Security Command Center の検出結果を収集する

以下でサポートされています。

このドキュメントでは、Security Command Center を構成して検出結果を Google Security Operations に取り込むことで、Security Command Center のログを収集する方法について説明します。このドキュメントでは、サポートされているイベントの一覧も記載しています。

詳細については、Google Security Operations へのデータの取り込みSecurity Command Center の検出結果を Google Security Operations にエクスポートするをご覧ください。 一般的なデプロイは、Security Command Center と Google Security Operations にログを送信するように構成された Google Security Operations フィードで構成されます。お客様のデプロイはそれぞれ異なり、より複雑になる場合もあります。

デプロイには次のコンポーネントが含まれます。

  • Google Cloud: Security Command Center がインストールされているモニタリング対象のシステム。

  • Security Command Center Event Threat Detection の検出結果: データソースから情報を収集し、検出結果を生成します。

  • Google Security Operations: Security Command Center のログを保持して分析します。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、次の取り込みラベルを持つ Security Command Center パーサーに適用されます。

  • GCP_SECURITYCENTER_ERROR

  • GCP_SECURITYCENTER_MISCONFIGURATION

  • GCP_SECURITYCENTER_OBSERVATION

  • GCP_SECURITYCENTER_THREAT

  • GCP_SECURITYCENTER_UNSPECIFIED

  • GCP_SECURITYCENTER_VULNERABILITY

  • GCP_SECURITYCENTER_POSTURE_VIOLATION

  • GCP_SECURITYCENTER_TOXIC_COMBINATION

  • GCP_SECURITYCENTER_CHOKEPOINT

Security Command Center と Google Cloud を構成して、検出結果を Google Security Operations に送信する

サポートされている Event Threat Detection の検出結果

このセクションでは、サポートされている Event Threat Detection の検出結果について説明します。Security Command Center Event Threat Detection のルールと検出結果については、Event Threat Detection のルールをご覧ください。

検出結果の名前 説明
アクティブ スキャン: RCE に対して脆弱な Log4j サポートされている Log4j 脆弱性スキャナによって開始された難読化されていないドメインの DNS クエリを識別して、アクティブな Log4j の脆弱性を検出します。
ブルート フォース: SSH ホストに対するブルート フォース攻撃で SSH 認証に成功した試行を検出しています。
認証情報アクセス: 特権グループに追加された外部メンバー 外部のメンバーが特権 Google グループ(機密性の高いロールまたは権限が付与されたグループ)に追加されたことを検出します。検出結果が生成されるのは、新しく追加されたメンバーと同じ組織に属する別の外部メンバーがグループにまだ含まれていない場合に限られます。詳しくは、安全ではない Google グループの変更をご覧ください。
認証情報アクセス: 一般公開された特権グループ 特権 Google グループ(機密性の高いロールまたは権限が付与されたグループ)が一般公開に変更されていることを検出します。詳しくは、安全ではない Google グループの変更をご覧ください。
認証情報アクセス: ハイブリッド グループに付与される機密性の高いロール 外部メンバーを含む Google グループに機密性の高いロールが付与されたことを検出します。詳しくは、安全ではない Google グループの変更をご覧ください。
防御回避: VPC Service Control の変更 保護能力の低下を招く、既存の VPC Service Controls の境界に対する変更を検出します。
検出: 機密性の高い Kubernetes オブジェクトのチェックプレビュー 悪意のある行為者が、kubectl auth can-i get コマンドを使用して、Google Kubernetes Engine(GKE)内でクエリ可能な機密オブジェクトの特定を試みました。
検出: サービス アカウントの自己調査 同じサービス アカウントに関連付けられたロールと権限の調査に使用される Identity and Access Management(IAM)サービス アカウントの認証情報の検出。
回避: 匿名化プロキシからのアクセス Tor IP アドレスなどの匿名プロキシ IP アドレスから発生した Google Cloud サービス変更の検出。
データ漏洩: BigQuery データの漏洩 次のシナリオを検出します。
  • コピー オペレーションやオペレーションを含む、組織外に保存された保護された組織が所有するリソース。
  • VPC Service Controls で保護されている BigQuery リソースへのアクセスの試行。
データ漏洩: BigQuery データの抽出 次のシナリオを検出します。
  • 保護されている組織が所有する BigQuery リソースが、抽出オペレーションによって、その組織の外部にある Cloud Storage バケットに保存されている。
  • 保護されている組織が所有する BigQuery リソースが、抽出オペレーションによって、その組織が所有する一般公開の Cloud Storage バケットに保存されている。
データ漏洩: Google ドライブへの BigQuery データ 次のシナリオを検出します。

保護された組織が所有する BigQuery リソースが、抽出オペレーションによって Google ドライブ フォルダに保存されます。

データ漏洩: Cloud SQL データの漏洩 次のシナリオを検出します。
  • 組織外の Cloud Storage バケットにエクスポートされたライブ インスタンス データ。
  • 組織が所有し、一般公開される Cloud Storage バケットにエクスポートされたライブ インスタンス データ。
データ漏洩: Cloud SQL から外部組織へのバックアップの復元 Cloud SQL インスタンスのバックアップが組織外のインスタンスに復元された場合に、それを検出します。
データ漏洩: Cloud SQL の過剰な権限付与 Cloud SQL Postgres のユーザーまたはロールに、データベースに対するすべての権限が付与されているか、スキーマ内のすべてのテーブル、プロシージャ、または関数に対するすべての権限が付与されている場合に検出します。
防御への侵害: 強力な認証の無効化 組織で 2 段階認証プロセスが無効になりました。
防御への侵害: 2 段階認証プロセスの無効化 ユーザーが 2 段階認証プロセスを無効にしました。
初期アクセス: アカウントの無効化(ハイジャック) 不審なアクティビティが検出されたため、ユーザーのアカウントが一時停止されました。
初期アクセス: 無効化(パスワードの漏洩) パスワード漏洩が検出されたため、ユーザーのアカウントが無効になっています。
初期アクセス: 政府支援による攻撃 政府の支援を受けた攻撃者がユーザー アカウントまたはパソコンの不正使用を試みた可能性があります。
初期アクセス: Log4j の悪用 ヘッダーまたは URL パラメータ内の Java Naming and Directory Interface(JNDI)のルックアップを検出します。このような検索は、Log4Shell の悪用の試みを示す可能性があります。これらの検出結果は脆弱性や侵害ではなく、検出や悪用を試みるものであるため、重大度は「低」です。
初期アクセス: 不審なログインのブロック ユーザーのアカウントへの不審なログインが検出され、ブロックされました。
Log4j マルウェア: 不正なドメイン Log4j 攻撃で使用される既知のドメインへの接続やルックアップに基づく Log4j エクスプロイト トラフィックの検出。
Log4j マルウェア: 不正な IP Log4j 攻撃で使用される既知の IP アドレスへの接続に基づく Log4j エクスプロイト トラフィックの検出。
マルウェア: 不正ドメイン 既知の不正ドメインへの接続やルックアップに基づくマルウェアの検出。
マルウェア: 不正 IP 既知の不正な IP アドレスへの接続に基づくマルウェアの検出。
マルウェア: 不正ドメインの暗号化 既知の暗号通貨マイニング ドメインへの接続またはルックアップに基づくクリプトマイニングの検出。
マルウェア: クリプトマイニングの不正な IP 既知のマイニング IP アドレスへの接続に基づく暗号通貨マイニングの検出。
送信 DoS 送信サービス拒否攻撃トラフィックの検出
永続性: Compute Engine 管理者による SSH 認証鍵の追加 確立されたインスタンスの Compute Engine インスタンス メタデータ SSH 認証鍵の値の変更の検出(1 週間以上前)。
永続性: Compute Engine 管理者による起動スクリプトの追加 確立されたインスタンスの Compute Engine インスタンス メタデータ起動スクリプトの値の変更の検出(1 週間以上前)。
永続性: IAM 異常付与 組織のメンバーではない IAM ユーザーおよびサービス アカウントに付与された権限の検出。この検出機能は、組織の既存の IAM ポリシーをコンテキストとして使用します。外部メンバーへの機密性の高い IAM の付与があり、それに似た既存の IAM ポリシーが 3 つ未満の場合、検出機能によって検出結果が生成されます。
永続性: 新しい API メソッドプレビュー IAM サービス アカウントによる Google Cloud サービスの異常な使用の検出。
永続性: 新しい地域 リクエスト元の IP アドレスの位置情報に基づいて、通常とは異なるロケーションから Google Cloud にアクセスする IAM ユーザーとサービス アカウントを異常なロケーションから検出。
永続性: 新しいユーザー エージェント 通常と異なるユーザー エージェントまたは不審なユーザー エージェントから Google Cloud にアクセスする IAM サービス アカウントの検出。
永続性: SSO の有効化の切り替え 管理者アカウントで SSO(シングル サインオン)の有効化の設定が無効になりました。
永続性: 変更された SSO 設定 管理者アカウントの SSO の設定が変更されました。
権限昇格: Kubernetes RBAC 機密オブジェクトの変更プレビュー 権限の昇格を目的として、悪意のある行為者が PUT または PATCH リクエストを使用して cluster-admin ClusterRole オブジェクトと ClusterRoleBinding オブジェクトの変更を試みました。
権限昇格: マスター証明書の Kubernetes CSR の作成プレビュー 悪意の可能性がある行為者が、Kubernetes マスター証明書署名リクエスト(CSR)を作成しました。これによりクラスタ管理者アクセス権が付与されます。
権限昇格: 機密性の高い Kubernetes バインディングの作成プレビュー 悪意のある行為者が、新しいクラスタ管理者の RoleBinding オブジェクトまたは ClusterRoleBinding オブジェクトを作成して、権限昇格を試みました。
権限昇格: 侵害されたブートストラップ認証情報を使用した Kubernetes CSR の取得プレビュー 悪意のある行為者が、漏洩したブートストラップ認証情報を使用して kubectl コマンドを実行し、証明書署名リクエスト(CSR)をクエリしました。
権限昇格: Kubernetes 特権コンテナのリリースプレビュー 悪意のある行為者が、特権コンテナまたは権限昇格機能を持つコンテナを備えた Pod を作成しました。

特権コンテナの privileged フィールドは true に設定されています。権限昇格機能を備えたコンテナは allowPrivilegeEscalation フィールドが true に設定されています。

初期アクセス: 休眠状態のサービス アカウントに対するキーの作成 休眠状態のユーザー管理サービス アカウントに対して鍵が作成されたイベントを検出します。ここでは 180 日を超えて非アクティブなサービス アカウントが、休眠状態と見なされます。
プロセスツリー この検出機能は、実行中のすべてのプロセスのプロセスツリーを確認します。プロセスがシェルバイナリの場合、検出機能は親プロセスを確認します。親プロセスが、シェルプロセスを生成しないバイナリである場合、検出機能は検出結果をトリガーします。
予期しない子シェル この検出機能は、実行中のすべてのプロセスのプロセスツリーを確認します。プロセスがシェルバイナリの場合、検出機能は親プロセスを確認します。親プロセスが、シェルプロセスを生成しないバイナリである場合、検出機能は検出結果をトリガーします。
実行: 追加された悪意のあるバイナリが実行された この検出機能では、元のコンテナ イメージの一部ではなく、脅威インテリジェンスに基づいて悪意があると特定されたバイナリが実行されていないかどうかを調べます。
実行: 変更された悪意のあるバイナリが実行された この検出機能では、コンテナ イメージに元々含まれていたバイナリが実行時に変更され、脅威インテリジェンスに基づいて悪意があるものとして特定されたバイナリが実行されていないかどうかを調べます。
権限昇格: 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任 管理アクティビティで異常なマルチステップの委任リクエストが見つかった場合に、検出します。
使用するブレークグラス アカウント: break_glass_account 緊急アクセス(ブレークグラス)アカウントの使用を検出します
構成可能な不正ドメイン: APT29_Domains 指定されたドメイン名への接続を検出します
想定外のロールの付与: 禁止されているロール 指定されたロールがユーザーに付与されたことを検出します
構成可能な不正 IP 指定された IP アドレスへの接続を検出します
想定外の Compute Engine インスタンス タイプ 指定されたインスタンス タイプや構成に一致しない Compute Engine インスタンスの作成を検出します。
想定外の Compute Engine ソースイメージ 指定したリストに一致しないイメージまたはイメージ ファミリーを持つ Compute Engine インスタンスの作成を検出します
想定外の Compute Engine リージョン 指定したリストにないリージョンでの Compute Engine インスタンスの作成を検出します
禁止されている権限があるカスタムロール 指定された IAM 権限のいずれかを含むカスタムロールがプリンシパルに付与されたことを検出します。
予期しない Cloud API 呼び出し 指定したプリンシパルが、指定されたリソースに対して指定されたメソッドを呼び出す場合に、検出します。検出結果は、単一のログエントリ内のすべての正規表現が一致した場合にのみ生成されます。

サポートされている GCP_SECURITYCENTER_ERROR の検出結果

UDM マッピングは、フィールド マッピング リファレンス: ERROR テーブルで確認できます。

検出結果の名前 説明
VPC_SC_RESTRICTION Security Health Analytics では、プロジェクトの特定の検出結果を生成できません。プロジェクトがサービス境界で保護されており、Security Command Center のサービス アカウントがその境界にアクセスできません。
MISCONFIGURED_CLOUD_LOGGING_EXPORT Cloud Logging に継続的なエクスポートを行うために構成したプロジェクトが使用できません。Security Command Center は、検出結果を Logging に送信できません。
API_DISABLED プロジェクトで必須の API が無効になっています。無効になっているサービスは、Security Command Center に検出結果を送信できません。
KTD_IMAGE_PULL_FAILURE 必要なコンテナ イメージを gcr.io(Container Registry イメージホスト)から pull(ダウンロード)できないため、クラスタで Container Threat Detection を有効にできません。このイメージは、Container Threat Detection に必要な Container Threat Detection DaemonSet をデプロイするために必要です。
KTD_BLOCKED_BY_ADMISSION_CONTROLLER Kubernetes クラスタで Container Threat Detection を有効にすることはできません。サードパーティのアドミッション コントローラにより、Container Threat Detection に必要な Kubernetes DaemonSet オブジェクトのデプロイがブロックされています。

Google Cloud コンソールで確認すると、検出結果の詳細には、Container Threat Detection が Container Threat Detection DaemonSet オブジェクトをデプロイしようとしたときに Google Kubernetes Engine から返されたエラー メッセージが含まれます。

KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS サービス アカウントに Container Threat Detection に必要な権限がありません。検出計測の有効化、アップグレード、または無効化ができないため、Container Threat Detection が正常に機能できなくなりました。
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS クラスタの GKE のデフォルト サービス アカウントに権限が不足しているため、Container Threat Detection は Google Kubernetes Engine クラスタの検出結果を生成できません。このため、クラスタで Container Threat Detection を有効にできません。
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS Security Command Center サービス アカウントに、正しく機能するために必要な権限がありません。検出結果は生成されません。

サポートされている GCP_SECURITYCENTER_OBSERVATION の検出結果

UDM マッピングは、フィールド マッピング リファレンス: OBSERVATION テーブルで確認できます。

検出結果の名前 説明
永続性: プロジェクトの SSH 認証鍵の追加 10 日以上経過したプロジェクトに、プロジェクト レベルの SSH 認証鍵が作成されました。
永続性: 機密性の高いロールの追加 10 日以上経過した組織で、機密性または権限の高い組織レベルの IAM ロールが付与されました。

サポートされている GCP_SECURITYCENTER_UNSPECIFIED の検出結果

UDM マッピングは、フィールド マッピング リファレンス: UNSPECIFIED テーブルで確認できます。

検出結果の名前 説明
OPEN_FIREWALL ファイアウォールが、一般公開のアクセスを受け入れるように構成されている。

サポートされている GCP_SECURITYCENTER_VULNERABILITY の検出結果

UDM マッピングは、フィールド マッピング リファレンス: VULNERABILITY テーブルで確認できます。

検出結果の名前 説明
DISK_CSEK_DISABLED この VM のディスクは顧客指定の暗号鍵(CSEK)で暗号化されていない。この検出機能を有効にするには、追加の構成が必要です。手順については、特殊なケースの検出機能をご覧ください。
ALPHA_CLUSTER_ENABLED アルファ クラスタ機能が GKE クラスタで有効になっています。
AUTO_REPAIR_DISABLED ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。
AUTO_UPGRADE_DISABLED GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。
CLUSTER_SHIELDED_NODES_DISABLED シールドされた GKE ノードがクラスタで有効になっていません。
COS_NOT_USED Compute Engine VM が、 Google Cloud で Docker コンテナを安全に実行するように設計された Container-Optimized OS を使用していません。
INTEGRITY_MONITORING_DISABLED GKE クラスタの整合性モニタリングが無効になっています。
IP_ALIAS_DISABLED GKE クラスタが無効なエイリアス IP 範囲で作成されています。
LEGACY_METADATA_ENABLED GKE クラスタで以前のメタデータが有効になっています。
RELEASE_CHANNEL_DISABLED GKE クラスタはリリース チャンネルに登録されていません。
DATAPROC_IMAGE_OUTDATED Dataproc クラスタは、Apache Log4j 2 ユーティリティのセキュリティ脆弱性(CVE-2021-44228 および CVE-2021-45046)の影響を受ける Dataproc イメージ バージョンを使用して作成されています。
PUBLIC_DATASET データセットが、一般公開のアクセスを受け入れるように構成されている。
DNSSEC_DISABLED Cloud DNS ゾーンで DNSSEC が無効になっている。
RSASHA1_FOR_SIGNING RSASHA1 が Cloud DNS ゾーンにログインする鍵に使用されています。
REDIS_ROLE_USED_ON_ORG Redis IAM ロールが組織レベルまたはフォルダレベルで割り当てられています。
KMS_PUBLIC_KEY Cloud KMS 暗号鍵は一般公開されています。
SQL_CONTAINED_DATABASE_AUTHENTICATION 含まれている Cloud SQL for SQL Server インスタンスのデータベース認証データベース フラグが、オフに設定されていません。
SQL_CROSS_DB_OWNERSHIP_CHAINING Cloud SQL for SQL Server インスタンスの cross_db_ownership_chaining データベース フラグがオフに設定されていません。
SQL_EXTERNAL_SCRIPTS_ENABLED Cloud SQL for SQL Server インスタンスの外部スクリプト対応データベース フラグがオフに設定されていません。
SQL_LOCAL_INFILE Cloud SQL for MySQL インスタンスの local_infile データベース フラグがオフに設定されていません。
SQL_LOG_ERROR_VERBOSITY Cloud SQL for PostgreSQL インスタンスの log_error_verbosity データベース フラグが、デフォルトまたはより厳密な値に設定されていません。
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED Cloud SQL for PostgreSQL インスタンスの log_min_duration_statement データベース フラグが「-1」に設定されていません。
SQL_LOG_MIN_ERROR_STATEMENT Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグが適切に設定されていません。
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグには、適切な重大度がありません。
SQL_LOG_MIN_MESSAGES Cloud SQL for PostgreSQL インスタンスの log_min_messages データベース フラグが、警告に設定されていません。
SQL_LOG_EXECUTOR_STATS_ENABLED Cloud SQL for PostgreSQL インスタンスの log_executor_status データベース フラグがオフに設定されていません。
SQL_LOG_HOSTNAME_ENABLED Cloud SQL for PostgreSQL インスタンスの log_hostname データベース フラグがオフに設定されていません。
SQL_LOG_PARSER_STATS_ENABLED Cloud SQL for PostgreSQL インスタンスの log_parser_stats データベース フラグがオフに設定されていません。
SQL_LOG_PLANNER_STATS_ENABLED Cloud SQL for PostgreSQL インスタンスの log_planner_stats データベース フラグがオフに設定されていません。
SQL_LOG_STATEMENT_STATS_ENABLED Cloud SQL for PostgreSQL インスタンスの log_statement_stats データベース フラグがオフに設定されていません。
SQL_LOG_TEMP_FILES Cloud SQL for PostgreSQL インスタンスの log_temp_files データベース フラグが「0」に設定されていません。
SQL_REMOTE_ACCESS_ENABLED Cloud SQL for SQL Server インスタンスのリモート アクセス データベース フラグがオフに設定されていません。
SQL_SKIP_SHOW_DATABASE_DISABLED Cloud SQL for MySQL インスタンスの skip_show_database データベース フラグがオンに設定されていません。
SQL_TRACE_FLAG_3625 Cloud SQL for SQL Server インスタンスの 3625(トレースフラグ)データベース フラグがオンに設定されていません。
SQL_USER_CONNECTIONS_CONFIGURED Cloud SQL for SQL Server インスタンスのユーザー接続データベース フラグが構成されています。
SQL_USER_OPTIONS_CONFIGURED Cloud SQL for SQL Server インスタンスのユーザー オプション データベース フラグが構成されています。
SQL_WEAK_ROOT_PASSWORD Cloud SQL データベースに、root アカウント用に構成された弱いパスワードがある。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。
PUBLIC_LOG_BUCKET ログシンクとして使用されるストレージ バケットが一般公開されています。
ACCESSIBLE_GIT_REPOSITORY Git リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。
ACCESSIBLE_SVN_REPOSITORY SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。
ACCESSIBLE_ENV_FILE ENV ファイルが一般公開されています。この問題を解決するには、ENV ファイルへの意図しない公開アクセスを削除します。
CACHEABLE_PASSWORD_INPUT ウェブ アプリケーションに入力したパスワードが、安全なパスワード ストレージではなく、通常のブラウザ キャッシュに保存できます。
CLEAR_TEXT_PASSWORD パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION クロスサイト HTTP または HTTPS エンドポイントが、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのサフィックスのみを検証しています。この問題を解決するには、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、想定どおりのルートドメインが Origin ヘッダー値の一部になっていることを確認します。サブドメインのワイルドカードの場合は、ルートドメインに先頭にドットを追加します(例: .endsWith("".google.com""))。
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION クロスサイト HTTP または HTTPS エンドポイントが、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのプレフィックスのみを検証しています。この問題を解決するには、Access-Control-Allow-Origin レスポンス ヘッダーに反映する前に、想定どおりのドメインが Origin ヘッダーの値に完全に一致しているかどうか確認します(例: equals("".google.com""))。
INVALID_CONTENT_TYPE レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれた。この問題を解決するには、X-Content-Type-Options HTTP ヘッダーに正しい値を設定します。
INVALID_HEADER セキュリティ ヘッダーに構文エラーがあり、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。
MISMATCHING_SECURITY_HEADER_VALUES セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。
MISSPELLED_SECURITY_HEADER_NAME セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。
MIXED_CONTENT HTTPS ページ上で HTTP を介してリソースが提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。
OUTDATED_LIBRARY 既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。
SERVER_SIDE_REQUEST_FORGERY サーバー側のリクエスト フォージェリ(SSRF)の脆弱性が検出された。この問題を解決するには、許可リストを使用して、ウェブ アプリケーションがリクエストできるドメインと IP アドレスを制限します。
SESSION_ID_LEAK クロスドメイン リクエストを行うときに、ウェブ アプリケーションの Referer リクエスト ヘッダーにユーザーのセッション ID が含まれています。この脆弱性により、受信側ドメインにセッション ID へのアクセス権が付与されます。この ID は、ユーザーになりすますことや、ユーザーを一意に識別するために使用される可能性があります。
SQL_INJECTION 潜在的な SQL インジェクション脆弱性が検出された。この問題を解決するには、パラメータ化されたクエリを使用して、ユーザー入力が SQL クエリの構造に影響を与えないようにします。
STRUTS_INSECURE_DESERIALIZATION 脆弱なバージョンの Apache Struts の使用が検出されました。この問題を解決するには、Apache Struts を最新バージョンにアップグレードしてください。
XSS このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。
XSS_ANGULAR_CALLBACK ユーザーが指定した文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、信頼されていないユーザーが指定し、Angular フレームワークによって処理されたデータを検証してエスケープします。
XSS_ERROR このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。
XXE_REFLECTED_FILE_LEAKAGE XML 外部エンティティ(XXE)の脆弱性が検出された。この脆弱性により、ウェブ アプリケーションによりホスト上のファイルが漏洩する可能性があります。この問題を解決するには、外部エンティティを許可しないように XML パーサーを構成します。
BASIC_AUTHENTICATION_ENABLED Kubernetes クラスタで、IAM またはクライアント証明書認証を有効にする必要があります。
CLIENT_CERT_AUTHENTICATION_DISABLED Kubernetes クラスタは、クライアント証明書を有効にして作成する必要があります。
LABELS_NOT_USED お支払い情報の内訳を示すためにラベルを使用できます。
PUBLIC_STORAGE_OBJECT ストレージ オブジェクト ACL で allUsers にアクセス権を付与してはいけません。
SQL_BROAD_ROOT_LOGIN SQL データベースへのルートアクセスは、許可リストに含まれている信頼できる IP のみに制限する必要があります。
WEAK_CREDENTIALS この検出機能は、ncrack ブルート フォース手法を使用して、脆弱な認証情報をチェックします。

サポートされているサービス: SSH、RDP、FTP、WordPress、TELNET、POP3、IMAP、VCS、SMB、SMB2、VNC、SIP、REDIS、PSQL、MYSQL、MSSQL、MQTT、MONGODB、WINRM、DICOM

ELASTICSEARCH_API_EXPOSED Elasticsearch API を使用すると、呼び出し元は任意のクエリの実行、スクリプトの作成と実行、サービスへのドキュメントの追加を行うことができます。
EXPOSED_GRAFANA_ENDPOINT Grafana 8.0.0 から 8.3.0 では、ユーザーはディレクトリ トラバーサルの脆弱性があるエンドポイントに認証なしでアクセスできます。この脆弱性を悪用すると、認証なしでサーバー上のファイルを読み取ることができます。詳細については、CVE-2021-43798 をご覧ください。
EXPOSED_METABASE オープンソースのデータ分析プラットフォームである Metabase のバージョン x.40.0 ~ x.40.4 には、カスタム GeoJSON マップサポートの脆弱性が存在し、環境変数などのローカル ファイルへのインクルードが行われる可能性があります。URL は読み込み前に検証されていません。詳細については、CVE-2021-41277 をご覧ください。
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT この検出機能は、Spring Boot アプリケーションの機密性の高い Actuator エンドポイントが公開されているかどうかを確認します。/heapdump など、一部のデフォルトのエンドポイントでは機密情報が公開される可能性があります。/env などの他のエンドポイントでは、リモートからコードが実行されるおそれがあります。現在、/heapdump のみがチェックされます。
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API この検出機能は、Hadoop クラスタの計算リソースとストレージ リソースを制御する Hadoop Yarn ResourceManager API が公開され、未認証のコード実行を許可しているかどうかをチェックします。
JAVA_JMX_RMI_EXPOSED Java Management Extension(JMX)を使用すると、Java アプリケーションに対してリモート モニタリングと診断を行うことができます。保護されていない Remote Method Invocation エンドポイントで JMX を実行すると、リモート ユーザーは javax.management.loading.MLet MBean を作成し、それを使用して任意の URL から新しい MBeans を作成できます。
JUPYTER_NOTEBOOK_EXPOSED_UI この検出機能は、未認証の Jupyter Notebook が公開されているかどうかをチェックします。Jupyter では、ホストマシン上で設計することでリモートコードの実行が可能となります。未認証の Jupyter Notebook を使用すると、ホストしている VM がリモートコード実行の危険にさらされます。
KUBERNETES_API_EXPOSED Kubernetes API が公開されており、未認証の呼出し元からもアクセス可能です。これにより、Kubernetes クラスタで任意のコードを実行できます。
UNFINISHED_WORDPRESS_INSTALLATION この検出機能は、WordPress のインストールが完了していないかどうかチェックします。WordPress のインストールが完了していないと、/wp-admin/install.php ページが表示されるため、攻撃者が管理者パスワードを設定でき、場合によってはシステムが侵害される可能性があります。
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE この検出機能は、匿名ユーザーとして、/view/all/newJob エンドポイントにプローブ ping を送信することにより、未認証の Jenkins インスタンスをチェックします。認証済みの Jenkins インスタンスは createItem フォームを表示しますが、このフォームを使用すると、リモートコード実行を引き起こす可能性のある任意のジョブを作成できます。
APACHE_HTTPD_RCE Apache HTTP Server 2.4.49 に、パス トラバーサル攻撃により、想定されるドキュメント ルート以外のファイルに URL がマッピングされ、CGI スクリプトなどの解釈されたファイルのソースが開示される脆弱性が見つかりました。この問題は、実際に悪用されていることが確認されています。この問題は、Apache 2.4.49 と 2.4.50 に影響しますが、以前のバージョンには影響しません。この脆弱性の詳細については、以下をご覧ください。

CVE レコード CVE-2021-41773

Apache HTTP Server 2.4 の脆弱性

APACHE_HTTPD_SSRF mod_proxy が攻撃者によって選択された配信元サーバーにリクエストを転送するように、Apache ウェブサーバーへの URI が作成される可能性があります。この問題は、Apache HTTP サーバー 2.4.48 以前に影響します。この脆弱性の詳細については、以下をご覧ください。

CVE レコード CVE-2021-40438

Apache HTTP Server 2.4 の脆弱性

CONSUL_RCE Consul インスタンスが、-enable-script-checks で true に設定され、Consul HTTP API が保護されずにネットワーク経由でアクセスできるため、攻撃者は Consul サーバーで任意のコードを実行できます。Consul 0.9.0 以前では、スクリプト チェックはデフォルトでオンになっています。詳細については、特定の構成での RCE リスクからの Consul の保護をご覧ください。この脆弱性を確認するために、Rapid Vulnerability Detection は /v1/health/service REST エンドポイントを使用して Consul インスタンスにサービスを登録し、次のいずれかを実行します。 * ネットワーク外のリモート サーバーへの curl コマンド。攻撃者は、curl コマンドを使用してサーバーからデータを抜き取ることができます。 * printf コマンド。次に、Rapid Vulnerability Detection は、/v1/health/service REST エンドポイントを使用してコマンドの出力を確認します。 * チェック後、Rapid Vulnerability Detection は /v1/agent/service/deregister/ REST エンドポイントを使用してサービスをクリーンアップし、登録解除します。
DRUID_RCE Apache Druid には、さまざまなタイプのリクエストに埋め込まれたユーザー提供の JavaScript コードを実行する機能があります。この機能は高信頼性環境で使用することを想定しており、デフォルトでは無効になっています。ただし、Druid 0.20.0 以前では、認証済みユーザーが特別なリクエストを送信して、Druid にユーザー指定の JavaScript コードを実行させることができます。これはサーバー構成に関係なく可能です。これにより、Druid サーバー プロセスの権限を使用してターゲット マシンでコードを実行できます。詳細については、CVE-2021-25646 の詳細をご覧ください。
DRUPAL_RCE

Drupal の 7.58 より前のバージョン、8.3.9 より前のバージョン 8.x、8.4.6 より前のバージョン 8.4.x、8.5.1 より前のバージョン 8.5.x は、Form API AJAX リクエストでのリモートコード実行に対して脆弱です。

Drupal の 8.5.11 より前のバージョン 8.5.x、8.6.10 より前のバージョン 8.6.x では、RESTful Web Service モジュールまたは JSON:API のいずれかが有効になっている場合、リモートコード実行に対して脆弱です。この脆弱性は、悪意のある非人称ユーザーがカスタム POST リクエストを使用して悪用する可能性があります。

FLINK_FILE_DISCLOSURE Apache Flink バージョン 1.11.0、1.11.1、1.11.2 に脆弱性があります。これにより、JobManager プロセスの REST インターフェースを介して JobManager のローカル ファイルシステム上のファイルが読み取られる可能性があります。アクセスは、JobManager プロセスがアクセスできるファイルに制限されます。
GITLAB_RCE GitLab Community Edition(CE)と Enterprise Edition(EE)バージョン 11.9 以降で、GitLab はファイル パーサーに渡される画像ファイルを正しく検証しません。この脆弱性が悪用され、リモートからコマンドが実行される可能性があります。
GoCD_RCE GoCD 21.2.0 以前に、認証なしでアクセスできるエンドポイントがあります。このエンドポイントにはディレクトリ トラバーサルの脆弱性があり、ユーザーは認証なしでサーバー上の任意のファイルを読み取ることができます。
JENKINS_RCE Jenkins バージョン 2.56 以前と 2.46.1 LTS 以前に、リモートコード実行の脆弱性が存在します。未認証の攻撃者がシリアル化された不正な Java オブジェクトを使用して、この脆弱性をトリガーする可能性があります。
JOOMLA_RCE

Joomla の 3.4.6 より前のバージョン 1.5.x、2.x、3.x には、リモートコード実行の脆弱性が存在します。シリアル化された PHP オブジェクトを含む詳細なヘッダーによって、この脆弱性がトリガーされる可能性があります。

Joomla のバージョン 3.0.0 ~ 3.4.6 にリモートコード実行の脆弱性が存在します。シリアル化された不正な PHP オブジェクトを含む POST リクエストを送信することで、この脆弱性がトリガーされる可能性があります。

LOG4J_RCE Apache Log4j2 2.14.1 以前では、構成、ログメッセージ、パラメータで使用される JNDI 機能は、攻撃者が制御する LDAP やその他の JNDI 関連エンドポイントから保護しません。詳細については、CVE-2021-44228 をご覧ください。
MANTISBT_PRIVILEGE_ESCALATION MantisBT バージョン 2.3.0 までは、verify.php に空の confirm_hash 値を指定することで、任意のパスワードのリセットと未認証管理者のアクセスが可能になります。
OGNL_RCE Confluence Server インスタンスと Data Center インスタンスには、未認証の攻撃者が任意のコードを実行する可能性のある OGNL インジェクションの脆弱性が存在します。詳細については、CVE-2021-26084 をご覧ください。
OPENAM_RCE OpenAM サーバー 14.6.2 以前と ForgeRock AM サーバー 6.5.3 以前には、複数のページの jato.pageSession パラメータに Java のシリアル化解除の脆弱性があります。悪用には認証が不要であり、細工した 1 つの /ccversion/* リクエストをサーバーに送信することでリモートからのコード実行が可能になります。この脆弱性は、Sun ONE アプリケーションの使用が原因で発生します。詳細については、CVE-2021-35464 をご覧ください。
ORACLE_WEBLOGIC_RCE Oracle Fusion Middleware(コンポーネント: Console)の Oracle WebLogic Server プロダクトの特定のバージョン(10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 など)に脆弱性が存在します。この脆弱性は悪用されやすく、ネットワーク アクセス権限のある未認証のユーザーが HTTP 経由で Oracle WebLogic Server を侵害できます。この脆弱性が攻撃されると、Oracle WebLogic Server が乗っ取られる可能性があります。詳細については、CVE-2020-14882 をご覧ください。
PHPUNIT_RCE 5.6.3 より前のバージョンの PHPUnit では、未認証の POST リクエストによってリモートコードが実行される可能性があります。
PHP_CGI_RCE PHP のバージョン 5.3.12 以前と 5.4.2 より前のバージョン 5.4.x では、CGI スクリプトとして構成されているリモートコードの実行が可能です。脆弱性のあるコードでは、=(等号)文字のないクエリ文字列が適切に処理されません。攻撃者は、サーバー上で実行されるコマンドライン オプションを追加できます。
PORTAL_RCE 7.2.1 CE GA2 より前の Liferay Portal バージョンでは、信頼できないデータを逆シリアル化することで、リモートの攻撃者が JSON ウェブサービス経由で任意のコードを実行できます。
REDIS_RCE Redis インスタンスで管理者コマンドを実行するための認証が不要な場合、攻撃者は任意のコードを実行できる可能性があります。
SOLR_FILE_EXPOSED オープンソースの検索サーバーである Apache Solr で認証が有効になっていません。Apache Solr が認証を必要としない場合、攻撃者は特定の構成を有効にするリクエストを直接作成できます。最終的には、サーバー側のリクエスト フォージェリ(SSRF)を実装したり、任意のファイルを読み取ることが可能になります。
SOLR_RCE Apache Solr のバージョン 5.0.0 ~ 8.3.1 で、params.resource.loader.enabled が true に設定されていると、VelocityResponseWriter からのリモートコード実行に対して脆弱です。この設定により、攻撃者が悪意のあるベロシティ テンプレートを含むパラメータを作成できます。
STRUTS_RCE
  • Apache Struts の 2.3.32 より前のバージョンと 2.5.10.1 より前のバージョン 2.5.x には、リモートコード実行の脆弱性が存在します。この脆弱性は、未認証の攻撃者が不正な Content-Type ヘッダーを提供することでトリガーされる可能性があります。
  • Apache Struts の 2.3.34 より前のバージョン 2.1.1 ~ 2.3.x と、2.5.13 より前のバージョン 2.5.x の REST プラグインで、不正な XML ペイロードのシリアル化を解除するときに、リモートからコードが実行される可能性があります。
  • Apache Struts のバージョン 2.3 ~ 2.3.34、2.5 ~ 2.5.16 で、alwaysSelectFullNamespace が true に設定されていて、特定のバージョン他のアクション構成が存在する場合、リモートコードが実行される可能性があります。
TOMCAT_FILE_DISCLOSURE Apache Tomcat の 9.0.31 より前のバージョン 9.x、8.5.51 より前のバージョン 8.x、7.0.100 より前のバージョン 7.x、および すべての 6.x に、公開されている Apache JServ Protocol コネクタを介してソースコードと構成が開示される脆弱性が存在します。ファイルのアップロードが許可されている場合、この脆弱性がリモートコードの実行に利用されることがあります。
VBULLETIN_RCE バージョン 5.0.0 から 5.5.4 を実行する vBulletin サーバーに、リモートコード実行の脆弱性が存在します。この脆弱性は、routestring リクエストでクエリ パラメータを使用している未認証の攻撃者に悪用される可能性があります。
VCENTER_RCE VMware vCenter Server の 7.0 U1c より前のバージョン 7.x、6.7 U3l より前のバージョン 6.7、6.5 U3n より前のバージョン 6.5 に、リモートコード実行の脆弱性が存在します。この脆弱性により、攻撃者は不正な Java Server Pages ファイルをウェブアクセス可能なディレクトリにアップロードして、そのファイルを実行する可能性があります。
WEBLOGIC_RCE Oracle Fusion Middleware(コンポーネント: Console)の Oracle WebLogic Server プロダクトの特定のバージョン(10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 など)に、リモートコード実行の脆弱性が存在します。この脆弱性は、CVE-2020-14750、CVE-2020-14882、CVE-2020-14883 に関連しています。詳細については、CVE-2020-14883 をご覧ください。
OS_VULNERABILITY VM Manager が、Compute Engine VM にインストールされているオペレーティング システム(OS)パッケージに脆弱性を検出しました。
UNUSED_IAM_ROLE IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザー アカウントを検出しました。
GKE_RUNTIME_OS_VULNERABILITY GKE は、登録済みの GKE クラスタで実行されるコンテナ イメージの脆弱性を継続的にスキャンします。GKE は、NIST などの公開 CVE データベースからの脆弱性データを使用します。GKE は任意のレジストリからイメージをスキャンできますが、OS バージョンはサポートされている必要があります。サポートされているオペレーティング システムの一覧については、サポートされている Linux のバージョンをご覧ください。
GKE_SECURITY_BULLETIN GKE で脆弱性が発見された場合、脆弱性にパッチが適用された後にセキュリティに関する公開情報が公開されます。脆弱性パッチの適用プロセスとタイムラインの詳細については、GKE セキュリティ パッチをご覧ください。
SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE IAM Recommender は、サービス エージェントに付与された元のデフォルトの IAM ロールが IAM 基本ロール(オーナー、編集者、閲覧者)のいずれかに置き換えられたことを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。

サポートされる GCP_SECURITYCENTER_MISCONFIGURATION の検出結果

UDM マッピングは、フィールド マッピング リファレンス: MISCONFIGURATION テーブルで確認できます。

検出結果の名前 説明
API_KEY_APIS_UNRESTRICTED API キーが広すぎる範囲で使用されている。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。
API_KEY_APPS_UNRESTRICTED 無制限に使用され、信頼できないアプリによる使用が許可されている API キーがあります。
API_KEY_EXISTS プロジェクトが標準認証ではなく API キーを使用しています。
API_KEY_NOT_ROTATED API キーが 90 日以上ローテーションされていません。
PUBLIC_COMPUTE_IMAGE Compute Engine イメージが一般公開されている。
CONFIDENTIAL_COMPUTING_DISABLED Compute Engine インスタンスで Confidential Computing が無効になっています。
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED プロジェクト全体の SSH 認証鍵が使用され、プロジェクト内のすべてのインスタンスにログインできるようになっています。
COMPUTE_SECURE_BOOT_DISABLED この Shielded VM で、セキュアブートが有効になっていません。セキュアブートの使用は、ルートキットやブートキットなどの高度な脅威から仮想マシン インスタンスを保護するうえで有効です。
DEFAULT_SERVICE_ACCOUNT_USED インスタンスは、デフォルトのサービス アカウントを使用するように構成されています。
FULL_API_ACCESS すべての Google Cloud API に対する完全アクセス権を持つデフォルトのサービス アカウントを使用するように、インスタンスが構成されています。
OS_LOGIN_DISABLED このインスタンスでは OS Login が無効になっている。
PUBLIC_IP_ADDRESS インスタンスにパブリック IP アドレスがある。
SHIELDED_VM_DISABLED このインスタンスでは Shielded VM が無効になっています。
COMPUTE_SERIAL_PORTS_ENABLED インスタンスのシリアルポートが有効になっているため、インスタンスのシリアル コンソールへ接続できるようになっています。
DISK_CMEK_DISABLED この VM のディスクは顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。
HTTP_LOAD_BALANCER インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。
IP_FORWARDING_ENABLED インスタンスで IP 転送が有効になっている。
WEAK_SSL_POLICY インスタンスに弱い SSL ポリシーがある。
BINARY_AUTHORIZATION_DISABLED GKE クラスタで Binary Authorization が無効になっています。
CLUSTER_LOGGING_DISABLED GKE クラスタのロギングが有効になっていません。
CLUSTER_MONITORING_DISABLED GKE クラスタでモニタリングが無効になっています。
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED クラスタホストが、Google API へのアクセスにプライベート内部 IP アドレスのみを使用するように構成されていません。
CLUSTER_SECRETS_ENCRYPTION_DISABLED GKE クラスタでアプリケーション レイヤでのシークレットの暗号化が無効になっています。
INTRANODE_VISIBILITY_DISABLED GKE クラスタでノード内の可視化が無効になっています。
MASTER_AUTHORIZED_NETWORKS_DISABLED GKE クラスタでコントロール プレーン承認済みネットワークが有効になっていません。
NETWORK_POLICY_DISABLED GKE クラスタでネットワーク ポリシーが無効になっています。
NODEPOOL_SECURE_BOOT_DISABLED GKE クラスタのセキュアブートが無効になっています。
OVER_PRIVILEGED_ACCOUNT サービス アカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。
OVER_PRIVILEGED_SCOPES ノードのサービス アカウントに、範囲の広いアクセス スコープがあります。
POD_SECURITY_POLICY_DISABLED GKE クラスタで PodSecurityPolicy が無効になっています。
PRIVATE_CLUSTER_DISABLED GKE クラスタで限定公開クラスタが無効になっています。
WORKLOAD_IDENTITY_DISABLED GKE クラスタはリリース チャンネルに登録されていません。
LEGACY_AUTHORIZATION_ENABLED GKE クラスタで、以前の承認が有効になっています。
NODEPOOL_BOOT_CMEK_DISABLED このノードプール内のブートディスクは、顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。
WEB_UI_ENABLED GKE ウェブ UI(ダッシュボード)が有効になっています。
AUTO_REPAIR_DISABLED ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。
AUTO_UPGRADE_DISABLED GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。
CLUSTER_SHIELDED_NODES_DISABLED シールドされた GKE ノードがクラスタで有効になっていません。
RELEASE_CHANNEL_DISABLED GKE クラスタはリリース チャンネルに登録されていません。
BIGQUERY_TABLE_CMEK_DISABLED BigQuery テーブルが顧客管理の暗号鍵(CMEK)を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。
DATASET_CMEK_DISABLED BigQuery データセットが、デフォルトの CMEK を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。
EGRESS_DENY_RULE_NOT_SET 下り(外向き)拒否ルールがファイアウォールに設定されていない。不要なアウトバウンド トラフィックをブロックするには、下り(外向き)拒否ルールを設定する必要があります。
FIREWALL_RULE_LOGGING_DISABLED ファイアウォール ルールのロギングが無効になっている。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります。
OPEN_CASSANDRA_PORT ファイアウォールが、一般的なアクセスを許可するオープン CASSANDRA ポートを持つように構成されている。
OPEN_SMTP_PORT ファイアウォールが、一般的なアクセスを許可するオープン SMTP ポートを持つように構成されている。
OPEN_REDIS_PORT ファイアウォールが、一般的なアクセスを許可するオープン REDIS ポートを持つように構成されている。
OPEN_POSTGRESQL_PORT ファイアウォールが、一般的なアクセスを許可するオープン POSTGRESQL ポートを持つように構成されている。
OPEN_POP3_PORT ファイアウォールが、一般的なアクセスを許可するオープン POP3 ポートを持つように構成されている。
OPEN_ORACLEDB_PORT ファイアウォールが、一般的なアクセスを許可するオープン NETBIOS ポートを持つように構成されている。
OPEN_NETBIOS_PORT ファイアウォールが、一般的なアクセスを許可するオープン NETBIOS ポートを持つように構成されている。
OPEN_MYSQL_PORT ファイアウォールが、一般的なアクセスを許可するオープン MYSQL ポートを持つように構成されている。
OPEN_MONGODB_PORT ファイアウォールが、一般的なアクセスを許可するオープン MONGODB ポートを持つように構成されている。
OPEN_MEMCACHED_PORT ファイアウォールが、一般的なアクセスを許可するオープン MEMCACHED ポートを持つように構成されている。
OPEN_LDAP_PORT ファイアウォールが、一般的なアクセスを許可するオープン LDAP ポートを持つように構成されている。
OPEN_FTP_PORT ファイアウォールが、一般的なアクセスを許可するオープン FTP ポートを持つように構成されている。
OPEN_ELASTICSEARCH_PORT ファイアウォールが、一般的なアクセスを許可するオープン ELASTICSEARCH ポートを持つように構成されている。
OPEN_DNS_PORT ファイアウォールが、一般的なアクセスを許可するオープン DNS ポートを持つように構成されている。
OPEN_HTTP_PORT ファイアウォールが、一般的なアクセスを許可するオープン HTTP ポートを持つように構成されている。
OPEN_DIRECTORY_SERVICES_PORT ファイアウォールが、一般的なアクセスを許可する DIRECTORY_SERVICES ポートを持つように構成されている。
OPEN_CISCOSECURE_WEBSM_PORT ファイアウォールが、一般的なアクセスを許可する CISCOSECURE_WEBSM ポートを持つように構成されている。
OPEN_RDP_PORT ファイアウォールが、一般的なアクセスを許可するオープン RDP ポートを持つように構成されている。
OPEN_TELNET_PORT ファイアウォールが、一般的なアクセスを許可するオープン TELNET ポートを持つように構成されている。
OPEN_FIREWALL ファイアウォールが、一般公開のアクセスを受け入れるように構成されている。
OPEN_SSH_PORT ファイアウォールが、一般的なアクセスを許可するオープン SSH ポートを持つように構成されている。
SERVICE_ACCOUNT_ROLE_SEPARATION ユーザーにサービス アカウント管理者とサービス アカウント ユーザーロールが割り当てられている。これは「職掌分散」の原則に違反しています。
NON_ORG_IAM_MEMBER 組織の認証情報を使用していないユーザーがいる。現在 CIS Google Cloud Foundations 1.0 では、この検出機能は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER ユーザーが、特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ユーザーまたはサービス アカウント トークン作成者のロールを持っています。
ADMIN_SERVICE_ACCOUNT サービス アカウントには管理者、オーナー、または編集者の権限があります。これらのロールは、ユーザーが作成するサービス アカウントに割り当てないでください。
SERVICE_ACCOUNT_KEY_NOT_ROTATED サービス アカウント キーが 90 日以上ローテーションされていない。
USER_MANAGED_SERVICE_ACCOUNT_KEY ユーザーがサービス アカウント キーを管理しています。
PRIMITIVE_ROLES_USED ユーザーが基本ロール(オーナー、書き込み、読み取り)を持っています。これらのロールには過剰な権限が付与されるため、使用を回避する必要があります。
KMS_ROLE_SEPARATION 職掌分散が適用されていません。また、暗号鍵の暗号化 / 復号、暗号化、または復号のいずれかの Cloud Key Management Service(Cloud KMS)ロールが同時に割り当てられているユーザーが存在します。
OPEN_GROUP_IAM_MEMBER 承認なしで結合できる Google グループ アカウントが、IAM 許可ポリシーのプリンシパルとして使用されます。
KMS_KEY_NOT_ROTATED ローテーションが Cloud KMS 暗号鍵に構成されていない。鍵は 90 日以内にローテーションする必要があります。
KMS_PROJECT_HAS_OWNER ユーザーが、暗号鍵が含まれるプロジェクトに対するオーナー権限を持っています。
TOO_MANY_KMS_USERS 暗号鍵のユーザーが 3 人を超えています。
OBJECT_VERSIONING_DISABLED シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていません。
LOCKED_RETENTION_POLICY_NOT_SET ログにロックされた保持ポリシーが設定されていません。
BUCKET_LOGGING_DISABLED ロギングが有効になっていないストレージ バケットがあります。
LOG_NOT_EXPORTED 適切なログシンクが構成されていないリソースがある。
AUDIT_LOGGING_DISABLED このリソースの監査ロギングが無効になっています。
MFA_NOT_ENFORCED 2 段階認証プロセスを使用していないユーザーが存在します。
ROUTE_NOT_MONITORED ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていない。
OWNER_NOT_MONITORED ログ指標とアラートが、プロジェクト所有権の割り当て、または変更をモニタリングするように構成されていない。
AUDIT_CONFIG_NOT_MONITORED ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていません。
BUCKET_IAM_NOT_MONITORED ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていません。
CUSTOM_ROLE_NOT_MONITORED ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていない。
FIREWALL_NOT_MONITORED ログ指標とアラートが、Virtual Private Cloud(VPC)ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていません。
NETWORK_NOT_MONITORED ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていない。
SQL_INSTANCE_NOT_MONITORED ログ指標とアラートが、Cloud SQL インスタンスの構成の変更をモニタリングするように構成されていません。
DEFAULT_NETWORK デフォルト ネットワークがプロジェクト内に存在しています。
DNS_LOGGING_DISABLED VPC ネットワーク上の DNS ロギングが有効になっていません。
PUBSUB_CMEK_DISABLED Pub/Sub トピックが、顧客管理の暗号鍵(CMEK)で暗号化されません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。
PUBLIC_SQL_INSTANCE Cloud SQL データベース インスタンスが、すべての IP アドレスからの接続を受け入れている。
SSL_NOT_ENFORCED Cloud SQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていない。
AUTO_BACKUP_DISABLED Cloud SQL データベースに、有効な自動バックアップがありません。
SQL_CMEK_DISABLED SQL データベース インスタンスが、顧客管理の暗号鍵(CMEK)で暗号化されていません。 この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。
SQL_LOG_CHECKPOINTS_DISABLED Cloud SQL for PostgreSQL インスタンスの log_checkpoints データベース フラグがオンに設定されていません。
SQL_LOG_CONNECTIONS_DISABLED Cloud SQL for PostgreSQL インスタンスの log_connections データベース フラグがオンに設定されていません。
SQL_LOG_DISCONNECTIONS_DISABLED Cloud SQL for PostgreSQL インスタンスの log_disconnections データベース フラグがオンに設定されていません。
SQL_LOG_DURATION_DISABLED Cloud SQL for PostgreSQL インスタンスの log_duration データベース フラグがオンに設定されていません。
SQL_LOG_LOCK_WAITS_DISABLED Cloud SQL for PostgreSQL インスタンスの log_lock_waits データベース フラグがオンに設定されていません。
SQL_LOG_STATEMENT Cloud SQL for PostgreSQL インスタンスの log_statement データベース フラグが Ddl(すべてのデータ定義ステートメント)に設定されていません。
SQL_NO_ROOT_PASSWORD Cloud SQL データベースに、root アカウント用に構成されたパスワードがない。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。
SQL_PUBLIC_IP Cloud SQL データベースに、パブリック IP アドレスがあります。
SQL_CONTAINED_DATABASE_AUTHENTICATION 含まれている Cloud SQL for SQL Server インスタンスのデータベース認証データベース フラグが、オフに設定されていません。
SQL_CROSS_DB_OWNERSHIP_CHAINING Cloud SQL for SQL Server インスタンスの cross_db_ownership_chaining データベース フラグがオフに設定されていません。
SQL_LOCAL_INFILE Cloud SQL for MySQL インスタンスの local_infile データベース フラグがオフに設定されていません。
SQL_LOG_MIN_ERROR_STATEMENT Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグが適切に設定されていません。
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグには、適切な重大度がありません。
SQL_LOG_TEMP_FILES Cloud SQL for PostgreSQL インスタンスの log_temp_files データベース フラグが「0」に設定されていません。
SQL_REMOTE_ACCESS_ENABLED Cloud SQL for SQL Server インスタンスのリモート アクセス データベース フラグがオフに設定されていません。
SQL_SKIP_SHOW_DATABASE_DISABLED Cloud SQL for MySQL インスタンスの skip_show_database データベース フラグがオンに設定されていません。
SQL_TRACE_FLAG_3625 Cloud SQL for SQL Server インスタンスの 3625(トレースフラグ)データベース フラグがオンに設定されていません。
SQL_USER_CONNECTIONS_CONFIGURED Cloud SQL for SQL Server インスタンスのユーザー接続データベース フラグが構成されています。
SQL_USER_OPTIONS_CONFIGURED Cloud SQL for SQL Server インスタンスのユーザー オプション データベース フラグが構成されています。
PUBLIC_BUCKET_ACL Cloud Storage バケットが一般公開になっている。
BUCKET_POLICY_ONLY_DISABLED 均一なバケットレベルのアクセス(以前の「バケット ポリシーのみ」)が構成されていません。
BUCKET_CMEK_DISABLED バケットは、顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。
FLOW_LOGS_DISABLED 無効なフローログを持つ VPC サブネットワークがあります。
PRIVATE_GOOGLE_ACCESS_DISABLED Google の公開 API にアクセスできない限定公開サブネットワークがあります。
kms_key_region_europe 会社のポリシーにより、すべての暗号鍵はヨーロッパに保存する必要があります。
kms_non_euro_region 会社のポリシーにより、すべての暗号鍵はヨーロッパに保存する必要があります。
LEGACY_NETWORK 以前のネットワークがプロジェクト内に存在します。
LOAD_BALANCER_LOGGING_DISABLED ロギングがロードバランサに対して無効になっています。

サポートされている GCP_SECURITYCENTER_POSTURE_VIOLATION の検出結果

UDM マッピングは、フィールド マッピング リファレンス: POSTURE VIOLATION テーブルで確認できます。

検出結果の名前 説明
SECURITY_POSTURE_DRIFT セキュリティ ポスチャー内で定義されたポリシーから逸脱する。これは、セキュリティ ポスチャー サービスによって検出されます。
SECURITY_POSTURE_POLICY_DRIFT セキュリティ ポスチャー サービスが、ポスチャーの更新外で発生した組織のポリシーの変更を検出しました。
SECURITY_POSTURE_POLICY_DELETE セキュリティ ポスチャー サービスが、組織のポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。
SECURITY_POSTURE_DETECTOR_DRIFT セキュリティ ポスチャー サービスが、ポスチャーの更新外で発生した Security Health Analytics 検出機能への変更を検出しました。
SECURITY_POSTURE_DETECTOR_DELETE セキュリティ ポスチャー サービスが、Security Health Analytics のカスタム モジュールが削除されたことを検出しました。この削除は、対策の更新外で発生しました。

サポートされている Security Center のログ形式

Security Center パーサーは JSON 形式のログをサポートしています。

サポートされている Security Center のログサンプル

  • GCP_SECURITYCENTER_THREAT のサンプルログ

    • JSON
    {
      "finding": {
        "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
        "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
        "resourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME",
        "state": "ACTIVE",
        "category": "Credential Access: External Member Added To Privileged Group",
        "sourceProperties": {
          "sourceId": {
            "organizationNumber": "ORGANIZATION_ID",
            "customerOrganizationNumber": "ORGANIZATION_ID"
          },
          "detectionCategory": {
            "technique": "persistence",
            "indicator": "audit_log",
            "ruleName": "external_member_added_to_privileged_group"
          },
          "detectionPriority": "HIGH",
          "affectedResources": [
            {
              "gcpResourceName": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME"
            },
            {
              "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID"
            }
          ],
          "evidence": [
            {
              "sourceLogId": {
                "resourceContainer": "organizations/ORGANIZATION_ID",
                "timestamp": {
                  "seconds": "1633622881",
                  "nanos": 6.73869E8
                },
                "insertId": "INSERT_ID"
              }
            }
          ],
          "properties": {
            "externalMemberAddedToPrivilegedGroup": {
              "principalEmail": "abc@gmail.com",
              "groupName": "group:GROUP_NAME@ORGANIZATION_NAME",
              "externalMember": "user:abc@gamil.com",
              "sensitiveRoles": [
                {
                  "resource": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
                  "roleName": [
                    "ROLES"
                  ]
                }
              ]
            }
          },
          "findingId": "FINDING_ID",
          "contextUris": {
            "mitreUri": {
              "displayName": "dummy display name",
              "url": " dummy.url.com"
            },
            "cloudLoggingQueryUri": [
              {
                "displayName": "Cloud Logging Query Link",
                "url": "https://console.cloud.google.com/logs/query;query\\u003dtimestamp%3D%222022-10-01T16:08:01.673869Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\\u003d"
              }
            ]
          }
        },
        "securityMarks": {
          "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
        },
        "eventTime": "2022-10-01T16:08:03.888Z",
        "createTime": "2022-10-01T16:08:04.516Z",
        "severity": "HIGH",
        "workflowState": "NEW",
        "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
        "findingClass": "THREAT"
      },
      "resource": {
        "name": "//cloudidentity.googleapis.com/groups/GROUP_NAME@ORGANIZATION_NAME"
      }
    }
    
  • GCP_SECURITYCENTER_MISCONFIGURATION のサンプルログ

    • JSON
    {
      "findings": {
        "access": {},
        "assetDisplayName": "eventApps",
        "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
        "canonicalName": "projects/1032183397765/sources/4563429019522465317/findings/fdb789f992c67f6386ec735aca337bab",
        "category": "API_KEY_APIS_UNRESTRICTED",
        "compliances": [
          {
            "standard": "cis",
            "version": "1.0",
            "ids": [
              "1.12"
            ]
          },
          {
            "standard": "cis",
            "version": "1.1",
            "ids": [
              "1.14"
            ]
          },
          {
            "standard": "cis",
            "version": "1.2",
            "ids": [
              "1.14"
            ]
          }
        ],
        "contacts": {
          "security": {
            "contacts": [
              {
                "email": "test@domainname.com"
              }
            ]
          },
          "technical": {
            "contacts": [
              {
                "email": "test@domainname.com"
              }
            ]
          }
        },
        "createTime": "2022-12-01T15:16:21.119Z",
        "database": {},
        "description": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions",
        "eventTime": "2022-12-01T14:35:42.317Z",
        "exfiltration": {},
        "externalUri": "https://console.cloud.google.com/apis/credentials?project=eventapps-27705",
        "findingClass": "MISCONFIGURATION",
        "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/security_health_advisor",
        "indicator": {},
        "kernelRootkit": {},
        "kubernetes": {},
        "mitreAttack": {},
        "mute": "UNDEFINED",
        "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
        "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
        "parentDisplayName": "Security Health Analytics",
        "resourceName": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
        "severity": "MEDIUM",
        "sourceDisplayName": "Security Health Analytics",
        "state": "ACTIVE",
        "vulnerability": {},
        "workflowState": "NEW"
      },
      "resource": {
        "name": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
        "display_name": "dummy-display-name",
        "project_name": "//cloudresourcemanager.googleapis.com/projects/1032183397765",
        "project_display_name": "dummy-project",
        "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
        "parent_display_name": "domainname.com",
        "type": "google.cloud.resourcemanager.Project",
        "folders": []
      },
      "sourceProperties": {
        "Recommendation": "Go to https://console.cloud.google.com/apis/credentials?project=eventapps-27705. In the section \\"API keys,\\" for each API key, click the name of the key. It will display API Key properties on a new page. In the \\"Key restrictions\\" section, set API restrictions to \\"Restrict key.\\" Click the \\"Select APIs\\" drop-down menu to choose which APIs to allow. Click \\"Save.\\"
        "ExceptionInstructions": "Add the security mark \\"allow_api_key_apis_unrestricted\\" to the asset with a value of \\"true\\" to prevent this finding from being activated again.",
        "Explanation": "Unrestricted API keys are insecure because they can be retrieved on devices on which the key is stored or can be seen publicly, e.g., from within a browser. In accordance with the principle of least privileges, it is recommended to restrict the APIs that can be called using each API key to only those required by an application. For more information, see https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions",
        "ScannerName": "API_KEY_SCANNER",
        "ResourcePath": [
          "projects/eventapps-27705/",
          "organizations/ORGANIZATION_ID/"
        ],
        "compliance_standards": {
          "cis": [
            {
              "version": "1.0",
              "ids": [
                "1.12"
              ]
            },
            {
              "version": "1.1",
              "ids": [
                "1.14"
              ]
            },
            {
              "version": "1.2",
              "ids": [
                "1.14"
              ]
            }
          ]
        },
        "ReactivationCount": 0
      }
    }
    
  • GCP_SECURITYCENTER_OBSERVATION のサンプルログ

    • JSON
    {
      "findings": {
        "access": {
          "principalEmail": "dummy.user@dummy.com",
          "callerIp": "198.51.100.1",
          "callerIpGeo": {
            "regionCode": "SG"
          },
          "serviceName": "compute.googleapis.com",
          "methodName": "v1.compute.projects.setCommonInstanceMetadata",
          "principalSubject": "user:dummy.user@dummy.com"
        },
        "canonicalName": "projects/856289305908/sources/SOURCE_ID/findings/FINDING_ID",
        "category": "Persistence: Project SSH Key Added",        
        "contacts": {
          "security": {
            "contacts": [
              {
                "email": "dummy.user@dummy.com"
              }
            ]
          },
          "technical": {
            "contacts": [
              {
                "email": "dummy.user@dummy.xyz"
              }
            ]
          }
        },
        "createTime": "2022-11-10T18:33:07.631Z",
        "database": {},
        "eventTime": "2022-11-10T18:33:07.271Z",
        "exfiltration": {},
        "findingClass": "OBSERVATION",
        "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/sensitive_actions",
        "indicator": {},
        "kernelRootkit": {},
        "kubernetes": {},
        "mitreAttack": {
          "primaryTactic": "PERSISTENCE",
          "primaryTechniques": [
            "ACCOUNT_MANIPULATION",
            "SSH_AUTHORIZED_KEYS"
          ]
        },
        "mute": "UNDEFINED",
        "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
        "parent": "organizations/595779152576/sources/SOURCE_ID",
        "parentDisplayName": "Sensitive Actions Service",
        "resourceName": "//compute.googleapis.com/projects/spring-banner-350111",
        "severity": "LOW",
        "sourceDisplayName": "Sensitive Actions Service",
        "state": "ACTIVE",
        "vulnerability": {},
        "workflowState": "NEW"
      },
      "resource": {
        "name": "//compute.googleapis.com/projects/spring-banner-350111",
        "display_name": "spring-banner-350111",
        "project_name": "//cloudresourcemanager.googleapis.com/projects/856289305908",
        "project_display_name": "dummy-project",
        "parent_name": "//cloudresourcemanager.googleapis.com/projects/856289305908",
        "parent_display_name": "spring-banner-350111",
        "type": "google.compute.Project",
        "folders": []
      },
      "sourceProperties": {
        "sourceId": {
          "projectNumber": "856289305908",
          "customerOrganizationNumber": "ORGANIZATION_ID"
        },
        "detectionCategory": {
          "ruleName": "sensitive_action",
          "subRuleName": "add_ssh_key"
        },
        "detectionPriority": "LOW",
        "affectedResources": [
          {
            "gcpResourceName": "//compute.googleapis.com/projects/spring-banner-350111"
          },
          {
            "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/856289305908"
          }
        ],
        "evidence": [
          {
            "sourceLogId": {
              "projectId": "spring-banner-350111",
              "resourceContainer": "projects/spring-banner-350111",
              "timestamp": {
                "seconds": "1668105185",
                "nanos": 642158000
              },
              "insertId": "v2stobd9ihi"
            }
          }
        ],
        "properties": {},
        "findingId": "findingId",
        "contextUris": {
          "mitreUri": {
            "displayName": "MITRE Link",
            "url": "dummy.domain.com"
          }
        }
      }
    }
    
  • GCP_SECURITYCENTER_VULNERABILITY のサンプルログ

    • JSON
    {
      "findings": {
        "access": {},
        "assetDisplayName": "Sample-00000",
        "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
        "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
        "category": "CLEAR_TEXT_PASSWORD",
        "compliances": [
          {
            "standard": "owasp",
            "version": "2017",
            "ids": [
              "A3"
            ]
          },
          {
            "standard": "owasp",
            "version": "2021",
            "ids": [
              "A02"
            ]
          }
        ],
        "contacts": {
          "security": {
            "contacts": [
              {
                "email": "dummy@sample.com"
              }
            ]
          },
          "technical": {
            "contacts": [
              {
                "email": "dummy@sample.com"
              }
            ]
          }
        },
        "createTime": "2022-11-24T09:28:52.589Z",
        "database": {},
        "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.",
        "eventTime": "2022-11-24T04:56:26Z",
        "exfiltration": {},
        "externalUri": "https://sample.dummy.com/",
        "findingClass": "VULNERABILITY",
        "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/css",
        "indicator": {},
        "kernelRootkit": {},
        "kubernetes": {},
        "mitreAttack": {},
        "mute": "UNDEFINED",
        "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
        "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
        "parentDisplayName": "Web Security Scanner",
        "resourceName": "//dummy.sample.com",
        "severity": "MEDIUM",
        "sourceDisplayName": "Web Security Scanner",
        "state": "ACTIVE",
        "vulnerability": {},
        "workflowState": "NEW"
      },
      "resource": {
        "name": "//cloudresourcemanager.googleapis.com",
        "display_name": "dummy_name",
        "project_name": "//cloudresourcemanager.googleapis.com",
        "project_display_name": "dummy_name",
        "parent_name": "//dummy.sample.com",
        "parent_display_name": "Sample-Dev-Project",
        "type": "sample.cloud.dummy.Project",
        "folders": [
          {
            "resourceFolderDisplayName": "Sample-Dev-Project",
            "resourceFolder": "//cloudresourcemanager.googleapis.com/"
          }
        ]
      },
      "sourceProperties": {
        "severity": "MEDIUM",
        "fuzzedUrl": "dummy.domain.com",
        "form": {
          "actionUri": "dummy.domain.com",
          "fields": [
            "os_username",
            "os_password",
            "",
            "os_cookie",
            "os_destination",
            "user_role",
            "atl_token",
            "login"
          ]
        },
        "name": "projects/PROJECT_ID/scanConfigs/SCAN_CONFIG_ID/scanRuns/SCAN_RUN_ID/findings/FINDING_ID",
        "description": "An application appears to be transmitting a password field in clear text. An attacker can eavesdrop network traffic and sniff the password field.",
        "reproductionUrl": "http://198.51.100.1:0000/login.jsp?searchString=",
        "httpMethod": "GET",
        "finalUrl": "http://0.0.0.0:0000/sample.dummy=",
        "ResourcePath": [
          "projects/sample-dummy/",
          "folders/FOLDER_ID/",
          "organizations/ORGANIZATION_ID/"
        ],
        "compliance_standards": {
          "owasp": [
            {
              "version": "2017",
              "ids": [
                "A3"
              ]
            },
            {
              "version": "2021",
              "ids": [
                "A02"
              ]
            }
          ]
        }
      }
    }
    
  • GCP_SECURITYCENTER_ERROR のサンプルログ

    • JSON
    {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/projects/742742027423",
      "state": "ACTIVE",
      "category": "KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS",
      "securityMarks": {
        "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
      },
      "eventTime": "2022-11-23T16:36:03.458107Z",
      "createTime": "2022-11-01T07:36:37.078Z",
      "severity": "CRITICAL",
      "canonicalName": "projects/742742027423/sources/SOURCE_ID/findings/FINDING_ID",
      "mute": "UNDEFINED",
      "findingClass": "SCC_ERROR",
      "access": {
        "callerIpGeo": {}
      },
      "contacts": {
        "security": {
          "contacts": [
            {
              "email": "test.user@domain.com"
            }
          ]
        },
        "technical": {
          "contacts": [
            {
              "email": "test.user@domain.com"
            }
          ]
        }
      },
      "parentDisplayName": "Security Command Center",
      "description": "Either all or some Container Threat Detection findings aren\\u0027t being sent to Security Command Center. A service account is missing permissions required for Container Threat Detection.",
      "iamBindings": [
        {
          "member": "test.user@domain.com"
        }
      ],
      "nextSteps": "Restore the required IAM roles on the Container Threat Detection service account. \\n1. Go to [IAM](/iam-admin/iam) \\n2. Select the service account: \\"test.user@domain.com\\" \\n   - If you don\\u0027t see the service account listed, click  **Add** at the top of the page and enter it as a new principal \\n3. Apply the following role:* \\n    1. Container Threat Detection Service Agent \\n4. Click **Save**. \\n \\n*If you use custom roles, apply these missing permissions: \\n - container.clusterRoleBindings.create,container.clusterRoleBindings.delete,container.clusterRoleBindings.update,container.clusterRoles.create,container.clusterRoles.delete,container.clusterRoles.escalate,container.clusterRoles.update,container.customResourceDefinitions.create,container.customResourceDefinitions.delete,container.customResourceDefinitions.update,container.daemonSets.create,container.daemonSets.delete,container.daemonSets.update,container.daemonSets.updateStatus,container.networkPolicies.update,container.pods.attach,container.pods.create,container.pods.delete,container.pods.exec,container.pods.getLogs,container.pods.portForward,container.pods.update,container.roleBindings.create,container.roleBindings.delete,container.roleBindings.update,container.roles.bind,container.roles.create,container.roles.delete,container.roles.escalate,container.roles.update,container.secrets.create,container.secrets.list,container.secrets.delete,container.secrets.update,container.serviceAccounts.create,container.serviceAccounts.delete,container.serviceAccounts.update"
    }
    
  • GCP_SECURITYCENTER_UNSPECIFIED のサンプルログ

    • JSON
    {
      "findings": {
        "access": {},
        "canonicalName": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
        "category": "OPEN_FIREWALL",
        "compliances": [
          {
            "standard": "pci",
            "ids": [
              "1.2.1"
            ]
          }
        ],
        "contacts": {
          "security": {
            "contacts": [
              {
                "email": "test.user@dummy.xyz"
              }
            ]
          },
          "technical": {
            "contacts": [
              {
                "email": "test.user@dummy.xyz"
              }
            ]
          }
        },
        "createTime": "2021-07-20T08:33:25.343Z",
        "database": {},
        "eventTime": "2022-07-19T07:44:38.374Z",
        "exfiltration": {},
        "externalUri": "dummy.domain.com",
        "indicator": {},
        "kernelRootkit": {},
        "kubernetes": {},
        "mitreAttack": {},
        "mute": "MUTED",
        "muteInitiator": "Muted by test.user@dummy.xyz",
        "muteUpdateTime": "2022-03-08T05:41:06.507Z",
        "name": "organizations/595779152576/sources/SOURCE_ID/findings/FINDING_ID",
        "parent": "organizations/595779152576/sources/SOURCE_ID"
        "parentDisplayName": "Security Health Analytics",
        "resourceName": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704",
        "severity": "HIGH",
        "sourceDisplayName": "Sanity_grc",
        "state": "ACTIVE",
        "vulnerability": {},
        "workflowState": "NEW"
      },
      "resource": {
        "name": "//compute.googleapis.com/projects/calcium-vial-280707/global/firewalls/3199326669616479704",
        "display_name": "",
        "project_name": "",
        "project_display_name": "",
        "parent_name": "",
        "parent_display_name": "",
        "type": "",
        "folders": []
      },
      "sourceProperties": {
        "ScannerName": "FIREWALL_SCANNER",
        "ResourcePath": [
          "projects/calcium-vial-280707/",
          "organizations/ORGANIZATION_ID/"
        ],
        "ReactivationCount": 0,
        "AllowedIpRange": "All",
        "ExternallyAccessibleProtocolsAndPorts": [
          {
            "IPProtocol": "tcp",
            "ports": [
              "80"
            ]
          }
        ]
      }
    }
    
    

フィールド マッピング リファレンス

このセクションでは、Google Security Operations パーサーが Security Command Center ログフィールドをデータセットの Google Security Operations Unified Data Model(UDM)フィールドにマッピングする方法について説明します。

フィールド マッピング リファレンス: デバイスログ フィールドから UDM フィールド

次の表に、Security Command Center の Event Threat Detection の検出結果のログフィールドと対応する UDM マッピングを示します。

RawLog フィールド UDM マッピング 論理
compliances.ids about.labels [compliance_ids](非推奨)
compliances.ids additional.fields [compliance_ids]
compliances.version about.labels [compliance_version](非推奨)
compliances.version additional.fields [compliance_version]
compliances.standard about.labels [compliances_standard](非推奨)
compliances.standard additional.fields [compliances_standard]
connections.destinationIp about.labels [connections_destination_ip](非推奨) connections.destinationIp ログフィールドの値が sourceProperties.properties.ipConnection.destIp と等しくない場合、connections.destinationIp ログフィールドは about.labels.value UDM フィールドにマッピングされます。
connections.destinationIp additional.fields [connections_destination_ip] connections.destinationIp ログフィールドの値が sourceProperties.properties.ipConnection.destIp と等しくない場合、connections.destinationIp ログフィールドは additional.fields.value.string_value UDM フィールドにマッピングされます。
connections.destinationPort about.labels [connections_destination_port](非推奨)
connections.destinationPort additional.fields [connections_destination_port]
connections.protocol about.labels [connections_protocol](非推奨)
connections.protocol additional.fields [connections_protocol]
connections.sourceIp about.labels [connections_source_ip](非推奨)
connections.sourceIp additional.fields [connections_source_ip]
connections.sourcePort about.labels [connections_source_port](非推奨)
connections.sourcePort additional.fields [connections_source_port]
kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
kubernetes.pods.name target.resource_ancestors.name
kubernetes.nodes.name target.resource_ancestors.name
kubernetes.nodePools.name target.resource_ancestors.name
target.resource_ancestors.resource_type message ログフィールドの値が正規表現パターン kubernetes と一致する場合、target.resource_ancestors.resource_type UDM フィールドは CLUSTER に設定されます。
それ以外の場合、message ログフィールドの値が正規表現 kubernetes.*?pods と一致する場合、target.resource_ancestors.resource_type UDM フィールドは POD に設定されます。
about.resource.attribute.cloud.environment about.resource.attribute.cloud.environment UDM フィールドは GOOGLE_CLOUD_PLATFORM に設定されます。
externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
kubernetes.pods.containers.uri target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_containers_uri]
kubernetes.pods.containers.createTime target.resource_ancestors.attribute.labels[kubernetes_pods_containers_createTime]
kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
externalSystems.name about.resource.name
externalSystems.externalUid about.resource.product_object_id
indicator.uris about.url
extension.auth.type category ログフィールドの値が Initial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedImpair Defenses: Two Step Verification Disabled、または Persistence: SSO Enablement Toggle と等しい場合、extension.auth.type UDM フィールドは SSO に設定されます。
extension.mechanism category ログフィールドの値が Brute Force: SSH と等しい場合、extension.mechanism UDM フィールドは USERNAME_PASSWORD に設定されます。
extensions.auth.type principal.user.user_authentication_status ログフィールドの値が ACTIVE と等しい場合、extensions.auth.type UDM フィールドは SSO に設定されます。
vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri](非推奨)
vulnerability.cve.references.uri additional.fields [vulnerability.cve.references.uri]
vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity](非推奨)
vulnerability.cve.cvssv3.attackComplexity additional.fields [vulnerability_cve_cvssv3_attackComplexity]
vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact](非推奨)
vulnerability.cve.cvssv3.availabilityImpact additional.fields [vulnerability_cve_cvssv3_availabilityImpact]
vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact](非推奨)
vulnerability.cve.cvssv3.confidentialityImpact additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]
vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact](非推奨)
vulnerability.cve.cvssv3.integrityImpact additional.fields [vulnerability_cve_cvssv3_integrityImpact]
vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired](非推奨)
vulnerability.cve.cvssv3.privilegesRequired additional.fields [vulnerability_cve_cvssv3_privilegesRequired]
vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope](非推奨)
vulnerability.cve.cvssv3.scope additional.fields [vulnerability_cve_cvssv3_scope]
vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction](非推奨)
vulnerability.cve.cvssv3.userInteraction additional.fields [vulnerability_cve_cvssv3_userInteraction]
vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source](非推奨)
vulnerability.cve.references.source additional.fields [vulnerability_cve_references_source]
vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable](非推奨)
vulnerability.cve.upstreamFixAvailable additional.fields [vulnerability_cve_upstreamFixAvailable]
vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
sourceProperties.properties.loadBalancerName intermediary.resource.name category ログフィールドの値が Initial Access: Log4j Compromise Attempt と等しい場合、sourceProperties.properties.loadBalancerName ログフィールドは intermediary.resource.name UDM フィールドにマッピングされます。
intermediary.resource.resource_type category ログフィールドの値が Initial Access: Log4j Compromise Attempt と等しい場合、intermediary.resource.resource_type UDM フィールドは BACKEND_SERVICE に設定されます。
parentDisplayName metadata.description
eventTime metadata.event_timestamp
category metadata.product_event_type
sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id canonicalName ログフィールドの値が空でない場合、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。

finding_id ログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertId ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。

canonicalName ログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertId ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。
metadata.product_name metadata.product_name UDM フィールドは Security Command Center に設定されます。
sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
metadata.vendor_name metadata.vendor_name UDM フィールドは Google に設定されます。
network.application_protocol category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、network.application_protocol UDM フィールドは DNS に設定されます。
sourceProperties.properties.indicatorContext.asn network.asn category ログフィールドの値が Malware: Cryptomining Bad IP と等しい場合、sourceProperties.properties.indicatorContext.asn ログフィールドは network.asn UDM フィールドにマッピングされます。
sourceProperties.properties.indicatorContext.carrierName network.carrier_name category ログフィールドの値が Malware: Cryptomining Bad IP と等しい場合、sourceProperties.properties.indicatorContext.carrierName ログフィールドは network.carrier_name UDM フィールドにマッピングされます。
sourceProperties.properties.indicatorContext.reverseDnsDomain network.dns_domain category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.indicatorContext.reverseDnsDomain ログフィールドは network.dns_domain UDM フィールドにマッピングされます。
sourceProperties.properties.dnsContexts.responseData.responseClass network.dns.answers.class category ログフィールドの値が Malware: Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.responseData.responseClass ログフィールドは network.dns.answers.class UDM フィールドにマッピングされます。
sourceProperties.properties.dnsContexts.responseData.responseValue network.dns.answers.data category ログフィールドの値が正規表現 Malware: Bad Domain と一致する場合、sourceProperties.properties.dnsContexts.responseData.responseValue ログフィールドは network.dns.answers.data UDM フィールドにマッピングされます。
sourceProperties.properties.dnsContexts.responseData.domainName network.dns.answers.name category ログフィールドの値が Malware: Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.responseData.domainName ログフィールドは network.dns.answers.name UDM フィールドにマッピングされます。
sourceProperties.properties.dnsContexts.responseData.ttl network.dns.answers.ttl category ログフィールドの値が Malware: Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.responseData.ttl ログフィールドは network.dns.answers.ttl UDM フィールドにマッピングされます。
sourceProperties.properties.dnsContexts.responseData.responseType network.dns.answers.type category ログフィールドの値が Malware: Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.responseData.responseType ログフィールドは network.dns.answers.type UDM フィールドにマッピングされます。
sourceProperties.properties.dnsContexts.authAnswer network.dns.authoritative category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.authAnswer ログフィールドは network.dns.authoritative UDM フィールドにマッピングされます。
sourceProperties.properties.dnsContexts.queryName network.dns.questions.name category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.queryName ログフィールドは network.dns.questions.name UDM フィールドにマッピングされます。
sourceProperties.properties.dnsContexts.queryType network.dns.questions.type category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.queryType ログフィールドは network.dns.questions.type UDM フィールドにマッピングされます。
sourceProperties.properties.dnsContexts.responseCode network.dns.response_code category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.responseCode ログフィールドは network.dns.response_code UDM フィールドにマッピングされます。
sourceProperties.properties.anomalousSoftware.callerUserAgent network.http.user_agent category ログフィールドの値が Persistence: New User Agent と等しい場合、sourceProperties.properties.anomalousSoftware.callerUserAgent ログフィールドは network.http.user_agent UDM フィールドにマッピングされます。
sourceProperties.properties.callerUserAgent network.http.user_agent category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.callerUserAgent ログフィールドは network.http.user_agent UDM フィールドにマッピングされます。
access.userAgentFamily network.http.user_agent
finding.access.userAgent network.http.user_agent
sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent network.http.user_agent category ログフィールドの値が Discovery: Service Account Self-Investigation と等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.rawUserAgent ログフィールドは network.http.user_agent UDM フィールドにマッピングされます。
sourceProperties.properties.ipConnection.protocol network.ip_protocol category ログフィールドの値が Malware: Bad IPMalware: Cryptomining Bad IP または Malware: Outgoing DoS と等しい場合、network.ip_protocol UDM フィールドは次のいずれかの値に設定されます。
  • 次の条件を満たしている場合は ICMP
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 1 または ICMP と等しい。
  • 次の条件を満たしている場合は IGMP
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 2 または IGMP と等しい。
  • 次の条件を満たしている場合は TCP
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 6 または TCP と等しい。
  • 次の条件を満たしている場合は UDP
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 17 または UDP と等しい。
  • 次の条件を満たしている場合は IP6IN4
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 41 または IP6IN4 と等しい。
  • 次の条件を満たしている場合は GRE
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 47 または GRE と等しい。
  • 次の条件を満たしている場合は ESP
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 50 または ESP と等しい。
  • 次の条件を満たしている場合は EIGRP
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 88 または EIGRP と等しい。
  • 次の条件を満たしている場合は ETHERIP
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 97 または ETHERIP と等しい。
  • 次の条件を満たしている場合は PIM
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 103 または PIM と等しい。
  • 次の条件を満たしている場合は VRRP
    • sourceProperties.properties.ipConnection.protocol ログフィールドの値が 112 または VRRP と等しい。
  • sourceProperties.properties.ipConnection.protocol ログフィールドの値が他の値と等しい場合は UNKNOWN_IP_PROTOCOL
    sourceProperties.properties.indicatorContext.organizationName network.organization_name category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.indicatorContext.organizationName ログフィールドは network.organization_name UDM フィールドにマッピングされます。
    sourceProperties.properties.anomalousSoftware.behaviorPeriod network.session_duration category ログフィールドの値が Persistence: New User Agent と等しい場合、sourceProperties.properties.anomalousSoftware.behaviorPeriod ログフィールドは network.session_duration UDM フィールドにマッピングされます。
    sourceProperties.properties.sourceIp principal.ip category ログフィールドの値が正規表現 Active Scan: Log4j Vulnerable to RCE と一致する場合、sourceProperties.properties.sourceIp ログフィールドは principal.ip UDM フィールドにマッピングされます。
    sourceProperties.properties.attempts.sourceIp principal.ip category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.sourceIp ログフィールドは principal.ip UDM フィールドにマッピングされます。
    access.callerIp principal.ip category ログフィールドの値が Defense Evasion: Modify VPC Service Controlaccess.callerIpExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Restore Backup to External OrganizationPersistence: New Geography または Persistence: IAM Anomalous Grant と等しい場合、access.callerIp ログフィールドは principal.ip UDM フィールドにマッピングされます。
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp principal.ip category ログフィールドの値が Discovery: Service Account Self-Investigation と等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerIp ログフィールドは principal.ip UDM フィールドにマッピングされます。
    sourceProperties.properties.changeFromBadIp.ip principal.ip category ログフィールドの値が Evasion: Access from Anonymizing Proxy と等しい場合、sourceProperties.properties.changeFromBadIp.ip ログフィールドは principal.ip UDM フィールドにマッピングされます。
    sourceProperties.properties.dnsContexts.sourceIp principal.ip category ログフィールドの値が Malware: Bad Domain または Malware: Cryptomining Bad Domain と等しい場合、sourceProperties.properties.dnsContexts.sourceIp ログフィールドは principal.ip UDM フィールドにマッピングされます。
    sourceProperties.properties.ipConnection.srcIp principal.ip category ログフィールドの値が Malware: Bad IPMalware: Cryptomining Bad IP または Malware: Outgoing DoS と等しい場合、sourceProperties.properties.ipConnection.srcIp ログフィールドは principal.ip UDM フィールドにマッピングされます。
    sourceProperties.properties.callerIp sourceProperties.properties.indicatorContext.ipAddress principal.ip category ログフィールドの値が Malware: Cryptomining Bad IP またはMalware: Bad IPと等しい場合に、sourceProperties.properties.ipConnection.srcIp ログフィールドの値が sourceProperties.properties.indicatorContext.ipAddress と等しくない場合、sourceProperties.properties.indicatorContext.ipAddress ログフィールドは principal.ip UDM フィールドにマッピングされます。
    sourceProperties.properties.anomalousLocation.callerIp principal.ip category ログフィールドの値が Persistence: New Geography と等しい場合、sourceProperties.properties.anomalousLocation.callerIp ログフィールドは principal.ip UDM フィールドにマッピングされます。
    sourceProperties.properties.scannerDomain principal.labels [sourceProperties_properties_scannerDomain](非推奨) category ログフィールドの値が正規表現 Active Scan: Log4j Vulnerable to RCE と一致する場合、sourceProperties.properties.scannerDomain ログフィールドは principal.labels.key/value UDM フィールドにマッピングされます。
    sourceProperties.properties.scannerDomain additional.fields [sourceProperties_properties_scannerDomain] category ログフィールドの値が正規表現 Active Scan: Log4j Vulnerable to RCE と一致する場合、sourceProperties.properties.scannerDomain ログフィールドは additional.fields.value.string_value UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.jobState principal.labels [sourceProperties.properties.dataExfiltrationAttempt.jobState](非推奨) category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.jobState ログフィールドは principal.labels.key/value UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.jobState additional.fields [sourceProperties.properties.dataExfiltrationAttempt.jobState] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.jobState ログフィールドは additional.fields.value.string_value UDM フィールドにマッピングされます。
    access.callerIpGeo.regionCode principal.location.country_or_region
    sourceProperties.properties.indicatorContext.countryCode principal.location.country_or_region category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.indicatorContext.countryCode ログフィールドは principal.location.country_or_region UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.job.location principal.location.country_or_region category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.job.location ログフィールドは principal.location.country_or_region UDM フィールドにマッピングされます。
    sourceProperties.properties.extractionAttempt.job.location principal.location.country_or_region category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.job.location ログフィールドは principal.location.country_or_region UDM フィールドにマッピングされます。
    sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier principal.location.country_or_region category ログフィールドの値が Persistence: New Geography または Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.anomalousLocation.typicalGeolocations.country.identifier ログフィールドは principal.location.country_or_region UDM フィールドにマッピングされます。
    sourceProperties.properties.anomalousLocation.anomalousLocation principal.location.name category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.anomalousLocation.anomalousLocation ログフィールドは principal.location.name UDM フィールドにマッピングされます。
    sourceProperties.properties.ipConnection.srcPort principal.port category ログフィールドの値が Malware: Bad IP または Malware: Outgoing DoS と等しい場合、sourceProperties.properties.ipConnection.srcPort ログフィールドは principal.port UDM フィールドにマッピングされます。
    sourceProperties.properties.extractionAttempt.jobLink principal.process.file.full_path category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.jobLink ログフィールドは principal.process.file.full_path UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.jobLink principal.process.file.full_path category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.jobLink ログフィールドは principal.process.file.full_path UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.job.jobId principal.process.pid category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.job.jobId ログフィールドは principal.process.pid UDM フィールドにマッピングされます。
    sourceProperties.properties.extractionAttempt.job.jobId principal.process.pid category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.job.jobId ログフィールドは principal.process.pid UDM フィールドにマッピングされます。
    sourceProperties.properties.srcVpc.subnetworkName principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.srcVpc.subnetworkName ログフィールドは principal.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] principal.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_srcVpc_projectId] category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.srcVpc.projectId ログフィールドは principal.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.srcVpc.vpcName principal.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは principal.resource_ancestors.name UDM フィールドにマッピングされ、principal.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] message ログフィールドの値が正規表現 sourceProperties.sourceId.*?customerOrganizationNumber と一致する場合、sourceProperties.sourceId.customerOrganizationNumber ログフィールドは principal.resource.attribute.labels.key/value UDM フィールドにマッピングされます。
    resource.projectName principal.resource.name
    sourceProperties.properties.projectId principal.resource.name sourceProperties.properties.projectId ログフィールドの値が空でない場合、sourceProperties.properties.projectId ログフィールドは principal.resource.name UDM フィールドにマッピングされます。
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId principal.resource.name category ログフィールドの値が Discovery: Service Account Self-Investigation と等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.projectId ログフィールドは principal.resource.name UDM フィールドにマッピングされます。
    sourceProperties.properties.sourceInstanceDetails principal.resource.name category ログフィールドの値が Malware: Outgoing DoS と等しい場合、sourceProperties.properties.sourceInstanceDetails ログフィールドは principal.resource.name UDM フィールドにマッピングされます。
    principal.user.account_type access.principalSubject ログフィールドの値が正規表現 serviceAccount と一致する場合、principal.user.account_type UDM フィールドは SERVICE_ACCOUNT_TYPE に設定されます。

    access.principalSubject ログフィールドの値が正規表現 user と一致する場合、principal.user.account_type UDM フィールドは CLOUD_ACCOUNT_TYPE に設定されます。
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent principal.user.attribute.labels.key/value [sourceProperties_properties_serviceAccountGetsOwnIamPolicy_callerUserAgent] category ログフィールドの値が Discovery: Service Account Self-Investigation と等しい場合、principal.user.attribute.labels.key UDM フィールドは rawUserAgent に設定され、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.callerUserAgent ログフィールドは principal.user.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail principal.user.email_addresses category ログフィールドの値が Discovery: Service Account Self-Investigation と等しい場合、sourceProperties.properties.serviceAccountGetsOwnIamPolicy.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.changeFromBadIp.principalEmail principal.user.email_addresses category ログフィールドの値が Evasion: Access from Anonymizing Proxy と等しい場合、sourceProperties.properties.changeFromBadIp.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.userEmail principal.user.email_addresses category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.userEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.principalEmail principal.user.email_addresses category ログフィールドの値が Exfiltration: BigQuery Data to Google DriveInitial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackImpair Defenses: Strong Authentication DisabledImpair Defenses: Two Step Verification DisabledPersistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、sourceProperties.properties.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。

    category ログフィールドの値 Initial Access: Suspicious Login Blocked と等しい場合、sourceProperties.properties.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    access.principalEmail principal.user.email_addresses category ログフィールドの値が Defense Evasion: Modify VPC Service ControlExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Restore Backup to External Organization、または Persistence: New Geography と等しい場合、access.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.email_addresses category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.sensitiveRoleGrant.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.anomalousSoftware.principalEmail principal.user.email_addresses category ログフィールドの値が Persistence: New User Agent と等しい場合、sourceProperties.properties.anomalousSoftware.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.exportToGcs.principalEmail principal.user.email_addresses
    sourceProperties.properties.restoreToExternalInstance.principalEmail principal.user.email_addresses category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    access.serviceAccountDelegationInfo.principalEmail principal.user.email_addresses
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.email_addresses category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.customRoleSensitivePermissions.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.anomalousLocation.principalEmail principal.user.email_addresses category ログフィールドの値が Persistence: New Geography と等しい場合、sourceProperties.properties.anomalousLocation.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail principal.user.email_addresses category ログフィールドの値が Credential Access: External Member Added To Privileged Group と等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail principal.user.email_addresses category ログフィールドの値が Credential Access: Privileged Group Opened To Public と等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail principal.user.email_addresses category ログフィールドの値が Credential Access: Sensitive Role Granted To Hybrid Group と等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.vpcViolation.userEmail principal.user.email_addresses category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.vpcViolation.userEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    sourceProperties.properties.ssoState principal.user.user_authentication_status category ログフィールドの値が Initial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedImpair Defenses: Two Step Verification Disabled または Persistence: SSO Enablement Toggle と等しい場合、sourceProperties.properties.ssoState ログフィールドは principal.user.user_authentication_status UDM フィールドにマッピングされます。
    database.userName principal.user.userid category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、database.userName ログフィールドは principal.user.userid UDM フィールドにマッピングされます。
    sourceProperties.properties.threatIntelligenceSource security_result.about.application category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.threatIntelligenceSource ログフィールドは security_result.about.application UDM フィールドにマッピングされます。
    workflowState security_result.about.investigation.status
    sourceProperties.properties.attempts.sourceIp security_result.about.ip category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.sourceIp ログフィールドは security_result.about.ip UDM フィールドにマッピングされます。
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name target.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    sourceProperties.properties.delta.restrictedResources.resourceName security_result.about.resource.name category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、Restricted Resource: sourceProperties.properties.delta.restrictedResources.resourceName ログフィールドは security_result.about.resource.name UDM フィールドにマッピングされます。

    category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.delta.restrictedResources.resourceName ログフィールドは security_result.about.resource.name UDM フィールドにマッピングされ、security_result.about.resource_type UDM フィールドは CLOUD_PROJECT に設定されます。
    sourceProperties.properties.delta.allowedServices.serviceName security_result.about.resource.name category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.delta.allowedServices.serviceName ログフィールドは security_result.about.resource.name UDM フィールドにマッピングされ、security_result.about.resource_type UDM フィールドは BACKEND_SERVICE に設定されます。
    sourceProperties.properties.delta.restrictedServices.serviceName security_result.about.resource.name category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.delta.restrictedServices.serviceName ログフィールドは security_result.about.resource.name UDM フィールドにマッピングされ、security_result.about.resource_type UDM フィールドは BACKEND_SERVICE に設定されます。
    sourceProperties.properties.delta.accessLevels.policyName security_result.about.resource.name category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.delta.accessLevels.policyName ログフィールドは security_result.about.resource.name UDM フィールドにマッピングされ、security_result.about.resource_type UDM フィールドは ACCESS_POLICY に設定されます。
    security_result.about.user.attribute.roles.name message ログフィールドの値が正規表現 contacts.?security と一致する場合、security_result.about.user.attribute.roles.name UDM フィールドは security に設定されます。

    message ログフィールドの値が正規表現 contacts.?technical と一致する場合、security_result.about.user.attribute.roles.name UDM フィールドは Technical に設定されます。
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.action category ログフィールドの値が Initial Access: Suspicious Login Blocked と等しい場合、security_result.action UDM フィールドは BLOCK に設定されます。

    category ログフィールドの値が Brute Force: SSH と等しい場合に、sourceProperties.properties.attempts.authResult ログフィールドの値が SUCCESS と等しい場合、security_result.action UDM フィールドは BLOCK に設定されます。

    それ以外の場合、security_result.action UDM フィールドは BLOCK に設定されます。
    sourceProperties.properties.delta.restrictedResources.action security_result.action_details category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.delta.restrictedResources.action ログフィールドは security_result.action_details UDM フィールドにマッピングされます。
    sourceProperties.properties.delta.restrictedServices.action security_result.action_details category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.delta.restrictedServices.action ログフィールドは security_result.action_details UDM フィールドにマッピングされます。
    sourceProperties.properties.delta.allowedServices.action security_result.action_details category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.delta.allowedServices.action ログフィールドは security_result.action_details UDM フィールドにマッピングされます。
    sourceProperties.properties.delta.accessLevels.action security_result.action_details category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.delta.accessLevels.action ログフィールドは security_result.action_details UDM フィールドにマッピングされます。
    security_result.alert_state state ログフィールドの値が ACTIVE と等しい場合、security_result.alert_state UDM フィールドは ALERTING に設定されます。

    それ以外の場合、security_result.alert_state UDM フィールドは NOT_ALERTING に設定されます。
    findingClass security_result.catgory_details findingClass - category ログフィールドは security_result.catgory_details UDM フィールドにマッピングされます。
    category security_result.catgory_details findingClass - category ログフィールドは security_result.catgory_details UDM フィールドにマッピングされます。
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] mute ログフィールドの値が MUTED または UNMUTED と等しい場合、muteInitiator ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] mute ログフィールドの値が MUTED または UNMUTED と等しい場合、muteUpdateTimer ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification security_result.detection_fields.key/value [sourceProperties_properties_anomalousSoftware_anomalousSoftwareClassification] category ログフィールドの値が Persistence: New User Agent と等しい場合、sourceProperties.properties.anomalousSoftware.anomalousSoftwareClassification ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.attempts.authResult security_result.detection_fields.key/value [sourceProperties_properties_attempts_authResult] category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.authResult ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.indicator.indicatorType security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_indicatorType] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.indicator.indicatorType ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_lastSeenTsGlobal] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.indicator.lastSeenTsGlobal ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_indicator_summaryGenerationTs] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.indicator.summaryGenerationTs ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.customer_industry security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_industry] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.customer_industry ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.customer_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_customer_name] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.customer_name ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.lasthit security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_lasthit] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.lasthit ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.myVote security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_myVote] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.source security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_source] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.myVote ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.support_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_support_id] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.support_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.tag_class_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_class_id] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_class_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_id] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_scope_id] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_scope_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_definition_status_id] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_definition_status_id ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.tag_name security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_tag_name] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.tag_name ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.upVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tags_upVotes] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.upVotes ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.downVotes security_result.detection_fields.key/value [sourceProperties_properties_autofocusContextCards_tagsdownVotes] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.downVotes ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product category ログフィールドの値が Active Scan: Log4j Vulnerable to RCEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Over-Privileged GrantExfiltration: CloudSQL Restore Backup to External OrganizationInitial Access: Log4j Compromise AttemptMalware: Cryptomining Bad DomainMalware: Cryptomining Bad IP または Persistence: IAM Anomalous Grant と等しい場合、security_result.detection_fields.key UDM フィールドは sourceProperties_contextUris_relatedFindingUri_url に設定され、sourceProperties.contextUris.relatedFindingUri.url ログフィールドは metadata.url_back_to_product UDM フィールドにマッピングされます。
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] category ログフィールドの値が Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad Domain、または Malware: Cryptomining Bad IP と等しい場合、sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName ログフィールドは security_result.detection_fields.key UDM フィールドにマッピングされ、sourceProperties.contextUris.virustotalIndicatorQueryUri.url ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] category ログフィールドの値が Initial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedImpair Defenses: Strong Authentication DisabledPersistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.contextUris.workspacesUri.displayName ログフィールドは security_result.detection_fields.key UDM フィールドにマッピングされ、sourceProperties.contextUris.workspacesUri.url ログフィールドは security_result.detection_fields.key/value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.public_tag_name security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.public_tag_name ログフィールドは intermediary.labels.key UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.tags.description security_result.detection_fields.key/value [sourceProperties.properties.autofocusContextCards.tags.public_tag_name/description] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.tags.description ログフィールドは intermediary.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal security_result.detection_fields.key/value [sourcePropertiesproperties_autofocusContextCards_indicator_firstSeenTsGlobal] category ログフィールドの値が Malware: Bad IP と等しい場合、sourceProperties.properties.autofocusContextCards.indicator.firstSeenTsGlobal ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    createTime security_result.detection_fields.key/value[create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority sourceProperties.detectionPriority ログフィールドの値が HIGH と等しい場合、security_result.priority UDM フィールドは HIGH_PRIORITY に設定されます。

    それ以外の場合で、sourceProperties.detectionPriority ログフィールドの値が MEDIUM と等しい場合、security_result.priority UDM フィールドは MEDIUM_PRIORITY に設定されます。

    それ以外の場合で、sourceProperties.detectionPriority ログフィールドの値が LOW と等しい場合、security_result.priority UDM フィールドは LOW_PRIORITY に設定されます。
    sourceProperties.detectionPriority security_result.priority_details
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    sourceProperties.properties.vpcViolation.violationReason security_result.summary category ログフィールドの値が Exfiltration: BigQuery Exfiltration と等しい場合、sourceProperties.properties.vpcViolation.violationReason ログフィールドは security_result.summary UDM フィールドにマッピングされます。
    name security_result.url_back_to_product
    database.query src.process.command_line category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、database.query ログフィールドは src.process.command_line UDM フィールドにマッピングされます。
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.folders.resourceFolderDisplayName ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.parentDisplayName ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.parentName ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.projectDisplayName ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_datasetId] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.datasetId ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_projectId] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.projectId ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri src.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_sourceTables_resourceUri] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.resourceUri ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    parent src.resource_ancestors.name category ログフィールドの値が Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、parent ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId src.resource_ancestors.name category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.sourceTables.tableId ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされ、src.resource_ancestors.resource_type UDM フィールドは TABLE に設定されます。
    resourceName src.resource_ancestors.name category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、resourceName ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。
    resource.folders.resourceFolder src.resource_ancestors.name category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.folders.resourceFolder ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.sourceId.customerOrganizationNumber src.resource_ancestors.product_object_id category ログフィールドの値が Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.sourceId.customerOrganizationNumber ログフィールドは src.resource_ancestors.product_object_id UDM フィールドにマッピングされます。
    sourceProperties.sourceId.projectNumber src.resource_ancestors.product_object_id category ログフィールドの値が Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.sourceId.projectNumber ログフィールドは src.resource_ancestors.product_object_id UDM フィールドにマッピングされます。
    sourceProperties.sourceId.organizationNumber src.resource_ancestors.product_object_id category ログフィールドの値が Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.sourceId.organizationNumber ログフィールドは src.resource_ancestors.product_object_id UDM フィールドにマッピングされます。
    resource.type src.resource_ancestors.resource_subtype category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.type ログフィールドは src.resource_ancestors.resource_subtype UDM フィールドにマッピングされます。
    database.displayName src.resource.attribute.labels.key/value [database_displayName] category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、database.displayName ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    database.grantees src.resource.attribute.labels.key/value [database_grantees] category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、src.resource.attribute.labels.key UDM フィールドは grantees に設定され、database.grantees ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.displayName ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.displayName principal.hostname resource.type ログフィールドの値が正規表現パターン (?i)google.compute.Instance or google.container.Cluster と一致する場合、resource.displayName ログフィールドは principal.hostname UDM フィールドにマッピングされます。
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.display_name ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.extractionAttempt.sourceTable.datasetId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_datasetId] category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.datasetId ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.extractionAttempt.sourceTable.projectId src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_projectId] category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.projectId ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.extractionAttempt.sourceTable.resourceUri src.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_sourceTable_resourceUri] category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.resourceUri ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.restoreToExternalInstance.backupId src.resource.attribute.labels.key/value [sourceProperties_properties_restoreToExternalInstance_backupId] category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.backupId ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration または Exfiltration: BigQuery Data Extraction と等しい場合、src.resource.attribute.labels.key/value ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resourceName src.resource.name category ログフィールドの値が Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.sources.name ログフィールドは src.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource src.resource.name category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource ログフィールドは src.resource.name UDM フィールドにマッピングされ、src.resource.resource_subtype UDM フィールドは CloudSQL に設定されます。
    sourceProperties.properties.exportToGcs.cloudsqlInstanceResource src.resource.name category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.sourceCloudsqlInstanceResource ログフィールドは src.resource.name UDM フィールドにマッピングされ、src.resource.resource_subtype UDM フィールドは CloudSQL に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.cloudsqlInstanceResource ログフィールドは src.resource.name UDM フィールドにマッピングされ、src.resource.resource_subtype UDM フィールドは CloudSQL に設定されます。
    database.name src.resource.name
    exfiltration.sources.name src.resource.name category ログフィールドの値が Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.sources.name ログフィールドは src.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.properties.extractionAttempt.sourceTable.tableId src.resource.product_object_id category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.sourceTable.tableId ログフィールドは src.resource.product_object_id UDM フィールドにマッピングされます。
    access.serviceName target.application category ログフィールドの値が Defense Evasion: Modify VPC Service ControlExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Restore Backup to External OrganizationExfiltration: CloudSQL Over-Privileged GrantPersistence: New Geography または Persistence: IAM Anomalous Grant と等しい場合、access.serviceName ログフィールドは target.application UDM フィールドにマッピングされます。
    sourceProperties.properties.serviceName target.application category ログフィールドの値が Initial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedImpair Defenses: Strong Authentication DisabledImpair Defenses: Two Step Verification DisabledPersistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.properties.serviceName ログフィールドは target.application UDM フィールドにマッピングされます。
    sourceProperties.properties.domainName target.domain.name category ログフィールドの値が Persistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.properties.domainName ログフィールドは target.domain.name UDM フィールドにマッピングされます。
    sourceProperties.properties.domains.0 target.domain.name category ログフィールドの値が Malware: Bad DomainMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.domains.0 ログフィールドは target.domain.name UDM フィールドにマッピングされます。
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_action] category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.action ログフィールドは target.group.attribute.labels.key/value UDM フィールドにマッピングされます。
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action target.group.attribute.labels.key/value [sourceProperties_properties_sensitiveRoleToHybridGroup_bindingDeltas_action] category ログフィールドの値が Credential Access: Sensitive Role Granted To Hybrid Group と等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.action ログフィールドは target.group.attribute.labels.key/value UDM フィールドにマッピングされます。
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleGrant_bindingDeltas_member] category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.member ログフィールドは target.group.attribute.labels.key/value UDM フィールドにマッピングされます。
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member target.group.attribute.labels.key/value[sourceProperties_properties_sensitiveRoleToHybridGroup] category ログフィールドの値が Credential Access: Sensitive Role Granted To Hybrid Group と等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.member ログフィールドは target.group.attribute.labels.key/value UDM フィールドにマッピングされます。
    sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin target.group.attribute.permissions.name category ログフィールドの値が Credential Access: Privileged Group Opened To Public と等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.whoCanJoin ログフィールドは target.group.attribute.permissions.name UDM フィールドにマッピングされます。
    sourceProperties.properties.customRoleSensitivePermissions.permissions target.group.attribute.permissions.name category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.customRoleSensitivePermissions.permissions ログフィールドは target.group.attribute.permissions.name UDM フィールドにマッピングされます。
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName target.group.attribute.roles.name category ログフィールドの値が Credential Access: External Member Added To Privileged Group と等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.roleName ログフィールドは target.group.attribute.roles.name UDM フィールドにマッピングされます。
    sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role target.group.attribute.roles.name category ログフィールドの値が Credential Access: Sensitive Role Granted To Hybrid Group と等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.bindingDeltas.role ログフィールドは target.group.attribute.roles.name UDM フィールドにマッピングされます。
    sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role target.group.attribute.roles.name category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.sensitiveRoleGrant.bindingDeltas.role ログフィールドは target.group.attribute.roles.name UDM フィールドにマッピングされます。
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName target.group.attribute.roles.name category ログフィールドの値が Credential Access: Privileged Group Opened To Public と等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.roleName ログフィールドは target.group.attribute.roles.name UDM フィールドにマッピングされます。
    sourceProperties.properties.customRoleSensitivePermissions.roleName target.group.attribute.roles.name category ログフィールドの値が Persistence: IAM Anomalous Grant と等しい場合、sourceProperties.properties.customRoleSensitivePermissions.roleName ログフィールドは target.group.attribute.roles.name UDM フィールドにマッピングされます。
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName target.group.group_display_name category ログフィールドの値が Credential Access: External Member Added To Privileged Group と等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.groupName ログフィールドは target.group.group_display_name UDM フィールドにマッピングされます。
    sourceProperties.properties.privilegedGroupOpenedToPublic.groupName target.group.group_display_name category ログフィールドの値が Credential Access: Privileged Group Opened To Public と等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.groupName ログフィールドは target.group.group_display_name UDM フィールドにマッピングされます。
    sourceProperties.properties.sensitiveRoleToHybridGroup.groupName target.group.group_display_name category ログフィールドの値が Credential Access: Sensitive Role Granted To Hybrid Group と等しい場合、sourceProperties.properties.sensitiveRoleToHybridGroup.groupName ログフィールドは target.group.group_display_name UDM フィールドにマッピングされます。
    sourceProperties.properties.ipConnection.destIp target.ip category ログフィールドの値が Malware: Bad IPMalware: Cryptomining Bad IP または Malware: Outgoing DoS と等しい場合、sourceProperties.properties.ipConnection.destIp ログフィールドは target.ip UDM フィールドにマッピングされます。
    access.methodName target.labels [access_methodName](非推奨)
    access.methodName additional.fields [access_methodName]
    processes.argumentsTruncated target.labels [processes_argumentsTruncated](非推奨)
    processes.argumentsTruncated additional.fields [processes_argumentsTruncated]
    processes.binary.contents target.labels [processes_binary_contents](非推奨)
    processes.binary.contents additional.fields [processes_binary_contents]
    processes.binary.hashedSize target.labels [processes_binary_hashedSize](非推奨)
    processes.binary.hashedSize additional.fields [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels [processes_binary_partiallyHashed](非推奨)
    processes.binary.partiallyHashed additional.fields [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels [processes_envVariables_name](非推奨)
    processes.envVariables.name additional.fields [processes_envVariables_name]
    processes.envVariables.val target.labels [processes_envVariables_val](非推奨)
    processes.envVariables.val additional.fields [processes_envVariables_val]
    processes.envVariablesTruncated target.labels [processes_envVariablesTruncated](非推奨)
    processes.envVariablesTruncated additional.fields [processes_envVariablesTruncated]
    processes.libraries.contents target.labels [processes_libraries_contents](非推奨)
    processes.libraries.contents additional.fields [processes_libraries_contents]
    processes.libraries.hashedSize target.labels [processes_libraries_hashedSize](非推奨)
    processes.libraries.hashedSize additional.fields [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels [processes_libraries_partiallyHashed](非推奨)
    processes.libraries.partiallyHashed additional.fields [processes_libraries_partiallyHashed]
    processes.script.contents target.labels [processes_script_contents](非推奨)
    processes.script.contents additional.fields [processes_script_contents]
    processes.script.hashedSize target.labels [processes_script_hashedSize](非推奨)
    processes.script.hashedSize additional.fields [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels [processes_script_partiallyHashed](非推奨)
    processes.script.partiallyHashed additional.fields [processes_script_partiallyHashed]
    sourceProperties.properties.methodName target.labels [sourceProperties_properties_methodName](非推奨) category ログフィールドの値が Impair Defenses: Strong Authentication DisabledInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedPersistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.properties.methodName ログフィールドは target.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.methodName additional.fields [sourceProperties_properties_methodName] category ログフィールドの値が Impair Defenses: Strong Authentication DisabledInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedPersistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.properties.methodName ログフィールドは additional.fields.value.string_value UDM フィールドにマッピングされます。
    sourceProperties.properties.network.location target.location.name category ログフィールドの値が Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.network.location ログフィールドは target.location.name UDM フィールドにマッピングされます。
    processes.parentPid target.parent_process.pid
    sourceProperties.properties.ipConnection.destPort target.port category ログフィールドの値が Malware: Bad IP または Malware: Outgoing DoS と等しい場合、sourceProperties.properties.ipConnection.destPort ログフィールドは target.port UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.query target.process.command_line category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.query ログフィールドは target.process.command_line UDM フィールドにマッピングされます。
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value] containers.labels.name ログフィールドは target.resource_ancestors.attribute.labels.key UDM フィールドにマッピングされ、containers.labels.value ログフィールドは target.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.destVpc.projectId target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_projectId] category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.destVpc.projectId ログフィールドは target.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.destVpc.subnetworkName target.resource_ancestors.attribute.labels.key/value [sourceProperties_properties_destVpc_subnetworkName] category ログフィールドの値が Malware: Cryptomining Bad IP または Malware: Bad IP と等しい場合、sourceProperties.properties.destVpc.subnetworkName ログフィールドは target.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.network.subnetworkName target.resource_ancestors.key/value [sourceProperties_properties_network_subnetworkName] category ログフィールドの値が Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、sourceProperties.properties.network.subnetworkName ログフィールドは target.resource_ancestors.value UDM フィールドにマッピングされます。
    sourceProperties.properties.network.subnetworkId target.resource_ancestors.labels.key/value [sourceProperties_properties_network_subnetworkId] category ログフィールドの値が Malware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、sourceProperties.properties.network.subnetworkId ログフィールドは target.resource_ancestors.value UDM フィールドにマッピングされます。
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。

    それ以外の場合で、category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.properties.destVpc.vpcName target.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。

    それ以外の場合で、category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.properties.vpcName target.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。

    それ以外の場合で、category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    resourceName target.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。

    それ以外の場合で、category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.properties.projectId target.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。

    それ以外の場合で、category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.properties.vpc.vpcName target.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。

    それ以外の場合で、category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    parent target.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。

    それ以外の場合で、category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。

    それ以外の場合で、category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    containers.name target.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。

    それ以外の場合で、category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource target.resource_ancestors.name category ログフィールドの値が Credential Access: External Member Added To Privileged Group と等しい場合、sourceProperties.properties.externalMemberAddedToPrivilegedGroup.sensitiveRoles.resource ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource target.resource_ancestors.name category ログフィールドの値が Credential Access: Privileged Group Opened To Public と等しい場合、sourceProperties.properties.privilegedGroupOpenedToPublic.sensitiveRoles.resource ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    kubernetes.pods.containers.name target.resource_ancestors.name category ログフィールドの値が Malware: Cryptomining Bad IPMalware: Bad IPMalware: Cryptomining Bad DomainMalware: Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.destVpc.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、sourceProperties.properties.vpc.vpcName ログ フィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VPC_NETWORK に設定されます。

    それ以外の場合で、category ログフィールドの値が Active Scan: Log4j Vulnerable to RCE と等しい場合、sourceProperties.properties.vpcName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM にマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.properties.gceInstanceId target.resource_ancestors.product_object_id category ログフィールドの値が Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、sourceProperties.properties.gceInstanceId ログフィールドは target.resource_ancestors.product_object_id UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id category ログフィールドの値が Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id category ログフィールドの値が Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id category ログフィールドの値が Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。
    containers.imageId target.resource_ancestors.product_object_id category ログフィールドの値が Persistence: GCE Admin Added Startup Script または Persistence: GCE Admin Added SSH Key と等しい場合、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.zone ログフィールドは target.resource.attribute.cloud.availability_zone UDM フィールドにマッピングされます。
    canonicalName metadata.product_log_id finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。

    finding_id ログフィールドの値が空ではない場合、finding_id ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。
    canonicalName src.resource.attribute.labels.key/value [finding_id] finding_id ログフィールドの値が空でない場合、finding_id ログフィールドは src.resource.attribute.labels.key/value [finding_id] UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれかと等しい場合、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id source_id ログフィールドの値が空でない場合、source_id ログフィールドは src.resource.product_object_id UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれかと等しい場合、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] source_id ログフィールドの値が空でない場合、source_id ログフィールドは src.resource.attribute.labels.key/value [source_id] UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれかと等しい場合、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] finding_id ログフィールドの値が空でない場合、finding_id ログフィールドは target.resource.attribute.labels.key/value [finding_id] UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれとも一致しない場合は、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id source_id ログフィールドの値が空でない場合、source_id ログフィールドは target.resource.product_object_id UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれとも一致しない場合は、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] source_id ログフィールドの値が空でない場合、source_id ログフィールドは target.resource.attribute.labels.key/value [source_id] UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれとも一致しない場合は、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_datasetId] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.datasetId ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_projectId] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.projectId ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri target.resource.attribute.labels.key/value [sourceProperties_properties_dataExfiltrationAttempt_destinationTables_resourceUri] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.resourceUri ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.exportToGcs.exportScope target.resource.attribute.labels.key/value [sourceProperties_properties_exportToGcs_exportScope] category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、target.resource.attribute.labels.key UDM フィールドは exportScope に設定され、sourceProperties.properties.exportToGcs.exportScope ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.extractionAttempt.destinations.objectName target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_objectName] category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.objectName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.extractionAttempt.destinations.originalUri target.resource.attribute.labels.key/value [sourceProperties_properties_extractionAttempt_destinations_originalUri] category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.originalUri ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.metadataKeyOperation target.resource.attribute.labels.key/value [sourceProperties_properties_metadataKeyOperation] category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.metadataKeyOperation ログフィールドは target.resource.attribute.labels.key/value UDM フィールドにマッピングされます。
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration または Exfiltration: BigQuery Data Extraction と等しい場合、exfiltration.targets.components ログフィールドは target.resource.attribute.labels.key/value UDM フィールドにマッピングされます。
    sourceProperties.properties.exportToGcs.bucketAccess target.resource.attribute.permissions.name category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketAccess ログフィールドは target.resource.attribute.permissions.name UDM フィールドにマッピングされます。
    sourceProperties.properties.name target.resource.name category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドが Malware: Bad Domain、Malware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    そうでない場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。

    それ以外の場合、resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。
    sourceProperties.properties.exportToGcs.bucketResource target.resource.name category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドが Malware: Bad Domain、Malware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    そうでない場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。

    それ以外の場合、resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。
    sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource target.resource.name category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドが Malware: Bad Domain、Malware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    そうでない場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。

    それ以外の場合、resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。
    resourceName target.resource.name category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドが Malware: Bad Domain、Malware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    そうでない場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。

    それ以外の場合、resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。
    sourceProperties.properties.attempts.vmName target.resource.name category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドが Malware: Bad Domain、Malware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    そうでない場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。

    それ以外の場合、resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。
    sourceProperties.properties.instanceDetails target.resource.name category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドが Malware: Bad Domain、Malware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    そうでない場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。

    それ以外の場合、resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。
    sourceProperties.properties.extractionAttempt.destinations.collectionName target.resource.name category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドが Malware: Bad Domain、Malware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    そうでない場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。

    それ以外の場合、resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。
    sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId target.resource.name category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドが Malware: Bad Domain、Malware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    そうでない場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。

    それ以外の場合、resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。
    exfiltration.targets.name target.resource.name category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.bucketResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: CloudSQL Restore Backup to External Organization と等しい場合、sourceProperties.properties.restoreToExternalInstance.targetCloudsqlInstanceResource ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.vmName ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドが Malware: Bad Domain、Malware: Bad IPMalware: Cryptomining Bad IPMalware: Cryptomining Bad Domain または Configurable Bad Domain と等しい場合、sourceProperties.properties.instanceDetails ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.attribute.name UDM フィールドにマッピングされ、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    そうでない場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされ、sourceProperties.properties.dataExfiltrationAttempt.destinationTables.tableId ログフィールドは target.resource.attribute.labels UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは TABLE に設定されます。

    それ以外の場合、resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。
    sourceProperties.properties.instanceId target.resource.product_object_id category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.instanceId ログフィールドは target.resource.product_object_id UDM フィールドにマッピングされます。
    kubernetes.pods.containers.imageId target.resource_ancestors.attribute.labels[kubernetes_pods_containers_imageId]
    sourceProperties.properties.extractionAttempt.destinations.collectionType target.resource.resource_subtype category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.destinations.collectionName ログフィールドは target.resource.resource_subtype UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Credential Access: External Member Added To Privileged Group と等しい場合、target.resource.resource_subtype UDM フィールドは Privileged Group に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、target.resource.resource_subtype UDM フィールドは BigQuery に設定されます。
    target.resource.resource_type sourceProperties.properties.extractionAttempt.destinations.collectionType ログフィールドの値が正規表現 BUCKET と一致する場合、target.resource.resource_type UDM フィールドは STORAGE_BUCKET に設定されます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定さます。

    それ以外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、target.resource.resource_type UDM フィールドは TABLE に設定されます。
    sourceProperties.properties.extractionAttempt.jobLink target.url category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、sourceProperties.properties.extractionAttempt.jobLink ログフィールドは target.url UDM フィールドにマッピングされます。

    categoryログフィールドの値が Exfiltration: BigQuery Data Extraction と等しい場合、sourceProperties.properties.extractionAttempt.jobLink ログフィールドが target.url UDM フィールドにマッピングされます。
    sourceProperties.properties.exportToGcs.gcsUri target.url category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration と等しい場合、sourceProperties.properties.exportToGcs.gcsUri ログフィールドは target.url UDM フィールドにマッピングされます。
    sourceProperties.properties.requestUrl target.url category ログフィールドの値が Initial Access: Log4j Compromise Attempt と等しい場合、sourceProperties.properties.requestUrl ログフィールドは target.url UDM フィールドにマッピングされます。
    sourceProperties.properties.policyLink target.url category ログフィールドの値が Defense Evasion: Modify VPC Service Control と等しい場合、sourceProperties.properties.policyLink ログフィールドは target.url UDM フィールドにマッピングされます。
    sourceProperties.properties.anomalousLocation.notSeenInLast target.user.attribute.labels.key/value [sourceProperties_properties_anomalousLocation_notSeenInLast] category ログフィールドの値が Persistence: New Geography と等しい場合、sourceProperties.properties.anomalousLocation.notSeenInLast ログフィールドは target.user.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.properties.attempts.username target.user.userid category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.attempts.username ログフィールドは target.user.userid UDM フィールドにマッピングされます。

    category ログフィールドの値が Initial Access: Suspicious Login Blocked と等しい場合、userid ログフィールドは target.user.userid UDM フィールドにマッピングされます。
    sourceProperties.properties.principalEmail target.user.userid category ログフィールドの値が Initial Access: Suspicious Login Blocked と等しい場合、userid ログフィールドは target.user.userid UDM フィールドにマッピングされます。
    sourceProperties.Added_Binary_Kind target.resource.attribute.labels[sourceProperties_Added_Binary_Kind]
    sourceProperties.Container_Creation_Timestamp.nanos target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_nanos]
    sourceProperties.Container_Creation_Timestamp.seconds target.resource.attribute.labels[sourceProperties_Container_Creation_Timestamp_seconds]
    sourceProperties.Container_Image_Id target.resource_ancestors.product_object_id
    sourceProperties.Container_Image_Uri target.resource.attribute.labels[sourceProperties_Container_Image_Uri]
    sourceProperties.Container_Name target.resource_ancestors.name
    sourceProperties.Environment_Variables target.labels [Environment_Variables_name](非推奨)
    sourceProperties.Environment_Variables additional.fields [Environment_Variables_name]
    target.labels [Environment_Variables_val](非推奨)
    additional.fields [Environment_Variables_val]
    sourceProperties.Kubernetes_Labels target.resource.attribute.labels.key/value [sourceProperties_Kubernetes_Labels.name/value]
    sourceProperties.Parent_Pid target.process.parent_process.pid
    sourceProperties.Pid target.process.pid
    sourceProperties.Pod_Name target.resource_ancestors.name
    sourceProperties.Pod_Namespace target.resource_ancestors.attribute.labels.key/value [sourceProperties_Pod_Namespace]
    sourceProperties.Process_Arguments target.process.command_line
    sourceProperties.Process_Binary_Fullpath target.process.file.full_path
    sourceProperties.Process_Creation_Timestamp.nanos target.labels [sourceProperties_Process_Creation_Timestamp_nanos](非推奨)
    sourceProperties.Process_Creation_Timestamp.nanos additional.fields [sourceProperties_Process_Creation_Timestamp_nanos]
    sourceProperties.Process_Creation_Timestamp.seconds target.labels [sourceProperties_Process_Creation_Timestamp_seconds](非推奨)
    sourceProperties.Process_Creation_Timestamp.seconds additional.fields [sourceProperties_Process_Creation_Timestamp_seconds]
    sourceProperties.VM_Instance_Name target.resource_ancestors.name category ログフィールドの値が Added Binary Executed または Added Library Loaded と等しい場合、sourceProperties.VM_Instance_Name ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource_ancestors.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。
    target.resource_ancestors.resource_type
    resource.parent target.resource_ancestors.attribute.labels.key/value [resource_project]
    resource.project target.resource_ancestors.attribute.labels.key/value [resource_parent]
    sourceProperties.Added_Library_Fullpath target.process.file.full_path
    sourceProperties.Added_Library_Kind target.resource.attribute.labels[sourceProperties_Added_Library_Kind
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    sourceProperties.Backend_Service target.resource.name category ログフィールドの値が Increasing Deny RatioAllowed Traffic Spike または Application DDoS Attack Attempt と等しい場合、sourceProperties.Backend_Service ログフィールドは target.resource.name UDM フィールドにマッピングされ、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    sourceProperties.Long_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Allowed_RPS]
    sourceProperties.Long_Term_Denied_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Denied_RPS]
    sourceProperties.Long_Term_Incoming_RPS target.resource.attribute.labels[sourceProperties_Long_Term_Incoming_RPS]
    sourceProperties.properties.customProperties.domain_category target.resource.attribute.labels[sourceProperties_properties_customProperties_domain_category]
    sourceProperties.Security_Policy target.resource.attribute.labels[sourceProperties_Security_Policy]
    sourceProperties.Short_Term_Allowed_RPS target.resource.attribute.labels[sourceProperties_Short_Term_Allowed_RPS]
    target.resource.resource_type category ログフィールドの値が Increasing Deny Ratio または Allowed Traffic Spike または Application DDoS Attack Attempt と等しい場合、target.resource.resource_type UDM フィールドは BACKEND_SERVICE に設定されます。

    category ログフィールドの値が Configurable Bad Domain と等しい場合、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。
    sourceProperties.properties.sensitiveRoleGrant.principalEmail principal.user.userid Grok : sourceProperties.properties.sensitiveRoleGrant.principalEmail ログフィールドから user_id が抽出された後、user_id フィールドが principal.user.userid UDM フィールドにマッピングされます。
    sourceProperties.properties.customRoleSensitivePermissions.principalEmail principal.user.userid Grok : sourceProperties.properties.customRoleSensitivePermissions.principalEmail ログフィールドから user_id が抽出された後、user_id フィールドが principal.user.userid UDM フィールドにマッピングされます。
    resourceName principal.asset.location.name parentDisplayName ログフィールドの値が Virtual Machine Threat Detection と等しい場合、Grok : resourceName ログフィールドから project_nameregionzone_suffixasset_prod_obj_id が抽出された後、region ログフィールドが principal.asset.location.name UDM フィールドにマッピングされます。
    resourceName principal.asset.product_object_id parentDisplayName ログフィールドの値が Virtual Machine Threat Detection と等しい場合、Grok : resourceName ログフィールドから project_nameregionzone_suffixasset_prod_obj_id が抽出された後、asset_prod_obj_id ログフィールドが principal.asset.product_object_id UDM フィールドにマッピングされます。
    resourceName principal.asset.attribute.cloud.availability_zone parentDisplayName ログフィールドの値が Virtual Machine Threat Detection と等しい場合、Grok : resourceName ログフィールドから project_nameregionzone_suffixasset_prod_obj_id が抽出された後、zone_suffix ログフィールドが principal.asset.attribute.cloud.availability_zone UDM フィールドにマッピングされます。
    resourceName principal.asset.attribute.labels[project_name] parentDisplayName ログフィールドの値が Virtual Machine Threat Detection と等しい場合、Grok : resourceName ログフィールドから project_nameregionzone_suffixasset_prod_obj_id が抽出された後、project_name ログフィールドが principal.asset.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.threats.memory_hash_detector.detections.binary_name security_result.detection_fields[binary_name]
    sourceProperties.threats.memory_hash_detector.detections.percent_pages_matched security_result.detection_fields[percent_pages_matched]
    sourceProperties.threats.memory_hash_detector.binary security_result.detection_fields[memory_hash_detector_binary]
    sourceProperties.threats.yara_rule_detector.yara_rule_name security_result.detection_fields[yara_rule_name]
    sourceProperties.Script_SHA256 target.resource.attribute.labels[script_sha256]
    sourceProperties.Script_Content target.resource.attribute.labels[script_content]
    state security_result.detection_fields[state]
    assetDisplayName target.asset.attribute.labels[asset_display_name]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels[finding_provider_id]
    sourceDisplayName target.resource.attribute.labels[source_display_name]
    processes.name target.process.file.names
    target.labels[failedActions_methodName] sourceProperties.properties.failedActions.methodName category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.methodName ログフィールドは target.labels UDM フィールドにマッピングされます。
    additional.fields[failedActions_methodName] sourceProperties.properties.failedActions.methodName category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.methodName ログフィールドは additional.fields UDM フィールドにマッピングされます。
    target.labels[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.serviceName ログフィールドは target.labels UDM フィールドにマッピングされます。
    additional.fields[failedActions_serviceName] sourceProperties.properties.failedActions.serviceName category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.serviceName ログフィールドは additional.fields UDM フィールドにマッピングされます。
    target.labels[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.attemptTimes ログフィールドは target.labels UDM フィールドにマッピングされます。
    additional.fields[failedActions_attemptTimes] sourceProperties.properties.failedActions.attemptTimes category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.attemptTimes ログフィールドは additional.fields UDM フィールドにマッピングされます。
    target.labels[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.lastOccurredTime ログフィールドは target.labels UDM フィールドにマッピングされます。
    additional.fields[failedActions_lastOccurredTime] sourceProperties.properties.failedActions.lastOccurredTime category ログフィールドの値が Initial Access: Excessive Permission Denied Actions と等しい場合、sourceProperties.properties.failedActions.lastOccurredTime ログフィールドは additional.fields UDM フィールドにマッピングされます。
    resource.resourcePathString src.resource.attribute.labels[resource_path_string] category ログフィールドの値に次のいずれかの値が含まれている場合、resource.resourcePathString ログフィールドは src.resource.attribute.labels[resource_path_string] UDM フィールドにマッピングされます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    それ以外の場合、resource.resourcePathString ログフィールドは target.resource.attribute.labels[resource_path_string] UDM フィールドにマッピングされます。

    フィールド マッピング リファレンス: イベント識別子からイベントタイプへ

    イベント識別子 イベントタイプ セキュリティ カテゴリ
    Active Scan: Log4j Vulnerable to RCE SCAN_UNCATEGORIZED
    Brute Force: SSH USER_LOGIN AUTH_VIOLATION
    Credential Access: External Member Added To Privileged Group GROUP_MODIFICATION
    Credential Access: Privileged Group Opened To Public GROUP_MODIFICATION
    Credential Access: Sensitive Role Granted To Hybrid Group GROUP_MODIFICATION
    Defense Evasion: Modify VPC Service Control SERVICE_MODIFICATION
    Discovery: Can get sensitive Kubernetes object checkPreview SCAN_UNCATEGORIZED
    Discovery: Service Account Self-Investigation USER_UNCATEGORIZED
    Evasion: Access from Anonymizing Proxy SERVICE_MODIFICATION
    Exfiltration: BigQuery Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data Extraction USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: BigQuery Data to Google Drive USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Data Exfiltration USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Over-Privileged Grant USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Exfiltration: CloudSQL Restore Backup to External Organization USER_RESOURCE_ACCESS DATA_EXFILTRATION
    Impair Defenses: Strong Authentication Disabled USER_CHANGE_PERMISSIONS
    Impair Defenses: Two Step Verification Disabled USER_CHANGE_PERMISSIONS
    Initial Access: Account Disabled Hijacked SETTING_MODIFICATION
    Initial Access: Disabled Password Leak SETTING_MODIFICATION
    Initial Access: Government Based Attack USER_UNCATEGORIZED
    Initial Access: Log4j Compromise Attempt SCAN_UNCATEGORIZED EXPLOIT
    Initial Access: Suspicious Login Blocked USER_LOGIN ACL_VIOLATION
    Initial Access: Dormant Service Account Action SCAN_UNCATEGORIZED
    Log4j Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Log4j Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Bad IP SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad Domain NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Cryptomining Bad IP NETWORK_CONNECTION SOFTWARE_MALICIOUS
    Malware: Outgoing DoS NETWORK_CONNECTION NETWORK_DENIAL_OF_SERVICE
    Persistence: GCE Admin Added SSH Key SETTING_MODIFICATION
    Persistence: GCE Admin Added Startup Script SETTING_MODIFICATION
    Persistence: IAM Anomalous Grant USER_UNCATEGORIZED POLICY_VIOLATION
    Persistence: New API MethodPreview SCAN_UNCATEGORIZED
    Persistence: New Geography USER_RESOURCE_ACCESS NETWORK_SUSPICIOUS
    Persistence: New User Agent USER_RESOURCE_ACCESS
    Persistence: SSO Enablement Toggle SETTING_MODIFICATION
    Persistence: SSO Settings Changed SETTING_MODIFICATION
    Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsPreview RESOURCE_PERMISSIONS_CHANGE
    Privilege Escalation: Create Kubernetes CSR for master certPreview RESOURCE_CREATION
    Privilege Escalation: Creation of sensitive Kubernetes bindingsPreview RESOURCE_CREATION
    Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentialsPreview USER_RESOURCE_ACCESS
    Privilege Escalation: Launch of privileged Kubernetes containerPreview RESOURCE_CREATION
    Added Binary Executed USER_RESOURCE_ACCESS
    Added Library Loaded USER_RESOURCE_ACCESS
    Allowed Traffic Spike USER_RESOURCE_ACCESS
    Increasing Deny Ratio USER_RESOURCE_UPDATE_CONTENT
    Configurable bad domain NETWORK_CONNECTION
    Execution: Cryptocurrency Mining Hash Match SCAN_UNCATEGORIZED
    Execution: Cryptocurrency Mining YARA Rule SCAN_UNCATEGORIZED
    Malicious Script Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Malicious URL Observed SCAN_UNCATEGORIZED NETWORK_MALICIOUS
    Execution: Cryptocurrency Mining Combined Detection SCAN_UNCATEGORIZED
    Application DDoS Attack Attempt SCAN_NETWORK
    Defense Evasion: Unexpected ftrace handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected interrupt handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel code modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel modules SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kernel read-only data modification USER_RESOURCE_UPDATE_CONTENT SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected kprobe handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected processes in runqueue PROCESS_UNCATEGORIZED SOFTWARE_MALICIOUS
    Defense Evasion: Unexpected system call handler SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Reverse Shell SCAN_UNCATEGORIZED EXPLOIT
    account_has_leaked_credentials SCAN_UNCATEGORIZED DATA_AT_REST
    Initial Access: Dormant Service Account Key Created RESOURCE_CREATION
    Process Tree PROCESS_UNCATEGORIZED
    Unexpected Child Shell PROCESS_UNCATEGORIZED
    Execution: Added Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Execution: Modified Malicious Binary Executed SCAN_UNCATEGORIZED SOFTWARE_MALICIOUS
    Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity SCAN_UNCATEGORIZED
    Breakglass Account Used: break_glass_account SCAN_UNCATEGORIZED
    Configurable Bad Domain: APT29_Domains SCAN_UNCATEGORIZED
    Unexpected Role Grant: Forbidden roles SCAN_UNCATEGORIZED
    Configurable Bad IP SCAN_UNCATEGORIZED
    Unexpected Compute Engine instance type SCAN_UNCATEGORIZED
    Unexpected Compute Engine source image SCAN_UNCATEGORIZED
    Unexpected Compute Engine region SCAN_UNCATEGORIZED
    Custom role with prohibited permission SCAN_UNCATEGORIZED
    Unexpected Cloud API Call SCAN_UNCATEGORIZED



    次の表は、Security Command Center の UDM イベントタイプと UDM フィールド マッピング(VULNERABILITYMISCONFIGURATIONOBSERVATIONERRORUNSPECIFIEDPOSTURE_VIOLATION 検出クラス)を含んでいます。

    VULNERABILITY カテゴリから UDM イベントタイプ

    次の表に、VULNERABILITY カテゴリとそれに対応する UDM イベントタイプを示します。

    イベント識別子 イベントタイプ セキュリティ カテゴリ
    DISK_CSEK_DISABLED SCAN_UNCATEGORIZED
    ALPHA_CLUSTER_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    COS_NOT_USED SCAN_UNCATEGORIZED
    INTEGRITY_MONITORING_DISABLED SCAN_UNCATEGORIZED
    IP_ALIAS_DISABLED SCAN_UNCATEGORIZED
    LEGACY_METADATA_ENABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    DATAPROC_IMAGE_OUTDATED SCAN_VULN_NETWORK
    PUBLIC_DATASET SCAN_UNCATEGORIZED
    DNSSEC_DISABLED SCAN_UNCATEGORIZED
    RSASHA1_FOR_SIGNING SCAN_UNCATEGORIZED
    REDIS_ROLE_USED_ON_ORG SCAN_UNCATEGORIZED
    KMS_PUBLIC_KEY SCAN_UNCATEGORIZED
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_EXTERNAL_SCRIPTS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_ERROR_VERBOSITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_DURATION_STATEMENT_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_MIN_MESSAGES SCAN_UNCATEGORIZED
    SQL_LOG_EXECUTOR_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_HOSTNAME_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PARSER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_PLANNER_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT_STATS_ENABLED SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_WEAK_ROOT_PASSWORD SCAN_UNCATEGORIZED
    PUBLIC_LOG_BUCKET SCAN_UNCATEGORIZED
    ACCESSIBLE_GIT_REPOSITORY SCAN_UNCATEGORIZED DATA_EXFILTRATION
    ACCESSIBLE_SVN_REPOSITORY SCAN_NETWORK DATA_EXFILTRATION
    CACHEABLE_PASSWORD_INPUT SCAN_NETWORK NETWORK_SUSPICIOUS
    CLEAR_TEXT_PASSWORD SCAN_NETWORK NETWORK_MALICIOUS
    INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION SCAN_UNCATEGORIZED
    INVALID_CONTENT_TYPE SCAN_UNCATEGORIZED
    INVALID_HEADER SCAN_UNCATEGORIZED
    MISMATCHING_SECURITY_HEADER_VALUES SCAN_UNCATEGORIZED
    MISSPELLED_SECURITY_HEADER_NAME SCAN_UNCATEGORIZED
    MIXED_CONTENT SCAN_UNCATEGORIZED
    OUTDATED_LIBRARY SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    SERVER_SIDE_REQUEST_FORGERY SCAN_NETWORK NETWORK_MALICIOUS
    SESSION_ID_LEAK SCAN_NETWORK DATA_EXFILTRATION
    SQL_INJECTION SCAN_NETWORK EXPLOIT
    STRUTS_INSECURE_DESERIALIZATION SCAN_VULN_HOST SOFTWARE_SUSPICIOUS
    XSS SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ANGULAR_CALLBACK SCAN_NETWORK SOFTWARE_SUSPICIOUS
    XSS_ERROR SCAN_HOST SOFTWARE_SUSPICIOUS
    XXE_REFLECTED_FILE_LEAKAGE SCAN_HOST SOFTWARE_SUSPICIOUS
    BASIC_AUTHENTICATION_ENABLED SCAN_UNCATEGORIZED
    CLIENT_CERT_AUTHENTICATION_DISABLED SCAN_UNCATEGORIZED
    LABELS_NOT_USED SCAN_UNCATEGORIZED
    PUBLIC_STORAGE_OBJECT SCAN_UNCATEGORIZED
    SQL_BROAD_ROOT_LOGIN SCAN_UNCATEGORIZED
    WEAK_CREDENTIALS SCAN_VULN_NETWORK NETWORK_MALICIOUS
    ELASTICSEARCH_API_EXPOSED SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_GRAFANA_ENDPOINT SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_METABASE SCAN_VULN_NETWORK NETWORK_MALICIOUS
    EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT SCAN_VULN_NETWORK
    HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JAVA_JMX_RMI_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    JUPYTER_NOTEBOOK_EXPOSED_UI SCAN_VULN_NETWORK
    KUBERNETES_API_EXPOSED SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNFINISHED_WORDPRESS_INSTALLATION SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    APACHE_HTTPD_SSRF SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    CONSUL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    DRUID_RCE SCAN_VULN_NETWORK
    DRUPAL_RCE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    FLINK_FILE_DISCLOSURE SCAN_VULN_NETWORK NETWORK_SUSPICIOUS
    GITLAB_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    GoCD_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JENKINS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    JOOMLA_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    LOG4J_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    MANTISBT_PRIVILEGE_ESCALATION SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OGNL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OPENAM_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    ORACLE_WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHPUNIT_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PHP_CGI_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    PORTAL_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    REDIS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_FILE_EXPOSED SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    SOLR_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    STRUTS_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    TOMCAT_FILE_DISCLOSURE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VBULLETIN_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    VCENTER_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    WEBLOGIC_RCE SCAN_VULN_NETWORK SOFTWARE_SUSPICIOUS
    OS_VULNERABILITY SCAN_VULN_HOST
    IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    SERVICE_AGENT_GRANTED_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS
    UNUSED_IAM_ROLE SCAN_UNCATEGORIZED
    SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE SCAN_UNCATEGORIZED SOFTWARE_SUSPICIOUS

    MISCONFIGURATION カテゴリから UDM イベントタイプ

    次の表に、MISCONFIGURATION カテゴリとそれに対応する UDM イベントタイプを示します。

    イベント識別子 イベントタイプ
    API_KEY_APIS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_APPS_UNRESTRICTED SCAN_UNCATEGORIZED
    API_KEY_EXISTS SCAN_UNCATEGORIZED
    API_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    PUBLIC_COMPUTE_IMAGE SCAN_HOST
    CONFIDENTIAL_COMPUTING_DISABLED SCAN_HOST
    COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED SCAN_UNCATEGORIZED
    COMPUTE_SECURE_BOOT_DISABLED SCAN_HOST
    DEFAULT_SERVICE_ACCOUNT_USED SCAN_UNCATEGORIZED
    FULL_API_ACCESS SCAN_UNCATEGORIZED
    OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_IP_ADDRESS SCAN_UNCATEGORIZED
    SHIELDED_VM_DISABLED SCAN_UNCATEGORIZED
    COMPUTE_SERIAL_PORTS_ENABLED SCAN_NETWORK
    DISK_CMEK_DISABLED SCAN_UNCATEGORIZED
    HTTP_LOAD_BALANCER SCAN_NETWORK
    IP_FORWARDING_ENABLED SCAN_UNCATEGORIZED
    WEAK_SSL_POLICY SCAN_NETWORK
    BINARY_AUTHORIZATION_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_LOGGING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_MONITORING_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SECRETS_ENCRYPTION_DISABLED SCAN_UNCATEGORIZED
    INTRANODE_VISIBILITY_DISABLED SCAN_UNCATEGORIZED
    MASTER_AUTHORIZED_NETWORKS_DISABLED SCAN_UNCATEGORIZED
    NETWORK_POLICY_DISABLED SCAN_UNCATEGORIZED
    NODEPOOL_SECURE_BOOT_DISABLED SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_ACCOUNT SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SCOPES SCAN_UNCATEGORIZED
    POD_SECURITY_POLICY_DISABLED SCAN_UNCATEGORIZED
    PRIVATE_CLUSTER_DISABLED SCAN_UNCATEGORIZED
    WORKLOAD_IDENTITY_DISABLED SCAN_UNCATEGORIZED
    LEGACY_AUTHORIZATION_ENABLED SCAN_UNCATEGORIZED
    NODEPOOL_BOOT_CMEK_DISABLED SCAN_UNCATEGORIZED
    WEB_UI_ENABLED SCAN_UNCATEGORIZED
    AUTO_REPAIR_DISABLED SCAN_UNCATEGORIZED
    AUTO_UPGRADE_DISABLED SCAN_UNCATEGORIZED
    CLUSTER_SHIELDED_NODES_DISABLED SCAN_UNCATEGORIZED
    RELEASE_CHANNEL_DISABLED SCAN_UNCATEGORIZED
    BIGQUERY_TABLE_CMEK_DISABLED SCAN_UNCATEGORIZED
    DATASET_CMEK_DISABLED SCAN_UNCATEGORIZED
    EGRESS_DENY_RULE_NOT_SET SCAN_NETWORK
    FIREWALL_RULE_LOGGING_DISABLED SCAN_NETWORK
    OPEN_CASSANDRA_PORT SCAN_NETWORK
    OPEN_SMTP_PORT SCAN_NETWORK
    OPEN_REDIS_PORT SCAN_NETWORK
    OPEN_POSTGRESQL_PORT SCAN_NETWORK
    OPEN_POP3_PORT SCAN_NETWORK
    OPEN_ORACLEDB_PORT SCAN_NETWORK
    OPEN_NETBIOS_PORT SCAN_NETWORK
    OPEN_MYSQL_PORT SCAN_NETWORK
    OPEN_MONGODB_PORT SCAN_NETWORK
    OPEN_MEMCACHED_PORT SCAN_NETWORK
    OPEN_LDAP_PORT SCAN_NETWORK
    OPEN_FTP_PORT SCAN_NETWORK
    OPEN_ELASTICSEARCH_PORT SCAN_NETWORK
    OPEN_DNS_PORT SCAN_NETWORK
    OPEN_HTTP_PORT SCAN_NETWORK
    OPEN_DIRECTORY_SERVICES_PORT SCAN_NETWORK
    OPEN_CISCOSECURE_WEBSM_PORT SCAN_NETWORK
    OPEN_RDP_PORT SCAN_NETWORK
    OPEN_TELNET_PORT SCAN_NETWORK
    OPEN_FIREWALL SCAN_NETWORK
    OPEN_SSH_PORT SCAN_NETWORK
    SERVICE_ACCOUNT_ROLE_SEPARATION SCAN_UNCATEGORIZED
    NON_ORG_IAM_MEMBER SCAN_UNCATEGORIZED
    OVER_PRIVILEGED_SERVICE_ACCOUNT_USER SCAN_UNCATEGORIZED
    ADMIN_SERVICE_ACCOUNT SCAN_UNCATEGORIZED
    SERVICE_ACCOUNT_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    USER_MANAGED_SERVICE_ACCOUNT_KEY SCAN_UNCATEGORIZED
    PRIMITIVE_ROLES_USED SCAN_UNCATEGORIZED
    KMS_ROLE_SEPARATION SCAN_UNCATEGORIZED
    OPEN_GROUP_IAM_MEMBER SCAN_UNCATEGORIZED
    KMS_KEY_NOT_ROTATED SCAN_UNCATEGORIZED
    KMS_PROJECT_HAS_OWNER SCAN_UNCATEGORIZED
    TOO_MANY_KMS_USERS SCAN_UNCATEGORIZED
    OBJECT_VERSIONING_DISABLED SCAN_UNCATEGORIZED
    LOCKED_RETENTION_POLICY_NOT_SET SCAN_UNCATEGORIZED
    BUCKET_LOGGING_DISABLED SCAN_UNCATEGORIZED
    LOG_NOT_EXPORTED SCAN_UNCATEGORIZED
    AUDIT_LOGGING_DISABLED SCAN_UNCATEGORIZED
    MFA_NOT_ENFORCED SCAN_UNCATEGORIZED
    ROUTE_NOT_MONITORED SCAN_NETWORK
    OWNER_NOT_MONITORED SCAN_NETWORK
    AUDIT_CONFIG_NOT_MONITORED SCAN_UNCATEGORIZED
    BUCKET_IAM_NOT_MONITORED SCAN_UNCATEGORIZED
    CUSTOM_ROLE_NOT_MONITORED SCAN_UNCATEGORIZED
    FIREWALL_NOT_MONITORED SCAN_NETWORK
    NETWORK_NOT_MONITORED SCAN_NETWORK
    SQL_INSTANCE_NOT_MONITORED SCAN_UNCATEGORIZED
    DEFAULT_NETWORK SCAN_NETWORK
    DNS_LOGGING_DISABLED SCAN_NETWORK
    PUBSUB_CMEK_DISABLED SCAN_UNCATEGORIZED
    PUBLIC_SQL_INSTANCE SCAN_NETWORK
    SSL_NOT_ENFORCED SCAN_NETWORK
    AUTO_BACKUP_DISABLED SCAN_UNCATEGORIZED
    SQL_CMEK_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CHECKPOINTS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_CONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DISCONNECTIONS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_DURATION_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_LOCK_WAITS_DISABLED SCAN_UNCATEGORIZED
    SQL_LOG_STATEMENT SCAN_UNCATEGORIZED
    SQL_NO_ROOT_PASSWORD SCAN_UNCATEGORIZED
    SQL_PUBLIC_IP SCAN_NETWORK
    SQL_CONTAINED_DATABASE_AUTHENTICATION SCAN_UNCATEGORIZED
    SQL_CROSS_DB_OWNERSHIP_CHAINING SCAN_UNCATEGORIZED
    SQL_LOCAL_INFILE SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT SCAN_UNCATEGORIZED
    SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY SCAN_UNCATEGORIZED
    SQL_LOG_TEMP_FILES SCAN_UNCATEGORIZED
    SQL_REMOTE_ACCESS_ENABLED SCAN_UNCATEGORIZED
    SQL_SKIP_SHOW_DATABASE_DISABLED SCAN_UNCATEGORIZED
    SQL_TRACE_FLAG_3625 SCAN_UNCATEGORIZED
    SQL_USER_CONNECTIONS_CONFIGURED SCAN_UNCATEGORIZED
    SQL_USER_OPTIONS_CONFIGURED SCAN_UNCATEGORIZED
    PUBLIC_BUCKET_ACL SCAN_UNCATEGORIZED
    BUCKET_POLICY_ONLY_DISABLED SCAN_UNCATEGORIZED
    BUCKET_CMEK_DISABLED SCAN_UNCATEGORIZED
    FLOW_LOGS_DISABLED SCAN_NETWORK
    PRIVATE_GOOGLE_ACCESS_DISABLED SCAN_NETWORK
    kms_key_region_europe SCAN_UNCATEGORIZED
    kms_non_euro_region SCAN_UNCATEGORIZED
    LEGACY_NETWORK SCAN_NETWORK
    LOAD_BALANCER_LOGGING_DISABLED SCAN_NETWORK
    INSTANCE_OS_LOGIN_DISABLED SCAN_UNCATEGORIZED
    GKE_PRIVILEGE_ESCALATION SCAN_UNCATEGORIZED
    GKE_RUN_AS_NONROOT SCAN_UNCATEGORIZED
    GKE_HOST_PATH_VOLUMES SCAN_UNCATEGORIZED
    GKE_HOST_NAMESPACES SCAN_UNCATEGORIZED
    GKE_PRIVILEGED_CONTAINERS SCAN_UNCATEGORIZED
    GKE_HOST_PORTS SCAN_UNCATEGORIZED
    GKE_CAPABILITIES SCAN_UNCATEGORIZED

    OBSERVATION カテゴリから UDM イベントタイプ

    次の表に、OBSERVATION カテゴリとそれに対応する UDM イベントタイプを示します。

    イベント識別子 イベントタイプ
    永続性: プロジェクトの SSH 認証鍵の追加 SETTING_MODIFICATION
    永続性: 機密性の高いロールの追加 RESOURCE_PERMISSIONS_CHANGE
    影響: GPU インスタンスの作成 USER_RESOURCE_CREATION
    影響: 多くのインスタンスの作成 USER_RESOURCE_CREATION

    ERROR カテゴリから UDM イベントタイプ

    次の表に、ERROR カテゴリとそれに対応する UDM イベントタイプを示します。

    イベント識別子 イベントタイプ
    VPC_SC_RESTRICTION SCAN_UNCATEGORIZED
    MISCONFIGURED_CLOUD_LOGGING_EXPORT SCAN_UNCATEGORIZED
    API_DISABLED SCAN_UNCATEGORIZED
    KTD_IMAGE_PULL_FAILURE SCAN_UNCATEGORIZED
    KTD_BLOCKED_BY_ADMISSION_CONTROLLER SCAN_UNCATEGORIZED
    KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED
    SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS SCAN_UNCATEGORIZED

    UNSPECIFIED カテゴリから UDM イベントタイプ

    次の表に、UNSPECIFIED カテゴリとそれに対応する UDM イベントタイプを示します。

    イベント識別子 イベントタイプ セキュリティ カテゴリ
    OPEN_FIREWALL SCAN_VULN_HOST POLICY_VIOLATION

    POSTURE_VIOLATION カテゴリから UDM イベントタイプ

    次の表に、POSTURE_VIOLATION カテゴリとそれに対応する UDM イベントタイプを示します。

    イベント識別子 イベントタイプ
    SECURITY_POSTURE_DRIFT SERVICE_MODIFICATION
    SECURITY_POSTURE_POLICY_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_POLICY_DELETE SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DRIFT SCAN_UNCATEGORIZED
    SECURITY_POSTURE_DETECTOR_DELETE SCAN_UNCATEGORIZED

    フィールド マッピング リファレンス: VULNERABILITY

    次の表に、VULNERABILITY カテゴリのログフィールドとそれに対応する UDM フィールドを示します。

    RawLog フィールド UDM マッピング 論理
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    findingProviderId target.resource.attribute.labels.key/value [findings_findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    sourceProperties.description extensions.vuln.vulnerabilities.description
    sourceProperties.finalUrl network.http.referral_url
    sourceProperties.form.fields target.resource.attribute.labels.key/value [sourceProperties_form_fields]
    sourceProperties.httpMethod network.http.method
    sourceProperties.name target.resource.attribute.labels.key/value [sourceProperties_name]
    sourceProperties.outdatedLibrary.learnMoreUrls target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_learnMoreUrls]
    sourceProperties.outdatedLibrary.libraryName target.resource.attribute.labels.key/value[outdatedLibrary.libraryName]
    sourceProperties.outdatedLibrary.version target.resource.attribute.labels.key/value[sourceProperties_outdatedLibrary_libraryName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    externalUri about.url
    category extensions.vuln.vulnerabilities.name
    resourceName principal.asset.location.name Grok パターンを使用して resourceName から region が抽出され、principal.asset.location.name UDM フィールドにマッピングされます。
    resourceName principal.asset.product_object_id Grok パターンを使用して resourceName から asset_prod_obj_id が抽出され、principal.asset.product_object_id UDM フィールドにマッピングされます。
    resourceName principal.asset.attribute.cloud.availability_zone Grok パターンを使用して resourceName から zone_suffix が抽出され、principal.asset.attribute.cloud.availability_zone UDM フィールドにマッピングされます。
    sourceProperties.RevokedIamPermissionsCount security_result.detection_fields.key/value[revoked_Iam_permissions_count]
    sourceProperties.TotalRecommendationsCount security_result.detection_fields.key/value[total_recommendations_count]
    sourceProperties.DeactivationReason security_result.detection_fields.key/value[deactivation_reason]
    iamBindings.role about.user.attribute.roles.name
    iamBindings.member about.user.email_addresses
    iamBindings.action about.user.attribute.labels.key/value[action]

    フィールド マッピング リファレンス: MISCONFIGURATION

    次の表に、MISCONFIGURATION カテゴリのログフィールドとそれに対応する UDM フィールドを示します。

    RawLog フィールド UDM マッピング
    assetDisplayName target.asset.attribute.labels.key/value [assetDisplayName]
    assetId target.asset.asset_id
    externalUri about.url
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels[sourceDisplayName]
    sourceProperties.Recommendation security_result.detection_fields.key/value[sourceProperties_Recommendation]
    sourceProperties.ExceptionInstructions security_result.detection_fields.key/value[sourceProperties_ExceptionInstructions]
    sourceProperties.ScannerName principal.labels.key/value[sourceProperties_ScannerName]
    sourceProperties.ResourcePath target.resource.attribute.labels.key/value[sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.DeactivationReason target.resource.attribute.labels.key/value [DeactivationReason]
    sourceProperties.ActionRequiredOnProject target.resource.attribute.labels.key/value [sourceProperties_ActionRequiredOnProject]
    sourceProperties.VulnerableNetworkInterfaceNames target.resource.attribute.labels.key/value [sourceProperties_VulnerableNetworkInterfaceNames]
    sourceProperties.VulnerableNodePools target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePools]
    sourceProperties.VulnerableNodePoolsList target.resource.attribute.labels.key/value [sourceProperties_VulnerableNodePoolsList]
    sourceProperties.AllowedOauthScopes target.resource.attribute.permissions.name
    sourceProperties.ExposedService target.application
    sourceProperties.OpenPorts.TCP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_TCP]
    sourceProperties.OffendingIamRolesList.member about.user.email_addresses
    sourceProperties.OffendingIamRolesList.roles about.user.attribute.roles.name
    sourceProperties.ActivationTrigger target.resource.attribute.labels.key/value [sourceProperties_ActivationTrigger]
    sourceProperties.MfaDetails.users target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_users]
    sourceProperties.MfaDetails.enrolled target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enrolled]
    sourceProperties.MfaDetails.enforced target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_enforced]
    sourceProperties.MfaDetails.advancedProtection target.resource.attribute.labels.key/value [sourceProperties_MfaDetails_advancedProtection]
    sourceProperties.cli_remediation target.process.command_line_history
    sourceProperties.OpenPorts.UDP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_UDP]
    sourceProperties.HasAdminRoles target.resource.attribute.labels.key/value [sourceProperties_HasAdminRoles]
    sourceProperties.HasEditRoles target.resource.attribute.labels.key/value [sourceProperties_HasEditRoles]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternalSourceRanges target.resource.attribute.labels.key/value [sourceProperties_ExternalSourceRanges]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.OpenPorts.SCTP target.resource.attribute.labels.key/value[sourceProperties_OpenPorts_SCTP]
    sourceProperties.RecommendedLogFilter target.resource.attribute.labels.key/value [sourceProperties_RecommendedLogFilter]
    sourceProperties.QualifiedLogMetricNames target.resource.attribute.labels.key/value [sourceProperties_QualifiedLogMetricNames]
    sourceProperties.HasDefaultPolicy target.resource.attribute.labels.key/value [sourceProperties_HasDefaultPolicy]
    sourceProperties.CompatibleFeatures target.resource.attribute.labels.key/value [sourceProperties_CompatibleFeatures]
    sourceProperties.TargetProxyUrl target.url
    sourceProperties.OffendingIamRolesList.description about.user.attribute.roles.description
    sourceProperties.DatabaseVersion target.resource.attribute.label[sourceProperties_DatabaseVersion]

    フィールド マッピング リファレンス: OBSERVATION

    次の表に、OBSERVATION カテゴリのログフィールドとそれに対応する UDM フィールドを示します。

    RawLog フィールド UDM マッピング
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]
    assetDisplayName target.asset.attribute.labels.key/value [asset_display_name]
    assetId target.asset.asset_id

    フィールド マッピング リファレンス: ERROR

    次の表に、ERROR カテゴリのログフィールドとそれに対応する UDM フィールドを示します。

    RawLog フィールド UDM マッピング
    externalURI about.url
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    findingProviderId target.resource.attribute.labels[findingProviderId]
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    フィールド マッピング リファレンス: UNSPECIFIED

    次の表に、UNSPECIFIED カテゴリのログフィールドとそれに対応する UDM フィールドを示します。

    RawLog フィールド UDM マッピング
    sourceProperties.ScannerName principal.labels.key/value [sourceProperties_ScannerName]
    sourceProperties.ResourcePath src.resource.attribute.labels.key/value [sourceProperties_ResourcePath]
    sourceProperties.ReactivationCount target.resource.attribute.labels.key/value [sourceProperties_ReactivationCount]
    sourceProperties.AllowedIpRange target.resource.attribute.labels.key/value [sourceProperties_AllowedIpRange]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.IPProtocol target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_IPProtocol]
    sourceProperties.ExternallyAccessibleProtocolsAndPorts.ports target.resource.attribute.labels.key/value [sourceProperties_ExternallyAccessibleProtocolsAndPorts_ports
    sourceDisplayName target.resource.attribute.labels.key/value [sourceDisplayName]

    フィールド マッピング リファレンス: POSTURE_VIOLATION

    次の表に、POSTURE_VIOLATION カテゴリのログフィールドとそれに対応する UDM フィールドを示します。

    ログフィールド UDM マッピング 論理
    finding.resourceName target.resource_ancestors.name finding.resourceName ログフィールドの値が空でない場合、finding.resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    project_name フィールドは、Grok パターンを使用して finding.resourceName ログフィールドから抽出されます。

    project_name フィールドの値が空では ない 場合、project_name フィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    resourceName target.resource_ancestors.name resourceName ログフィールドの値が空では ない 場合、resourceName ログフィールドは、target.resource.name UDM フィールドにマッピングされます。

    project_nameフィールドは、Grok パターンを使用してresourceNameログフィールドから抽出されます。

    project_nameフィールドの値が空では ない 場合、project_nameフィールドは、target.resource_ancestors.name UDM フィールドにマッピングされます。
    finding.sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.posture_revision_id security_result.detection_fields[source_properties_posture_revision_id]
    sourceProperties.revision_id security_result.detection_fields[source_properties_posture_revision_id]
    finding.sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    sourceProperties.policy_drift_details.drift_details.expected_configuration security_result.rule_labels[policy_drift_details_expected_configuration]
    finding.sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    sourceProperties.policy_drift_details.drift_details.detected_configuration security_result.rule_labels[policy_drift_details_detected_configuration]
    finding.sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    sourceProperties.policy_drift_details.field_name security_result.rule_labels[policy_drift_details_field_name]
    finding.sourceProperties.changed_policy security_result.rule_name
    sourceProperties.changed_policy security_result.rule_name
    finding.sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    sourceProperties.posture_deployment_resource security_result.detection_fields[source_properties_posture_deployment_resource]
    finding.sourceProperties.posture_name target.application
    sourceProperties.posture_name target.application
    sourceProperties.name target.application
    finding.sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment_name security_result.detection_fields[source_properties_posture_deployment_name]
    sourceProperties.posture_deployment security_result.detection_fields[source_properties_posture_deployment_name]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.expected_configuration.primitiveDataType security_result.rule_labels[expected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.drift_details.structValue.fields.detected_configuration.primitiveDataType security_result.rule_labels[detected_configuration_primitive_data_type]
    finding.propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    propertyDataTypes.policy_drift_details.listValues.propertyDataTypes.structValue.fields.field_name.primitiveDataType security_result.rule_labels[field_name_primitive_data_type]
    finding.propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    propertyDataTypes.changed_policy.primitiveDataType security_result.rule_labels[changed_policy_primitive_data_type]
    finding.propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    propertyDataTypes.posture_revision_id.primitiveDataType security_result.detection_fields[posture_revision_id_primitiveDataType]
    finding.propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    propertyDataTypes.posture_name.primitiveDataType security_result.detection_fields[posture_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    propertyDataTypes.posture_deployment_name.primitiveDataType security_result.detection_fields[posture_deployment_name_primitiveDataType]
    finding.propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    propertyDataTypes.posture_deployment_resource.primitiveDataType security_result.detection_fields[posture_deployment_resource_primitiveDataType]
    finding.originalProviderId target.resource.attribute.labels[original_provider_id]
    originalProviderId target.resource.attribute.labels[original_provider_id]
    finding.securityPosture.name security_result.detection_fields[security_posture_name]
    securityPosture.name security_result.detection_fields[security_posture_name]
    finding.securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    securityPosture.revisionId security_result.detection_fields[security_posture_revision_id]
    finding.securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    securityPosture.postureDeploymentResource security_result.detection_fields[posture_deployment_resource]
    finding.securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    securityPosture.postureDeployment security_result.detection_fields[posture_deployment]
    finding.securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    securityPosture.changedPolicy security_result.rule_labels[changed_policy]
    finding.cloudProvider about.resource.attribute.cloud.environment finding.cloudProvider ログフィールドの値に次のいずれかの値が含まれている場合、finding.cloudProvider ログフィールドは about.resource.attribute.cloud.environment UDM フィールドにマッピングされます。
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    finding.files.path target.file.full_path ログフィールド finding.files
    を反復処理します。index の値が 0 と等しい場合、finding.files.path ログフィールドは target.file.full_path UDM フィールドにマッピングされます。
    それ以外の場合、finding.files.path ログフィールドは about.file.full_path UDM フィールドにマッピングされます。
    files.path target.file.full_path ログフィールド files
    を反復処理します。index の値が 0 と等しい場合、files.path ログフィールドは target.file.full_path UDM フィールドにマッピングされます。
    それ以外の場合、files.path ログフィールドは about.file.full_path UDM フィールドにマッピングされます。
    finding.files.size target.file.size ログフィールド finding.files
    を反復処理します。index の値が 0 と等しい場合、finding.files.size ログフィールドは target.file.size UDM フィールドにマッピングされます。
    それ以外の場合、finding.files.size ログフィールドは about.file.size UDM フィールドにマッピングされます。
    files.size target.file.size ログフィールド files
    を反復処理します。index の値が 0 と等しい場合、files.size ログフィールドは target.file.size UDM フィールドにマッピングされます。
    それ以外の場合、files.size ログフィールドは about.file.size UDM フィールドにマッピングされます。
    finding.files.sha256 target.file.sha256 ログフィールド finding.files
    を反復処理します。index の値が 0 と等しい場合、finding.files.size の値が finding.files.hashedSize と等しい場合、finding.files.sha256 ログフィールドは target.file.sha256 UDM フィールドにマッピングされます。
    それ以外の場合、finding.files.size の値が finding.files.hashedSize と等しい場合、finding.files.sha256 ログフィールドは about.file.sha256 UDM フィールドにマッピングされます。
    files.sha256 target.file.sha256 ログフィールド files
    を反復処理します。index の値が 0 と等しい場合、files.size の値が files.hashedSize と等しい場合、files.sha256 ログフィールドは target.file.sha256 UDM フィールドにマッピングされます。
    それ以外の場合、files.size の値が files.hashedSize と等しい場合、files.sha256 ログフィールドは about.file.sha256 UDM フィールドにマッピングされます。
    finding.files.hashedSize additional.fields ログフィールド finding.files を反復処理し、
    additional.fields.key UDM フィールドを file_hashedSize_%{index} に設定し、finding.files.hashedSize ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    files.hashedSize additional.fields ログフィールド files を反復処理し、
    additional.fields.key UDM フィールドを file_hashedSize_%{index} に設定し、files.hashedSize ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    finding.files.partiallyHashed additional.fields ログフィールド finding.files を反復処理し、
    additional.fields.key UDM フィールドを file_partiallyHashed_%{index} に設定し、finding.files.partiallyHashed ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    files.partiallyHashed additional.fields ログフィールド files を反復処理し、
    additional.fields.key UDM フィールドを file_partiallyHashed_%{index} に設定し、files.partiallyHashed ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    finding.files.contents additional.fields ログフィールド finding.files を反復処理し、
    additional.fields.key UDM フィールドを file_contents_%{index} に設定し、finding.files.contents ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    files.contents additional.fields ログフィールド files を反復処理し、
    additional.fields.key UDM フィールドを file_contents_%{index} に設定し、files.contents ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    finding.files.diskPath.partitionUuid additional.fields ログフィールド finding.files を反復処理し、
    additional.fields.key UDM フィールドを file_diskPath_partitionUuid_%{index} に設定し、finding.files.diskPath.partitionUuid ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    files.diskPath.partitionUuid additional.fields ログフィールド files を反復処理し、
    additional.fields.key UDM フィールドを file_diskPath_partitionUuid_%{index} に設定し、files.diskPath.partitionUuid ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    finding.files.diskPath.relativePath additional.fields ログフィールド finding.files を反復処理し、
    additional.fields.key UDM フィールドを file_diskPath_relativePath_%{index} に設定し、finding.files.diskPath.relativePath ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    files.diskPath.relativePath additional.fields ログフィールド files を反復処理し、
    additional.fields.key UDM フィールドを file_diskPath_relativePath_%{index} に設定し、files.diskPath.relativePath ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    finding.files.operations.type additional.fields ログフィールド finding.files を反復処理し、
    additional.fields.key UDM フィールドを file_operations_type_%{index} に設定し、finding.files.operations.type ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    files.operations.type additional.fields ログフィールド files を反復処理し、
    additional.fields.key UDM フィールドを file_operations_type_%{index} に設定し、files.operations.type ログフィールドを additional.fields.value.string_value UDM フィールドにマッピングします。
    cloudProvider about.resource.attribute.cloud.environment cloudProvider ログフィールドの値に次のいずれかの値が含まれている場合、cloudProvider ログフィールドは about.resource.attribute.cloud.environment UDM フィールドにマッピングされます。
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    resource.cloudProvider target.resource.attribute.cloud.environment resource.cloudProvider ログフィールドの値に次のいずれかの値が含まれている場合、resource.cloudProvider ログフィールドは target.resource.attribute.cloud.environment UDM フィールドにマッピングされます。
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    resource.organization target.resource.attribute.labels[resource_organization]
    resource.gcpMetadata.organization target.resource.attribute.labels[resource_organization]
    resource.service target.resource_ancestors.name
    resource.resourcePath.nodes.nodeType target.resource_ancestors.resource_subtype
    resource.resourcePath.nodes.id target.resource_ancestors.product_object_id
    resource.resourcePath.nodes.displayName target.resource_ancestors.name
    resource.resourcePathString target.resource.attribute.labels[resource_path_string]
    finding.risks.riskCategory security_result.detection_fields[risk_category]
    finding.securityPosture.policyDriftDetails.field security_result.rule_labels[policy_drift_details_field]
    finding.securityPosture.policyDriftDetails.expectedValue security_result.rule_labels[policy_drift_details_expected_value]
    finding.securityPosture.policyDriftDetails.detectedValue security_result.rule_labels[policy_drift_details_detected_value]
    finding.securityPosture.policySet security_result.rule_set
    sourceProperties.categories security_result.detection_fields[source_properties_categories]

    フィールド マッピング リファレンス: CHOKEPOINT

    次の表に、CHOKEPOINT カテゴリのログフィールドとそれに対応する UDM フィールドを示します。

    ログフィールド UDM マッピング ロジック
    finding.chokepoint.relatedFindings about.resource.attribute.labels.key/value [chokepoint_relatedFindings] ログフィールド finding.chokepoint.relatedFindings を反復処理し、
    about.resource.attribute.labels.key UDM フィールドを chokepoint_relatedFindings_%{index} に設定し、finding.chokepoint.relatedFindings ログフィールドを about.resource.attribute.labels.value UDM フィールドにマッピングします。
    finding.originalProviderId target.resource.attribute.labels[original_provider_id]
    resource.cloudProvider target.resource.attribute.cloud.environment resource.cloudProvider ログフィールドの値に次のいずれかの値が含まれている場合、resource.cloudProvider ログフィールドは target.resource.attribute.cloud.environment UDM フィールドにマッピングされます。
    • MICROSOFT_AZURE
    • GOOGLE_CLOUD_PLATFORM
    • AMAZON_WEB_SERVICES
    resource.resourcePath.nodes.nodeType target.resource_ancestors.resource_subtype
    resource.resourcePath.nodes.id target.resource_ancestors.product_object_id
    resource.resourcePath.nodes.displayName target.resource_ancestors.name
    resource.organization target.resource.attribute.labels[resource_organization]

    共通フィールド: SECURITY COMMAND CENTER - VULNERABILITY、MISCONFIGURATION、OBSERVATION、ERROR、UNSPECIFIED、POSTURE_VIOLATION、TOXIC_COMBINATION、CHOKEPOINT

    次の表に、SECURITY COMMAND CENTER の共通フィールド(VULNERABILITYMISCONFIGURATIONOBSERVATIONERRORUNSPECIFIEDPOSTURE_VIOLATIONTOXIC_COMBINATION カテゴリとそれらに対応する UDM フィールド)を示します。

    RawLog フィールド UDM マッピング 論理
    compliances.ids about.labels [compliance_ids](非推奨)
    compliances.ids additional.fields [compliance_ids]
    compliances.version about.labels [compliance_version](非推奨)
    compliances.version additional.fields [compliance_version]
    compliances.standard about.labels [compliances_standard](非推奨)
    compliances.standard additional.fields [compliances_standard]
    connections.destinationIp about.labels [connections_destination_ip](非推奨) connections.destinationIp ログフィールドの値が sourceProperties.properties.ipConnection.destIp と等しくない場合、connections.destinationIp ログフィールドは about.labels.value UDM フィールドにマッピングされます。
    connections.destinationIp additional.fields [connections_destination_ip] connections.destinationIp ログフィールドの値が sourceProperties.properties.ipConnection.destIp と等しくない場合、connections.destinationIp ログフィールドは additional.fields.value UDM フィールドにマッピングされます。
    connections.destinationPort about.labels [connections_destination_port](非推奨)
    connections.destinationPort additional.fields [connections_destination_port]
    connections.protocol about.labels [connections_protocol](非推奨)
    connections.protocol additional.fields [connections_protocol]
    connections.sourceIp about.labels [connections_source_ip](非推奨)
    connections.sourceIp additional.fields [connections_source_ip]
    connections.sourcePort about.labels [connections_source_port](非推奨)
    connections.sourcePort additional.fields [connections_source_port]
    kubernetes.pods.ns target.resource_ancestors.attribute.labels.key/value [kubernetes_pods_ns]
    kubernetes.pods.name target.resource_ancestors.name
    kubernetes.nodes.name target.resource_ancestors.name
    kubernetes.nodePools.name target.resource_ancestors.name
    target.resource_ancestors.resource_type target.resource_ancestors.resource_type UDM フィールドは CLUSTER に設定されます。
    about.resource.attribute.cloud.environment about.resource.attribute.cloud.environment UDM フィールドは GOOGLE_CLOUD_PLATFORM に設定されます。
    externalSystems.assignees about.resource.attribute.labels.key/value [externalSystems_assignees]
    externalSystems.status about.resource.attribute.labels.key/value [externalSystems_status]
    kubernetes.nodePools.nodes.name target.resource.attribute.labels.key/value [kubernetes_nodePools_nodes_name]
    kubernetes.pods.containers.uri target.resource.attribute.labels.key/value [kubernetes_pods_containers_uri]
    kubernetes.roles.kind target.resource.attribute.labels.key/value [kubernetes_roles_kind]
    kubernetes.roles.name target.resource.attribute.labels.key/value [kubernetes_roles_name]
    kubernetes.roles.ns target.resource.attribute.labels.key/value [kubernetes_roles_ns]
    kubernetes.pods.containers.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.containers.labels.name/value]
    kubernetes.pods.labels.name/value target.resource.attribute.labels.key/value [kubernetes.pods.labels.name/value]
    externalSystems.externalSystemUpdateTime about.resource.attribute.last_update_time
    externalSystems.name about.resource.name
    externalSystems.externalUid about.resource.product_object_id
    indicator.uris about.url
    vulnerability.cve.references.uri extensions.vulns.vulnerabilities.about.labels [vulnerability.cve.references.uri](非推奨)
    vulnerability.cve.references.uri additional.fields [vulnerability.cve.references.uri]
    vulnerability.cve.cvssv3.attackComplexity extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_attackComplexity](非推奨)
    vulnerability.cve.cvssv3.attackComplexity additional.fields [vulnerability_cve_cvssv3_attackComplexity]
    vulnerability.cve.cvssv3.availabilityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_availabilityImpact](非推奨)
    vulnerability.cve.cvssv3.availabilityImpact additional.fields [vulnerability_cve_cvssv3_availabilityImpact]
    vulnerability.cve.cvssv3.confidentialityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_confidentialityImpact](非推奨)
    vulnerability.cve.cvssv3.confidentialityImpact additional.fields [vulnerability_cve_cvssv3_confidentialityImpact]
    vulnerability.cve.cvssv3.integrityImpact extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_integrityImpact](非推奨)
    vulnerability.cve.cvssv3.integrityImpact additional.fields [vulnerability_cve_cvssv3_integrityImpact]
    vulnerability.cve.cvssv3.privilegesRequired extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_privilegesRequired](非推奨)
    vulnerability.cve.cvssv3.privilegesRequired additional.fields [vulnerability_cve_cvssv3_privilegesRequired]
    vulnerability.cve.cvssv3.scope extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_scope](非推奨)
    vulnerability.cve.cvssv3.scope additional.fields [vulnerability_cve_cvssv3_scope]
    vulnerability.cve.cvssv3.userInteraction extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_cvssv3_userInteraction](非推奨)
    vulnerability.cve.cvssv3.userInteraction additional.fields [vulnerability_cve_cvssv3_userInteraction]
    vulnerability.cve.references.source extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_references_source](非推奨)
    vulnerability.cve.references.source additional.fields [vulnerability_cve_references_source]
    vulnerability.cve.upstreamFixAvailable extensions.vulns.vulnerabilities.about.labels [vulnerability_cve_upstreamFixAvailable](非推奨)
    vulnerability.cve.upstreamFixAvailable additional.fields [vulnerability_cve_upstreamFixAvailable]
    vulnerability.cve.id extensions.vulns.vulnerabilities.cve_id
    vulnerability.cve.cvssv3.baseScore extensions.vulns.vulnerabilities.cvss_base_score
    vulnerability.cve.cvssv3.attackVector extensions.vulns.vulnerabilities.cvss_vector
    vulnerability.cve.impact extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_impact]
    vulnerability.cve.exploitationActivity extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_cve_exploitation_activity]
    parentDisplayName metadata.description
    eventTime metadata.event_timestamp
    category metadata.product_event_type
    sourceProperties.evidence.sourceLogId.insertId metadata.product_log_id canonicalName ログフィールドの値が空でない場合、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。

    finding_id ログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertId ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。

    canonicalName ログフィールドの値が空の場合、sourceProperties.evidence.sourceLogId.insertId ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。
    sourceProperties.contextUris.cloudLoggingQueryUri.url security_result.detection_fields.key/value[sourceProperties_contextUris_cloudLoggingQueryUri_url]
    sourceProperties.sourceId.customerOrganizationNumber principal.resource.attribute.labels.key/value [sourceProperties_sourceId_customerOrganizationNumber] message ログフィールドの値が正規表現 sourceProperties.sourceId.*?customerOrganizationNumber と一致する場合、sourceProperties.sourceId.customerOrganizationNumber ログフィールドは principal.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.projectName principal.resource.name
    resource.gcpMetadata.project principal.resource.name
    principal.user.account_type access.principalSubject ログフィールドの値が正規表現 serviceAccount と一致する場合、principal.user.account_type UDM フィールドは SERVICE_ACCOUNT_TYPE に設定されます。

    access.principalSubject ログフィールドの値が正規表現 user と一致する場合、principal.user.account_type UDM フィールドは CLOUD_ACCOUNT_TYPE に設定されます。
    access.principalSubject principal.user.attribute.labels.key/value [access_principalSubject]
    access.serviceAccountDelegationInfo.principalSubject principal.user.attribute.labels.key/value [access_serviceAccountDelegationInfo_principalSubject]
    access.serviceAccountKeyName principal.user.attribute.labels.key/value [access_serviceAccountKeyName]
    access.principalEmail principal.user.email_addresses access.principalEmail ログフィールドの値が空でない場合に、access.principalEmail ログフィールドの値が正規表現 ^.+@.+$ と一致する場合、access.principalEmail ログフィールドは principal.user.email_addresses UDM フィールドにマッピングされます。
    access.principalEmail principal.user.userid access.principalEmail ログフィールドの値が空でなくaccess.principalEmail ログフィールドの値が正規表現 ^.+@.+$ と一致しない場合、access.principalEmail ログフィールドは principal.user.userid UDM フィールドにマッピングされます。
    database.userName principal.user.userid
    workflowState security_result.about.investigation.status
    sourceProperties.findingId metadata.product_log_id
    kubernetes.accessReviews.group target.resource.attribute.labels.key/value [kubernetes_accessReviews_group]
    kubernetes.accessReviews.name target.resource.attribute.labels.key/value [kubernetes_accessReviews_name]
    kubernetes.accessReviews.ns target.resource.attribute.labels.key/value [kubernetes_accessReviews_ns]
    kubernetes.accessReviews.resource target.resource.attribute.labels.key/value [kubernetes_accessReviews_resource]
    kubernetes.accessReviews.subresource target.resource.attribute.labels.key/value [kubernetes_accessReviews_subresource]
    kubernetes.accessReviews.verb target.resource.attribute.labels.key/value [kubernetes_accessReviews_verb]
    kubernetes.accessReviews.version target.resource.attribute.labels.key/value [kubernetes_accessReviews_version]
    kubernetes.bindings.name security_result.about.resource.attribute.labels.key/value [kubernetes_bindings_name]
    kubernetes.bindings.ns target.resource.attribute.labels.key/value [kubernetes_bindings_ns]
    kubernetes.bindings.role.kind target.resource.attribute.labels.key/value [kubernetes_bindings_role_kind]
    kubernetes.bindings.role.ns target.resource.attribute.labels.key/value [kubernetes_bindings_role_ns]
    kubernetes.bindings.subjects.kind target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_kind]
    kubernetes.bindings.subjects.name target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_name]
    kubernetes.bindings.subjects.ns target.resource.attribute.labels.key/value [kubernetes_bindings_subjects_ns]
    kubernetes.bindings.role.name target.resource.attribute.roles.name
    security_result.about.user.attribute.roles.name message ログフィールドの値が正規表現 contacts.?security と一致する場合、security_result.about.user.attribute.roles.name UDM フィールドは security に設定されます。

    message ログフィールドの値が正規表現 contacts.?technical と一致する場合、security_result.about.user.attribute.roles.name UDM フィールドは Technical に設定されます。
    contacts.security.contacts.email security_result.about.user.email_addresses
    contacts.technical.contacts.email security_result.about.user.email_addresses
    security_result.alert_state state ログフィールドの値が ACTIVE と等しい場合、security_result.alert_state UDM フィールドは ALERTING に設定されます。

    それ以外の場合、security_result.alert_state UDM フィールドは NOT_ALERTING に設定されます。
    findingClass, category security_result.catgory_details findingClass - category ログフィールドは security_result.catgory_details UDM フィールドにマッピングされます。
    description security_result.description
    indicator.signatures.memoryHashSignature.binaryFamily security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_binaryFamily]
    indicator.signatures.memoryHashSignature.detections.binary security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_binary]
    indicator.signatures.memoryHashSignature.detections.percentPagesMatched security_result.detection_fields.key/value [indicator_signatures_memoryHashSignature_detections_percentPagesMatched]
    indicator.signatures.yaraRuleSignature.yararule security_result.detection_fields.key/value [indicator_signatures_yaraRuleSignature_yararule]
    mitreAttack.additionalTactics security_result.detection_fields.key/value [mitreAttack_additionalTactics]
    mitreAttack.additionalTechniques security_result.detection_fields.key/value [mitreAttack_additionalTechniques]
    mitreAttack.primaryTactic security_result.detection_fields.key/value [mitreAttack_primaryTactic]
    mitreAttack.primaryTechniques.0 security_result.detection_fields.key/value [mitreAttack_primaryTechniques]
    mitreAttack.version security_result.detection_fields.key/value [mitreAttack_version]
    muteInitiator security_result.detection_fields.key/value [mute_initiator] mute ログフィールドの値が MUTED または UNMUTED と等しい場合、muteInitiator ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    muteUpdateTime security_result.detection_fields.key/value [mute_update_time] mute ログフィールドの値が MUTED または UNMUTED と等しい場合、muteUpdateTimer ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    mute security_result.detection_fields.key/value [mute]
    securityMarks.canonicalName security_result.detection_fields.key/value [securityMarks_cannonicleName]
    securityMarks.marks security_result.detection_fields.key/value [securityMarks_marks]
    securityMarks.name security_result.detection_fields.key/value [securityMarks_name]
    sourceProperties.detectionCategory.indicator security_result.detection_fields.key/value [sourceProperties_detectionCategory_indicator]
    sourceProperties.detectionCategory.technique security_result.detection_fields.key/value [sourceProperties_detectionCategory_technique]
    sourceProperties.contextUris.mitreUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.mitreUri.url/displayName]
    sourceProperties.contextUris.relatedFindingUri.url/displayName metadata.url_back_to_product category ログフィールドの値が Active Scan: Log4j Vulnerable to RCEExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Over-Privileged GrantExfiltration: CloudSQL Restore Backup to External OrganizationInitial Access: Log4j Compromise AttemptMalware: Cryptomining Bad DomainMalware: Cryptomining Bad IP または Persistence: IAM Anomalous Grant と等しい場合、security_result.detection_fields.key UDM フィールドは sourceProperties_contextUris_relatedFindingUri_url に設定され、sourceProperties.contextUris.relatedFindingUri.url ログフィールドは metadata.url_back_to_product UDM フィールドにマッピングされます。
    sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.virustotalIndicatorQueryUri.url/displayName] category ログフィールドの値が Malware: Bad DomainMalware: Bad IPMalware: Cryptomining Bad Domain、または Malware: Cryptomining Bad IP と等しい場合、sourceProperties.contextUris.virustotalIndicatorQueryUri.displayName ログフィールドは security_result.detection_fields.key UDM フィールドにマッピングされ、sourceProperties.contextUris.virustotalIndicatorQueryUri.url ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    sourceProperties.contextUris.workspacesUri.url/displayName security_result.detection_fields.key/value [sourceProperties.contextUris.workspacesUri.url/displayName] category ログフィールドの値が Initial Access: Account Disabled HijackedInitial Access: Disabled Password LeakInitial Access: Government Based AttackInitial Access: Suspicious Login BlockedImpair Defenses: Strong Authentication DisabledPersistence: SSO Enablement Toggle または Persistence: SSO Settings Changed と等しい場合、sourceProperties.contextUris.workspacesUri.displayName ログフィールドは security_result.detection_fields.key UDM フィールドにマッピングされ、sourceProperties.contextUris.workspacesUri.url ログフィールドは security_result.detection_fields.value UDM フィールドにマッピングされます。
    createTime security_result.detection_fields.key/value [create_time]
    nextSteps security_result.outcomes.key/value [next_steps]
    sourceProperties.detectionPriority security_result.priority sourceProperties.detectionPriority ログフィールドの値が HIGH と等しい場合、security_result.priority UDM フィールドは HIGH_PRIORITY に設定されます。

    それ以外の場合で、sourceProperties.detectionPriority ログフィールドの値が MEDIUM と等しい場合、security_result.priority UDM フィールドは MEDIUM_PRIORITY に設定されます。

    それ以外の場合で、sourceProperties.detectionPriority ログフィールドの値が LOW と等しい場合、security_result.priority UDM フィールドは LOW_PRIORITY に設定されます。
    sourceProperties.detectionCategory.subRuleName security_result.rule_labels.key/value [sourceProperties_detectionCategory_subRuleName]
    sourceProperties.detectionCategory.ruleName security_result.rule_name
    severity security_result.severity
    name security_result.url_back_to_product
    database.query src.process.command_line category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、database.query ログフィールドは src.process.command_line UDM フィールドにマッピングされます。

    それ以外の場合、database.query ログフィールドは target.process.command_line UDM フィールドにマッピングされます。
    resource.folders.resourceFolderDisplayName src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.folders.resourceFolderDisplayName ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。

    それ以外の場合、resource.folders.resourceFolderDisplayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.gcpMetadata.folders.resourceFolderDisplay src.resource_ancestors.attribute.labels.key/value [resource_folders_resourceFolderDisplayName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.folders.resourceFolderDisplay ログフィールドは src.resource_ancestors.attribute.labels.value UDM フィールドにマッピングされます。

    それ以外の場合、resource.gcpMetadata.folders.resourceFolderDisplay ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.gcpMetadata.folders.resourceFolder src.resource_ancestors.name category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.folders.resourceFolder ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合、resource.gcpMetadata.folders.resourceFolder ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    resource.organization src.resource_ancestors.name category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.organization ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合、resource.organization ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    resource.gcpMetadata.organization src.resource_ancestors.name category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.organization ログフィールドは src.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合、resource.gcpMetadata.organization ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    resource.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.parentDisplayName ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。

    それ以外の場合、resource.parentDisplayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.gcpMetadata.parentDisplayName src.resource_ancestors.attribute.labels.key/value [resource_parentDisplayName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.parentDisplayName ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。

    それ以外の場合、resource.gcpMetadata.parentDisplayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.parentName src.resource_ancestors.attribute.labels.key/value [resource_parentName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.parentName ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。

    それ以外の場合、resource.parentName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.gcpMetadata.parent src.resource_ancestors.attribute.labels.key/value [resource_parentName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.parent ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。

    それ以外の場合、resource.gcpMetadata.parent ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.projectDisplayName ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。

    それ以外の場合、resource.projectDisplayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.gcpMetadata.projectDisplayName src.resource_ancestors.attribute.labels.key/value [resource_projectDisplayName] category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.gcpMetadata.projectDisplayName ログフィールドは src.resource_ancestors.attribute.labels.key/value UDM フィールドにマッピングされます。

    それ以外の場合、resource.gcpMetadata.projectDisplayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.type src.resource_ancestors.resource_subtype category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.type ログフィールドは src.resource_ancestors.resource_subtype UDM フィールドにマッピングされます。
    database.displayName src.resource.attribute.labels.key/value [database_displayName] category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、database.displayName ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    database.grantees src.resource.attribute.labels.key/value [database_grantees] category ログフィールドの値が Exfiltration: CloudSQL Over-Privileged Grant と等しい場合、src.resource.attribute.labels.key UDM フィールドは grantees に設定され、database.grantees ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.displayName src.resource.attribute.labels.key/value [resource_displayName] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.displayName ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。

    それ以外の場合、resource.displayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.display_name src.resource.attribute.labels.key/value [resource_display_name] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.display_name ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。

    それ以外の場合、resource.display_name ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.type src.resource_ancestors.resource_subtype category ログフィールドの値が Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.type ログフィールドは src.resource_ancestors.resource_subtype UDM フィールドにマッピングされます。
    database.displayName src.resource.attribute.labels.key/value [database_displayName]
    database.grantees src.resource.attribute.labels.key/value [database_grantees]
    resource.displayName target.resource.attribute.labels.key/value [resource_displayName] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.displayName ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。

    それ以外の場合、resource.displayName ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resource.display_name target.resource.attribute.labels.key/value [resource_display_name] category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration または Exfiltration: BigQuery Data to Google Drive と等しい場合、resource.display_name ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。

    それ以外の場合、resource.display_name ログフィールドは target.resource.attribute.labels.value UDM フィールドにマッピングされます。
    exfiltration.sources.components src.resource.attribute.labels.key/value[exfiltration_sources_components] category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration または Exfiltration: BigQuery Data Extraction と等しい場合、exfiltration.sources.components ログフィールドは src.resource.attribute.labels.value UDM フィールドにマッピングされます。
    resourceName src.resource.name category ログフィールドの値が Exfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google Drive または Exfiltration: BigQuery Data Exfiltration と等しい場合、resourceName ログフィールドは src.resource.name UDM フィールドにマッピングされます。
    database.name src.resource.name
    exfiltration.sources.name src.resource.name
    access.serviceName target.application category ログフィールドの値が Defense Evasion: Modify VPC Service ControlExfiltration: BigQuery Data ExtractionExfiltration: BigQuery Data to Google DriveExfiltration: CloudSQL Data ExfiltrationExfiltration: CloudSQL Restore Backup to External OrganizationExfiltration: CloudSQL Over-Privileged GrantPersistence: New Geography または Persistence: IAM Anomalous Grant と等しい場合、access.serviceName ログフィールドは target.application UDM フィールドにマッピングされます。
    access.methodName target.labels [access_methodName](非推奨)
    access.methodName additional.fields [access_methodName]
    processes.argumentsTruncated target.labels [processes_argumentsTruncated](非推奨)
    processes.argumentsTruncated additional.fields [processes_argumentsTruncated]
    processes.binary.contents target.labels [processes_binary_contents](非推奨)
    processes.binary.contents additional.fields [processes_binary_contents]
    processes.binary.hashedSize target.labels [processes_binary_hashedSize](非推奨)
    processes.binary.hashedSize additional.fields [processes_binary_hashedSize]
    processes.binary.partiallyHashed target.labels [processes_binary_partiallyHashed](非推奨)
    processes.binary.partiallyHashed additional.fields [processes_binary_partiallyHashed]
    processes.envVariables.name target.labels [processes_envVariables_name](非推奨)
    processes.envVariables.name additional.fields [processes_envVariables_name]
    processes.envVariables.val target.labels [processes_envVariables_val](非推奨)
    processes.envVariables.val additional.fields [processes_envVariables_val]
    processes.envVariablesTruncated target.labels [processes_envVariablesTruncated](非推奨)
    processes.envVariablesTruncated additional.fields [processes_envVariablesTruncated]
    processes.libraries.contents target.labels [processes_libraries_contents](非推奨)
    processes.libraries.contents additional.fields [processes_libraries_contents]
    processes.libraries.hashedSize target.labels [processes_libraries_hashedSize](非推奨)
    processes.libraries.hashedSize additional.fields [processes_libraries_hashedSize]
    processes.libraries.partiallyHashed target.labels [processes_libraries_partiallyHashed](非推奨)
    processes.libraries.partiallyHashed additional.fields [processes_libraries_partiallyHashed]
    processes.script.contents target.labels [processes_script_contents](非推奨)
    processes.script.contents additional.fields [processes_script_contents]
    processes.script.hashedSize target.labels [processes_script_hashedSize](非推奨)
    processes.script.hashedSize additional.fields [processes_script_hashedSize]
    processes.script.partiallyHashed target.labels [processes_script_partiallyHashed](非推奨)
    processes.script.partiallyHashed additional.fields [processes_script_partiallyHashed]
    processes.parentPid target.parent_process.pid
    processes.args target.process.command_line_history [processes.args]
    processes.name target.process.file.full_path
    processes.binary.path target.process.file.full_path
    processes.libraries.path target.process.file.full_path
    processes.script.path target.process.file.full_path
    processes.binary.sha256 target.process.file.sha256
    processes.libraries.sha256 target.process.file.sha256
    processes.script.sha256 target.process.file.sha256
    processes.binary.size target.process.file.size
    processes.libraries.size target.process.file.size
    processes.script.size target.process.file.size
    processes.pid target.process.pid
    containers.uri target.resource_ancestors.attribute.labels.key/value [containers_uri]
    containers.labels.name/value target.resource_ancestors.attribute.labels.key/value [containers.labels.name/value]
    resourceName target.resource_ancestors.name category ログフィールドの値が Malware: Bad DomainMalware: Bad IP、または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Persistence: GCE Admin Added SSH Key または Persistence: GCE Admin Added Startup Script と等しい場合、sourceProperties.properties.projectId ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。
    parent target.resource_ancestors.name
    sourceProperties.affectedResources.gcpResourceName target.resource_ancestors.name
    containers.name target.resource_ancestors.name
    kubernetes.pods.containers.name target.resource_ancestors.name
    sourceProperties.sourceId.projectNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.customerOrganizationNumber target.resource_ancestors.product_object_id
    sourceProperties.sourceId.organizationNumber target.resource_ancestors.product_object_id
    containers.imageId target.resource_ancestors.product_object_id
    sourceProperties.properties.zone target.resource.attribute.cloud.availability_zone category ログフィールドの値が Brute Force: SSH と等しい場合、sourceProperties.properties.zone ログフィールドは target.resource.attribute.cloud.availability_zone UDM フィールドにマッピングされます。
    canonicalName metadata.product_log_id finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。

    finding_id ログフィールドの値が空ではない場合、finding_id ログフィールドは metadata.product_log_id UDM フィールドにマッピングされます。
    canonicalName src.resource.attribute.labels.key/value [finding_id] finding_id ログフィールドの値が空でない場合、finding_id ログフィールドは src.resource.attribute.labels.key/value [finding_id] UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれかと等しい場合、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.product_object_id source_id ログフィールドの値が空でない場合、source_id ログフィールドは src.resource.product_object_id UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれかと等しい場合、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName src.resource.attribute.labels.key/value [source_id] source_id ログフィールドの値が空でない場合、source_id ログフィールドは src.resource.attribute.labels.key/value [source_id] UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれかと等しい場合、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [finding_id] finding_id ログフィールドの値が空でない場合、finding_id ログフィールドは target.resource.attribute.labels.key/value [finding_id] UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれとも一致しない場合は、finding_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.product_object_id source_id ログフィールドの値が空でない場合、source_id ログフィールドは target.resource.product_object_id UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれとも一致しない場合は、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    canonicalName target.resource.attribute.labels.key/value [source_id] source_id ログフィールドの値が空でない場合、source_id ログフィールドは target.resource.attribute.labels.key/value [source_id] UDM フィールドにマッピングされます。

    category ログフィールドの値が次の値のいずれとも一致しない場合は、source_id は Grok パターンを使用して canonicalName ログフィールドから抽出されます。
    • Exfiltration: BigQuery Data Extraction
    • Exfiltration: BigQuery Data to Google Drive
    • Exfiltration: BigQuery Data Exfiltration
    • Exfiltration: CloudSQL Restore Backup to External Organization
    exfiltration.targets.components target.resource.attribute.labels.key/value[exfiltration_targets_components] category ログフィールドの値が Exfiltration: CloudSQL Data Exfiltration または Exfiltration: BigQuery Data Extraction と等しい場合、exfiltration.targets.components ログフィールドは target.resource.attribute.labels.key/value UDM フィールドにマッピングされます。
    resourceName
    exfiltration.targets.name
    target.resource.name category ログフィールドの値が Brute Force: SSH と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされます。

    それ例外の場合で、category ログフィールドの値が Malware: Bad DomainMalware: Bad IP または Malware: Cryptomining Bad IP と等しい場合、resourceName ログフィールドは target.resource_ancestors.name UDM フィールドにマッピングされ、target.resource.resource_type UDM フィールドは VIRTUAL_MACHINE に設定されます。

    祖霊がの場合で、category ログフィールドの値が Exfiltration: BigQuery Data Extraction または Exfiltration: BigQuery Data to Google Drive と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合で、category ログフィールドの値が Exfiltration: BigQuery Data Exfiltration と等しい場合、exfiltration.target.name ログフィールドは target.resource.name UDM フィールドにマッピングされます。

    それ以外の場合、resourceName ログフィールドは target.resource.name UDM フィールドにマッピングされます。
    kubernetes.pods.containers.imageId target.resource_ancestors.product_object_id
    resource.project target.resource.attribute.labels.key/value [resource_project]
    resource.parent target.resource.attribute.labels.key/value [resource_parent]
    processes.name target.process.file.names
    sourceProperties.Header_Signature.significantValues.value principal.location.country_or_region sourceProperties.Header_Signature.name ログフィールドの値が RegionCode と等しい場合、sourceProperties.Header_Signature.significantValues.value ログフィールドは principal.location.country_or_region UDM フィールドにマッピングされます。
    sourceProperties.Header_Signature.significantValues.value principal.ip sourceProperties.Header_Signature.name ログフィールドの値が RemoteHost と等しい場合、sourceProperties.Header_Signature.significantValues.value ログフィールドは principal.ip UDM フィールドにマッピングされます。
    sourceProperties.Header_Signature.significantValues.value network.http.user_agent sourceProperties.Header_Signature.name ログフィールドの値が UserAgent と等しい場合、sourceProperties.Header_Signature.significantValues.value ログフィールドは network.http.user_agent UDM フィールドにマッピングされます。
    sourceProperties.Header_Signature.significantValues.value principal.url sourceProperties.Header_Signature.name ログフィールドの値が RequestUriPath と等しい場合、sourceProperties.Header_Signature.significantValues.value ログフィールドは principal.url UDM フィールドにマッピングされます。
    sourceProperties.Header_Signature.significantValues.proportionInAttack security_result.detection_fields [proportionInAttack]
    sourceProperties.Header_Signature.significantValues.attackLikelihood security_result.detection_fields [attackLikelihood]
    sourceProperties.Header_Signature.significantValues.matchType security_result.detection_fields [matchType]
    sourceProperties.Header_Signature.significantValues.proportionInBaseline security_result.detection_fields [proportionInBaseline]
    sourceProperties.compromised_account principal.user.userid category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.compromised_account ログフィールドは principal.user.userid UDM フィールドにマッピングされ、principal.user.account_type UDM フィールドは SERVICE_ACCOUNT_TYPE に設定されます。
    sourceProperties.project_identifier principal.resource.product_object_id category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.project_identifier ログフィールドは principal.resource.product_object_id UDM フィールドにマッピングされます。
    sourceProperties.private_key_identifier principal.user.attribute.labels.key/value [private_key_identifier] category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.private_key_identifier ログフィールドは principal.user.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.action_taken principal.labels [action_taken](非推奨) category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.action_taken ログフィールドは principal.labels.value UDM フィールドにマッピングされます。
    sourceProperties.action_taken additional.fields [action_taken] category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.action_taken ログフィールドは additional.fields.value UDM フィールドにマッピングされます。
    sourceProperties.finding_type principal.labels [finding_type](非推奨) category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.finding_type ログフィールドは principal.labels.value UDM フィールドにマッピングされます。
    sourceProperties.finding_type additional.fields [finding_type] category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.finding_type ログフィールドは additional.fields.value UDM フィールドにマッピングされます。
    sourceProperties.url principal.user.attribute.labels.key/value [key_file_path] category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.url ログフィールドは principal.user.attribute.labels.value UDM フィールドにマッピングされます。
    sourceProperties.security_result.summary security_result.summary category ログフィールドの値が account_has_leaked_credentials と等しい場合、sourceProperties.security_result.summary ログフィールドは security_result.summary UDM フィールドにマッピングされます。
    kubernetes.objects.kind target.resource.attribute.labels[kubernetes_objects_kind]
    kubernetes.objects.ns target.resource.attribute.labels[kubernetes_objects_ns]
    kubernetes.objects.name target.resource.attribute.labels[kubernetes_objects_name]
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageName] vulnerability.offendingPackage.packageName
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_cpeUri] vulnerability.offendingPackage.cpeUri
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageType] vulnerability.offendingPackage.packageType
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_offendingPackage_packageVersion] vulnerability.offendingPackage.packageVersion
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageName] vulnerability.fixedPackage.packageName
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_cpeUri] vulnerability.fixedPackage.cpeUri
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageType] vulnerability.fixedPackage.packageType
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_fixedPackage_packageVersion] vulnerability.fixedPackage.packageVersion
    extensions.vulns.vulnerabilities.about.security_result.detection_fields[vulnerability_securityBulletin_bulletinId] vulnerability.securityBulletin.bulletinId
    security_result.detection_fields[vulnerability_securityBulletin_submissionTime] vulnerability.securityBulletin.submissionTime
    security_result.detection_fields[vulnerability_securityBulletin_suggestedUpgradeVersion] vulnerability.securityBulletin.suggestedUpgradeVersion
    target.location.name resource.location
    additional.fields[resource_service] resource.service
    target.resource_ancestors.attribute.labels[kubernetes_object_kind] kubernetes.objects.kind
    target.resource_ancestors.name kubernetes.objects.name
    kubernetes_res_ancestor.attribute.labels[kubernetes_objects_ns] kubernetes.objects.ns
    kubernetes_res_ancestor.attribute.labels[kubernetes_objects_group] kubernetes.objects.group
    finding.groupMemberships.groupType security_result.about.group.attribute.labels.key/value [groupType] ログフィールド finding.groupMemberships.groupType を反復処理し、
    security_result.about.group.attribute.labels.key UDM フィールドを groupType_%{index} に設定し、finding.groupMemberships.groupType ログフィールドを security_result.about.group.attribute.labels.value UDM フィールドにマッピングします。
    finding.groupMemberships.groupId security_result.about.group.attribute.labels.key/value [groupId] ログフィールド finding.groupMemberships.groupId を反復処理し、
    security_result.about.group.attribute.labels.key UDM フィールドを groupId_%{index} に設定し、finding.groupMemberships.groupId ログフィールドを security_result.about.group.attribute.labels.value UDM フィールドにマッピングします。
    finding.attackExposure.score security_result.detection_fields.key/value [var_attackExposure_score]
    finding.attackExposure.latestCalculationTime security_result.detection_fields.key/value [var_attackExposure_latestCalculationTime]
    finding.attackExposure.attackExposureResult security_result.detection_fields.key/value [var_attackExposure_attackExposureResult]
    finding.attackExposure.state security_result.detection_fields.key/value [var_attackExposure_state]
    finding.attackExposure.exposedHighValueResourcesCount security_result.detection_fields.key/value [var_attackExposure_exposedHighValueResourcesCount]
    finding.attackExposure.exposedMediumValueResourcesCount security_result.detection_fields.key/value [var_attackExposure_exposedMediumValueResourcesCount]
    finding.attackExposure.exposedLowValueResourcesCount security_result.detection_fields.key/value [var_attackExposure_exposedLowValueResourcesCount]
    finding.muteInfo.staticMute.state security_result.detection_fields.key/value [var_static_mute_state]
    finding.muteInfo.staticMute.applyTime security_result.detection_fields.key/value [static_mute_apply_time]
    finding.muteInfo.staticMute.applyTime security_result.detection_fields.key/value [static_mute_apply_time]

    次のステップ

    さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。