource_typeUDM フィールドは CLUSTER に設定されます。それ以外の場合、 messageログフィールドの値が正規表現kubernetes.*?podsと一致する場合、target.resource_ancestors.resource_typeUDM フィールドは POD に設定されます。 | 
|  | about.resource.attribute.cloud.environment | about.resource.attribute.cloud.environmentUDM フィールドはGOOGLE_CLOUD_PLATFORMに設定されます。 | 
| externalSystems.assignees | about.resource.attribute.labels.key/value [externalSystems_assignees] | |
| externalSystems.status | about.resource.attribute.labels.key/value [externalSystems_status] | |
| kubernetes.nodePools.nodes.name | target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] | |
| kubernetes.pods.containers.uri | target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri] | |
| kubernetes.pods.containers.createTime | target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime] | |
| kubernetes.roles.kind | target.resource.attribute.labels.key/value [kubernetes_roles_kind] | |
| kubernetes.roles.name | target.resource.attribute.labels.key/value [kubernetes_roles_name] | |
| kubernetes.roles.ns | target.resource.attribute.labels.key/value [kubernetes_roles_ns] | |
| kubernetes.pods.containers.labels.name/value | target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] | |
| kubernetes.pods.labels.name/value | target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] | |
| externalSystems.externalSystemUpdateTime | about.resource.attribute.last_update_time | |
| externalSystems.name | about.resource.name | |
| externalSystems.externalUid | about.resource.product_object_id | |
| indicator.uris | about.url | |
|  | extension.auth.type | categoryログフィールドの値がInitial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Two Step Verification Disabled、またはPersistence: SSO Enablement Toggleと等しい場合、extension.auth.typeUDM フィールドはSSOに設定されます。 | 
|  | extension.mechanism | categoryログフィールドの値がBrute Force: SSHと等しい場合、extension.mechanismUDM フィールドはUSERNAME_PASSWORDに設定されます。 | 
|  | extensions.auth.type | principal.user.user_authentication_statusログフィールドの値がACTIVEと等しい場合、extensions.auth.typeUDM フィールドはSSOに設定されます。 | 
| vulnerability.cve.references.uri | extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri](非推奨) | |
| vulnerability.cve.references.uri | additional.fields [vulnerability.cve.references.uri] | |
| vulnerability.cve.cvssv3.attackComplexity | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity](非推奨) | |
| vulnerability.cve.cvssv3.attackComplexity | additional.fields [vulnerability_cve_cvssv3_attackComplexity] | |
| vulnerability.cve.cvssv3.availabilityImpact | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact](非推奨) | |
| vulnerability.cve.cvssv3.availabilityImpact | additional.fields [vulnerability_cve_cvssv3_availabilityImpact] | |
| vulnerability.cve.cvssv3.confidentialityImpact | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact](非推奨) | |
| vulnerability.cve.cvssv3.confidentialityImpact | additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] | |
| vulnerability.cve.cvssv3.integrityImpact | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact](非推奨) | |
| vulnerability.cve.cvssv3.integrityImpact | additional.fields [vulnerability_cve_cvssv3_integrityImpact] | |
| vulnerability.cve.cvssv3.privilegesRequired | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired](非推奨) | |
| vulnerability.cve.cvssv3.privilegesRequired | additional.fields [vulnerability_cve_cvssv3_privilegesRequired] | |
| vulnerability.cve.cvssv3.scope | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope](非推奨) | |
| vulnerability.cve.cvssv3.scope | additional.fields [vulnerability_cve_cvssv3_scope] | |
| vulnerability.cve.cvssv3.userInteraction | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction](非推奨) | |
| vulnerability.cve.cvssv3.userInteraction | additional.fields [vulnerability_cve_cvssv3_userInteraction] | |
| vulnerability.cve.references.source | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source](非推奨) | |
| vulnerability.cve.references.source | additional.fields [vulnerability_cve_references_source] | |
| vulnerability.cve.upstreamFixAvailable | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable](非推奨) | |
| vulnerability.cve.upstreamFixAvailable | additional.fields [vulnerability_cve_upstreamFixAvailable] | |
| vulnerability.cve.id | extensions.vulns.vulnerabilities.cve_id | |
| vulnerability.cve.cvssv3.baseScore | extensions.vulns.vulnerabilities.cvss_base_score | |
| vulnerability.cve.cvssv3.attackVector | extensions.vulns.vulnerabilities.cvss_vector | |
| sourceProperties.properties.loadBalancerName | intermediary.resource.name | categoryログフィールドの値がInitial Access: Log4j Compromise Attemptと等しい場合、sourceProperties.properties.loadBalancerNameログフィールドはintermediary.resource.nameUDM フィールドにマッピングされます。 | 
|  | intermediary.resource.resource_type | categoryログフィールドの値がInitial Access: Log4j Compromise Attemptと等しい場合、intermediary.resource.resource_typeUDM フィールドはBACKEND_SERVICEに設定されます。 | 
| parentDisplayName | metadata.description | |
| eventTime | metadata.event_timestamp | |
| category | metadata.product_event_type | |
| sourceProperties.evidence.sourceLogId.insertId | metadata.product_log_id | canonicalNameログフィールドの値が空でない場合、finding_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。finding_idログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertIdログフィールドはmetadata.product_log_idUDM フィールドにマッピングされます。canonicalNameログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertIdログフィールドはmetadata.product_log_idUDM フィールドにマッピングされます。 | 
|  | metadata.product_name | metadata.product_nameUDM フィールドはSecurity Command Centerに設定されます。 | 
| sourceProperties.contextUris.cloudLoggingQueryUri.url | security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] | |
|  | metadata.vendor_name | metadata.vendor_nameUDM フィールドはGoogleに設定されます。 | 
|  | network.application_protocol | categoryログフィールドの値がMalware: Bad DomainまたはMalware: Cryptomining Bad Domainと等しい場合、network.application_protocolUDM フィールドはDNSに設定されます。 | 
| sourceProperties.properties.indicatorContext.asn | network.asn | categoryログフィールドの値がMalware: Cryptomining Bad IPと等しい場合、sourceProperties.properties.indicatorContext.asnログフィールドはnetwork.asnUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.indicatorContext.carrierName | network.carrier_name | categoryログフィールドの値がMalware: Cryptomining Bad IPと等しい場合、sourceProperties.properties.indicatorContext.carrierNameログフィールドはnetwork.carrier_nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.indicatorContext.reverseDnsDomain | network.dns_domain | categoryログフィールドの値がMalware: Cryptomining Bad IPまたはMalware: Bad IPと等しい場合、sourceProperties.properties.indicatorContext.reverseDnsDomainログフィールドはnetwork.dns_domainUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dnsContexts.responseData.responseClass | network.dns.answers.class | categoryログフィールドの値がMalware: Bad Domainと等しい場合、sourceProperties.properties.dnsContexts.responseData.responseClassログフィールドはnetwork.dns.answers.classUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dnsContexts.responseData.responseValue | network.dns.answers.data | categoryログフィールドの値が正規表現Malware: Bad Domainと一致する場合、sourceProperties.properties.dnsContexts.responseData.responseValueログフィールドはnetwork.dns.answers.dataUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dnsContexts.responseData.domainName | network.dns.answers.name | categoryログフィールドの値がMalware: Bad Domainと等しい場合、sourceProperties.properties.dnsContexts.responseData.domainNameログフィールドはnetwork.dns.answers.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dnsContexts.responseData.ttl | network.dns.answers.ttl | categoryログフィールドの値がMalware: Bad Domainと等しい場合、sourceProperties.properties.dnsContexts.responseData.ttlログフィールドはnetwork.dns.answers.ttlUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dnsContexts.responseData.responseType | network.dns.answers.type | categoryログフィールドの値がMalware: Bad Domainと等しい場合、sourceProperties.properties.dnsContexts.responseData.responseTypeログフィールドはnetwork.dns.answers.typeUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dnsContexts.authAnswer | network.dns.authoritative | categoryログフィールドの値がMalware: Bad DomainまたはMalware: Cryptomining Bad Domainと等しい場合、sourceProperties.properties.dnsContexts.authAnswerログフィールドはnetwork.dns.authoritativeUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dnsContexts.queryName | network.dns.questions.name | categoryログフィールドの値がMalware: Bad DomainまたはMalware: Cryptomining Bad Domainと等しい場合、sourceProperties.properties.dnsContexts.queryNameログフィールドはnetwork.dns.questions.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dnsContexts.queryType | network.dns.questions.type | categoryログフィールドの値がMalware: Bad DomainまたはMalware: Cryptomining Bad Domainと等しい場合、sourceProperties.properties.dnsContexts.queryTypeログフィールドはnetwork.dns.questions.typeUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dnsContexts.responseCode | network.dns.response_code | categoryログフィールドの値がMalware: Bad DomainまたはMalware: Cryptomining Bad Domainと等しい場合、sourceProperties.properties.dnsContexts.responseCodeログフィールドはnetwork.dns.response_codeUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.anomalousSoftware.callerUserAgent | network.http.user_agent | categoryログフィールドの値がPersistence: New User Agentと等しい場合、sourceProperties.properties.anomalousSoftware.callerUserAgentログフィールドはnetwork.http.user_agentUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.callerUserAgent | network.http.user_agent | categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.callerUserAgentログフィールドはnetwork.http.user_agentUDM フィールドにマッピングされます。 | 
| access.userAgentFamily | network.http.user_agent | |
| finding.access.userAgent | network.http.user_agent | |
| sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent | network.http.user_agent | categoryログフィールドの値がDiscovery: Service Account Self-Investigationと等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgentログフィールドはnetwork.http.user_agentUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.ipConnection.protocol | network.ip_protocol | categoryログフィールドの値がMalware: Bad IP、Malware: Cryptomining Bad IPまたはMalware: Outgoing DoSと等しい場合、network.ip_protocolUDM フィールドは次のいずれかの値に設定されます。
 | 
| sourceProperties.properties.indicatorContext.organizationName | network.organization_name | categoryログフィールドの値がMalware: Cryptomining Bad IPまたはMalware: Bad IPと等しい場合、sourceProperties.properties.indicatorContext.organizationNameログフィールドはnetwork.organization_nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.anomalousSoftware.behaviorPeriod | network.session_duration | categoryログフィールドの値がPersistence: New User Agentと等しい場合、sourceProperties.properties.anomalousSoftware.behaviorPeriodログフィールドはnetwork.session_durationUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sourceIp | principal.ip | categoryログフィールドの値が正規表現Active Scan: Log4j Vulnerable to RCEと一致する場合、sourceProperties.properties.sourceIpログフィールドはprincipal.ipUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.attempts.sourceIp | principal.ip | categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.sourceIpログフィールドはprincipal.ipUDM フィールドにマッピングされます。 | 
| access.callerIp | principal.ip | categoryログフィールドの値がDefense Evasion: Modify VPC Service Control、access.callerIp、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、Persistence: New GeographyまたはPersistence: IAM Anomalous Grantと等しい場合、access.callerIpログフィールドはprincipal.ipUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp | principal.ip | categoryログフィールドの値がDiscovery: Service Account Self-Investigationと等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIpログフィールドはprincipal.ipUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.changeFromBadIp.ip | principal.ip | categoryログフィールドの値がEvasion: Access from Anonymizing Proxyと等しい場合、sourceProperties.properties.changeFromBadIp.ipログフィールドはprincipal.ipUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dnsContexts.sourceIp | principal.ip | categoryログフィールドの値がMalware: Bad DomainまたはMalware: Cryptomining Bad Domainと等しい場合、sourceProperties.properties.dnsContexts.sourceIpログフィールドはprincipal.ipUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.ipConnection.srcIp | principal.ip | categoryログフィールドの値がMalware: Bad IP、Malware: Cryptomining Bad IPまたはMalware: Outgoing DoSと等しい場合、sourceProperties.properties.ipConnection.srcIpログフィールドはprincipal.ipUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress | principal.ip | categoryログフィールドの値がMalware: Cryptomining Bad IPまたはMalware: Bad IPと等しい場合に、sourceProperties.properties.ipConnection.srcIpログフィールドの値がsourceProperties.properties.indicatorContext.ipAddressと等しくない場合、sourceProperties.properties.indicatorContext.ipAddressログフィールドはprincipal.ipUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.anomalousLocation.callerIp | principal.ip | categoryログフィールドの値がPersistence: New Geographyと等しい場合、sourceProperties.properties.anomalousLocation.callerIpログフィールドはprincipal.ipUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.scannerDomain | principal.labels [sourceProperties_properties_scannerDomain](非推奨) | categoryログフィールドの値が正規表現Active Scan: Log4j Vulnerable to RCEと一致する場合、sourceProperties.properties.scannerDomainログフィールドはprincipal.labels.key/valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.scannerDomain | additional.fields [sourceProperties_properties_scannerDomain] | categoryログフィールドの値が正規表現Active Scan: Log4j Vulnerable to RCEと一致する場合、sourceProperties.properties.scannerDomainログフィールドはadditional.fields.value.string_valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.jobState | principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState](非推奨) | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.jobStateログフィールドはprincipal.labels.key/valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.jobState | additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.jobStateログフィールドはadditional.fields.value.string_valueUDM フィールドにマッピングされます。 | 
| access.callerIpGeo.regionCode | principal.location.country_or_region | |
| sourceProperties.properties.indicatorContext.countryCode | principal.location.country_or_region | categoryログフィールドの値がMalware: Cryptomining Bad IPまたはMalware: Bad IPと等しい場合、sourceProperties.properties.indicatorContext.countryCodeログフィールドはprincipal.location.country_or_regionUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.job.location | principal.location.country_or_region | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.job.locationログフィールドはprincipal.location.country_or_regionUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.extractionAttempt.job.location | principal.location.country_or_region | categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.job.locationログフィールドはprincipal.location.country_or_regionUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier | principal.location.country_or_region | categoryログフィールドの値がPersistence: New GeographyまたはPersistence: IAM Anomalous Grantと等しい場合、sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifierログフィールドはprincipal.location.country_or_regionUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.anomalousLocation.anomalousLocation | principal.location.name | categoryログフィールドの値がPersistence: IAM Anomalous Grantと等しい場合、sourceProperties.properties.anomalousLocation.anomalousLocationログフィールドはprincipal.location.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.ipConnection.srcPort | principal.port | categoryログフィールドの値がMalware: Bad IPまたはMalware: Outgoing DoSと等しい場合、sourceProperties.properties.ipConnection.srcPortログフィールドはprincipal.portUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.extractionAttempt.jobLink | principal.process.file.full_path | categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.jobLinkログフィールドはprincipal.process.file.full_pathUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.jobLink | principal.process.file.full_path | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.jobLinkログフィールドはprincipal.process.file.full_pathUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.job.jobId | principal.process.pid | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.job.jobIdログフィールドはprincipal.process.pidUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.extractionAttempt.job.jobId | principal.process.pid | categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.job.jobIdログフィールドはprincipal.process.pidUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.srcVpc.subnetworkName | principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] | categoryログフィールドの値がMalware: Cryptomining Bad IPまたはMalware: Bad IPと等しい場合、sourceProperties.properties.srcVpc.subnetworkNameログフィールドはprincipal.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] | principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] | categoryログフィールドの値がMalware: Cryptomining Bad IPまたはMalware: Bad IPと等しい場合、sourceProperties.properties.srcVpc.projectIdログフィールドはprincipal.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.srcVpc.vpcName | principal.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IPまたはMalware: Bad IPと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはprincipal.resource_ancestors.nameUDM フィールドにマッピングされ、principal.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。 | 
| sourceProperties.sourceId.customerOrganizationNumber | principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] | messageログフィールドの値が正規表現sourceProperties.sourceId.*?customerOrganizationNumberと一致する場合、sourceProperties.sourceId.customerOrganizationNumberログフィールドはprincipal.resource.attribute.labels.key/valueUDM フィールドにマッピングされます。 | 
| resource.projectName | principal.resource.name | |
| sourceProperties.properties.projectId | principal.resource.name | sourceProperties.properties.projectIdログフィールドの値が空でない場合、sourceProperties.properties.projectIdログフィールドはprincipal.resource.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId | principal.resource.name | categoryログフィールドの値がDiscovery: Service Account Self-Investigationと等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectIdログフィールドはprincipal.resource.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sourceInstanceDetails | principal.resource.name | categoryログフィールドの値がMalware: Outgoing DoSと等しい場合、sourceProperties.properties.sourceInstanceDetailsログフィールドはprincipal.resource.nameUDM フィールドにマッピングされます。 | 
|  | principal.user.account_type | access.principalSubjectログフィールドの値が正規表現serviceAccountと一致する場合、principal.user.account_typeUDM フィールドはSERVICE_ACCOUNT_TYPEに設定されます。access.principalSubjectログフィールドの値が正規表現userと一致する場合、principal.user.account_typeUDM フィールドはCLOUD_ACCOUNT_TYPEに設定されます。 | 
| access.principalSubject | principal.user.attribute.labels.key/value [access_principalSubject] | |
| access.serviceAccountDelegationInfo.principalSubject | principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] | |
| access.serviceAccountKeyName | principal.user.attribute.labels.key/value [access_serviceAccountKeyName] | |
| sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent | principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] | categoryログフィールドの値がDiscovery: Service Account Self-Investigationと等しい場合、principal.user.attribute.labels.keyUDM フィールドはrawUserAgentに設定され、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgentログフィールドはprincipal.user.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail | principal.user.email_addresses | categoryログフィールドの値がDiscovery: Service Account Self-Investigationと等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.changeFromBadIp.principalEmail | principal.user.email_addresses | categoryログフィールドの値がEvasion: Access from Anonymizing Proxyと等しい場合、sourceProperties.properties.changeFromBadIp.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.userEmail | principal.user.email_addresses | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.userEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.principalEmail | principal.user.email_addresses | categoryログフィールドの値がExfiltration: BigQuery Data to Google Drive、Initial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Impair Defenses: Strong Authentication Disabled、Impair Defenses: Two Step Verification Disabled、Persistence: GCE Admin Added Startup ScriptまたはPersistence: GCE Admin Added SSH Keyと等しい場合、sourceProperties.properties.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。categoryログフィールドの値Initial Access: Suspicious Login Blockedと等しい場合、sourceProperties.properties.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| access.principalEmail | principal.user.email_addresses | categoryログフィールドの値がDefense Evasion: Modify VPC Service Control、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、またはPersistence: New Geographyと等しい場合、access.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sensitiveRoleGrant.principalEmail | principal.user.email_addresses | categoryログフィールドの値がPersistence: IAM Anomalous Grantと等しい場合、sourceProperties.properties.sensitiveRoleGrant.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.anomalousSoftware.principalEmail | principal.user.email_addresses | categoryログフィールドの値がPersistence: New User Agentと等しい場合、sourceProperties.properties.anomalousSoftware.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.exportToGcs.principalEmail | principal.user.email_addresses | |
| sourceProperties.properties.restoreToExternalInstance.principalEmail | principal.user.email_addresses | categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| access.serviceAccountDelegationInfo.principalEmail | principal.user.email_addresses | |
| sourceProperties.properties.customRoleSensitivePermissions.principalEmail | principal.user.email_addresses | categoryログフィールドの値がPersistence: IAM Anomalous Grantと等しい場合、sourceProperties.properties.customRoleSensitivePermissions.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.anomalousLocation.principalEmail | principal.user.email_addresses | categoryログフィールドの値がPersistence: New Geographyと等しい場合、sourceProperties.properties.anomalousLocation.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail | principal.user.email_addresses | categoryログフィールドの値がCredential Access: External Member Added To Privileged Groupと等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail | principal.user.email_addresses | categoryログフィールドの値がCredential Access: Privileged Group Opened To Publicと等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail | principal.user.email_addresses | categoryログフィールドの値がCredential Access: Sensitive Role Granted To Hybrid Groupと等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.vpcViolation.userEmail | principal.user.email_addresses | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.vpcViolation.userEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.ssoState | principal.user.user_authentication_status | categoryログフィールドの値がInitial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Two Step Verification DisabledまたはPersistence: SSO Enablement Toggleと等しい場合、sourceProperties.properties.ssoStateログフィールドはprincipal.user.user_authentication_statusUDM フィールドにマッピングされます。 | 
| database.userName | principal.user.userid | categoryログフィールドの値がExfiltration: CloudSQL Over-Privileged Grantと等しい場合、database.userNameログフィールドはprincipal.user.useridUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.threatIntelligenceSource | security_result.about.application | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.threatIntelligenceSourceログフィールドはsecurity_result.about.applicationUDM フィールドにマッピングされます。 | 
| workflowState | security_result.about.investigation.status | |
| sourceProperties.properties.attempts.sourceIp | security_result.about.ip | categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.sourceIpログフィールドはsecurity_result.about.ipUDM フィールドにマッピングされます。 | 
| sourceProperties.findingId | metadata.product_log_id | |
| kubernetes.accessReviews.group | target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] | |
| kubernetes.accessReviews.name | target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] | |
| kubernetes.accessReviews.ns | target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] | |
| kubernetes.accessReviews.resource | target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] | |
| kubernetes.accessReviews.subresource | target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] | |
| kubernetes.accessReviews.verb | target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] | |
| kubernetes.accessReviews.version | target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] | |
| kubernetes.bindings.name | target.resource.attribute.labels.key/value [kubernetes_bindings_name] | |
| kubernetes.bindings.ns | target.resource.attribute.labels.key/value [kubernetes_bindings_ns] | |
| kubernetes.bindings.role.kind | target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] | |
| kubernetes.bindings.role.ns | target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] | |
| kubernetes.bindings.subjects.kind | target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] | |
| kubernetes.bindings.subjects.name | target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] | |
| kubernetes.bindings.subjects.ns | target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] | |
| kubernetes.bindings.role.name | target.resource.attribute.roles.name | |
| sourceProperties.properties.delta.restrictedResources.resourceName | security_result.about.resource.name | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceNameログフィールドはsecurity_result.about.resource.nameUDM フィールドにマッピングされます。categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.delta.restrictedResources.resourceNameログフィールドはsecurity_result.about.resource.nameUDM フィールドにマッピングされ、security_result.about.resource_typeUDM フィールドはCLOUD_PROJECTに設定されます。 | 
| sourceProperties.properties.delta.allowedServices.serviceName | security_result.about.resource.name | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.delta.allowedServices.serviceNameログフィールドはsecurity_result.about.resource.nameUDM フィールドにマッピングされ、security_result.about.resource_typeUDM フィールドはBACKEND_SERVICEに設定されます。 | 
| sourceProperties.properties.delta.restrictedServices.serviceName | security_result.about.resource.name | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.delta.restrictedServices.serviceNameログフィールドはsecurity_result.about.resource.nameUDM フィールドにマッピングされ、security_result.about.resource_typeUDM フィールドはBACKEND_SERVICEに設定されます。 | 
| sourceProperties.properties.delta.accessLevels.policyName | security_result.about.resource.name | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.delta.accessLevels.policyNameログフィールドはsecurity_result.about.resource.nameUDM フィールドにマッピングされ、security_result.about.resource_typeUDM フィールドはACCESS_POLICYに設定されます。 | 
|  | security_result.about.user.attribute.roles.name | messageログフィールドの値が正規表現contacts.?securityと一致する場合、security_result.about.user.attribute.roles.nameUDM フィールドはsecurityに設定されます。messageログフィールドの値が正規表現contacts.?technicalと一致する場合、security_result.about.user.attribute.roles.nameUDM フィールドはTechnicalに設定されます。 | 
| contacts.security.contacts.email | security_result.about.user.email_addresses | |
| contacts.technical.contacts.email | security_result.about.user.email_addresses | |
|  | security_result.action | categoryログフィールドの値がInitial Access: Suspicious Login Blockedと等しい場合、security_result.actionUDM フィールドはBLOCKに設定されます。categoryログフィールドの値がBrute Force: SSHと等しい場合に、sourceProperties.properties.attempts.authResultログフィールドの値がSUCCESSと等しい場合、security_result.actionUDM フィールドはBLOCKに設定されます。それ以外の場合、 security_result.actionUDM フィールドはBLOCKに設定されます。 | 
| sourceProperties.properties.delta.restrictedResources.action | security_result.action_details | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.delta.restrictedResources.actionログフィールドはsecurity_result.action_detailsUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.delta.restrictedServices.action | security_result.action_details | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.delta.restrictedServices.actionログフィールドはsecurity_result.action_detailsUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.delta.allowedServices.action | security_result.action_details | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.delta.allowedServices.actionログフィールドはsecurity_result.action_detailsUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.delta.accessLevels.action | security_result.action_details | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.delta.accessLevels.actionログフィールドはsecurity_result.action_detailsUDM フィールドにマッピングされます。 | 
|  | security_result.alert_state | stateログフィールドの値がACTIVEと等しい場合、security_result.alert_stateUDM フィールドはALERTINGに設定されます。それ以外の場合、 security_result.alert_stateUDM フィールドはNOT_ALERTINGに設定されます。 | 
| findingClass | security_result.catgory_details | findingClass - categoryログフィールドはsecurity_result.catgory_detailsUDM フィールドにマッピングされます。 | 
| category | security_result.catgory_details | findingClass - categoryログフィールドはsecurity_result.catgory_detailsUDM フィールドにマッピングされます。 | 
| description | security_result.description | |
| indicator.signatures.memoryHashSignature.binaryFamily | security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] | |
| indicator.signatures.memoryHashSignature.detections.binary | security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] | |
| indicator.signatures.memoryHashSignature.detections.percentPagesMatched | security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] | |
| indicator.signatures.yaraRuleSignature.yararule | security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] | |
| mitreAttack.additionalTactics | security_result.detection_fields.key/value [mitreAttack_additionalTactics] | |
| mitreAttack.additionalTechniques | security_result.detection_fields.key/value [mitreAttack_additionalTechniques] | |
| mitreAttack.primaryTactic | security_result.detection_fields.key/value [mitreAttack_primaryTactic] | |
| mitreAttack.primaryTechniques.0 | security_result.detection_fields.key/value [mitreAttack_primaryTechniques] | |
| mitreAttack.version | security_result.detection_fields.key/value [mitreAttack_version] | |
| muteInitiator | security_result.detection_fields.key/value [mute_initiator] | muteログフィールドの値がMUTEDまたはUNMUTEDと等しい場合、muteInitiatorログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| muteUpdateTime | security_result.detection_fields.key/value [mute_update_time] | muteログフィールドの値がMUTEDまたはUNMUTEDと等しい場合、muteUpdateTimerログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| mute | security_result.detection_fields.key/value [mute] | |
| securityMarks.canonicalName | security_result.detection_fields.key/value [securityMarks_cannonicleName] | |
| securityMarks.marks | security_result.detection_fields.key/value [securityMarks_marks] | |
| securityMarks.name | security_result.detection_fields.key/value [securityMarks_name] | |
| sourceProperties.detectionCategory.indicator | security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] | |
| sourceProperties.detectionCategory.technique | security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] | |
| sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification | security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] | categoryログフィールドの値がPersistence: New User Agentと等しい場合、sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassificationログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.attempts.authResult | security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] | categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.authResultログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.indicator.indicatorType | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.indicator.indicatorTypeログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobalログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTsログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.customer_industry | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.customer_industryログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.customer_name | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.customer_nameログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.lasthit | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.lasthitログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.myVote | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_idログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.source | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.myVoteログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.support_id | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.support_idログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.tag_class_id | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_class_idログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.tag_definition_id | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_idログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_idログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_idログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.tag_name | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_nameログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.upVotes | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.upVotesログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.downVotes | security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.downVotesログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.contextUris.mitreUri.url/displayName | security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] | |
| sourceProperties.contextUris.relatedFindingUri.url/displayName | metadata.url_back_to_product | categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCE、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Over-Privileged Grant、Exfiltration: CloudSQL Restore Backup to External Organization、Initial Access: Log4j Compromise Attempt、Malware: Cryptomining Bad Domain、Malware: Cryptomining Bad IPまたはPersistence: IAM Anomalous Grantと等しい場合、security_result.detection_fields.keyUDM フィールドはsourceProperties_contextUris_relatedFindingUri_urlに設定され、sourceProperties.contextUris.relatedFindingUri.urlログフィールドはmetadata.url_back_to_productUDM フィールドにマッピングされます。 | 
| sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName | security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] | categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad Domain、またはMalware: Cryptomining Bad IPと等しい場合、sourceProperties.contextUris.virustotalIndicatorQueryUri.displayNameログフィールドはsecurity_result.detection_fields.keyUDM フィールドにマッピングされ、sourceProperties.contextUris.virustotalIndicatorQueryUri.urlログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.contextUris.workspacesUri.url/displayName | security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] | categoryログフィールドの値がInitial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Strong Authentication Disabled、Persistence: SSO Enablement ToggleまたはPersistence: SSO Settings Changedと等しい場合、sourceProperties.contextUris.workspacesUri.displayNameログフィールドはsecurity_result.detection_fields.keyUDM フィールドにマッピングされ、sourceProperties.contextUris.workspacesUri.urlログフィールドはsecurity_result.detection_fields.key/valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.public_tag_name | security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.public_tag_nameログフィールドはintermediary.labels.keyUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.tags.description | security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.tags.descriptionログフィールドはintermediary.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal | security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] | categoryログフィールドの値がMalware: Bad IPと等しい場合、sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobalログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | 
| createTime | security_result.detection_fields.key/value[create_time] | |
| nextSteps | security_result.outcomes.key/value [next_steps] | |
| sourceProperties.detectionPriority | security_result.priority | sourceProperties.detectionPriorityログフィールドの値がHIGHと等しい場合、security_result.priorityUDM フィールドはHIGH_PRIORITYに設定されます。それ以外の場合で、 sourceProperties.detectionPriorityログフィールドの値がMEDIUMと等しい場合、security_result.priorityUDM フィールドはMEDIUM_PRIORITYに設定されます。それ以外の場合で、 sourceProperties.detectionPriorityログフィールドの値がLOWと等しい場合、security_result.priorityUDM フィールドはLOW_PRIORITYに設定されます。 | 
| sourceProperties.detectionPriority | security_result.priority_details | |
| sourceProperties.detectionCategory.subRuleName | security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] | |
| sourceProperties.detectionCategory.ruleName | security_result.rule_name | |
| severity | security_result.severity | |
| sourceProperties.properties.vpcViolation.violationReason | security_result.summary | categoryログフィールドの値がExfiltration: BigQuery Exfiltrationと等しい場合、sourceProperties.properties.vpcViolation.violationReasonログフィールドはsecurity_result.summaryUDM フィールドにマッピングされます。 | 
| name | security_result.url_back_to_product | |
| database.query | src.process.command_line | categoryログフィールドの値がExfiltration: CloudSQL Over-Privileged Grantと等しい場合、database.queryログフィールドはsrc.process.command_lineUDM フィールドにマッピングされます。 | 
| resource.folders.resourceFolderDisplayName | src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.folders.resourceFolderDisplayNameログフィールドはsrc.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| resource.parentDisplayName | src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.parentDisplayNameログフィールドはsrc.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| resource.parentName | src.resource_ancestors.attribute.labels.key/value [resource_parentName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.parentNameログフィールドはsrc.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| resource.projectDisplayName | src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.projectDisplayNameログフィールドはsrc.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId | src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetIdログフィールドはsrc.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId | src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectIdログフィールドはsrc.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri | src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUriログフィールドはsrc.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| parent | src.resource_ancestors.name | categoryログフィールドの値がExfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google DriveまたはExfiltration: BigQuery Data Exfiltrationと等しい場合、parentログフィールドはsrc.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId | src.resource_ancestors.name | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableIdログフィールドはsrc.resource_ancestors.nameUDM フィールドにマッピングされ、src.resource_ancestors.resource_typeUDM フィールドはTABLEに設定されます。 | 
| resourceName | src.resource_ancestors.name | categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、resourceNameログフィールドはsrc.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| resource.folders.resourceFolder | src.resource_ancestors.name | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.folders.resourceFolderログフィールドはsrc.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.sourceId.customerOrganizationNumber | src.resource_ancestors.product_object_id | categoryログフィールドの値がExfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google DriveまたはExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.sourceId.customerOrganizationNumberログフィールドはsrc.resource_ancestors.product_object_idUDM フィールドにマッピングされます。 | 
| sourceProperties.sourceId.projectNumber | src.resource_ancestors.product_object_id | categoryログフィールドの値がExfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google DriveまたはExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.sourceId.projectNumberログフィールドはsrc.resource_ancestors.product_object_idUDM フィールドにマッピングされます。 | 
| sourceProperties.sourceId.organizationNumber | src.resource_ancestors.product_object_id | categoryログフィールドの値がExfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google DriveまたはExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.sourceId.organizationNumberログフィールドはsrc.resource_ancestors.product_object_idUDM フィールドにマッピングされます。 | 
| resource.type | src.resource_ancestors.resource_subtype | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.typeログフィールドはsrc.resource_ancestors.resource_subtypeUDM フィールドにマッピングされます。 | 
| database.displayName | src.resource.attribute.labels.key/value [database_displayName] | categoryログフィールドの値がExfiltration: CloudSQL Over-Privileged Grantと等しい場合、database.displayNameログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| database.grantees | src.resource.attribute.labels.key/value [database_grantees] | categoryログフィールドの値がExfiltration: CloudSQL Over-Privileged Grantと等しい場合、src.resource.attribute.labels.keyUDM フィールドはgranteesに設定され、database.granteesログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| resource.displayName | src.resource.attribute.labels.key/value [resource_displayName] | categoryログフィールドの値がExfiltration: BigQuery Data ExfiltrationまたはExfiltration: BigQuery Data to Google Driveと等しい場合、resource.displayNameログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| resource.displayName | principal.hostname | resource.typeログフィールドの値が正規表現パターン(?i)google.compute.Instance or google.container.Clusterと一致する場合、resource.displayNameログフィールドはprincipal.hostnameUDM フィールドにマッピングされます。 | 
| resource.display_name | src.resource.attribute.labels.key/value [resource_display_name] | categoryログフィールドの値がExfiltration: BigQuery Data ExfiltrationまたはExfiltration: BigQuery Data to Google Driveと等しい場合、resource.display_nameログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.extractionAttempt.sourceTable.datasetId | src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] | categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.datasetIdログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.extractionAttempt.sourceTable.projectId | src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] | categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.projectIdログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.extractionAttempt.sourceTable.resourceUri | src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] | categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.resourceUriログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.restoreToExternalInstance.backupId | src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] | categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.backupIdログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| exfiltration.sources.components | src.resource.attribute.labels.key/value[exfiltration_sources_components] | categoryログフィールドの値がExfiltration: CloudSQL Data ExfiltrationまたはExfiltration: BigQuery Data Extractionと等しい場合、src.resource.attribute.labels.key/valueログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| resourceName | src.resource.name | categoryログフィールドの値がExfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google DriveまたはExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.sources.nameログフィールドはsrc.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはsrc.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource | src.resource.name | categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResourceログフィールドはsrc.resource.nameUDM フィールドにマッピングされ、src.resource.resource_subtypeUDM フィールドはCloudSQLに設定されます。 | 
| sourceProperties.properties.exportToGcs.cloudsqlInstanceResource | src.resource.name | categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResourceログフィールドはsrc.resource.nameUDM フィールドにマッピングされ、src.resource.resource_subtypeUDM フィールドはCloudSQLに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.cloudsqlInstanceResourceログフィールドはsrc.resource.nameUDM フィールドにマッピングされ、src.resource.resource_subtypeUDM フィールドはCloudSQLに設定されます。 | 
| database.name | src.resource.name | |
| exfiltration.sources.name | src.resource.name | categoryログフィールドの値がExfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google DriveまたはExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.sources.nameログフィールドはsrc.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはsrc.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.extractionAttempt.sourceTable.tableId | src.resource.product_object_id | categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.tableIdログフィールドはsrc.resource.product_object_idUDM フィールドにマッピングされます。 | 
| access.serviceName | target.application | categoryログフィールドの値がDefense Evasion: Modify VPC Service Control、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、Exfiltration: CloudSQL Over-Privileged Grant、Persistence: New GeographyまたはPersistence: IAM Anomalous Grantと等しい場合、access.serviceNameログフィールドはtarget.applicationUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.serviceName | target.application | categoryログフィールドの値がInitial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Strong Authentication Disabled、Impair Defenses: Two Step Verification Disabled、Persistence: SSO Enablement ToggleまたはPersistence: SSO Settings Changedと等しい場合、sourceProperties.properties.serviceNameログフィールドはtarget.applicationUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.domainName | target.domain.name | categoryログフィールドの値がPersistence: SSO Enablement ToggleまたはPersistence: SSO Settings Changedと等しい場合、sourceProperties.properties.domainNameログフィールドはtarget.domain.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.domains.0 | target.domain.name | categoryログフィールドの値がMalware: Bad Domain、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.domains.0ログフィールドはtarget.domain.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action | target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] | categoryログフィールドの値がPersistence: IAM Anomalous Grantと等しい場合、sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.actionログフィールドはtarget.group.attribute.labels.key/valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action | target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] | categoryログフィールドの値がCredential Access: Sensitive Role Granted To Hybrid Groupと等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.actionログフィールドはtarget.group.attribute.labels.key/valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member | target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] | categoryログフィールドの値がPersistence: IAM Anomalous Grantと等しい場合、sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.memberログフィールドはtarget.group.attribute.labels.key/valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member | target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] | categoryログフィールドの値がCredential Access: Sensitive Role Granted To Hybrid Groupと等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.memberログフィールドはtarget.group.attribute.labels.key/valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin | target.group.attribute.permissions.name | categoryログフィールドの値がCredential Access: Privileged Group Opened To Publicと等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoinログフィールドはtarget.group.attribute.permissions.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.customRoleSensitivePermissions.permissions | target.group.attribute.permissions.name | categoryログフィールドの値がPersistence: IAM Anomalous Grantと等しい場合、sourceProperties.properties.customRoleSensitivePermissions.permissionsログフィールドはtarget.group.attribute.permissions.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName | target.group.attribute.roles.name | categoryログフィールドの値がCredential Access: External Member Added To Privileged Groupと等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleNameログフィールドはtarget.group.attribute.roles.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role | target.group.attribute.roles.name | categoryログフィールドの値がCredential Access: Sensitive Role Granted To Hybrid Groupと等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.roleログフィールドはtarget.group.attribute.roles.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role | target.group.attribute.roles.name | categoryログフィールドの値がPersistence: IAM Anomalous Grantと等しい場合、sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.roleログフィールドはtarget.group.attribute.roles.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName | target.group.attribute.roles.name | categoryログフィールドの値がCredential Access: Privileged Group Opened To Publicと等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleNameログフィールドはtarget.group.attribute.roles.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.customRoleSensitivePermissions.roleName | target.group.attribute.roles.name | categoryログフィールドの値がPersistence: IAM Anomalous Grantと等しい場合、sourceProperties.properties.customRoleSensitivePermissions.roleNameログフィールドはtarget.group.attribute.roles.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName | target.group.group_display_name | categoryログフィールドの値がCredential Access: External Member Added To Privileged Groupと等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupNameログフィールドはtarget.group.group_display_nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.privilegedGroupOpenedToPublic.groupName | target.group.group_display_name | categoryログフィールドの値がCredential Access: Privileged Group Opened To Publicと等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.groupNameログフィールドはtarget.group.group_display_nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.sensitiveRoleToHybridGroup.groupName | target.group.group_display_name | categoryログフィールドの値がCredential Access: Sensitive Role Granted To Hybrid Groupと等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.groupNameログフィールドはtarget.group.group_display_nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.ipConnection.destIp | target.ip | categoryログフィールドの値がMalware: Bad IP、Malware: Cryptomining Bad IPまたはMalware: Outgoing DoSと等しい場合、sourceProperties.properties.ipConnection.destIpログフィールドはtarget.ipUDM フィールドにマッピングされます。 | 
| access.methodName | target.labels [access_methodName](非推奨) | |
| access.methodName | additional.fields [access_methodName] | |
| processes.argumentsTruncated | target.labels [processes_argumentsTruncated](非推奨) | |
| processes.argumentsTruncated | additional.fields [processes_argumentsTruncated] | |
| processes.binary.contents | target.labels [processes_binary_contents](非推奨) | |
| processes.binary.contents | additional.fields [processes_binary_contents] | |
| processes.binary.hashedSize | target.labels [processes_binary_hashedSize](非推奨) | |
| processes.binary.hashedSize | additional.fields [processes_binary_hashedSize] | |
| processes.binary.partiallyHashed | target.labels [processes_binary_partiallyHashed](非推奨) | |
| processes.binary.partiallyHashed | additional.fields [processes_binary_partiallyHashed] | |
| processes.envVariables.name | target.labels [processes_envVariables_name](非推奨) | |
| processes.envVariables.name | additional.fields [processes_envVariables_name] | |
| processes.envVariables.val | target.labels [processes_envVariables_val](非推奨) | |
| processes.envVariables.val | additional.fields [processes_envVariables_val] | |
| processes.envVariablesTruncated | target.labels [processes_envVariablesTruncated](非推奨) | |
| processes.envVariablesTruncated | additional.fields [processes_envVariablesTruncated] | |
| processes.libraries.contents | target.labels [processes_libraries_contents](非推奨) | |
| processes.libraries.contents | additional.fields [processes_libraries_contents] | |
| processes.libraries.hashedSize | target.labels [processes_libraries_hashedSize](非推奨) | |
| processes.libraries.hashedSize | additional.fields [processes_libraries_hashedSize] | |
| processes.libraries.partiallyHashed | target.labels [processes_libraries_partiallyHashed](非推奨) | |
| processes.libraries.partiallyHashed | additional.fields [processes_libraries_partiallyHashed] | |
| processes.script.contents | target.labels [processes_script_contents](非推奨) | |
| processes.script.contents | additional.fields [processes_script_contents] | |
| processes.script.hashedSize | target.labels [processes_script_hashedSize](非推奨) | |
| processes.script.hashedSize | additional.fields [processes_script_hashedSize] | |
| processes.script.partiallyHashed | target.labels [processes_script_partiallyHashed](非推奨) | |
| processes.script.partiallyHashed | additional.fields [processes_script_partiallyHashed] | |
| sourceProperties.properties.methodName | target.labels [sourceProperties_properties_methodName](非推奨) | categoryログフィールドの値がImpair Defenses: Strong Authentication Disabled、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Persistence: SSO Enablement ToggleまたはPersistence: SSO Settings Changedと等しい場合、sourceProperties.properties.methodNameログフィールドはtarget.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.methodName | additional.fields [sourceProperties_properties_methodName] | categoryログフィールドの値がImpair Defenses: Strong Authentication Disabled、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Persistence: SSO Enablement ToggleまたはPersistence: SSO Settings Changedと等しい場合、sourceProperties.properties.methodNameログフィールドはadditional.fields.value.string_valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.network.location | target.location.name | categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.network.locationログフィールドはtarget.location.nameUDM フィールドにマッピングされます。 | 
| processes.parentPid | target.parent_process.pid | |
| sourceProperties.properties.ipConnection.destPort | target.port | categoryログフィールドの値がMalware: Bad IPまたはMalware: Outgoing DoSと等しい場合、sourceProperties.properties.ipConnection.destPortログフィールドはtarget.portUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.query | target.process.command_line | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.queryログフィールドはtarget.process.command_lineUDM フィールドにマッピングされます。 | 
| processes.args | target.process.command_line_history [processes.args] | |
| processes.name | target.process.file.full_path | |
| processes.binary.path | target.process.file.full_path | |
| processes.libraries.path | target.process.file.full_path | |
| processes.script.path | target.process.file.full_path | |
| processes.binary.sha256 | target.process.file.sha256 | |
| processes.libraries.sha256 | target.process.file.sha256 | |
| processes.script.sha256 | target.process.file.sha256 | |
| processes.binary.size | target.process.file.size | |
| processes.libraries.size | target.process.file.size | |
| processes.script.size | target.process.file.size | |
| processes.pid | target.process.pid | |
| containers.uri | target.resource_ancestors.attribute.labels.key/value [containers_uri] | |
| containers.labels.name/value | target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] | containers.labels.nameログフィールドはtarget.resource_ancestors.attribute.labels.keyUDM フィールドにマッピングされ、containers.labels.valueログフィールドはtarget.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.destVpc.projectId | target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] | categoryログフィールドの値がMalware: Cryptomining Bad IPまたはMalware: Bad IPと等しい場合、sourceProperties.properties.destVpc.projectIdログフィールドはtarget.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.destVpc.subnetworkName | target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] | categoryログフィールドの値がMalware: Cryptomining Bad IPまたはMalware: Bad IPと等しい場合、sourceProperties.properties.destVpc.subnetworkNameログフィールドはtarget.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.network.subnetworkName | target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] | categoryログフィールドの値がMalware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、sourceProperties.properties.network.subnetworkNameログフィールドはtarget.resource_ancestors.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.network.subnetworkId | target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] | categoryログフィールドの値がMalware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、sourceProperties.properties.network.subnetworkIdログフィールドはtarget.resource_ancestors.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.affectedResources.gcpResourceName | target.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcNameログ フィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVPC_NETWORKに設定されます。それ以外の場合で、 categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCEと等しい場合、sourceProperties.properties.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM にマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic Spikeと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.destVpc.vpcName | target.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcNameログ フィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVPC_NETWORKに設定されます。それ以外の場合で、 categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCEと等しい場合、sourceProperties.properties.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM にマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic Spikeと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.vpcName | target.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcNameログ フィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVPC_NETWORKに設定されます。それ以外の場合で、 categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCEと等しい場合、sourceProperties.properties.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM にマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic Spikeと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| resourceName | target.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcNameログ フィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVPC_NETWORKに設定されます。それ以外の場合で、 categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCEと等しい場合、sourceProperties.properties.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM にマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic Spikeと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.projectId | target.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcNameログ フィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVPC_NETWORKに設定されます。それ以外の場合で、 categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCEと等しい場合、sourceProperties.properties.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM にマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic Spikeと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.vpc.vpcName | target.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcNameログ フィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVPC_NETWORKに設定されます。それ以外の場合で、 categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCEと等しい場合、sourceProperties.properties.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM にマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic Spikeと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| parent | target.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcNameログ フィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVPC_NETWORKに設定されます。それ以外の場合で、 categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCEと等しい場合、sourceProperties.properties.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM にマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic Spikeと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.affectedResources.gcpResourceName | target.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcNameログ フィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVPC_NETWORKに設定されます。それ以外の場合で、 categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCEと等しい場合、sourceProperties.properties.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM にマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic Spikeと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| containers.name | target.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcNameログ フィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVPC_NETWORKに設定されます。それ以外の場合で、 categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCEと等しい場合、sourceProperties.properties.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM にマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic Spikeと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource | target.resource_ancestors.name | categoryログフィールドの値がCredential Access: External Member Added To Privileged Groupと等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resourceログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource | target.resource_ancestors.name | categoryログフィールドの値がCredential Access: Privileged Group Opened To Publicと等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resourceログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| kubernetes.pods.containers.name | target.resource_ancestors.name | categoryログフィールドの値がMalware: Cryptomining Bad IP、Malware: Bad IP、Malware: Cryptomining Bad Domain、Malware: Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.destVpc.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcNameログ フィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVPC_NETWORKに設定されます。それ以外の場合で、 categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCEと等しい場合、sourceProperties.properties.vpcNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM にマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic Spikeと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.gceInstanceId | target.resource_ancestors.product_object_id | categoryログフィールドの値がPersistence: GCE Admin Added Startup ScriptまたはPersistence: GCE Admin Added SSH Keyと等しい場合、sourceProperties.properties.gceInstanceIdログフィールドはtarget.resource_ancestors.product_object_idUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。 | 
| sourceProperties.sourceId.projectNumber | target.resource_ancestors.product_object_id | categoryログフィールドの値がPersistence: GCE Admin Added Startup ScriptまたはPersistence: GCE Admin Added SSH Keyと等しい場合、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。 | 
| sourceProperties.sourceId.customerOrganizationNumber | target.resource_ancestors.product_object_id | categoryログフィールドの値がPersistence: GCE Admin Added Startup ScriptまたはPersistence: GCE Admin Added SSH Keyと等しい場合、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。 | 
| sourceProperties.sourceId.organizationNumber | target.resource_ancestors.product_object_id | categoryログフィールドの値がPersistence: GCE Admin Added Startup ScriptまたはPersistence: GCE Admin Added SSH Keyと等しい場合、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。 | 
| containers.imageId | target.resource_ancestors.product_object_id | categoryログフィールドの値がPersistence: GCE Admin Added Startup ScriptまたはPersistence: GCE Admin Added SSH Keyと等しい場合、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。 | 
| sourceProperties.properties.zone | target.resource.attribute.cloud.availability_zone | categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.zoneログフィールドはtarget.resource.attribute.cloud.availability_zoneUDM フィールドにマッピングされます。 | 
| canonicalName | metadata.product_log_id | finding_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。finding_idログフィールドの値が空ではない場合、finding_idログフィールドはmetadata.product_log_idUDM フィールドにマッピングされます。 | 
| canonicalName | src.resource.attribute.labels.key/value [finding_id] | finding_idログフィールドの値が空でない場合、finding_idログフィールドはsrc.resource.attribute.labels.key/value [finding_id]UDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれかと等しい場合、finding_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | 
| canonicalName | src.resource.product_object_id | source_idログフィールドの値が空でない場合、source_idログフィールドはsrc.resource.product_object_idUDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれかと等しい場合、source_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | 
| canonicalName | src.resource.attribute.labels.key/value [source_id] | source_idログフィールドの値が空でない場合、source_idログフィールドはsrc.resource.attribute.labels.key/value [source_id]UDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれかと等しい場合、source_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | 
| canonicalName | target.resource.attribute.labels.key/value [finding_id] | finding_idログフィールドの値が空でない場合、finding_idログフィールドはtarget.resource.attribute.labels.key/value [finding_id]UDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれとも一致しない場合は、finding_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | 
| canonicalName | target.resource.product_object_id | source_idログフィールドの値が空でない場合、source_idログフィールドはtarget.resource.product_object_idUDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれとも一致しない場合は、source_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | 
| canonicalName | target.resource.attribute.labels.key/value [source_id] | source_idログフィールドの値が空でない場合、source_idログフィールドはtarget.resource.attribute.labels.key/value [source_id]UDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれとも一致しない場合は、source_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | 
| sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId | target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetIdログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId | target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectIdログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri | target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] | categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUriログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.exportToGcs.exportScope | target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] | categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、target.resource.attribute.labels.keyUDM フィールドはexportScopeに設定され、sourceProperties.properties.exportToGcs.exportScopeログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.extractionAttempt.destinations.objectName | target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] | categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.objectNameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.extractionAttempt.destinations.originalUri | target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] | categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.originalUriログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.metadataKeyOperation | target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] | categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.metadataKeyOperationログフィールドはtarget.resource.attribute.labels.key/valueUDM フィールドにマッピングされます。 | 
| exfiltration.targets.components | target.resource.attribute.labels.key/value[exfiltration_targets_components] | categoryログフィールドの値がExfiltration: CloudSQL Data ExfiltrationまたはExfiltration: BigQuery Data Extractionと等しい場合、exfiltration.targets.componentsログフィールドはtarget.resource.attribute.labels.key/valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.exportToGcs.bucketAccess | target.resource.attribute.permissions.name | categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.bucketAccessログフィールドはtarget.resource.attribute.permissions.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.name | target.resource.name | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.bucketResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.vmNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.instanceDetailsログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionNameログフィールドはtarget.resource.attribute.nameUDM フィールドにマッピングされ、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。そうでない場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdログフィールドはtarget.resource.attribute.labelsUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはTABLEに設定されます。それ以外の場合、 resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.exportToGcs.bucketResource | target.resource.name | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.bucketResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.vmNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.instanceDetailsログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionNameログフィールドはtarget.resource.attribute.nameUDM フィールドにマッピングされ、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。そうでない場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdログフィールドはtarget.resource.attribute.labelsUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはTABLEに設定されます。それ以外の場合、 resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource | target.resource.name | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.bucketResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.vmNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.instanceDetailsログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionNameログフィールドはtarget.resource.attribute.nameUDM フィールドにマッピングされ、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。そうでない場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdログフィールドはtarget.resource.attribute.labelsUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはTABLEに設定されます。それ以外の場合、 resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。 | 
| resourceName | target.resource.name | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.bucketResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.vmNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.instanceDetailsログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionNameログフィールドはtarget.resource.attribute.nameUDM フィールドにマッピングされ、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。そうでない場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdログフィールドはtarget.resource.attribute.labelsUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはTABLEに設定されます。それ以外の場合、 resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.attempts.vmName | target.resource.name | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.bucketResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.vmNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.instanceDetailsログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionNameログフィールドはtarget.resource.attribute.nameUDM フィールドにマッピングされ、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。そうでない場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdログフィールドはtarget.resource.attribute.labelsUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはTABLEに設定されます。それ以外の場合、 resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.instanceDetails | target.resource.name | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.bucketResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.vmNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.instanceDetailsログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionNameログフィールドはtarget.resource.attribute.nameUDM フィールドにマッピングされ、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。そうでない場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdログフィールドはtarget.resource.attribute.labelsUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはTABLEに設定されます。それ以外の場合、 resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.extractionAttempt.destinations.collectionName | target.resource.name | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.bucketResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.vmNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.instanceDetailsログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionNameログフィールドはtarget.resource.attribute.nameUDM フィールドにマッピングされ、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。そうでない場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdログフィールドはtarget.resource.attribute.labelsUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはTABLEに設定されます。それ以外の場合、 resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId | target.resource.name | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.bucketResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.vmNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.instanceDetailsログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionNameログフィールドはtarget.resource.attribute.nameUDM フィールドにマッピングされ、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。そうでない場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdログフィールドはtarget.resource.attribute.labelsUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはTABLEに設定されます。それ以外の場合、 resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。 | 
| exfiltration.targets.name | target.resource.name | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.bucketResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: CloudSQL Restore Backup to External Organizationと等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResourceログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.vmNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドが Malware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad IP、Malware: Cryptomining Bad DomainまたはConfigurable Bad Domainと等しい場合、sourceProperties.properties.instanceDetailsログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionNameログフィールドはtarget.resource.attribute.nameUDM フィールドにマッピングされ、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。そうでない場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableIdログフィールドはtarget.resource.attribute.labelsUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはTABLEに設定されます。それ以外の場合、 resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.instanceId | target.resource.product_object_id | categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.instanceIdログフィールドはtarget.resource.product_object_idUDM フィールドにマッピングされます。 | 
| kubernetes.pods.containers.imageId | target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId] | |
| sourceProperties.properties.extractionAttempt.destinations.collectionType | target.resource.resource_subtype | categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionNameログフィールドはtarget.resource.resource_subtypeUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がCredential Access: External Member Added To Privileged Groupと等しい場合、target.resource.resource_subtypeUDM フィールドはPrivileged Groupに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、target.resource.resource_subtypeUDM フィールドはBigQueryに設定されます。 | 
|  | target.resource.resource_type | sourceProperties.properties.extractionAttempt.destinations.collectionTypeログフィールドの値が正規表現BUCKETと一致する場合、target.resource.resource_typeUDM フィールドはSTORAGE_BUCKETに設定されます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定さます。それ以外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、target.resource.resource_typeUDM フィールドはTABLEに設定されます。 | 
| sourceProperties.properties.extractionAttempt.jobLink | target.url | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、sourceProperties.properties.extractionAttempt.jobLinkログフィールドはtarget.urlUDM フィールドにマッピングされます。categoryログフィールドの値がExfiltration: BigQuery Data Extractionと等しい場合、sourceProperties.properties.extractionAttempt.jobLinkログフィールドがtarget.urlUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.exportToGcs.gcsUri | target.url | categoryログフィールドの値がExfiltration: CloudSQL Data Exfiltrationと等しい場合、sourceProperties.properties.exportToGcs.gcsUriログフィールドはtarget.urlUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.requestUrl | target.url | categoryログフィールドの値がInitial Access: Log4j Compromise Attemptと等しい場合、sourceProperties.properties.requestUrlログフィールドはtarget.urlUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.policyLink | target.url | categoryログフィールドの値がDefense Evasion: Modify VPC Service Controlと等しい場合、sourceProperties.properties.policyLinkログフィールドはtarget.urlUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.anomalousLocation.notSeenInLast | target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] | categoryログフィールドの値がPersistence: New Geographyと等しい場合、sourceProperties.properties.anomalousLocation.notSeenInLastログフィールドはtarget.user.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.attempts.username | target.user.userid | categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.attempts.usernameログフィールドはtarget.user.useridUDM フィールドにマッピングされます。categoryログフィールドの値がInitial Access: Suspicious Login Blockedと等しい場合、useridログフィールドはtarget.user.useridUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.principalEmail | target.user.userid | categoryログフィールドの値がInitial Access: Suspicious Login Blockedと等しい場合、useridログフィールドはtarget.user.useridUDM フィールドにマッピングされます。 | 
| sourceProperties.Added_Binary_Kind | target.resource.attribute.labels[sourceProperties_Added_Binary_Kind] | |
| sourceProperties.Container_Creation_Timestamp.nanos | target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos] | |
| sourceProperties.Container_Creation_Timestamp.seconds | target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds] | |
| sourceProperties.Container_Image_Id | target.resource_ancestors.product_object_id | |
| sourceProperties.Container_Image_Uri | target.resource.attribute.labels[sourceProperties_Container_Image_Uri] | |
| sourceProperties.Container_Name | target.resource_ancestors.name | |
| sourceProperties.Environment_Variables | target.labels [Environment_Variables_name](非推奨) | |
| sourceProperties.Environment_Variables | additional.fields [Environment_Variables_name] | |
|  | target.labels [Environment_Variables_val](非推奨) | |
|  | additional.fields [Environment_Variables_val] | |
| sourceProperties.Kubernetes_Labels | target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value] | |
| sourceProperties.Parent_Pid | target.process.parent_process.pid | |
| sourceProperties.Pid | target.process.pid | |
| sourceProperties.Pod_Name | target.resource_ancestors.name | |
| sourceProperties.Pod_Namespace | target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace] | |
| sourceProperties.Process_Arguments | target.process.command_line | |
| sourceProperties.Process_Binary_Fullpath | target.process.file.full_path | |
| sourceProperties.Process_Creation_Timestamp.nanos | target.labels [sourceProperties_Process_Creation_Timestamp_nanos](非推奨) | |
| sourceProperties.Process_Creation_Timestamp.nanos | additional.fields [sourceProperties_Process_Creation_Timestamp_nanos] | |
| sourceProperties.Process_Creation_Timestamp.seconds | target.labels [sourceProperties_Process_Creation_Timestamp_seconds](非推奨) | |
| sourceProperties.Process_Creation_Timestamp.seconds | additional.fields [sourceProperties_Process_Creation_Timestamp_seconds] | |
| sourceProperties.VM_Instance_Name | target.resource_ancestors.name | categoryログフィールドの値がAdded Binary ExecutedまたはAdded Library Loadedと等しい場合、sourceProperties.VM_Instance_Nameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource_ancestors.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。 | 
|  | target.resource_ancestors.resource_type | |
| resource.parent | target.resource_ancestors.attribute.labels.key/value [resource_project] | |
| resource.project | target.resource_ancestors.attribute.labels.key/value [resource_parent] | |
| sourceProperties.Added_Library_Fullpath | target.process.file.full_path | |
| sourceProperties.Added_Library_Kind | target.resource.attribute.labels[sourceProperties_Added_Library_Kind | |
| sourceProperties.affectedResources.gcpResourceName | target.resource_ancestors.name | |
| sourceProperties.Backend_Service | target.resource.name | categoryログフィールドの値がIncreasing Deny Ratio、Allowed Traffic SpikeまたはApplication DDoS Attack Attemptと等しい場合、sourceProperties.Backend_Serviceログフィールドはtarget.resource.nameUDM フィールドにマッピングされ、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| sourceProperties.Long_Term_Allowed_RPS | target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS] | |
| sourceProperties.Long_Term_Denied_RPS | target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS] | |
| sourceProperties.Long_Term_Incoming_RPS | target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS] | |
| sourceProperties.properties.customProperties.domain_category | target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category] | |
| sourceProperties.Security_Policy | target.resource.attribute.labels[sourceProperties_Security_Policy] | |
| sourceProperties.Short_Term_Allowed_RPS | target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS] | |
|  | target.resource.resource_type | categoryログフィールドの値がIncreasing Deny RatioまたはAllowed Traffic SpikeまたはApplication DDoS Attack Attemptと等しい場合、target.resource.resource_typeUDM フィールドはBACKEND_SERVICEに設定されます。categoryログフィールドの値がConfigurable Bad Domainと等しい場合、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。 | 
| sourceProperties.properties.sensitiveRoleGrant.principalEmail | principal.user.userid | Grok : sourceProperties.properties.sensitiveRoleGrant.principalEmailログフィールドからuser_idが抽出された後、user_idフィールドがprincipal.user.useridUDM フィールドにマッピングされます。 | 
| sourceProperties.properties.customRoleSensitivePermissions.principalEmail | principal.user.userid | Grok : sourceProperties.properties.customRoleSensitivePermissions.principalEmailログフィールドからuser_idが抽出された後、user_idフィールドがprincipal.user.useridUDM フィールドにマッピングされます。 | 
| resourceName | principal.asset.location.name | parentDisplayNameログフィールドの値がVirtual Machine Threat Detectionと等しい場合、Grok :resourceNameログフィールドからproject_name、region、zone_suffix、asset_prod_obj_idが抽出された後、regionログフィールドがprincipal.asset.location.nameUDM フィールドにマッピングされます。 | 
| resourceName | principal.asset.product_object_id | parentDisplayNameログフィールドの値がVirtual Machine Threat Detectionと等しい場合、Grok :resourceNameログフィールドからproject_name、region、zone_suffix、asset_prod_obj_idが抽出された後、asset_prod_obj_idログフィールドがprincipal.asset.product_object_idUDM フィールドにマッピングされます。 | 
| resourceName | principal.asset.attribute.cloud.availability_zone | parentDisplayNameログフィールドの値がVirtual Machine Threat Detectionと等しい場合、Grok :resourceNameログフィールドからproject_name、region、zone_suffix、asset_prod_obj_idが抽出された後、zone_suffixログフィールドがprincipal.asset.attribute.cloud.availability_zoneUDM フィールドにマッピングされます。 | 
| resourceName | principal.asset.attribute.labels[project_name] | parentDisplayNameログフィールドの値がVirtual Machine Threat Detectionと等しい場合、Grok :resourceNameログフィールドからproject_name、region、zone_suffix、asset_prod_obj_idが抽出された後、project_nameログフィールドがprincipal.asset.attribute.labels.valueUDM フィールドにマッピングされます。 | 
| sourceProperties.threats.memory_hash_detector.detections.binary_name | security_result.detection_fields[binary_name] |  | 
| sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched | security_result.detection_fields[percent_pages_matched] |  | 
| sourceProperties.threats.memory_hash_detector.binary | security_result.detection_fields[memory_hash_detector_binary] |  | 
| sourceProperties.threats.yara_rule_detector.yara_rule_name | security_result.detection_fields[yara_rule_name] |  | 
| sourceProperties.Script_SHA256 | target.resource.attribute.labels[script_sha256] |  | 
| sourceProperties.Script_Content | target.resource.attribute.labels[script_content] |  | 
| state | security_result.detection_fields[state] |  | 
| assetDisplayName | target.asset.attribute.labels[asset_display_name] |  | 
| assetId | target.asset.asset_id |  | 
| findingProviderId | target.resource.attribute.labels[finding_provider_id] |  | 
| sourceDisplayName | target.resource.attribute.labels[source_display_name] |  | 
| processes.name | target.process.file.names |  | 
| target.labels[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | categoryログフィールドの値がInitial Access: Excessive Permission Denied Actionsと等しい場合、sourceProperties.properties.failedActions.methodNameログフィールドはtarget.labelsUDM フィールドにマッピングされます。 | 
| additional.fields[failedActions_methodName] | sourceProperties.properties.failedActions.methodName | categoryログフィールドの値がInitial Access: Excessive Permission Denied Actionsと等しい場合、sourceProperties.properties.failedActions.methodNameログフィールドはadditional.fieldsUDM フィールドにマッピングされます。 | 
| target.labels[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | categoryログフィールドの値がInitial Access: Excessive Permission Denied Actionsと等しい場合、sourceProperties.properties.failedActions.serviceNameログフィールドはtarget.labelsUDM フィールドにマッピングされます。 | 
| additional.fields[failedActions_serviceName] | sourceProperties.properties.failedActions.serviceName | categoryログフィールドの値がInitial Access: Excessive Permission Denied Actionsと等しい場合、sourceProperties.properties.failedActions.serviceNameログフィールドはadditional.fieldsUDM フィールドにマッピングされます。 | 
| target.labels[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | categoryログフィールドの値がInitial Access: Excessive Permission Denied Actionsと等しい場合、sourceProperties.properties.failedActions.attemptTimesログフィールドはtarget.labelsUDM フィールドにマッピングされます。 | 
| additional.fields[failedActions_attemptTimes] | sourceProperties.properties.failedActions.attemptTimes | categoryログフィールドの値がInitial Access: Excessive Permission Denied Actionsと等しい場合、sourceProperties.properties.failedActions.attemptTimesログフィールドはadditional.fieldsUDM フィールドにマッピングされます。 | 
| target.labels[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | categoryログフィールドの値がInitial Access: Excessive Permission Denied Actionsと等しい場合、sourceProperties.properties.failedActions.lastOccurredTimeログフィールドはtarget.labelsUDM フィールドにマッピングされます。 | 
| additional.fields[failedActions_lastOccurredTime] | sourceProperties.properties.failedActions.lastOccurredTime | categoryログフィールドの値がInitial Access: Excessive Permission Denied Actionsと等しい場合、sourceProperties.properties.failedActions.lastOccurredTimeログフィールドはadditional.fieldsUDM フィールドにマッピングされます。 | 
| resource.resourcePathString | src.resource.attribute.labels[resource_path_string] | categoryログフィールドの値に次のいずれかの値が含まれている場合、resource.resourcePathStringログフィールドはsrc.resource.attribute.labels[resource_path_string]UDM フィールドにマッピングされます。
 resource.resourcePathStringログフィールドはtarget.resource.attribute.labels[resource_path_string]UDM フィールドにマッピングされます。 | 
フィールド マッピング リファレンス: イベント識別子からイベントタイプへ
| イベント識別子 | イベントタイプ | セキュリティ カテゴリ | 
|---|---|---|
| Active Scan: Log4j Vulnerable to RCE | SCAN_UNCATEGORIZED | |
| Brute Force: SSH | USER_LOGIN | AUTH_VIOLATION | 
| Credential Access: External Member Added To Privileged Group | GROUP_MODIFICATION | |
| Credential Access: Privileged Group Opened To Public | GROUP_MODIFICATION | |
| Credential Access: Sensitive Role Granted To Hybrid Group | GROUP_MODIFICATION | |
| Defense Evasion: Modify VPC Service Control | SERVICE_MODIFICATION | |
| Discovery: Can get sensitive Kubernetes object checkPreview | SCAN_UNCATEGORIZED | |
| Discovery: Service Account Self-Investigation | USER_UNCATEGORIZED | |
| Evasion: Access from Anonymizing Proxy | SERVICE_MODIFICATION | |
| Exfiltration: BigQuery Data Exfiltration | USER_RESOURCE_ACCESS | DATA_EXFILTRATION | 
| Exfiltration: BigQuery Data Extraction | USER_RESOURCE_ACCESS | DATA_EXFILTRATION | 
| Exfiltration: BigQuery Data to Google Drive | USER_RESOURCE_ACCESS | DATA_EXFILTRATION | 
| Exfiltration: CloudSQL Data Exfiltration | USER_RESOURCE_ACCESS | DATA_EXFILTRATION | 
| Exfiltration: CloudSQL Over-Privileged Grant | USER_RESOURCE_ACCESS | DATA_EXFILTRATION | 
| Exfiltration: CloudSQL Restore Backup to External Organization | USER_RESOURCE_ACCESS | DATA_EXFILTRATION | 
| Impair Defenses: Strong Authentication Disabled | USER_CHANGE_PERMISSIONS | |
| Impair Defenses: Two Step Verification Disabled | USER_CHANGE_PERMISSIONS | |
| Initial Access: Account Disabled Hijacked | SETTING_MODIFICATION | |
| Initial Access: Disabled Password Leak | SETTING_MODIFICATION | |
| Initial Access: Government Based Attack | USER_UNCATEGORIZED | |
| Initial Access: Log4j Compromise Attempt | SCAN_UNCATEGORIZED | EXPLOIT | 
| Initial Access: Suspicious Login Blocked | USER_LOGIN | ACL_VIOLATION | 
| Initial Access: Dormant Service Account Action | SCAN_UNCATEGORIZED | |
| Log4j Malware: Bad Domain | NETWORK_CONNECTION | SOFTWARE_MALICIOUS | 
| Log4j Malware: Bad IP | SCAN_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Malware: Bad Domain | NETWORK_CONNECTION | SOFTWARE_MALICIOUS | 
| Malware: Bad IP | SCAN_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Malware: Cryptomining Bad Domain | NETWORK_CONNECTION | SOFTWARE_MALICIOUS | 
| Malware: Cryptomining Bad IP | NETWORK_CONNECTION | SOFTWARE_MALICIOUS | 
| Malware: Outgoing DoS | NETWORK_CONNECTION | NETWORK_DENIAL_OF_SERVICE | 
| Persistence: GCE Admin Added SSH Key | SETTING_MODIFICATION | |
| Persistence: GCE Admin Added Startup Script | SETTING_MODIFICATION | |
| Persistence: IAM Anomalous Grant | USER_UNCATEGORIZED | POLICY_VIOLATION | 
| Persistence: New API MethodPreview | SCAN_UNCATEGORIZED | |
| Persistence: New Geography | USER_RESOURCE_ACCESS | NETWORK_SUSPICIOUS | 
| Persistence: New User Agent | USER_RESOURCE_ACCESS | |
| Persistence: SSO Enablement Toggle | SETTING_MODIFICATION | |
| Persistence: SSO Settings Changed | SETTING_MODIFICATION | |
| Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview | RESOURCE_PERMISSIONS_CHANGE | |
| Privilege Escalation: Create Kubernetes CSR for master certPreview | RESOURCE_CREATION | |
| Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview | RESOURCE_CREATION | |
| Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview | USER_RESOURCE_ACCESS | |
| Privilege Escalation: Launch of privileged Kubernetes containerPreview | RESOURCE_CREATION | |
| Added Binary Executed | USER_RESOURCE_ACCESS | |
| Added Library Loaded | USER_RESOURCE_ACCESS | |
| Allowed Traffic Spike | USER_RESOURCE_ACCESS | |
| Increasing Deny Ratio | USER_RESOURCE_UPDATE_CONTENT | |
| Configurable bad domain | NETWORK_CONNECTION | |
| Execution: Cryptocurrency Mining Hash Match | SCAN_UNCATEGORIZED |  | 
| Execution: Cryptocurrency Mining YARA Rule | SCAN_UNCATEGORIZED |  | 
| Malicious Script Executed | SCAN_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Malicious URL Observed | SCAN_UNCATEGORIZED | NETWORK_MALICIOUS | 
| Execution: Cryptocurrency Mining Combined Detection | SCAN_UNCATEGORIZED |  | 
| Application DDoS Attack Attempt | SCAN_NETWORK |  | 
| Defense Evasion: Unexpected ftrace handler | SCAN_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Defense Evasion: Unexpected interrupt handler | SCAN_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Defense Evasion: Unexpected kernel code modification | USER_RESOURCE_UPDATE_CONTENT | SOFTWARE_MALICIOUS | 
| Defense Evasion: Unexpected kernel modules | SCAN_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Defense Evasion: Unexpected kernel read-only data modification | USER_RESOURCE_UPDATE_CONTENT | SOFTWARE_MALICIOUS | 
| Defense Evasion: Unexpected kprobe handler | SCAN_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Defense Evasion: Unexpected processes in runqueue | PROCESS_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Defense Evasion: Unexpected system call handler | SCAN_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Reverse Shell | SCAN_UNCATEGORIZED | EXPLOIT | 
| account_has_leaked_credentials | SCAN_UNCATEGORIZED | DATA_AT_REST | 
| Initial Access: Dormant Service Account Key Created | RESOURCE_CREATION | |
| Process Tree | PROCESS_UNCATEGORIZED | |
| Unexpected Child Shell | PROCESS_UNCATEGORIZED | |
| Execution: Added Malicious Binary Executed | SCAN_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Execution: Modified Malicious Binary Executed | SCAN_UNCATEGORIZED | SOFTWARE_MALICIOUS | 
| Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity | SCAN_UNCATEGORIZED | |
| Breakglass Account Used: break_glass_account | SCAN_UNCATEGORIZED | |
| Configurable Bad Domain: APT29_Domains | SCAN_UNCATEGORIZED | |
| Unexpected Role Grant: Forbidden roles | SCAN_UNCATEGORIZED | |
| Configurable Bad IP | SCAN_UNCATEGORIZED | |
| Unexpected Compute Engine instance type | SCAN_UNCATEGORIZED | |
| Unexpected Compute Engine source image | SCAN_UNCATEGORIZED | |
| Unexpected Compute Engine region | SCAN_UNCATEGORIZED | |
| Custom role with prohibited permission | SCAN_UNCATEGORIZED | |
| Unexpected Cloud API Call | SCAN_UNCATEGORIZED | 
次の表は、Security Command Center の UDM イベントタイプと UDM フィールド マッピング(VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION 検出クラス)を含んでいます。
VULNERABILITY カテゴリから UDM イベントタイプ
次の表に、VULNERABILITY カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント識別子 | イベントタイプ | セキュリティ カテゴリ | 
|---|---|---|
| DISK_CSEK_DISABLED | SCAN_UNCATEGORIZED | |
| ALPHA_CLUSTER_ENABLED | SCAN_UNCATEGORIZED | |
| AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED | |
| AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED | |
| CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED | |
| COS_NOT_USED | SCAN_UNCATEGORIZED | |
| INTEGRITY_MONITORING_DISABLED | SCAN_UNCATEGORIZED | |
| IP_ALIAS_DISABLED | SCAN_UNCATEGORIZED | |
| LEGACY_METADATA_ENABLED | SCAN_UNCATEGORIZED | |
| RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED | |
| DATAPROC_IMAGE_OUTDATED | SCAN_VULN_NETWORK | |
| PUBLIC_DATASET | SCAN_UNCATEGORIZED | |
| DNSSEC_DISABLED | SCAN_UNCATEGORIZED | |
| RSASHA1_FOR_SIGNING | SCAN_UNCATEGORIZED | |
| REDIS_ROLE_USED_ON_ORG | SCAN_UNCATEGORIZED | |
| KMS_PUBLIC_KEY | SCAN_UNCATEGORIZED | |
| SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED | |
| SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED | |
| SQL_EXTERNAL_SCRIPTS_ENABLED | SCAN_UNCATEGORIZED | |
| SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED | |
| SQL_LOG_ERROR_VERBOSITY | SCAN_UNCATEGORIZED | |
| SQL_LOG_MIN_DURATION_STATEMENT_ENABLED | SCAN_UNCATEGORIZED | |
| SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED | |
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED | |
| SQL_LOG_MIN_MESSAGES | SCAN_UNCATEGORIZED | |
| SQL_LOG_EXECUTOR_STATS_ENABLED | SCAN_UNCATEGORIZED | |
| SQL_LOG_HOSTNAME_ENABLED | SCAN_UNCATEGORIZED | |
| SQL_LOG_PARSER_STATS_ENABLED | SCAN_UNCATEGORIZED | |
| SQL_LOG_PLANNER_STATS_ENABLED | SCAN_UNCATEGORIZED | |
| SQL_LOG_STATEMENT_STATS_ENABLED | SCAN_UNCATEGORIZED | |
| SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED | |
| SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED | |
| SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED | |
| SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED | |
| SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED | |
| SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED | |
| SQL_WEAK_ROOT_PASSWORD | SCAN_UNCATEGORIZED | |
| PUBLIC_LOG_BUCKET | SCAN_UNCATEGORIZED | |
| ACCESSIBLE_GIT_REPOSITORY | SCAN_UNCATEGORIZED | DATA_EXFILTRATION | 
| ACCESSIBLE_SVN_REPOSITORY | SCAN_NETWORK | DATA_EXFILTRATION | 
| CACHEABLE_PASSWORD_INPUT | SCAN_NETWORK | NETWORK_SUSPICIOUS | 
| CLEAR_TEXT_PASSWORD | SCAN_NETWORK | NETWORK_MALICIOUS | 
| INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION | SCAN_UNCATEGORIZED | |
| INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION | SCAN_UNCATEGORIZED | |
| INVALID_CONTENT_TYPE | SCAN_UNCATEGORIZED | |
| INVALID_HEADER | SCAN_UNCATEGORIZED | |
| MISMATCHING_SECURITY_HEADER_VALUES | SCAN_UNCATEGORIZED | |
| MISSPELLED_SECURITY_HEADER_NAME | SCAN_UNCATEGORIZED | |
| MIXED_CONTENT | SCAN_UNCATEGORIZED | |
| OUTDATED_LIBRARY | SCAN_VULN_HOST | SOFTWARE_SUSPICIOUS | 
| SERVER_SIDE_REQUEST_FORGERY | SCAN_NETWORK | NETWORK_MALICIOUS | 
| SESSION_ID_LEAK | SCAN_NETWORK | DATA_EXFILTRATION | 
| SQL_INJECTION | SCAN_NETWORK | EXPLOIT | 
| STRUTS_INSECURE_DESERIALIZATION | SCAN_VULN_HOST | SOFTWARE_SUSPICIOUS | 
| XSS | SCAN_NETWORK | SOFTWARE_SUSPICIOUS | 
| XSS_ANGULAR_CALLBACK | SCAN_NETWORK | SOFTWARE_SUSPICIOUS | 
| XSS_ERROR | SCAN_HOST | SOFTWARE_SUSPICIOUS | 
| XXE_REFLECTED_FILE_LEAKAGE | SCAN_HOST | SOFTWARE_SUSPICIOUS | 
| BASIC_AUTHENTICATION_ENABLED | SCAN_UNCATEGORIZED | |
| CLIENT_CERT_AUTHENTICATION_DISABLED | SCAN_UNCATEGORIZED | |
| LABELS_NOT_USED | SCAN_UNCATEGORIZED | |
| PUBLIC_STORAGE_OBJECT | SCAN_UNCATEGORIZED | |
| SQL_BROAD_ROOT_LOGIN | SCAN_UNCATEGORIZED | |
| WEAK_CREDENTIALS | SCAN_VULN_NETWORK | NETWORK_MALICIOUS | 
| ELASTICSEARCH_API_EXPOSED | SCAN_VULN_NETWORK | NETWORK_MALICIOUS | 
| EXPOSED_GRAFANA_ENDPOINT | SCAN_VULN_NETWORK | NETWORK_MALICIOUS | 
| EXPOSED_METABASE | SCAN_VULN_NETWORK | NETWORK_MALICIOUS | 
| EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT | SCAN_VULN_NETWORK | |
| HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API | SCAN_VULN_NETWORK | NETWORK_SUSPICIOUS | 
| JAVA_JMX_RMI_EXPOSED | SCAN_VULN_NETWORK | NETWORK_SUSPICIOUS | 
| JUPYTER_NOTEBOOK_EXPOSED_UI | SCAN_VULN_NETWORK | |
| KUBERNETES_API_EXPOSED | SCAN_VULN_NETWORK | NETWORK_SUSPICIOUS | 
| UNFINISHED_WORDPRESS_INSTALLATION | SCAN_VULN_NETWORK | NETWORK_SUSPICIOUS | 
| UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE | SCAN_VULN_NETWORK | NETWORK_SUSPICIOUS | 
| APACHE_HTTPD_RCE | SCAN_VULN_NETWORK | NETWORK_SUSPICIOUS | 
| APACHE_HTTPD_SSRF | SCAN_VULN_NETWORK | NETWORK_SUSPICIOUS | 
| CONSUL_RCE | SCAN_VULN_NETWORK | NETWORK_SUSPICIOUS | 
| DRUID_RCE | SCAN_VULN_NETWORK | |
| DRUPAL_RCE | SCAN_VULN_NETWORK | NETWORK_SUSPICIOUS | 
| FLINK_FILE_DISCLOSURE | SCAN_VULN_NETWORK | NETWORK_SUSPICIOUS | 
| GITLAB_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| GoCD_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| JENKINS_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| JOOMLA_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| LOG4J_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| MANTISBT_PRIVILEGE_ESCALATION | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| OGNL_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| OPENAM_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| ORACLE_WEBLOGIC_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| PHPUNIT_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| PHP_CGI_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| PORTAL_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| REDIS_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| SOLR_FILE_EXPOSED | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| SOLR_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| STRUTS_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| TOMCAT_FILE_DISCLOSURE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| VBULLETIN_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| VCENTER_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| WEBLOGIC_RCE | SCAN_VULN_NETWORK | SOFTWARE_SUSPICIOUS | 
| OS_VULNERABILITY | SCAN_VULN_HOST | |
| IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS | SCAN_UNCATEGORIZED | SOFTWARE_SUSPICIOUS | 
| SERVICE_AGENT_GRANTED_BASIC_ROLE | SCAN_UNCATEGORIZED | SOFTWARE_SUSPICIOUS | 
| UNUSED_IAM_ROLE | SCAN_UNCATEGORIZED | |
| SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE | SCAN_UNCATEGORIZED | SOFTWARE_SUSPICIOUS | 
MISCONFIGURATION カテゴリから UDM イベントタイプ
次の表に、MISCONFIGURATION カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント識別子 | イベントタイプ | 
|---|---|
| API_KEY_APIS_UNRESTRICTED | SCAN_UNCATEGORIZED | 
| API_KEY_APPS_UNRESTRICTED | SCAN_UNCATEGORIZED | 
| API_KEY_EXISTS | SCAN_UNCATEGORIZED | 
| API_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED | 
| PUBLIC_COMPUTE_IMAGE | SCAN_HOST | 
| CONFIDENTIAL_COMPUTING_DISABLED | SCAN_HOST | 
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED | SCAN_UNCATEGORIZED | 
| COMPUTE_SECURE_BOOT_DISABLED | SCAN_HOST | 
| DEFAULT_SERVICE_ACCOUNT_USED | SCAN_UNCATEGORIZED | 
| FULL_API_ACCESS | SCAN_UNCATEGORIZED | 
| OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED | 
| PUBLIC_IP_ADDRESS | SCAN_UNCATEGORIZED | 
| SHIELDED_VM_DISABLED | SCAN_UNCATEGORIZED | 
| COMPUTE_SERIAL_PORTS_ENABLED | SCAN_NETWORK | 
| DISK_CMEK_DISABLED | SCAN_UNCATEGORIZED | 
| HTTP_LOAD_BALANCER | SCAN_NETWORK | 
| IP_FORWARDING_ENABLED | SCAN_UNCATEGORIZED | 
| WEAK_SSL_POLICY | SCAN_NETWORK | 
| BINARY_AUTHORIZATION_DISABLED | SCAN_UNCATEGORIZED | 
| CLUSTER_LOGGING_DISABLED | SCAN_UNCATEGORIZED | 
| CLUSTER_MONITORING_DISABLED | SCAN_UNCATEGORIZED | 
| CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_UNCATEGORIZED | 
| CLUSTER_SECRETS_ENCRYPTION_DISABLED | SCAN_UNCATEGORIZED | 
| INTRANODE_VISIBILITY_DISABLED | SCAN_UNCATEGORIZED | 
| MASTER_AUTHORIZED_NETWORKS_DISABLED | SCAN_UNCATEGORIZED | 
| NETWORK_POLICY_DISABLED | SCAN_UNCATEGORIZED | 
| NODEPOOL_SECURE_BOOT_DISABLED | SCAN_UNCATEGORIZED | 
| OVER_PRIVILEGED_ACCOUNT | SCAN_UNCATEGORIZED | 
| OVER_PRIVILEGED_SCOPES | SCAN_UNCATEGORIZED | 
| POD_SECURITY_POLICY_DISABLED | SCAN_UNCATEGORIZED | 
| PRIVATE_CLUSTER_DISABLED | SCAN_UNCATEGORIZED | 
| WORKLOAD_IDENTITY_DISABLED | SCAN_UNCATEGORIZED | 
| LEGACY_AUTHORIZATION_ENABLED | SCAN_UNCATEGORIZED | 
| NODEPOOL_BOOT_CMEK_DISABLED | SCAN_UNCATEGORIZED | 
| WEB_UI_ENABLED | SCAN_UNCATEGORIZED | 
| AUTO_REPAIR_DISABLED | SCAN_UNCATEGORIZED | 
| AUTO_UPGRADE_DISABLED | SCAN_UNCATEGORIZED | 
| CLUSTER_SHIELDED_NODES_DISABLED | SCAN_UNCATEGORIZED | 
| RELEASE_CHANNEL_DISABLED | SCAN_UNCATEGORIZED | 
| BIGQUERY_TABLE_CMEK_DISABLED | SCAN_UNCATEGORIZED | 
| DATASET_CMEK_DISABLED | SCAN_UNCATEGORIZED | 
| EGRESS_DENY_RULE_NOT_SET | SCAN_NETWORK | 
| FIREWALL_RULE_LOGGING_DISABLED | SCAN_NETWORK | 
| OPEN_CASSANDRA_PORT | SCAN_NETWORK | 
| OPEN_SMTP_PORT | SCAN_NETWORK | 
| OPEN_REDIS_PORT | SCAN_NETWORK | 
| OPEN_POSTGRESQL_PORT | SCAN_NETWORK | 
| OPEN_POP3_PORT | SCAN_NETWORK | 
| OPEN_ORACLEDB_PORT | SCAN_NETWORK | 
| OPEN_NETBIOS_PORT | SCAN_NETWORK | 
| OPEN_MYSQL_PORT | SCAN_NETWORK | 
| OPEN_MONGODB_PORT | SCAN_NETWORK | 
| OPEN_MEMCACHED_PORT | SCAN_NETWORK | 
| OPEN_LDAP_PORT | SCAN_NETWORK | 
| OPEN_FTP_PORT | SCAN_NETWORK | 
| OPEN_ELASTICSEARCH_PORT | SCAN_NETWORK | 
| OPEN_DNS_PORT | SCAN_NETWORK | 
| OPEN_HTTP_PORT | SCAN_NETWORK | 
| OPEN_DIRECTORY_SERVICES_PORT | SCAN_NETWORK | 
| OPEN_CISCOSECURE_WEBSM_PORT | SCAN_NETWORK | 
| OPEN_RDP_PORT | SCAN_NETWORK | 
| OPEN_TELNET_PORT | SCAN_NETWORK | 
| OPEN_FIREWALL | SCAN_NETWORK | 
| OPEN_SSH_PORT | SCAN_NETWORK | 
| SERVICE_ACCOUNT_ROLE_SEPARATION | SCAN_UNCATEGORIZED | 
| NON_ORG_IAM_MEMBER | SCAN_UNCATEGORIZED | 
| OVER_PRIVILEGED_SERVICE_ACCOUNT_USER | SCAN_UNCATEGORIZED | 
| ADMIN_SERVICE_ACCOUNT | SCAN_UNCATEGORIZED | 
| SERVICE_ACCOUNT_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED | 
| USER_MANAGED_SERVICE_ACCOUNT_KEY | SCAN_UNCATEGORIZED | 
| PRIMITIVE_ROLES_USED | SCAN_UNCATEGORIZED | 
| KMS_ROLE_SEPARATION | SCAN_UNCATEGORIZED | 
| OPEN_GROUP_IAM_MEMBER | SCAN_UNCATEGORIZED | 
| KMS_KEY_NOT_ROTATED | SCAN_UNCATEGORIZED | 
| KMS_PROJECT_HAS_OWNER | SCAN_UNCATEGORIZED | 
| TOO_MANY_KMS_USERS | SCAN_UNCATEGORIZED | 
| OBJECT_VERSIONING_DISABLED | SCAN_UNCATEGORIZED | 
| LOCKED_RETENTION_POLICY_NOT_SET | SCAN_UNCATEGORIZED | 
| BUCKET_LOGGING_DISABLED | SCAN_UNCATEGORIZED | 
| LOG_NOT_EXPORTED | SCAN_UNCATEGORIZED | 
| AUDIT_LOGGING_DISABLED | SCAN_UNCATEGORIZED | 
| MFA_NOT_ENFORCED | SCAN_UNCATEGORIZED | 
| ROUTE_NOT_MONITORED | SCAN_NETWORK | 
| OWNER_NOT_MONITORED | SCAN_NETWORK | 
| AUDIT_CONFIG_NOT_MONITORED | SCAN_UNCATEGORIZED | 
| BUCKET_IAM_NOT_MONITORED | SCAN_UNCATEGORIZED | 
| CUSTOM_ROLE_NOT_MONITORED | SCAN_UNCATEGORIZED | 
| FIREWALL_NOT_MONITORED | SCAN_NETWORK | 
| NETWORK_NOT_MONITORED | SCAN_NETWORK | 
| SQL_INSTANCE_NOT_MONITORED | SCAN_UNCATEGORIZED | 
| DEFAULT_NETWORK | SCAN_NETWORK | 
| DNS_LOGGING_DISABLED | SCAN_NETWORK | 
| PUBSUB_CMEK_DISABLED | SCAN_UNCATEGORIZED | 
| PUBLIC_SQL_INSTANCE | SCAN_NETWORK | 
| SSL_NOT_ENFORCED | SCAN_NETWORK | 
| AUTO_BACKUP_DISABLED | SCAN_UNCATEGORIZED | 
| SQL_CMEK_DISABLED | SCAN_UNCATEGORIZED | 
| SQL_LOG_CHECKPOINTS_DISABLED | SCAN_UNCATEGORIZED | 
| SQL_LOG_CONNECTIONS_DISABLED | SCAN_UNCATEGORIZED | 
| SQL_LOG_DISCONNECTIONS_DISABLED | SCAN_UNCATEGORIZED | 
| SQL_LOG_DURATION_DISABLED | SCAN_UNCATEGORIZED | 
| SQL_LOG_LOCK_WAITS_DISABLED | SCAN_UNCATEGORIZED | 
| SQL_LOG_STATEMENT | SCAN_UNCATEGORIZED | 
| SQL_NO_ROOT_PASSWORD | SCAN_UNCATEGORIZED | 
| SQL_PUBLIC_IP | SCAN_NETWORK | 
| SQL_CONTAINED_DATABASE_AUTHENTICATION | SCAN_UNCATEGORIZED | 
| SQL_CROSS_DB_OWNERSHIP_CHAINING | SCAN_UNCATEGORIZED | 
| SQL_LOCAL_INFILE | SCAN_UNCATEGORIZED | 
| SQL_LOG_MIN_ERROR_STATEMENT | SCAN_UNCATEGORIZED | 
| SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY | SCAN_UNCATEGORIZED | 
| SQL_LOG_TEMP_FILES | SCAN_UNCATEGORIZED | 
| SQL_REMOTE_ACCESS_ENABLED | SCAN_UNCATEGORIZED | 
| SQL_SKIP_SHOW_DATABASE_DISABLED | SCAN_UNCATEGORIZED | 
| SQL_TRACE_FLAG_3625 | SCAN_UNCATEGORIZED | 
| SQL_USER_CONNECTIONS_CONFIGURED | SCAN_UNCATEGORIZED | 
| SQL_USER_OPTIONS_CONFIGURED | SCAN_UNCATEGORIZED | 
| PUBLIC_BUCKET_ACL | SCAN_UNCATEGORIZED | 
| BUCKET_POLICY_ONLY_DISABLED | SCAN_UNCATEGORIZED | 
| BUCKET_CMEK_DISABLED | SCAN_UNCATEGORIZED | 
| FLOW_LOGS_DISABLED | SCAN_NETWORK | 
| PRIVATE_GOOGLE_ACCESS_DISABLED | SCAN_NETWORK | 
| kms_key_region_europe | SCAN_UNCATEGORIZED | 
| kms_non_euro_region | SCAN_UNCATEGORIZED | 
| LEGACY_NETWORK | SCAN_NETWORK | 
| LOAD_BALANCER_LOGGING_DISABLED | SCAN_NETWORK | 
| INSTANCE_OS_LOGIN_DISABLED | SCAN_UNCATEGORIZED | 
| GKE_PRIVILEGE_ESCALATION | SCAN_UNCATEGORIZED | 
| GKE_RUN_AS_NONROOT | SCAN_UNCATEGORIZED | 
| GKE_HOST_PATH_VOLUMES | SCAN_UNCATEGORIZED | 
| GKE_HOST_NAMESPACES | SCAN_UNCATEGORIZED | 
| GKE_PRIVILEGED_CONTAINERS | SCAN_UNCATEGORIZED | 
| GKE_HOST_PORTS | SCAN_UNCATEGORIZED | 
| GKE_CAPABILITIES | SCAN_UNCATEGORIZED | 
OBSERVATION カテゴリから UDM イベントタイプ
次の表に、OBSERVATION カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント識別子 | イベントタイプ | 
|---|---|
| 永続性: プロジェクトの SSH 認証鍵の追加 | SETTING_MODIFICATION | 
| 永続性: 機密性の高いロールの追加 | RESOURCE_PERMISSIONS_CHANGE | 
| 影響: GPU インスタンスの作成 | USER_RESOURCE_CREATION | 
| 影響: 多くのインスタンスの作成 | USER_RESOURCE_CREATION | 
ERROR カテゴリから UDM イベントタイプ
次の表に、ERROR カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント識別子 | イベントタイプ | 
|---|---|
| VPC_SC_RESTRICTION | SCAN_UNCATEGORIZED | 
| MISCONFIGURED_CLOUD_LOGGING_EXPORT | SCAN_UNCATEGORIZED | 
| API_DISABLED | SCAN_UNCATEGORIZED | 
| KTD_IMAGE_PULL_FAILURE | SCAN_UNCATEGORIZED | 
| KTD_BLOCKED_BY_ADMISSION_CONTROLLER | SCAN_UNCATEGORIZED | 
| KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED | 
| GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED | 
| SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS | SCAN_UNCATEGORIZED | 
UNSPECIFIED カテゴリから UDM イベントタイプ
次の表に、UNSPECIFIED カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント識別子 | イベントタイプ | セキュリティ カテゴリ | 
|---|---|---|
| OPEN_FIREWALL | SCAN_VULN_HOST | POLICY_VIOLATION | 
POSTURE_VIOLATION カテゴリから UDM イベントタイプ
次の表に、POSTURE_VIOLATION カテゴリとそれに対応する UDM イベントタイプを示します。
| イベント識別子 | イベントタイプ | 
|---|---|
| SECURITY_POSTURE_DRIFT | SERVICE_MODIFICATION | 
| SECURITY_POSTURE_POLICY_DRIFT | SCAN_UNCATEGORIZED | 
| SECURITY_POSTURE_POLICY_DELETE | SCAN_UNCATEGORIZED | 
| SECURITY_POSTURE_DETECTOR_DRIFT | SCAN_UNCATEGORIZED | 
| SECURITY_POSTURE_DETECTOR_DELETE | SCAN_UNCATEGORIZED | 
フィールド マッピング リファレンス: VULNERABILITY
次の表に、VULNERABILITY カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| RawLog フィールド | UDM マッピング | 論理 | 
|---|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | |
| assetId | target.asset.asset_id | |
| findingProviderId | target.resource.attribute.labels.key/value [findings_findingProviderId] | |
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | |
| sourceProperties.description | extensions.vuln.vulnerabilities.description | |
| sourceProperties.finalUrl | network.http.referral_url | |
| sourceProperties.form.fields | target.resource.attribute.labels.key/value [sourceProperties_form_fields] | |
| sourceProperties.httpMethod | network.http.method | |
| sourceProperties.name | target.resource.attribute.labels.key/value [sourceProperties_name] | |
| sourceProperties.outdatedLibrary.learnMoreUrls | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls] | |
| sourceProperties.outdatedLibrary.libraryName | target.resource.attribute.labels.key/value[outdatedLibrary.libraryName] | |
| sourceProperties.outdatedLibrary.version | target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName] | |
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | |
| externalUri | about.url | |
| category | extensions.vuln.vulnerabilities.name | |
| resourceName | principal.asset.location.name | Grok パターンを使用して resourceNameからregionが抽出され、principal.asset.location.nameUDM フィールドにマッピングされます。 | 
| resourceName | principal.asset.product_object_id | Grok パターンを使用して resourceNameからasset_prod_obj_idが抽出され、principal.asset.product_object_idUDM フィールドにマッピングされます。 | 
| resourceName | principal.asset.attribute.cloud.availability_zone | Grok パターンを使用して resourceNameからzone_suffixが抽出され、principal.asset.attribute.cloud.availability_zoneUDM フィールドにマッピングされます。 | 
| sourceProperties.RevokedIamPermissionsCount | security_result.detection_fields.key/value[revoked_Iam_permissions_count] | |
| sourceProperties.TotalRecommendationsCount | security_result.detection_fields.key/value[total_recommendations_count] | |
| sourceProperties.DeactivationReason | security_result.detection_fields.key/value[deactivation_reason] | |
| iamBindings.role | about.user.attribute.roles.name | |
| iamBindings.member | about.user.email_addresses | |
| iamBindings.action | about.user.attribute.labels.key/value[action] | 
フィールド マッピング リファレンス: MISCONFIGURATION
次の表に、MISCONFIGURATION カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| RawLog フィールド | UDM マッピング | 
|---|---|
| assetDisplayName | target.asset.attribute.labels.key/value [assetDisplayName] | 
| assetId | target.asset.asset_id | 
| externalUri | about.url | 
| findingProviderId | target.resource.attribute.labels[findingProviderId] | 
| sourceDisplayName | target.resource.attribute.labels[sourceDisplayName] | 
| sourceProperties.Recommendation | security_result.detection_fields.key/value[sourceProperties_Recommendation] | 
| sourceProperties.ExceptionInstructions | security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions] | 
| sourceProperties.ScannerName | principal.labels.key/value[sourceProperties_ScannerName] | 
| sourceProperties.ResourcePath | target.resource.attribute.labels.key/value[sourceProperties_ResourcePath] | 
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] | 
| sourceProperties.DeactivationReason | target.resource.attribute.labels.key/value [DeactivationReason] | 
| sourceProperties.ActionRequiredOnProject | target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject] | 
| sourceProperties.VulnerableNetworkInterfaceNames | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames] | 
| sourceProperties.VulnerableNodePools | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools] | 
| sourceProperties.VulnerableNodePoolsList | target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList] | 
| sourceProperties.AllowedOauthScopes | target.resource.attribute.permissions.name | 
| sourceProperties.ExposedService | target.application | 
| sourceProperties.OpenPorts.TCP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP] | 
| sourceProperties.OffendingIamRolesList.member | about.user.email_addresses | 
| sourceProperties.OffendingIamRolesList.roles | about.user.attribute.roles.name | 
| sourceProperties.ActivationTrigger | target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger] | 
| sourceProperties.MfaDetails.users | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users] | 
| sourceProperties.MfaDetails.enrolled | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled] | 
| sourceProperties.MfaDetails.enforced | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced] | 
| sourceProperties.MfaDetails.advancedProtection | target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection] | 
| sourceProperties.cli_remediation | target.process.command_line_history | 
| sourceProperties.OpenPorts.UDP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP] | 
| sourceProperties.HasAdminRoles | target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles] | 
| sourceProperties.HasEditRoles | target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles] | 
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] | 
| sourceProperties.ExternalSourceRanges | target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges] | 
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] | 
| sourceProperties.OpenPorts.SCTP | target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP] | 
| sourceProperties.RecommendedLogFilter | target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter] | 
| sourceProperties.QualifiedLogMetricNames | target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames] | 
| sourceProperties.HasDefaultPolicy | target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy] | 
| sourceProperties.CompatibleFeatures | target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures] | 
| sourceProperties.TargetProxyUrl | target.url | 
| sourceProperties.OffendingIamRolesList.description | about.user.attribute.roles.description | 
| sourceProperties.DatabaseVersion | target.resource.attribute.label[sourceProperties_DatabaseVersion] | 
フィールド マッピング リファレンス: OBSERVATION
次の表に、OBSERVATION カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| RawLog フィールド | UDM マッピング | 
|---|---|
| findingProviderId | target.resource.attribute.labels[findingProviderId] | 
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | 
| assetDisplayName | target.asset.attribute.labels.key/value [asset_display_name] | 
| assetId | target.asset.asset_id | 
フィールド マッピング リファレンス: ERROR
次の表に、ERROR カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| RawLog フィールド | UDM マッピング | 
|---|---|
| externalURI | about.url | 
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] | 
| findingProviderId | target.resource.attribute.labels[findingProviderId] | 
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | 
フィールド マッピング リファレンス: UNSPECIFIED
次の表に、UNSPECIFIED カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| RawLog フィールド | UDM マッピング | 
|---|---|
| sourceProperties.ScannerName | principal.labels.key/value [sourceProperties_ScannerName] | 
| sourceProperties.ResourcePath | src.resource.attribute.labels.key/value [sourceProperties_ResourcePath] | 
| sourceProperties.ReactivationCount | target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount] | 
| sourceProperties.AllowedIpRange | target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange] | 
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol] | 
| sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports | target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports | 
| sourceDisplayName | target.resource.attribute.labels.key/value [sourceDisplayName] | 
フィールド マッピング リファレンス: POSTURE_VIOLATION
次の表に、POSTURE_VIOLATION カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| ログフィールド | UDM マッピング | 論理 | 
|---|---|---|
| finding.resourceName | target.resource_ancestors.name | finding.resourceNameログフィールドの値が空でない場合、finding.resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。project_nameフィールドは、Grok パターンを使用してfinding.resourceNameログフィールドから抽出されます。project_nameフィールドの値が空では ない 場合、project_nameフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| resourceName | target.resource_ancestors.name | resourceNameログフィールドの値が空では ない 場合、resourceNameログフィールドは、target.resource.nameUDM フィールドにマッピングされます。project_nameフィールドは、Grok パターンを使用してresourceNameログフィールドから抽出されます。project_nameフィールドの値が空では ない 場合、project_nameフィールドは、target.resource_ancestors.nameUDM フィールドにマッピングされます。 | 
| finding.sourceProperties.posture_revision_id | security_result.detection_fields[source_properties_posture_revision_id] | |
| sourceProperties.posture_revision_id | security_result.detection_fields[source_properties_posture_revision_id] | |
| sourceProperties.revision_id | security_result.detection_fields[source_properties_posture_revision_id] | |
| finding.sourceProperties.policy_drift_details.drift_details.expected_configuration | security_result.rule_labels[policy_drift_details_expected_configuration] | |
| sourceProperties.policy_drift_details.drift_details.expected_configuration | security_result.rule_labels[policy_drift_details_expected_configuration] | |
| finding.sourceProperties.policy_drift_details.drift_details.detected_configuration | security_result.rule_labels[policy_drift_details_detected_configuration] | |
| sourceProperties.policy_drift_details.drift_details.detected_configuration | security_result.rule_labels[policy_drift_details_detected_configuration] | |
| finding.sourceProperties.policy_drift_details.field_name | security_result.rule_labels[policy_drift_details_field_name] | |
| sourceProperties.policy_drift_details.field_name | security_result.rule_labels[policy_drift_details_field_name] | |
| finding.sourceProperties.changed_policy | security_result.rule_name | |
| sourceProperties.changed_policy | security_result.rule_name | |
| finding.sourceProperties.posture_deployment_resource | security_result.detection_fields[source_properties_posture_deployment_resource] | |
| sourceProperties.posture_deployment_resource | security_result.detection_fields[source_properties_posture_deployment_resource] | |
| finding.sourceProperties.posture_name | target.application | |
| sourceProperties.posture_name | target.application | |
| sourceProperties.name | target.application | |
| finding.sourceProperties.posture_deployment_name | security_result.detection_fields[source_properties_posture_deployment_name] | |
| sourceProperties.posture_deployment_name | security_result.detection_fields[source_properties_posture_deployment_name] | |
| sourceProperties.posture_deployment | security_result.detection_fields[source_properties_posture_deployment_name] | |
| finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType | security_result.rule_labels[expected_configuration_primitive_data_type] | |
| propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType | security_result.rule_labels[expected_configuration_primitive_data_type] | |
| finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType | security_result.rule_labels[detected_configuration_primitive_data_type] | |
| propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType | security_result.rule_labels[detected_configuration_primitive_data_type] | |
| finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType | security_result.rule_labels[field_name_primitive_data_type] | |
| propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType | security_result.rule_labels[field_name_primitive_data_type] | |
| finding.propertyDataTypes.changed_policy.primitiveDataType | security_result.rule_labels[changed_policy_primitive_data_type] | |
| propertyDataTypes.changed_policy.primitiveDataType | security_result.rule_labels[changed_policy_primitive_data_type] | |
| finding.propertyDataTypes.posture_revision_id.primitiveDataType | security_result.detection_fields[posture_revision_id_primitiveDataType] | |
| propertyDataTypes.posture_revision_id.primitiveDataType | security_result.detection_fields[posture_revision_id_primitiveDataType] | |
| finding.propertyDataTypes.posture_name.primitiveDataType | security_result.detection_fields[posture_name_primitiveDataType] | |
| propertyDataTypes.posture_name.primitiveDataType | security_result.detection_fields[posture_name_primitiveDataType] | |
| finding.propertyDataTypes.posture_deployment_name.primitiveDataType | security_result.detection_fields[posture_deployment_name_primitiveDataType] | |
| propertyDataTypes.posture_deployment_name.primitiveDataType | security_result.detection_fields[posture_deployment_name_primitiveDataType] | |
| finding.propertyDataTypes.posture_deployment_resource.primitiveDataType | security_result.detection_fields[posture_deployment_resource_primitiveDataType] | |
| propertyDataTypes.posture_deployment_resource.primitiveDataType | security_result.detection_fields[posture_deployment_resource_primitiveDataType] | |
| finding.originalProviderId | target.resource.attribute.labels[original_provider_id] | |
| originalProviderId | target.resource.attribute.labels[original_provider_id] | |
| finding.securityPosture.name | security_result.detection_fields[security_posture_name] | |
| securityPosture.name | security_result.detection_fields[security_posture_name] | |
| finding.securityPosture.revisionId | security_result.detection_fields[security_posture_revision_id] | |
| securityPosture.revisionId | security_result.detection_fields[security_posture_revision_id] | |
| finding.securityPosture.postureDeploymentResource | security_result.detection_fields[posture_deployment_resource] | |
| securityPosture.postureDeploymentResource | security_result.detection_fields[posture_deployment_resource] | |
| finding.securityPosture.postureDeployment | security_result.detection_fields[posture_deployment] | |
| securityPosture.postureDeployment | security_result.detection_fields[posture_deployment] | |
| finding.securityPosture.changedPolicy | security_result.rule_labels[changed_policy] | |
| securityPosture.changedPolicy | security_result.rule_labels[changed_policy] | |
| finding.cloudProvider | about.resource.attribute.cloud.environment | finding.cloudProviderログフィールドの値に次のいずれかの値が含まれている場合、finding.cloudProviderログフィールドはabout.resource.attribute.cloud.environmentUDM フィールドにマッピングされます。
 | 
| finding.files.path | target.file.full_path | ログフィールド finding.files、を反復処理します。 indexの値が0と等しい場合、finding.files.pathログフィールドはtarget.file.full_pathUDM フィールドにマッピングされます。それ以外の場合、 finding.files.pathログフィールドはabout.file.full_pathUDM フィールドにマッピングされます。 | 
| files.path | target.file.full_path | ログフィールド files、を反復処理します。 indexの値が0と等しい場合、files.pathログフィールドはtarget.file.full_pathUDM フィールドにマッピングされます。それ以外の場合、 files.pathログフィールドはabout.file.full_pathUDM フィールドにマッピングされます。 | 
| finding.files.size | target.file.size | ログフィールド finding.files、を反復処理します。 indexの値が0と等しい場合、finding.files.sizeログフィールドはtarget.file.sizeUDM フィールドにマッピングされます。それ以外の場合、 finding.files.sizeログフィールドはabout.file.sizeUDM フィールドにマッピングされます。 | 
| files.size | target.file.size | ログフィールド files、を反復処理します。 indexの値が0と等しい場合、files.sizeログフィールドはtarget.file.sizeUDM フィールドにマッピングされます。それ以外の場合、 files.sizeログフィールドはabout.file.sizeUDM フィールドにマッピングされます。 | 
| finding.files.sha256 | target.file.sha256 | ログフィールド finding.files、を反復処理します。 indexの値が0と等しい場合、finding.files.sizeの値がfinding.files.hashedSizeと等しい場合、finding.files.sha256ログフィールドはtarget.file.sha256UDM フィールドにマッピングされます。それ以外の場合、 finding.files.sizeの値がfinding.files.hashedSizeと等しい場合、finding.files.sha256ログフィールドはabout.file.sha256UDM フィールドにマッピングされます。 | 
| files.sha256 | target.file.sha256 | ログフィールド files、を反復処理します。 indexの値が0と等しい場合、files.sizeの値がfiles.hashedSizeと等しい場合、files.sha256ログフィールドはtarget.file.sha256UDM フィールドにマッピングされます。それ以外の場合、 files.sizeの値がfiles.hashedSizeと等しい場合、files.sha256ログフィールドはabout.file.sha256UDM フィールドにマッピングされます。 | 
| finding.files.hashedSize | additional.fields | ログフィールド finding.filesを反復処理し、additional.fields.keyUDM フィールドをfile_hashedSize_%{index}に設定し、finding.files.hashedSizeログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| files.hashedSize | additional.fields | ログフィールド filesを反復処理し、additional.fields.keyUDM フィールドをfile_hashedSize_%{index}に設定し、files.hashedSizeログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| finding.files.partiallyHashed | additional.fields | ログフィールド finding.filesを反復処理し、additional.fields.keyUDM フィールドをfile_partiallyHashed_%{index}に設定し、finding.files.partiallyHashedログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| files.partiallyHashed | additional.fields | ログフィールド filesを反復処理し、additional.fields.keyUDM フィールドをfile_partiallyHashed_%{index}に設定し、files.partiallyHashedログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| finding.files.contents | additional.fields | ログフィールド finding.filesを反復処理し、additional.fields.keyUDM フィールドをfile_contents_%{index}に設定し、finding.files.contentsログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| files.contents | additional.fields | ログフィールド filesを反復処理し、additional.fields.keyUDM フィールドをfile_contents_%{index}に設定し、files.contentsログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| finding.files.diskPath.partitionUuid | additional.fields | ログフィールド finding.filesを反復処理し、additional.fields.keyUDM フィールドをfile_diskPath_partitionUuid_%{index}に設定し、finding.files.diskPath.partitionUuidログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| files.diskPath.partitionUuid | additional.fields | ログフィールド filesを反復処理し、additional.fields.keyUDM フィールドをfile_diskPath_partitionUuid_%{index}に設定し、files.diskPath.partitionUuidログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| finding.files.diskPath.relativePath | additional.fields | ログフィールド finding.filesを反復処理し、additional.fields.keyUDM フィールドをfile_diskPath_relativePath_%{index}に設定し、finding.files.diskPath.relativePathログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| files.diskPath.relativePath | additional.fields | ログフィールド filesを反復処理し、additional.fields.keyUDM フィールドをfile_diskPath_relativePath_%{index}に設定し、files.diskPath.relativePathログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| finding.files.operations.type | additional.fields | ログフィールド finding.filesを反復処理し、additional.fields.keyUDM フィールドをfile_operations_type_%{index}に設定し、finding.files.operations.typeログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| files.operations.type | additional.fields | ログフィールド filesを反復処理し、additional.fields.keyUDM フィールドをfile_operations_type_%{index}に設定し、files.operations.typeログフィールドをadditional.fields.value.string_valueUDM フィールドにマッピングします。 | 
| cloudProvider | about.resource.attribute.cloud.environment | cloudProviderログフィールドの値に次のいずれかの値が含まれている場合、cloudProviderログフィールドはabout.resource.attribute.cloud.environmentUDM フィールドにマッピングされます。
 | 
| resource.cloudProvider | target.resource.attribute.cloud.environment | resource.cloudProviderログフィールドの値に次のいずれかの値が含まれている場合、resource.cloudProviderログフィールドはtarget.resource.attribute.cloud.environmentUDM フィールドにマッピングされます。
 | 
| resource.organization | target.resource.attribute.labels[resource_organization] | |
| resource.gcpMetadata.organization | target.resource.attribute.labels[resource_organization] | |
| resource.service | target.resource_ancestors.name | |
| resource.resourcePath.nodes.nodeType | target.resource_ancestors.resource_subtype | |
| resource.resourcePath.nodes.id | target.resource_ancestors.product_object_id | |
| resource.resourcePath.nodes.displayName | target.resource_ancestors.name | |
| resource.resourcePathString | target.resource.attribute.labels[resource_path_string] | |
| finding.risks.riskCategory | security_result.detection_fields[risk_category] | |
| finding.securityPosture.policyDriftDetails.field | security_result.rule_labels[policy_drift_details_field] | |
| finding.securityPosture.policyDriftDetails.expectedValue | security_result.rule_labels[policy_drift_details_expected_value] | |
| finding.securityPosture.policyDriftDetails.detectedValue | security_result.rule_labels[policy_drift_details_detected_value] | |
| finding.securityPosture.policySet | security_result.rule_set | |
| sourceProperties.categories | security_result.detection_fields[source_properties_categories] | 
フィールド マッピング リファレンス: CHOKEPOINT
次の表に、CHOKEPOINT カテゴリのログフィールドとそれに対応する UDM フィールドを示します。
| ログフィールド | UDM マッピング | ロジック | |
|---|---|---|---|
| finding.chokepoint.relatedFindings | about.resource.attribute.labels.key/value [chokepoint_relatedFindings] | ログフィールド finding.chokepoint.relatedFindingsを反復処理し、about.resource.attribute.labels.keyUDM フィールドをchokepoint_relatedFindings_%{index}に設定し、finding.chokepoint.relatedFindingsログフィールドをabout.resource.attribute.labels.valueUDM フィールドにマッピングします。 | |
| finding.originalProviderId | target.resource.attribute.labels[original_provider_id] | ||
| resource.cloudProvider | target.resource.attribute.cloud.environment | resource.cloudProviderログフィールドの値に次のいずれかの値が含まれている場合、resource.cloudProviderログフィールドはtarget.resource.attribute.cloud.environmentUDM フィールドにマッピングされます。
 | |
| resource.resourcePath.nodes.nodeType | target.resource_ancestors.resource_subtype | ||
| resource.resourcePath.nodes.id | target.resource_ancestors.product_object_id | ||
| resource.resourcePath.nodes.displayName | target.resource_ancestors.name | ||
| resource.organization | target.resource.attribute.labels[resource_organization] | 
共通フィールド: SECURITY COMMAND CENTER - VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION、TOXIC_COMBINATION、CHOKEPOINT
次の表に、SECURITY COMMAND CENTER の共通フィールド(VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION、TOXIC_COMBINATION カテゴリとそれらに対応する UDM フィールド)を示します。
| RawLog フィールド | UDM マッピング | 論理 | |
|---|---|---|---|
| compliances.ids | about.labels [compliance_ids](非推奨) | ||
| compliances.ids | additional.fields [compliance_ids] | ||
| compliances.version | about.labels [compliance_version](非推奨) | ||
| compliances.version | additional.fields [compliance_version] | ||
| compliances.standard | about.labels [compliances_standard](非推奨) | ||
| compliances.standard | additional.fields [compliances_standard] | ||
| connections.destinationIp | about.labels [connections_destination_ip](非推奨) | connections.destinationIpログフィールドの値がsourceProperties.properties.ipConnection.destIpと等しくない場合、connections.destinationIpログフィールドはabout.labels.valueUDM フィールドにマッピングされます。 | |
| connections.destinationIp | additional.fields [connections_destination_ip] | connections.destinationIpログフィールドの値がsourceProperties.properties.ipConnection.destIpと等しくない場合、connections.destinationIpログフィールドはadditional.fields.valueUDM フィールドにマッピングされます。 | |
| connections.destinationPort | about.labels [connections_destination_port](非推奨) | ||
| connections.destinationPort | additional.fields [connections_destination_port] | ||
| connections.protocol | about.labels [connections_protocol](非推奨) | ||
| connections.protocol | additional.fields [connections_protocol] | ||
| connections.sourceIp | about.labels [connections_source_ip](非推奨) | ||
| connections.sourceIp | additional.fields [connections_source_ip] | ||
| connections.sourcePort | about.labels [connections_source_port](非推奨) | ||
| connections.sourcePort | additional.fields [connections_source_port] | ||
| kubernetes.pods.ns | target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns] | ||
| kubernetes.pods.name | target.resource_ancestors.name | ||
| kubernetes.nodes.name | target.resource_ancestors.name | ||
| kubernetes.nodePools.name | target.resource_ancestors.name | ||
|  | target.resource_ancestors.resource_type | target.resource_ancestors.resource_typeUDM フィールドはCLUSTERに設定されます。 | |
|  | about.resource.attribute.cloud.environment | about.resource.attribute.cloud.environmentUDM フィールドはGOOGLE_CLOUD_PLATFORMに設定されます。 | |
| externalSystems.assignees | about.resource.attribute.labels.key/value [externalSystems_assignees] | ||
| externalSystems.status | about.resource.attribute.labels.key/value [externalSystems_status] | ||
| kubernetes.nodePools.nodes.name | target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name] | ||
| kubernetes.pods.containers.uri | target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri] | ||
| kubernetes.roles.kind | target.resource.attribute.labels.key/value [kubernetes_roles_kind] | ||
| kubernetes.roles.name | target.resource.attribute.labels.key/value [kubernetes_roles_name] | ||
| kubernetes.roles.ns | target.resource.attribute.labels.key/value [kubernetes_roles_ns] | ||
| kubernetes.pods.containers.labels.name/value | target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value] | ||
| kubernetes.pods.labels.name/value | target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value] | ||
| externalSystems.externalSystemUpdateTime | about.resource.attribute.last_update_time | ||
| externalSystems.name | about.resource.name | ||
| externalSystems.externalUid | about.resource.product_object_id | ||
| indicator.uris | about.url | ||
| vulnerability.cve.references.uri | extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri](非推奨) | ||
| vulnerability.cve.references.uri | additional.fields [vulnerability.cve.references.uri] | ||
| vulnerability.cve.cvssv3.attackComplexity | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity](非推奨) | ||
| vulnerability.cve.cvssv3.attackComplexity | additional.fields [vulnerability_cve_cvssv3_attackComplexity] | ||
| vulnerability.cve.cvssv3.availabilityImpact | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact](非推奨) | ||
| vulnerability.cve.cvssv3.availabilityImpact | additional.fields [vulnerability_cve_cvssv3_availabilityImpact] | ||
| vulnerability.cve.cvssv3.confidentialityImpact | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact](非推奨) | ||
| vulnerability.cve.cvssv3.confidentialityImpact | additional.fields [vulnerability_cve_cvssv3_confidentialityImpact] | ||
| vulnerability.cve.cvssv3.integrityImpact | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact](非推奨) | ||
| vulnerability.cve.cvssv3.integrityImpact | additional.fields [vulnerability_cve_cvssv3_integrityImpact] | ||
| vulnerability.cve.cvssv3.privilegesRequired | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired](非推奨) | ||
| vulnerability.cve.cvssv3.privilegesRequired | additional.fields [vulnerability_cve_cvssv3_privilegesRequired] | ||
| vulnerability.cve.cvssv3.scope | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope](非推奨) | ||
| vulnerability.cve.cvssv3.scope | additional.fields [vulnerability_cve_cvssv3_scope] | ||
| vulnerability.cve.cvssv3.userInteraction | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction](非推奨) | ||
| vulnerability.cve.cvssv3.userInteraction | additional.fields [vulnerability_cve_cvssv3_userInteraction] | ||
| vulnerability.cve.references.source | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source](非推奨) | ||
| vulnerability.cve.references.source | additional.fields [vulnerability_cve_references_source] | ||
| vulnerability.cve.upstreamFixAvailable | extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable](非推奨) | ||
| vulnerability.cve.upstreamFixAvailable | additional.fields [vulnerability_cve_upstreamFixAvailable] | ||
| vulnerability.cve.id | extensions.vulns.vulnerabilities.cve_id | ||
| vulnerability.cve.cvssv3.baseScore | extensions.vulns.vulnerabilities.cvss_base_score | ||
| vulnerability.cve.cvssv3.attackVector | extensions.vulns.vulnerabilities.cvss_vector | ||
| vulnerability.cve.impact | extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact] | ||
| vulnerability.cve.exploitationActivity | extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity] | ||
| parentDisplayName | metadata.description | ||
| eventTime | metadata.event_timestamp | ||
| category | metadata.product_event_type | ||
| sourceProperties.evidence.sourceLogId.insertId | metadata.product_log_id | canonicalNameログフィールドの値が空でない場合、finding_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。finding_idログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertIdログフィールドはmetadata.product_log_idUDM フィールドにマッピングされます。canonicalNameログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertIdログフィールドはmetadata.product_log_idUDM フィールドにマッピングされます。 | |
| sourceProperties.contextUris.cloudLoggingQueryUri.url | security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url] | ||
| sourceProperties.sourceId.customerOrganizationNumber | principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] | messageログフィールドの値が正規表現sourceProperties.sourceId.*?customerOrganizationNumberと一致する場合、sourceProperties.sourceId.customerOrganizationNumberログフィールドはprincipal.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.projectName | principal.resource.name | ||
| resource.gcpMetadata.project | principal.resource.name | ||
|  | principal.user.account_type | access.principalSubjectログフィールドの値が正規表現serviceAccountと一致する場合、principal.user.account_typeUDM フィールドはSERVICE_ACCOUNT_TYPEに設定されます。access.principalSubjectログフィールドの値が正規表現userと一致する場合、principal.user.account_typeUDM フィールドはCLOUD_ACCOUNT_TYPEに設定されます。 | |
| access.principalSubject | principal.user.attribute.labels.key/value [access_principalSubject] | ||
| access.serviceAccountDelegationInfo.principalSubject | principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject] | ||
| access.serviceAccountKeyName | principal.user.attribute.labels.key/value [access_serviceAccountKeyName] | ||
| access.principalEmail | principal.user.email_addresses | access.principalEmailログフィールドの値が空でない場合に、access.principalEmailログフィールドの値が正規表現^.+@.+$と一致する場合、access.principalEmailログフィールドはprincipal.user.email_addressesUDM フィールドにマッピングされます。 | |
| access.principalEmail | principal.user.userid | access.principalEmailログフィールドの値が空でなく、access.principalEmailログフィールドの値が正規表現^.+@.+$と一致しない場合、access.principalEmailログフィールドはprincipal.user.useridUDM フィールドにマッピングされます。 | |
| database.userName | principal.user.userid | ||
| workflowState | security_result.about.investigation.status | ||
| sourceProperties.findingId | metadata.product_log_id | ||
| kubernetes.accessReviews.group | target.resource.attribute.labels.key/value [kubernetes_accessReviews_group] | ||
| kubernetes.accessReviews.name | target.resource.attribute.labels.key/value [kubernetes_accessReviews_name] | ||
| kubernetes.accessReviews.ns | target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns] | ||
| kubernetes.accessReviews.resource | target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource] | ||
| kubernetes.accessReviews.subresource | target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource] | ||
| kubernetes.accessReviews.verb | target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb] | ||
| kubernetes.accessReviews.version | target.resource.attribute.labels.key/value [kubernetes_accessReviews_version] | ||
| kubernetes.bindings.name | security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name] | ||
| kubernetes.bindings.ns | target.resource.attribute.labels.key/value [kubernetes_bindings_ns] | ||
| kubernetes.bindings.role.kind | target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind] | ||
| kubernetes.bindings.role.ns | target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns] | ||
| kubernetes.bindings.subjects.kind | target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind] | ||
| kubernetes.bindings.subjects.name | target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name] | ||
| kubernetes.bindings.subjects.ns | target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns] | ||
| kubernetes.bindings.role.name | target.resource.attribute.roles.name | ||
|  | security_result.about.user.attribute.roles.name | messageログフィールドの値が正規表現contacts.?securityと一致する場合、security_result.about.user.attribute.roles.nameUDM フィールドはsecurityに設定されます。messageログフィールドの値が正規表現contacts.?technicalと一致する場合、security_result.about.user.attribute.roles.nameUDM フィールドはTechnicalに設定されます。 | |
| contacts.security.contacts.email | security_result.about.user.email_addresses | ||
| contacts.technical.contacts.email | security_result.about.user.email_addresses | ||
|  | security_result.alert_state | stateログフィールドの値がACTIVEと等しい場合、security_result.alert_stateUDM フィールドはALERTINGに設定されます。それ以外の場合、 security_result.alert_stateUDM フィールドはNOT_ALERTINGに設定されます。 | |
| findingClass, category | security_result.catgory_details | findingClass - categoryログフィールドはsecurity_result.catgory_detailsUDM フィールドにマッピングされます。 | |
| description | security_result.description | ||
| indicator.signatures.memoryHashSignature.binaryFamily | security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily] | ||
| indicator.signatures.memoryHashSignature.detections.binary | security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary] | ||
| indicator.signatures.memoryHashSignature.detections.percentPagesMatched | security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched] | ||
| indicator.signatures.yaraRuleSignature.yararule | security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule] | ||
| mitreAttack.additionalTactics | security_result.detection_fields.key/value [mitreAttack_additionalTactics] | ||
| mitreAttack.additionalTechniques | security_result.detection_fields.key/value [mitreAttack_additionalTechniques] | ||
| mitreAttack.primaryTactic | security_result.detection_fields.key/value [mitreAttack_primaryTactic] | ||
| mitreAttack.primaryTechniques.0 | security_result.detection_fields.key/value [mitreAttack_primaryTechniques] | ||
| mitreAttack.version | security_result.detection_fields.key/value [mitreAttack_version] | ||
| muteInitiator | security_result.detection_fields.key/value [mute_initiator] | muteログフィールドの値がMUTEDまたはUNMUTEDと等しい場合、muteInitiatorログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | |
| muteUpdateTime | security_result.detection_fields.key/value [mute_update_time] | muteログフィールドの値がMUTEDまたはUNMUTEDと等しい場合、muteUpdateTimerログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | |
| mute | security_result.detection_fields.key/value [mute] | ||
| securityMarks.canonicalName | security_result.detection_fields.key/value [securityMarks_cannonicleName] | ||
| securityMarks.marks | security_result.detection_fields.key/value [securityMarks_marks] | ||
| securityMarks.name | security_result.detection_fields.key/value [securityMarks_name] | ||
| sourceProperties.detectionCategory.indicator | security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator] | ||
| sourceProperties.detectionCategory.technique | security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique] | ||
| sourceProperties.contextUris.mitreUri.url/displayName | security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName] | ||
| sourceProperties.contextUris.relatedFindingUri.url/displayName | metadata.url_back_to_product | categoryログフィールドの値がActive Scan: Log4j Vulnerable to RCE、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Over-Privileged Grant、Exfiltration: CloudSQL Restore Backup to External Organization、Initial Access: Log4j Compromise Attempt、Malware: Cryptomining Bad Domain、Malware: Cryptomining Bad IPまたはPersistence: IAM Anomalous Grantと等しい場合、security_result.detection_fields.keyUDM フィールドはsourceProperties_contextUris_relatedFindingUri_urlに設定され、sourceProperties.contextUris.relatedFindingUri.urlログフィールドはmetadata.url_back_to_productUDM フィールドにマッピングされます。 | |
| sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName | security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] | categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IP、Malware: Cryptomining Bad Domain、またはMalware: Cryptomining Bad IPと等しい場合、sourceProperties.contextUris.virustotalIndicatorQueryUri.displayNameログフィールドはsecurity_result.detection_fields.keyUDM フィールドにマッピングされ、sourceProperties.contextUris.virustotalIndicatorQueryUri.urlログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | |
| sourceProperties.contextUris.workspacesUri.url/displayName | security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] | categoryログフィールドの値がInitial Access: Account Disabled Hijacked、Initial Access: Disabled Password Leak、Initial Access: Government Based Attack、Initial Access: Suspicious Login Blocked、Impair Defenses: Strong Authentication Disabled、Persistence: SSO Enablement ToggleまたはPersistence: SSO Settings Changedと等しい場合、sourceProperties.contextUris.workspacesUri.displayNameログフィールドはsecurity_result.detection_fields.keyUDM フィールドにマッピングされ、sourceProperties.contextUris.workspacesUri.urlログフィールドはsecurity_result.detection_fields.valueUDM フィールドにマッピングされます。 | |
| createTime | security_result.detection_fields.key/value [create_time] | ||
| nextSteps | security_result.outcomes.key/value [next_steps] | ||
| sourceProperties.detectionPriority | security_result.priority | sourceProperties.detectionPriorityログフィールドの値がHIGHと等しい場合、security_result.priorityUDM フィールドはHIGH_PRIORITYに設定されます。それ以外の場合で、 sourceProperties.detectionPriorityログフィールドの値がMEDIUMと等しい場合、security_result.priorityUDM フィールドはMEDIUM_PRIORITYに設定されます。それ以外の場合で、 sourceProperties.detectionPriorityログフィールドの値がLOWと等しい場合、security_result.priorityUDM フィールドはLOW_PRIORITYに設定されます。 | |
| sourceProperties.detectionCategory.subRuleName | security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName] | ||
| sourceProperties.detectionCategory.ruleName | security_result.rule_name | ||
| severity | security_result.severity | ||
| name | security_result.url_back_to_product | ||
| database.query | src.process.command_line | categoryログフィールドの値がExfiltration: CloudSQL Over-Privileged Grantと等しい場合、database.queryログフィールドはsrc.process.command_lineUDM フィールドにマッピングされます。それ以外の場合、 database.queryログフィールドはtarget.process.command_lineUDM フィールドにマッピングされます。 | |
| resource.folders.resourceFolderDisplayName | src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.folders.resourceFolderDisplayNameログフィールドはsrc.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。それ以外の場合、 resource.folders.resourceFolderDisplayNameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.gcpMetadata.folders.resourceFolderDisplay | src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.gcpMetadata.folders.resourceFolderDisplayログフィールドはsrc.resource_ancestors.attribute.labels.valueUDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.folders.resourceFolderDisplayログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.gcpMetadata.folders.resourceFolder | src.resource_ancestors.name | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.gcpMetadata.folders.resourceFolderログフィールドはsrc.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.folders.resourceFolderログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | |
| resource.organization | src.resource_ancestors.name | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.organizationログフィールドはsrc.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合、 resource.organizationログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | |
| resource.gcpMetadata.organization | src.resource_ancestors.name | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.gcpMetadata.organizationログフィールドはsrc.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.organizationログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | |
| resource.parentDisplayName | src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.parentDisplayNameログフィールドはsrc.resource_ancestors.attribute.labels.key/valueUDM フィールドにマッピングされます。それ以外の場合、 resource.parentDisplayNameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.gcpMetadata.parentDisplayName | src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.gcpMetadata.parentDisplayNameログフィールドはsrc.resource_ancestors.attribute.labels.key/valueUDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.parentDisplayNameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.parentName | src.resource_ancestors.attribute.labels.key/value [resource_parentName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.parentNameログフィールドはsrc.resource_ancestors.attribute.labels.key/valueUDM フィールドにマッピングされます。それ以外の場合、 resource.parentNameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.gcpMetadata.parent | src.resource_ancestors.attribute.labels.key/value [resource_parentName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.gcpMetadata.parentログフィールドはsrc.resource_ancestors.attribute.labels.key/valueUDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.parentログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.projectDisplayName | src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.projectDisplayNameログフィールドはsrc.resource_ancestors.attribute.labels.key/valueUDM フィールドにマッピングされます。それ以外の場合、 resource.projectDisplayNameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.gcpMetadata.projectDisplayName | src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.gcpMetadata.projectDisplayNameログフィールドはsrc.resource_ancestors.attribute.labels.key/valueUDM フィールドにマッピングされます。それ以外の場合、 resource.gcpMetadata.projectDisplayNameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.type | src.resource_ancestors.resource_subtype | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.typeログフィールドはsrc.resource_ancestors.resource_subtypeUDM フィールドにマッピングされます。 | |
| database.displayName | src.resource.attribute.labels.key/value [database_displayName] | categoryログフィールドの値がExfiltration: CloudSQL Over-Privileged Grantと等しい場合、database.displayNameログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| database.grantees | src.resource.attribute.labels.key/value [database_grantees] | categoryログフィールドの値がExfiltration: CloudSQL Over-Privileged Grantと等しい場合、src.resource.attribute.labels.keyUDM フィールドはgranteesに設定され、database.granteesログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.displayName | src.resource.attribute.labels.key/value [resource_displayName] | categoryログフィールドの値がExfiltration: BigQuery Data ExfiltrationまたはExfiltration: BigQuery Data to Google Driveと等しい場合、resource.displayNameログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。それ以外の場合、 resource.displayNameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.display_name | src.resource.attribute.labels.key/value [resource_display_name] | categoryログフィールドの値がExfiltration: BigQuery Data ExfiltrationまたはExfiltration: BigQuery Data to Google Driveと等しい場合、resource.display_nameログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。それ以外の場合、 resource.display_nameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.type | src.resource_ancestors.resource_subtype | categoryログフィールドの値がExfiltration: BigQuery Data to Google Driveと等しい場合、resource.typeログフィールドはsrc.resource_ancestors.resource_subtypeUDM フィールドにマッピングされます。 | |
| database.displayName | src.resource.attribute.labels.key/value [database_displayName] | ||
| database.grantees | src.resource.attribute.labels.key/value [database_grantees] | ||
| resource.displayName | target.resource.attribute.labels.key/value [resource_displayName] | categoryログフィールドの値がExfiltration: BigQuery Data ExfiltrationまたはExfiltration: BigQuery Data to Google Driveと等しい場合、resource.displayNameログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。それ以外の場合、 resource.displayNameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resource.display_name | target.resource.attribute.labels.key/value [resource_display_name] | categoryログフィールドの値がExfiltration: BigQuery Data ExfiltrationまたはExfiltration: BigQuery Data to Google Driveと等しい場合、resource.display_nameログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。それ以外の場合、 resource.display_nameログフィールドはtarget.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| exfiltration.sources.components | src.resource.attribute.labels.key/value[exfiltration_sources_components] | categoryログフィールドの値がExfiltration: CloudSQL Data ExfiltrationまたはExfiltration: BigQuery Data Extractionと等しい場合、exfiltration.sources.componentsログフィールドはsrc.resource.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| resourceName | src.resource.name | categoryログフィールドの値がExfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google DriveまたはExfiltration: BigQuery Data Exfiltrationと等しい場合、resourceNameログフィールドはsrc.resource.nameUDM フィールドにマッピングされます。 | |
| database.name | src.resource.name | ||
| exfiltration.sources.name | src.resource.name | ||
| access.serviceName | target.application | categoryログフィールドの値がDefense Evasion: Modify VPC Service Control、Exfiltration: BigQuery Data Extraction、Exfiltration: BigQuery Data to Google Drive、Exfiltration: CloudSQL Data Exfiltration、Exfiltration: CloudSQL Restore Backup to External Organization、Exfiltration: CloudSQL Over-Privileged Grant、Persistence: New GeographyまたはPersistence: IAM Anomalous Grantと等しい場合、access.serviceNameログフィールドはtarget.applicationUDM フィールドにマッピングされます。 | |
| access.methodName | target.labels [access_methodName](非推奨) | ||
| access.methodName | additional.fields [access_methodName] | ||
| processes.argumentsTruncated | target.labels [processes_argumentsTruncated](非推奨) | ||
| processes.argumentsTruncated | additional.fields [processes_argumentsTruncated] | ||
| processes.binary.contents | target.labels [processes_binary_contents](非推奨) | ||
| processes.binary.contents | additional.fields [processes_binary_contents] | ||
| processes.binary.hashedSize | target.labels [processes_binary_hashedSize](非推奨) | ||
| processes.binary.hashedSize | additional.fields [processes_binary_hashedSize] | ||
| processes.binary.partiallyHashed | target.labels [processes_binary_partiallyHashed](非推奨) | ||
| processes.binary.partiallyHashed | additional.fields [processes_binary_partiallyHashed] | ||
| processes.envVariables.name | target.labels [processes_envVariables_name](非推奨) | ||
| processes.envVariables.name | additional.fields [processes_envVariables_name] | ||
| processes.envVariables.val | target.labels [processes_envVariables_val](非推奨) | ||
| processes.envVariables.val | additional.fields [processes_envVariables_val] | ||
| processes.envVariablesTruncated | target.labels [processes_envVariablesTruncated](非推奨) | ||
| processes.envVariablesTruncated | additional.fields [processes_envVariablesTruncated] | ||
| processes.libraries.contents | target.labels [processes_libraries_contents](非推奨) | ||
| processes.libraries.contents | additional.fields [processes_libraries_contents] | ||
| processes.libraries.hashedSize | target.labels [processes_libraries_hashedSize](非推奨) | ||
| processes.libraries.hashedSize | additional.fields [processes_libraries_hashedSize] | ||
| processes.libraries.partiallyHashed | target.labels [processes_libraries_partiallyHashed](非推奨) | ||
| processes.libraries.partiallyHashed | additional.fields [processes_libraries_partiallyHashed] | ||
| processes.script.contents | target.labels [processes_script_contents](非推奨) | ||
| processes.script.contents | additional.fields [processes_script_contents] | ||
| processes.script.hashedSize | target.labels [processes_script_hashedSize](非推奨) | ||
| processes.script.hashedSize | additional.fields [processes_script_hashedSize] | ||
| processes.script.partiallyHashed | target.labels [processes_script_partiallyHashed](非推奨) | ||
| processes.script.partiallyHashed | additional.fields [processes_script_partiallyHashed] | ||
| processes.parentPid | target.parent_process.pid | ||
| processes.args | target.process.command_line_history [processes.args] | ||
| processes.name | target.process.file.full_path | ||
| processes.binary.path | target.process.file.full_path | ||
| processes.libraries.path | target.process.file.full_path | ||
| processes.script.path | target.process.file.full_path | ||
| processes.binary.sha256 | target.process.file.sha256 | ||
| processes.libraries.sha256 | target.process.file.sha256 | ||
| processes.script.sha256 | target.process.file.sha256 | ||
| processes.binary.size | target.process.file.size | ||
| processes.libraries.size | target.process.file.size | ||
| processes.script.size | target.process.file.size | ||
| processes.pid | target.process.pid | ||
| containers.uri | target.resource_ancestors.attribute.labels.key/value [containers_uri] | ||
| containers.labels.name/value | target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] | ||
| resourceName | target.resource_ancestors.name | categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IP、またはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がPersistence: GCE Admin Added SSH KeyまたはPersistence: GCE Admin Added Startup Scriptと等しい場合、sourceProperties.properties.projectIdログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。 | |
| parent | target.resource_ancestors.name | ||
| sourceProperties.affectedResources.gcpResourceName | target.resource_ancestors.name | ||
| containers.name | target.resource_ancestors.name | ||
| kubernetes.pods.containers.name | target.resource_ancestors.name | ||
| sourceProperties.sourceId.projectNumber | target.resource_ancestors.product_object_id | ||
| sourceProperties.sourceId.customerOrganizationNumber | target.resource_ancestors.product_object_id | ||
| sourceProperties.sourceId.organizationNumber | target.resource_ancestors.product_object_id | ||
| containers.imageId | target.resource_ancestors.product_object_id | ||
| sourceProperties.properties.zone | target.resource.attribute.cloud.availability_zone | categoryログフィールドの値がBrute Force: SSHと等しい場合、sourceProperties.properties.zoneログフィールドはtarget.resource.attribute.cloud.availability_zoneUDM フィールドにマッピングされます。 | |
| canonicalName | metadata.product_log_id | finding_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。finding_idログフィールドの値が空ではない場合、finding_idログフィールドはmetadata.product_log_idUDM フィールドにマッピングされます。 | |
| canonicalName | src.resource.attribute.labels.key/value [finding_id] | finding_idログフィールドの値が空でない場合、finding_idログフィールドはsrc.resource.attribute.labels.key/value [finding_id]UDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれかと等しい場合、finding_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | |
| canonicalName | src.resource.product_object_id | source_idログフィールドの値が空でない場合、source_idログフィールドはsrc.resource.product_object_idUDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれかと等しい場合、source_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | |
| canonicalName | src.resource.attribute.labels.key/value [source_id] | source_idログフィールドの値が空でない場合、source_idログフィールドはsrc.resource.attribute.labels.key/value [source_id]UDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれかと等しい場合、source_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | |
| canonicalName | target.resource.attribute.labels.key/value [finding_id] | finding_idログフィールドの値が空でない場合、finding_idログフィールドはtarget.resource.attribute.labels.key/value [finding_id]UDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれとも一致しない場合は、finding_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | |
| canonicalName | target.resource.product_object_id | source_idログフィールドの値が空でない場合、source_idログフィールドはtarget.resource.product_object_idUDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれとも一致しない場合は、source_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | |
| canonicalName | target.resource.attribute.labels.key/value [source_id] | source_idログフィールドの値が空でない場合、source_idログフィールドはtarget.resource.attribute.labels.key/value [source_id]UDM フィールドにマッピングされます。categoryログフィールドの値が次の値のいずれとも一致しない場合は、source_idは Grok パターンを使用してcanonicalNameログフィールドから抽出されます。
 | |
| exfiltration.targets.components | target.resource.attribute.labels.key/value[exfiltration_targets_components] | categoryログフィールドの値がExfiltration: CloudSQL Data ExfiltrationまたはExfiltration: BigQuery Data Extractionと等しい場合、exfiltration.targets.componentsログフィールドはtarget.resource.attribute.labels.key/valueUDM フィールドにマッピングされます。 | |
| resourceName | target.resource.name | categoryログフィールドの値がBrute Force: SSHと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされます。それ例外の場合で、 categoryログフィールドの値がMalware: Bad Domain、Malware: Bad IPまたはMalware: Cryptomining Bad IPと等しい場合、resourceNameログフィールドはtarget.resource_ancestors.nameUDM フィールドにマッピングされ、target.resource.resource_typeUDM フィールドはVIRTUAL_MACHINEに設定されます。祖霊がの場合で、 categoryログフィールドの値がExfiltration: BigQuery Data ExtractionまたはExfiltration: BigQuery Data to Google Driveと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合で、 categoryログフィールドの値がExfiltration: BigQuery Data Exfiltrationと等しい場合、exfiltration.target.nameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。それ以外の場合、 resourceNameログフィールドはtarget.resource.nameUDM フィールドにマッピングされます。 | |
| kubernetes.pods.containers.imageId | target.resource_ancestors.product_object_id | ||
| resource.project | target.resource.attribute.labels.key/value [resource_project] | ||
| resource.parent | target.resource.attribute.labels.key/value [resource_parent] | ||
|  |  |  | |
| sourceProperties.Header_Signature.significantValues.value | principal.location.country_or_region | sourceProperties.Header_Signature.nameログフィールドの値がRegionCodeと等しい場合、sourceProperties.Header_Signature.significantValues.valueログフィールドはprincipal.location.country_or_regionUDM フィールドにマッピングされます。 | |
| sourceProperties.Header_Signature.significantValues.value | principal.ip | sourceProperties.Header_Signature.nameログフィールドの値がRemoteHostと等しい場合、sourceProperties.Header_Signature.significantValues.valueログフィールドはprincipal.ipUDM フィールドにマッピングされます。 | |
| sourceProperties.Header_Signature.significantValues.value | network.http.user_agent | sourceProperties.Header_Signature.nameログフィールドの値がUserAgentと等しい場合、sourceProperties.Header_Signature.significantValues.valueログフィールドはnetwork.http.user_agentUDM フィールドにマッピングされます。 | |
| sourceProperties.Header_Signature.significantValues.value | principal.url | sourceProperties.Header_Signature.nameログフィールドの値がRequestUriPathと等しい場合、sourceProperties.Header_Signature.significantValues.valueログフィールドはprincipal.urlUDM フィールドにマッピングされます。 | |
| sourceProperties.Header_Signature.significantValues.proportionInAttack | security_result.detection_fields [proportionInAttack] | ||
| sourceProperties.Header_Signature.significantValues.attackLikelihood | security_result.detection_fields [attackLikelihood] | ||
| sourceProperties.Header_Signature.significantValues.matchType | security_result.detection_fields [matchType] | ||
| sourceProperties.Header_Signature.significantValues.proportionInBaseline | security_result.detection_fields [proportionInBaseline] | ||
| sourceProperties.compromised_account | principal.user.userid | categoryログフィールドの値がaccount_has_leaked_credentialsと等しい場合、sourceProperties.compromised_accountログフィールドはprincipal.user.useridUDM フィールドにマッピングされ、principal.user.account_typeUDM フィールドはSERVICE_ACCOUNT_TYPEに設定されます。 | |
| sourceProperties.project_identifier | principal.resource.product_object_id | categoryログフィールドの値がaccount_has_leaked_credentialsと等しい場合、sourceProperties.project_identifierログフィールドはprincipal.resource.product_object_idUDM フィールドにマッピングされます。 | |
| sourceProperties.private_key_identifier | principal.user.attribute.labels.key/value [private_key_identifier] | categoryログフィールドの値がaccount_has_leaked_credentialsと等しい場合、sourceProperties.private_key_identifierログフィールドはprincipal.user.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| sourceProperties.action_taken | principal.labels [action_taken](非推奨) | categoryログフィールドの値がaccount_has_leaked_credentialsと等しい場合、sourceProperties.action_takenログフィールドはprincipal.labels.valueUDM フィールドにマッピングされます。 | |
| sourceProperties.action_taken | additional.fields [action_taken] | categoryログフィールドの値がaccount_has_leaked_credentialsと等しい場合、sourceProperties.action_takenログフィールドはadditional.fields.valueUDM フィールドにマッピングされます。 | |
| sourceProperties.finding_type | principal.labels [finding_type](非推奨) | categoryログフィールドの値がaccount_has_leaked_credentialsと等しい場合、sourceProperties.finding_typeログフィールドはprincipal.labels.valueUDM フィールドにマッピングされます。 | |
| sourceProperties.finding_type | additional.fields [finding_type] | categoryログフィールドの値がaccount_has_leaked_credentialsと等しい場合、sourceProperties.finding_typeログフィールドはadditional.fields.valueUDM フィールドにマッピングされます。 | |
| sourceProperties.url | principal.user.attribute.labels.key/value [key_file_path] | categoryログフィールドの値がaccount_has_leaked_credentialsと等しい場合、sourceProperties.urlログフィールドはprincipal.user.attribute.labels.valueUDM フィールドにマッピングされます。 | |
| sourceProperties.security_result.summary | security_result.summary | categoryログフィールドの値がaccount_has_leaked_credentialsと等しい場合、sourceProperties.security_result.summaryログフィールドはsecurity_result.summaryUDM フィールドにマッピングされます。 | |
| kubernetes.objects.kind | target.resource.attribute.labels[kubernetes_objects_kind] | ||
| kubernetes.objects.ns | target.resource.attribute.labels[kubernetes_objects_ns] | ||
| kubernetes.objects.name | target.resource.attribute.labels[kubernetes_objects_name] | ||
| extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] | vulnerability.offendingPackage.packageName | ||
| extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] | vulnerability.offendingPackage.cpeUri | ||
| extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] | vulnerability.offendingPackage.packageType | ||
| extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] | vulnerability.offendingPackage.packageVersion | ||
| extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] | vulnerability.fixedPackage.packageName | ||
| extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] | vulnerability.fixedPackage.cpeUri | ||
| extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] | vulnerability.fixedPackage.packageType | ||
| extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] | vulnerability.fixedPackage.packageVersion | ||
| extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] | vulnerability.securityBulletin.bulletinId | ||
| security_result.detection_fields[vulnerability_securityBulletin_submissionTime] | vulnerability.securityBulletin.submissionTime | ||
| security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] | vulnerability.securityBulletin.suggestedUpgradeVersion | ||
| target.location.name | resource.location | ||
| additional.fields[resource_service] | resource.service | ||
| target.resource_ancestors.attribute.labels[kubernetes_object_kind] | kubernetes.objects.kind | ||
| target.resource_ancestors.name | kubernetes.objects.name | ||
| kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] | kubernetes.objects.ns | ||
| kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] | kubernetes.objects.group | ||
| finding.groupMemberships.groupType | security_result.about.group.attribute.labels.key/value [groupType] | ログフィールド finding.groupMemberships.groupTypeを反復処理し、security_result.about.group.attribute.labels.keyUDM フィールドをgroupType_%{index}に設定し、finding.groupMemberships.groupTypeログフィールドをsecurity_result.about.group.attribute.labels.valueUDM フィールドにマッピングします。 | |
| finding.groupMemberships.groupId | security_result.about.group.attribute.labels.key/value [groupId] | ログフィールド finding.groupMemberships.groupIdを反復処理し、security_result.about.group.attribute.labels.keyUDM フィールドをgroupId_%{index}に設定し、finding.groupMemberships.groupIdログフィールドをsecurity_result.about.group.attribute.labels.valueUDM フィールドにマッピングします。 | |
| finding.attackExposure.score | security_result.detection_fields.key/value [var_attackExposure_score] | ||
| finding.attackExposure.latestCalculationTime | security_result.detection_fields.key/value [var_attackExposure_latestCalculationTime] | ||
| finding.attackExposure.attackExposureResult | security_result.detection_fields.key/value [var_attackExposure_attackExposureResult] | ||
| finding.attackExposure.state | security_result.detection_fields.key/value [var_attackExposure_state] | ||
| finding.attackExposure.exposedHighValueResourcesCount | security_result.detection_fields.key/value [var_attackExposure_exposedHighValueResourcesCount] | ||
| finding.attackExposure.exposedMediumValueResourcesCount | security_result.detection_fields.key/value [var_attackExposure_exposedMediumValueResourcesCount] | ||
| finding.attackExposure.exposedLowValueResourcesCount | security_result.detection_fields.key/value [var_attackExposure_exposedLowValueResourcesCount] | ||
| finding.muteInfo.staticMute.state | security_result.detection_fields.key/value [var_static_mute_state] | ||
| finding.muteInfo.staticMute.applyTime | security_result.detection_fields.key/value [static_mute_apply_time] | ||
| finding.muteInfo.staticMute.applyTime | security_result.detection_fields.key/value [static_mute_apply_time] | 
次のステップ
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。