GitHub-Audit-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie GitHub-Audit-Logs in Google Security Operations aufnehmen. Sie können die Aufnahme mit einer der folgenden Methoden konfigurieren:
- Google Cloud Storage V2 (empfohlen): Streamen Sie Audit-Logs aus GitHub Enterprise Cloud direkt in einen GCS-Bucket und nehmen Sie sie dann in Google SecOps auf.
- Webhook: Konfigurieren Sie GitHub so, dass Ereignisnutzlasten in Echtzeit direkt an einen Google SecOps-Webhook-Endpunkt gesendet werden.
GitHub ist eine cloudbasierte Plattform für Versionsverwaltung und Zusammenarbeit, mit der Entwickler Code speichern und verwalten, Änderungen nachverfolgen und an Softwareprojekten zusammenarbeiten können. GitHub Enterprise Cloud bietet Sicherheitsfunktionen auf Unternehmensniveau, einschließlich Audit-Log-Streaming für Compliance und Sicherheitsmonitoring.
Hinweis
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
Eine Google SecOps-Instanz
Ein GitHub Enterprise Cloud-Konto mit Berechtigungen als Enterprise-Inhaber (für GCS-Streaming) oder als Organisationsinhaber (für Webhooks)
Für die GCS-Methode benötigen Sie außerdem:
- Ein Google Cloud-Projekt mit aktivierter Cloud Storage API
- Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
- Berechtigungen zum Erstellen von Dienstkonten und Verwalten von IAM-Richtlinien
Für die Webhook-Methode benötigen Sie außerdem:
- Zugriff auf die Google Cloud Console (zum Erstellen von API-Schlüsseln)
- Berechtigungen als Repository-Administrator oder Organisationsinhaber in GitHub
Option 1: Aufnahme mit Google Cloud Storage V2 konfigurieren (empfohlen)
Google Cloud Storage-Bucket erstellen
- Gehen Sie zur Google Cloud Console.
- Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
- Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
- Klicken Sie auf Bucket erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
Einstellung Wert Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. github-audit-logs.Standorttyp Wählen Sie die Option aus, die am besten zu Ihren Anforderungen passt (Region, Dual-Region, Multi-Region). Standort Wählen Sie den Standort aus, z. B. us-central1.Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird) Zugriffskontrolle Einheitlich (empfohlen) Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren Klicken Sie auf Erstellen.
Dienstkonto für das Streamen von GitHub-Audit-Logs erstellen
Für die Authentifizierung und das Schreiben von Audit-Logs in Ihren GCS-Bucket ist ein Google Cloud-Dienstkonto mit einem JSON-Schlüssel erforderlich.
- Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.
- Klicken Sie auf Dienstkonto erstellen.
- Geben Sie die folgenden Konfigurationsdetails an:
- Name des Dienstkontos: Geben Sie einen aussagekräftigen Namen ein, z. B.
github-audit-streaming. - Beschreibung des Dienstkontos: Geben Sie
Service account for GitHub Enterprise Cloud audit log streaming to GCSein.
- Name des Dienstkontos: Geben Sie einen aussagekräftigen Namen ein, z. B.
- Klicken Sie auf Erstellen und fortfahren.
Klicken Sie auf Fertig.
Dienstkonto Schreibzugriff auf den GCS-Bucket gewähren
- Rufen Sie Cloud Storage > Buckets auf.
- Klicken Sie auf den Namen Ihres Buckets, z. B.
github-audit-logs. - Wechseln Sie zum Tab Berechtigungen.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B.
github-audit-streaming@PROJECT_ID.iam.gserviceaccount.com). - Rollen zuweisen: Wählen Sie Storage-Objekt-Ersteller aus.
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B.
- Klicken Sie auf Speichern.
JSON-Schlüssel für das Dienstkonto erstellen
- Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.
- Klicken Sie auf das Dienstkonto, z. B.
github-audit-streaming. - Rufen Sie den Tab Schlüssel auf.
- Klicken Sie auf Schlüssel hinzufügen > Neuen Schlüssel erstellen.
- Wählen Sie JSON als Schlüsseltyp aus.
- Klicken Sie auf Erstellen.
Daraufhin wird eine JSON-Schlüsseldatei auf Ihren Computer heruntergeladen. Speichern Sie diese Datei sicher.
GitHub Enterprise Cloud-Audit-Log-Streaming zu GCS konfigurieren
- Melden Sie sich als Enterprise-Inhaber bei GitHub Enterprise Cloud an.
- Klicken Sie rechts oben auf Ihr Profilbild und dann auf Unternehmenseinstellungen (oder auf Unternehmen und dann auf das Unternehmen, das Sie aufrufen möchten).
- Klicken Sie oben auf der Seite auf Einstellungen.
- Klicken Sie unter Einstellungen auf Audit-Log.
- Klicken Sie unter Audit-Log auf Log-Streaming.
- Wählen Sie das Drop-down-Menü Stream konfigurieren aus und klicken Sie auf Google Cloud Storage.
- Geben Sie die folgenden Konfigurationsdetails an:
- Bucket: Geben Sie den Namen des GCS-Buckets ein (z. B.
github-audit-logs). - JSON-Anmeldedaten: Fügen Sie den gesamten Inhalt der JSON-Schlüsseldatei des Dienstkontos ein.
- Bucket: Geben Sie den Namen des GCS-Buckets ein (z. B.
- Klicken Sie auf Endpunkt prüfen, um zu prüfen, ob GitHub eine Verbindung zum Google Cloud Storage-Bucket herstellen und Daten in den Bucket schreiben kann.
Klicken Sie nach erfolgreicher Bestätigung des Endpunkts auf Speichern.
Google SecOps-Dienstkonto abrufen
Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.
E-Mail-Adresse des Dienstkontos abrufen
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf Einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B.
GitHub audit logs. - Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
- Wählen Sie GitHub als Logtyp aus.
- Klicken Sie auf Dienstkonto abrufen.
Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comKopieren Sie diese E-Mail-Adresse für den nächsten Schritt.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI ein:
gs://github-audit-logs/
Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:
- Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
- Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.
Höchstalter für Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standard ist 180 Tage)
Asset-Namespace: Der Asset-Namespace
Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren
- Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.
- Rufen Sie Cloud Storage > Buckets auf.
- Klicken Sie auf den Bucket-Namen (
github-audit-logs). - Wechseln Sie zum Tab Berechtigungen.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
- Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
Klicken Sie auf Speichern.
Option 2: Aufnahme über Webhook konfigurieren
Webhook-Feed in Google SecOps erstellen
Feed erstellen
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B.
GitHub webhook events. - Wählen Sie Webhook als Quelltyp aus.
- Wählen Sie GitHub als Logtyp aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- Trennzeichen für Aufteilung (optional): Geben Sie
\nein, wenn GitHub mehrere Ereignisse pro Anfrage sendet, oder lassen Sie das Feld für Nutzlasten mit einzelnen Ereignissen leer. - Asset-Namespace: Der Asset-Namespace
- Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll
- Trennzeichen für Aufteilung (optional): Geben Sie
- Klicken Sie auf Weiter.
- Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Secret-Schlüssel generieren und speichern
Nachdem Sie den Feed erstellt haben, müssen Sie einen geheimen Schlüssel für die Authentifizierung generieren:
- Klicken Sie auf der Feed-Detailseite auf Secret Key generieren.
- In einem Dialogfeld wird der geheime Schlüssel angezeigt.
- Kopieren Sie den geheimen Schlüssel und speichern Sie ihn sicher.
Feed-Endpunkt-URL abrufen
- Rufen Sie den Tab Details des Feeds auf.
- Kopieren Sie im Abschnitt Endpoint Information (Endpunktinformationen) die Feed endpoint URL (Feed-Endpunkt-URL).
Das URL-Format lautet:
https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreateSpeichern Sie diese URL für die nächsten Schritte.
Klicken Sie auf Fertig.
Google Cloud API-Schlüssel erstellen
- Für Google SecOps ist ein API-Schlüssel für die Authentifizierung erforderlich. Erstellen Sie in der Google Cloud Console einen eingeschränkten API-Schlüssel.
API-Schlüssel erstellen
- Rufen Sie die Seite „Anmeldedaten“ in der Google Cloud Console auf.
- Wählen Sie Ihr Projekt aus (das Projekt, das mit Ihrer Google SecOps-Instanz verknüpft ist).
- Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
- Ein API-Schlüssel wird erstellt und in einem Dialogfeld angezeigt.
- Klicken Sie auf API-Schlüssel bearbeiten, um den Schlüssel einzuschränken.
API-Schlüssel einschränken
- Auf der Seite mit den API-Schlüssel-Einstellungen:
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B.
Chronicle Webhook API Key.
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B.
- Gehen Sie unter API-Einschränkungen so vor:
- Wählen Sie Schlüssel einschränken aus.
- Suchen Sie im Drop-down-Menü APIs auswählen nach Google SecOps API (oder Chronicle API) und wählen Sie die API aus.
- Klicken Sie auf Speichern.
- Kopieren Sie den API-Schlüsselwert aus dem Feld API-Schlüssel oben auf der Seite.
Speichern Sie den API-Schlüssel sicher.
Webhook-URL erstellen
Kombinieren Sie die Google SecOps-Endpunkt-URL und den API-Schlüssel:
<ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY>Beispiel:
https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...&secret=abcd1234...
Webhook für GitHub-Organisation konfigurieren
- Melden Sie sich bei GitHub an und rufen Sie Ihre Organisation auf.
- Klicken Sie auf Einstellungen.
- Klicken Sie in der linken Seitenleiste auf Webhooks.
- Klicken Sie auf Add webhook (Webhook hinzufügen).
- Geben Sie die folgenden Konfigurationsdetails an:
- Nutzlast-URL: Fügen Sie die vollständige Webhook-URL ein, die Sie im vorherigen Schritt erstellt haben (Endpunkt-URL mit API-Schlüssel und geheimem Schlüssel als Suchparameter).
- Inhaltstyp: Wählen Sie application/json aus.
- Secret: Lassen Sie das Feld leer. Die Authentifizierung erfolgt über die URL-Parameter.
- Unter Welche Ereignisse sollen diesen Webhook auslösen?:
- Wählen Sie Ich möchte einzelne Ereignisse auswählen aus.
- Wählen Sie die Ereignisse aus, die Sie an Google SecOps senden möchten. Empfohlene Ereignisse für das Sicherheitsmonitoring sind unter anderem:
- Zweig- oder Tag-Erstellung
- Löschen von Zweigen oder Tags
- Mitbearbeiter hinzugefügt, entfernt oder geändert
- Schlüssel bereitstellen
- Deployments
- Forks
- Mitglied
- Kanalmitgliedschaft
- Organisationen
- Pull-Anfragen
- Pull-Anfragen prüfen
- Pushes
- Releases
- Repositories
- Warnungen zum Scannen von Secrets
- Sicherheitshinweise
- Teams
- Änderungen der Sichtbarkeit
- Klicken Sie das Kästchen Aktiv an, um den Webhook zu aktivieren.
- Klicken Sie auf Add webhook (Webhook hinzufügen).
GitHub sendet ein
ping-Testereignis. Prüfen Sie, ob für den Webhook ein grünes Häkchen angezeigt wird, das eine erfolgreiche Zustellung angibt.
Ereignistypen
In der folgenden Tabelle sind die Ereignistypen und die Bedingungen für die Ereignistypen aufgeführt:
| event_type | Conditions |
|---|---|
NETWORK_CONNECTION |
[has_target] == "true" && [has_principal] == "true" |
PROCESS_LAUNCH |
[has_principal] == "true" && [has_target_process] == "true" |
STATUS_UPDATE |
[has_principal] == "true" |
USER_LOGIN |
[raw][message] =~ "Authentication success" or [message] =~ "Authentication success" && ([has_target]== "true" || [has_target_user] == "true") |
USER_RESOURCE_CREATION |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in ["personal_access_token.create" ,"repository_vulnerability_alert.create"] |
USER_RESOURCE_DELETION |
[has_target_resource] == "true" && [has_principal_user] == "true" && [action] in ["hook.destroy" ,"protected_branch.destroy" ,"public_key.delete"] |
USER_RESOURCE_DELETION |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in [ "hook.destroy" ,"protected_branch.destroy" ,"public_key.delete"] |
USER_RESOURCE_UPDATE_CONTENT |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in [ "pull_request.merge" , "hook.events_changed"] |
USER_RESOURCE_UPDATE_PERMISSIONS |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in ["repo.update_actions_secret","protected_branch.update_pull_request_reviews_enforcement_level", "org.update_member" ,"protected_branch.update_admin_enforced" ,"protected_branch.update_required_status_checks_enforcement_level","org.integration_manager_removed" ,"repo.update_member", "repo.add_member"] |
USER_UNCATEGORIZED |
[has_principal_userid] == "true" |
UDM-Zuordnungstabelle
| invitee | event.idm.read_only_udm.target.user.userid | Aus Changelog übernommen | | inviter | event.idm.read_only_udm.src.user.userid | Aus Changelog übernommen | | pull_request.user.login | event.idm.read_only_udm.principal.user.userid | Aus Changelog übernommen | | pull_request.user.id | event.idm.read_only_udm.principal.user.product_object_id | Aus Changelog übernommen | | sender.login | event.idm.read_only_udm.principal.user.userid | Aus Changelog übernommen | | sender.id | event.idm.read_only_udm.principal.user.product_object_id | Aus Changelog übernommen | | sender.node_id | event.idm.read_only_udm.principal.asset_id und event.idm.read_only_udm.principal.asset.asset_id | Aus Changelog übernommen | | sender.url | event.idm.read_only_udm.principal.url | Aus Changelog übernommen | | repository.custom_properties.criticality | event.idm.read_only_udm.target.resource.attribute.labels | Aus Changelog übernommen | | host.name | event.idm.read_only_udm.principal.hostname und event.idm.read_only_udm.principal.asset.hostname | Aus Changelog übernommen | | host | event.idm.read_only_udm.principal.hostname und event.idm.read_only_udm.principal.asset.hostname | Aus Changelog übernommen | | logData.Level | event.idm.read_only_udm.security_result.severity | Aus Changelog übernommen | | logData.Level | event.idm.read_only_udm.security_result.severity_details | Aus Changelog übernommen | | logData.Method | event.idm.read_only_udm.target.resource.name | Aus Changelog übernommen | | logData.IdentityName | event.idm.read_only_udm.principal.ip und event.idm.read_only_udm.principal.asset.ip | Aus Changelog übernommen | | logData.IPAddress | event.idm.read_only_udm.principal.ip und event.idm.read_only_udm.principal.asset.ip | Aus Changelog übernommen | | logData.IdentityName | event.idm.read_only_udm.principal.user.userid | Aus Changelog übernommen | | logData.Username | event.idm.read_only_udm.principal.user.userid | Aus Changelog übernommen | | logData.HostId | event.idm.read_only_udm.principal.asset.asset_id | Aus Changelog übernommen | | logData.ServiceHost | event.idm.read_only_udm.principal.asset.asset_id | Aus Changelog übernommen | | logData.TenantId | event.idm.read_only_udm.metadata.product_deployment_id | Aus Changelog übernommen | | logData.AuthenticationMechanism | event.idm.read_only_udm.extensions.auth.auth_details | Aus Changelog übernommen | | logData.HttpRequestHost | event.idm.read_only_udm.target.ip und event.idm.read_only_udm.target.asset.ip | Aus Changelog übernommen | | logData.HttpRequestHost | event.idm.read_only_udm.target.hostname und event.idm.read_only_udm.target.asset.hostname | Aus Changelog übernommen | | logData.HttpRemotePort | event.idm.read_only_udm.principal.port | Aus Changelog übernommen | | logData.Command | event.idm.read_only_udm.security_result.description | Aus Changelog übernommen | | logData.HttpRequestMethod | event.idm.read_only_udm.network.http.method | Aus Changelog übernommen | | logData.ResponseCode | event.idm.read_only_udm.network.http.response_code | Aus Changelog übernommen | | logData.Status | event.idm.read_only_udm.security_result.action_details | Aus Changelog übernommen | | logData.PersistentSessionId | event.idm.read_only_udm.network.session_id | Aus Changelog übernommen | | logData.ActivityId | event.idm.read_only_udm.metadata.product_log_id | Aus Changelog übernommen | | logData.HttpRequestProtocol | event.idm.read_only_udm.network.application_protocol | Aus Changelog übernommen | | logData.HttpRequestProtocol | event.idm.read_only_udm.network.application_protocol_version | Aus Changelog übernommen | | logData.UserAgent | event.idm.read_only_udm.network.http.user_agent | Aus Changelog übernommen | | logData.UserAgent | event.idm.read_only_udm.network.http.parsed_user_agent | Aus Changelog übernommen | | logData.Referrer | event.idm.read_only_udm.network.http.referral_url | Aus Changelog übernommen | | logData.Application | event.idm.read_only_udm.principal.application | Aus Changelog übernommen | | logData.UriStem | event.idm.read_only_udm.target.url | Aus Changelog übernommen | | logData.CUID | event.idm.read_only_udm.principal.user.product_object_id | Aus Changelog übernommen | | logData | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | AadExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | AadExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | AadGraphExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | AadGraphExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | AadTokenExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | AadTokenExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ActivityStatus | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | AfdRefInfo | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | AnonymousIdentifier | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ApplicationHash | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | Area | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | AuthorizationId | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | BlobStorageExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | BlobStorageExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | CPUCycles | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | CPUExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | CPUTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | CommandHash | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | CommandIdentifier | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ConcurrencySemaphoreTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ContextId | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ControllerTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | CurrentAuthenticationSessionId | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | DelayTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | E2EID | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ElapsedTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ExceptionMessage | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ExceptionType | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ExecutionTimeThreshold | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | Feature | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | FinalSqlCommandExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | HostStartTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | HostType | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | HttpRequestTransferEncoding | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | HttpResponseArrProxyTarget | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | HttpResponseCacheControl | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | HttpResponseContentEncoding | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | HttpUriQuery | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | IsExceptionExpected | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | Layer | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | LogicalReads | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | Message | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | MethodInformationTimeout | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | OrchestrationId | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ParentHostId | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | Path | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | PendingAuthenticationSessionId | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | PhysicalReads | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | PostControllerTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | PreControllerTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | PreciseTimeStamp | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ProcessName | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ProviderId | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | QueueTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | RedisExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | RedisExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | RelatedActivityId | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | Service | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ServiceBusExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ServiceBusExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | SqlExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | SqlExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | SqlReadOnlyExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | SqlReadOnlyExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | SqlRetryExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | SqlRetryExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | StartTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | SupportsPublicAccess | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | TSTUs | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | TableStorageExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | TableStorageExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | ThrottleReason | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | TimeToFirstPage | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | TraceId | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | Tracepoint | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | UniqueIdentifier | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | Uri | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | UserDefined | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | VSID | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | VssClientExecutionCount | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | VssClientExecutionTime | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.email | event.idm.read_only_udm.target.user.email_addresses | Aus Changelog übernommen | | invitation.created_at | event.idm.read_only_udm.metadata.event_timestamp | Aus Changelog übernommen | | invitation.id | event.idm.read_only_udm.metadata.product_log_id | Aus Changelog übernommen | | invitation.invitation_teams_url | event.idm.read_only_udm.target.url | Aus Changelog übernommen | | invitation.role | event.idm.read_only_udm.target.user.attribute.roles | Aus Changelog übernommen | | invitation.inviter.id | event.idm.read_only_udm.principal.user.product_object_id | Aus Changelog übernommen | | invitation.inviter.login | event.idm.read_only_udm.principal.user.userid | Aus Changelog übernommen | | invitation.inviter.html_url | event.idm.read_only_udm.principal.url | Aus Changelog übernommen | | invitation.login | event.idm.read_only_udm.target.user.userid | Aus Changelog übernommen | | invitation.inviter.url | event.idm.read_only_udm.principal.user.attribute.labels | Aus Changelog übernommen | | invitation.inviter.avatar_url | event.idm.read_only_udm.principal.user.attribute.labels | Aus Changelog übernommen | | invitation.inviter.type | event.idm.read_only_udm.principal.user.attribute.labels | Aus Changelog übernommen | | organization.url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.invitation_source | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.team_count | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.node_id | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.failed_at | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.failed_reason | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.avatar_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.type | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.events_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.followers_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.following_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.gists_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.gravatar_id | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.node_id | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.organizations_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.received_events_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.repos_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.site_admin | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.starred_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.subscriptions_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | invitation.inviter.user_view_type | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | commit_message | event.idm.read_only_udm.metadata.description | Aus Changelog übernommen | | sender.type | event.idm.read_only_udm.src.user.title | Aus Changelog übernommen | | sha | event.idm.read_only_udm.target.file.sha1 | Aus Changelog übernommen | | target_url | event.idm.read_only_udm.target.url | Aus Changelog übernommen | | description | event.idm.read_only_udm.security_result.description | Aus Changelog übernommen | | avatar_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | context | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | commit_node_id | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | commit_committer_name | event.id.read_only_udm.additional.fields | Aus Changelog übernommen | | state | event.idm.read_only_udm.security_result.action_details | Aus Changelog übernommen | | commit_committer_name | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | commit_committer_email | event.idm.read_only_udm.principal.email | Aus Changelog übernommen | | commit_tree_sha | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | comment_count | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | reason | event.idm.read_only_udm.security_result.summary | Aus Changelog übernommen | | commit_url | event.idm.read_only_udm.principal.url | Aus Changelog übernommen | | comments_url | event.idm.read_only_udm.additional.fields | Aus Changelog übernommen | | commit_user_name | event.idm.read_only_udm.principal.user.user_display_name | Aus Changelog übernommen | | commit_user_id | event.idm.read_only_udm.principal.user.userid | Aus Changelog übernommen | | principal.assetid | event.idm.read_only_udm.principal.asset_id | Aus Changelog übernommen | | sender_login | event.idm.read_only_udm.src.user.user_display_name | Aus Changelog übernommen | | sender_id | event.idm.read_only_udm.src.user.product_object_id | Aus Changelog übernommen | | sender_assetid | event.idm.read_only_udm.src.asset_id | Aus Changelog übernommen | | sender_url | event.idm.read_only_udm.src.url | Aus Changelog übernommen | | alert.created_at | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | alert.html_url | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | alert.locations_url | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | alert.multi_repo | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | alert.number | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | alert.publicly_leaked | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | alert.push_protection_bypassed | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | alert.secret_type | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | alert.secret_type_display_name | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | alert.updated_at | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | alert.validity | event.idm.read_only_udm.security_result.detection_fields | Aus Changelog übernommen | | repository_selection", "user_programmatic_access_name", and "permissions_added.* | additional.fields | Aus Changelog übernommen | | external_identity_nameid | principal.user.userid | Aus Changelog übernommen | | actor_id | principal.user.userid | Aus Changelog übernommen | | new_repo_permission", "user", and "actor | additional.fields | Aus Changelog übernommen | | secret_type_display_name | additional.fields | Aus Changelog übernommen | | user_id | target.user.userid | Aus Changelog übernommen | | push_protection_bypass_reason | security_result.detection_fields | Aus Changelog übernommen | | actor | principal.resource.attribute.labels | Aus Changelog übernommen | | pull_request_url | target.url | Aus Changelog übernommen | | pull_request_title", "pull_request_id" ,and "previous_visibility | additional.fields | Aus Changelog übernommen | | explanation | additional.fields | Aus Changelog übernommen | | invitee_email" and "email | additional.fields | Aus Changelog übernommen | | required_status_checks_enforcement_level", "events_were" and "old_permission | additional.fields | Aus Changelog übernommen | | name", "manager", "pull_request_reviews_enforcement_level", "hook_id", "events", "config_was", "key", "fingerprint", "permission", and "title | additional.fields | Aus Changelog übernommen | | security_result.action | ALLOW | Aus Changelog übernommen | | security_result.action | BLOCK | Aus Changelog übernommen | | user | target.user.user_display_name | Aus Changelog übernommen | | referrer | network.http.referral_url | Aus Changelog übernommen | | user_session_id | network.session_id | Aus Changelog übernommen | | ip | principal.ip | Aus Changelog übernommen | | from | additional.fields | Aus Changelog übernommen | | request_category | additional.fields | Aus Changelog übernommen | | device_cookie | additional.fields | Aus Changelog übernommen | | operation_type | additional.fields | Aus Changelog übernommen | | category_type | additional.fields | Aus Changelog übernommen | | note | additional.fields | Aus Changelog übernommen | | read | additional.fields | Aus Changelog übernommen | | pre_perform_allocation_count | additional.fields | Aus Changelog übernommen | | backend | additional.fields | Aus Changelog übernommen | | queue | additional.fields | Aus Changelog übernommen | | class | additional.fields | Aus Changelog übernommen | | success | additional.fields | Aus Changelog übernommen | | controller_action | security_result.detection_fields | Aus Changelog übernommen | | two_factor | security_result.detection_fields | Aus Changelog übernommen | | user_agent | network.http.user_agent | Aus Changelog übernommen | | request_method | network.http.method | Aus Changelog übernommen | | application_name | target.application | Aus Changelog übernommen | | status_code | network.http.response_code | Aus Changelog übernommen | | url_path | target.url | Aus Changelog übernommen | | user_id | target.userid | Aus Changelog übernommen | | transport_protocol_name | network.application_protocol | Aus Changelog übernommen | | raw.now | metadata.event_timestamp | Aus Changelog übernommen | | raw.ip | principal.ip | Aus Changelog übernommen | | raw.request_id | metadata.product_log_id | Aus Changelog übernommen | | raw.repo | target.url | Aus Changelog übernommen | | raw.action | security_result.summary | Aus Changelog übernommen | | raw.protocol | network.application_protocol | Aus Changelog übernommen | | raw.message | metadata.description | Aus Changelog übernommen | | raw.at | security_result.action | Aus Changelog übernommen | | raw.login | target.user_display_name | Aus Changelog übernommen | | raw.user_id | target.userid | Aus Changelog übernommen | | raw.failure_reason", "raw.failure_type", "raw.raw_login" and "raw.from | additional.fields | Aus Changelog übernommen | | workflow_run.id | target.resource.attribute.labels | Aus Changelog übernommen | | workflow_run.event | additional.fields | Aus Changelog übernommen | | workflow_run.actor.login | principal.user.userid | Aus Changelog übernommen | | workflow_run.head_branch | security_result.about.labels | Aus Changelog übernommen | | workflow_run.head_sha | target.file.sha256 | Aus Changelog übernommen | | enterprise.name | additional.fields | Aus Changelog übernommen | | workflow.name | security_result.about.labels | Aus Changelog übernommen | | workflow_run.workflow_id | security_result.about.labels | Aus Changelog übernommen | | external_identity_nameid | target.user.email_addresses | Aus Changelog übernommen | | external_identity_nameid | target.user.userid | Aus Changelog übernommen | | config.url | target.url | Aus dem Changelog übernommen |
| Logfeld | UDM-Zuordnung | Anmerkungen |
|---|---|---|
above_lock_quota |
additional.fields |
|
above_warn_quota |
additional.fields |
|
ac_ms |
additional.fields |
|
accept |
additional.fields |
|
action |
metadata.product_event_type |
Für JSON-Logs. |
action |
security_result.summary |
Für Syslog-Protokolle. |
active |
target.resource.attribute.labels |
|
active_job_id |
additional.fields |
|
actor |
principal.user.userid |
|
actor_id |
principal.user.attribute.labels.value |
|
actor_ip |
principal.ip |
|
actor_is_agent |
additional.fields |
|
actor_is_bot |
principal.user.attribute.labels |
|
actor_location.country_code |
principal.location.country_or_region |
|
actor_session |
additional.fields |
|
additional_list |
additional.fields |
|
additional_string |
additional.fields |
|
after |
additional.fields |
|
alert_id |
security_result.detection_fields |
|
alert_number |
security_result.detection_fields |
|
alert_numbers |
additional.fields |
|
allow_deletions_enforcement_level |
additional.fields |
|
allow_force_pushes_enforcement_level |
additional.fields |
|
allow_private_repository_forking |
additional.fields |
|
application_name |
target.application |
|
aqueduct_job_id |
additional.fields |
|
auth_tries |
additional.fields |
|
babeld |
additional.fields |
|
banner |
additional.fields |
|
before |
additional.fields |
|
best_cipher |
additional.fields |
|
best_kex |
additional.fields |
|
best_mac |
additional.fields |
|
best_sigtype |
additional.fields |
|
Body |
security_result.description |
|
branch |
target.resource.attribute.labels |
|
branches |
target.resource.attribute.labels |
|
business |
additional.fields |
|
business_id |
additional.fields |
|
cactive |
additional.fields |
|
calling_workflow_refs |
target.resource.attribute.labels |
|
calling_workflow_shas |
target.resource.attribute.labels |
|
changes.body.from |
additional.fields |
|
charset |
additional.fields |
|
check_run.app |
additional.fields |
|
check_run.app.events |
additional.fields |
|
check_run.app.owner |
additional.fields |
|
check_run.check_suite.app.client_id |
additional.fields |
|
check_run.check_suite.app.created_at |
additional.fields |
|
check_run.check_suite.app.description |
additional.fields |
|
check_run.check_suite.app.events |
additional.fields |
|
check_run.check_suite.app.external_url |
additional.fields |
|
check_run.check_suite.app.html_url |
additional.fields |
|
check_run.check_suite.app.id |
additional.fields |
|
check_run.check_suite.app.name |
additional.fields |
|
check_run.check_suite.app.node_id |
additional.fields |
|
check_run.check_suite.app.slug |
additional.fields |
|
check_run.check_suite.app.updated_at |
additional.fields |
|
check_run.check_suite.conclusion |
additional.fields |
|
check_run.check_suite.id |
additional.fields |
|
check_run.check_suite.url |
additional.fields |
|
check_run.completed_at |
additional.fields |
|
check_run.conclusion |
additional.fields |
|
check_run.output |
additional.fields |
|
check_run.started_at |
additional.fields |
|
check_suite (alle Unterfelder) |
additional.fields |
|
check_suite.app (alle Unterfelder) |
additional.fields |
|
check_suite.app.events |
additional.fields |
|
check_suite.app.owner (alle Unterfelder) |
additional.fields |
|
check_suite.head_commit (alle Unterfelder) |
additional.fields |
|
cid |
additional.fields |
|
cipher |
network.tls.cipher |
|
client_id |
principal.user.attribute.labels |
|
cloning |
additional.fields |
|
code |
additional.fields |
|
CodeNamespace |
additional.fields |
|
comment (alle Unterfelder) |
additional.fields |
|
comment.performed_via_github_app (alle Unterfelder) |
additional.fields |
|
comment.performed_via_github_app.events |
additional.fields |
|
comment.reactions (alle Unterfelder) |
additional.fields |
|
commit.author |
principal.resource.attribute.labels |
|
commit.commit.author.date |
additional.fields |
|
commit.commit.author.email |
additional.fields |
|
commit.commit.author.name |
additional.fields |
|
commit.commit.tree.url |
additional.fields |
|
commit.commit.verification |
additional.fields |
|
commit.committer |
additional.fields |
|
commit.parents |
additional.fields |
|
commit.sha |
additional.fields |
|
commit.url |
additional.fields |
|
commit_oid |
additional.fields |
|
committer_date |
additional.fields |
|
completed_at |
vulns.vulnerabilities.scan_end_time |
|
config.content_typt |
target.resource.attribute.labels |
|
config.insecure_ssl |
target.resource.attribute.labels |
|
config.secret |
target.resource.attribute.labels |
|
config.url |
target.url |
|
considers.site.admin |
additional.fields |
|
content_type |
target.file.mime_type |
|
cr |
additional.fields |
|
create_protected |
additional.fields |
|
created_at |
metadata.event_timestamp |
Der Wert wird von UNIX-Millisekunden in einen Zeitstempel konvertiert. |
credential |
detection_fields |
|
ctotal |
additional.fields |
|
data._document_id |
metadata.product_log_id |
|
data.active_job_id |
additional.fields |
|
data.aqueduct_job_id |
additional.fields |
|
data.business |
target.administrative_domain |
|
data.business_id |
additional.fields |
|
data.cancelled_at |
extensions.vulns.vulnerabilities.scan_end_time |
Der Wert wird vom ISO8601-Format in einen Zeitstempel konvertiert. |
data.category_type |
security_result.category_details |
|
data.dn |
additional.fields |
|
data.email |
target.user.email_addresses |
|
data.entry_found |
additional.fields |
|
data.event |
target.resource.attribute.labels |
|
data.events |
security_result.about.labels.value |
|
data.head_branch |
target.resource.attribute.labels |
|
data.head_sha |
target.file.sha256 |
|
data.hook_id |
target.resource.product_object_id |
|
data.job |
target.application |
|
data.operation_type |
additional.fields |
|
data.started_at |
extensions.vulns.vulnerabilities.scan_start_time |
Der Wert wird vom ISO8601-Format in einen Zeitstempel konvertiert. |
data.team |
target.group.group_display_name |
|
data.trigger_id |
target.resource.attribute.labels |
|
data.uid |
additional.fields |
|
data.workflow_id |
target.resource.attribute.labels |
|
data.workflow_run_id |
target.resource.attribute.labels |
|
default_new_repo_branch |
additional.fields |
|
default_repo_visibility |
additional.fields |
|
default_repository_permission |
additional.fields |
|
degraded |
additional.fields |
|
dependency_scope |
additional.fields |
|
deployment.environment |
additional.fields |
|
disable_members_can_create_repositories |
additional.fields |
|
disable_members_can_delete_repositories |
additional.fields |
|
disable_user_org_creation |
additional.fields |
|
disk_info |
additional.fields |
|
disk_py_file |
additional.fields |
|
dismiss_stale_reviews_on_push |
additional.fields |
|
dotcom_contributions |
additional.fields |
|
dotcom_user_license_usage_upload |
additional.fields |
|
duration_ms |
additional.fields |
|
ecosystem |
additional.fields |
|
enforcement_level |
additional.fields |
|
enterprise |
principal.resource.attribute.labels |
|
enterprise.name |
additional.fields.value.string_value |
|
environment_name |
target.resource.attribute.labels |
|
error |
additional.fields |
|
external_id |
additional.fields |
|
external_identity_nameid |
target.user.email_addresses |
Wenn der Wert eine E-Mail-Adresse ist, wird er dem target.user.email_addresses-Array hinzugefügt. |
external_identity_nameid |
target.user.userid |
|
external_identity_username |
additional.fields |
Wird additional.fields zugeordnet, wenn es in target.user.user_display_name nicht ausgefüllt ist. |
external_identity_username |
target.user.user_display_name |
Wird zugeordnet, wenn sie in target.user.user_display_name vorhanden ist. |
features |
additional.fields |
|
filtered |
additional.fields |
|
filtered_request_body.query |
additional.fields |
|
fluentbit_pod_name |
additional.fields |
|
fp_sha256 |
additional.fields |
|
frontend |
additional.fields |
|
frontend_pid |
intermediary.process.pid |
|
frontend_ppid |
intermediary.process.parent_process.pid |
|
fs_host |
target.hostname |
|
fsc_ms |
additional.fields |
|
fully_qualified_domain_name |
additional.fields |
|
gh.sdk.name |
additional.fields |
|
gh.sdk.version |
additional.fields |
|
gh.timerd.timer.name |
additional.fields |
|
ghsa_id |
additional.fields |
|
git.maxobjectsize |
additional.fields |
|
git_dir_safe |
target.resource.attribute.labels |
|
github_event_after |
target.resource.attribute.labels |
|
github_event_before |
target.resource.attribute.labels |
|
github_event_compare |
target.resource.attribute.labels |
|
github_event_created |
target.resource.attribute.labels |
|
github_event_deleted |
target.resource.attribute.labels |
|
github_event_forced |
target.resource.attribute.labels |
|
github_event_head_commit_author_email |
target.resource.attribute.labels |
|
github_event_head_commit_author_name |
target.resource.attribute.labels |
|
github_event_head_commit_author_username |
target.resource.attribute.labels |
|
github_event_head_commit_committer_email |
target.resource.attribute.labels |
|
github_event_head_commit_committer_name |
target.resource.attribute.labels |
|
github_event_head_commit_committer_username |
target.resource.attribute.labels |
|
github_event_head_commit_distinct |
target.resource.attribute.labels |
|
github_event_head_commit_msg1 |
target.resource.attribute.labels |
|
github_event_head_commit_timestamp |
target.resource.attribute.labels |
|
github_event_pusher_email |
target.resource.attribute.labels |
|
github_event_pusher_name |
target.resource.attribute.labels |
|
github_event_ref |
target.resource.attribute.labels |
|
github_event_repository_has_projects |
target.resource.attributes.labels |
|
github_event_repository_master_branch |
target.resource.attribute.labels |
|
github_event_repository_organization |
target.resource.attribute.labels |
|
github_event_repository_owner_name |
target.resource.attribute.labels |
|
github_event_repository_stargazers |
target.resource.attribute.labels |
|
github_event_workflow_job_completed_at |
target.resource.attributes.labels |
|
gpv |
additional.fields |
|
handler_code |
additional.fields |
|
hashed_token |
network.session_id |
|
head_branch |
target.resource.attribute.labels |
|
head_sha |
target.file.sha256 |
|
healthy |
additional.fields |
|
hmac |
additional.fields |
|
hook_id |
target.resource.attribute.labels |
|
host.name |
principal.user.attribute.labels |
|
http_version |
network.application_protocol_version |
|
id |
metadata.product_log_id |
|
ignore_approvals_from_contributors |
additional.fields |
|
imode |
additional.fields |
|
imperfect |
additional.fields |
|
InstrumentationScope |
additional.fields |
|
integration_id |
additional.fields |
|
intel.flat |
additional.fields |
|
is_hosted_runner |
target.resource.attribute.labels |
|
issue (alle Unterfelder) |
additional.fields |
|
issue.pull_request (alle Unterfelder) |
additional.fields |
|
job_name |
target.resource.attribute.labels.value |
|
job_workflow_ref |
target.resource.attribute.labels.value |
|
job_workflow_sha |
target.resource.attribute.labels.value |
|
kafka_cluster |
additional.fields |
|
kex |
additional.fields |
|
keytype |
additional.fields |
|
kubernetes.container_image |
principal.resource.attribute.labels |
|
kubernetes.container_name |
principal.resource.attribute.labels |
|
kubernetes.host |
principal.resource.attribute.labels |
|
kubernetes.labels.app |
principal.resource.attribute.labels |
|
kubernetes.labels.chart |
principal.resource.attribute.labels |
|
kubernetes.labels.component |
principal.resource.attribute.labels |
|
kubernetes.labels.heritage |
principal.resource.attribute.labels |
|
kubernetes.labels.pod-template-hash |
principal.resource.attribute.labels |
|
kubernetes.labels.release |
principal.resource.attribute.labels |
|
kubernetes.labels.system |
principal.resource.attribute.labels |
|
kubernetes.namespace_name |
principal.resource.attribute.labels |
|
kubernetes.pod_ip |
principal.ip, principal.asset.ip |
|
kubernetes.pod_name |
principal.resource.attribute.labels |
|
last_state_change_at |
additional.fields |
|
last_state_change_reason |
additional.fields |
|
lat |
principal.location.region_coordinates.latitude |
|
ldap.debug_logging_enabled |
additional.fields |
|
level |
security_result.severity |
|
lfs_auth_scope |
additional.fields |
|
lfs_deploy_key_header |
additional.fields |
|
lfs_verify_reason |
additional.fields |
|
linear_history_requirement_enforcement_level |
additional.fields |
|
lock_allows_fetch_and_merge |
additional.fields |
|
lock_branch_enforcement_level |
additional.fields |
|
log_level |
security_result.severity |
|
log_source |
additional.fields |
|
log_source_file |
target.file.full_path |
|
logData.Count |
additional.fields |
|
logData.Metrics.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
logType |
additional.fields |
|
lon |
principal.location.region_coordinates.longitude |
|
loop |
additional.fields |
|
matched_policies |
security_result.detection_fields |
|
member |
target.user.attribute.labels |
|
merge_queue_enforcement_level |
additional.fields |
|
method |
additional.fields |
|
multi_repo |
security_result.detection_fields |
|
mysql_component |
additional.fields |
|
mysql_warning_code |
additional.fields |
|
name |
target.resource.attribute.labels |
|
non_integer_id |
additional.fields |
|
ns |
additional.fields |
|
number |
additional.fields |
|
oauth_application |
principal.application |
|
oauth_application_id |
principal.resource.attribute.labels |
|
oauth_party |
additional.fields |
|
offset |
additional.fields |
|
old_permissions |
additional.fields |
|
old_repo_permissions |
additional.fields |
|
org |
target.administrative_domain |
|
org_id |
additional.fields.value.string_value |
|
organization.url |
additional.fields |
|
original_user_agent |
additional.fields |
|
overridden_codes |
additional.fields |
|
owner |
principal.user.user_display_name |
|
owner_id |
principal.user.userid |
|
package |
additional.fields |
|
package_name |
target.application |
|
parent |
additional.fields |
|
parent_installation_id |
additional.fields |
|
partition |
additional.fields |
|
path_info |
additional.fields |
So sieht die Zuordnung aus, wenn der Pfad bereits target.file.full_path zugeordnet wird. |
path_info |
target.file.full_path |
Dies ist die Zuordnung, wenn der Pfad noch nicht target.file.full_path zugeordnet ist. |
pgroup |
additional.fields |
|
pk_ms |
additional.fields |
|
prin_ip |
principal.ip, principal.asset.ip |
|
prin_port |
principal.port |
|
prin_usr |
principal.user.userid |
|
pro_pid |
target.process.pid |
|
probe_fail |
additional.fields |
|
probe_ok |
additional.fields |
|
programmatic_access_type |
additional.fields.value.string_value |
|
pubkey_creator_id |
additional.fields |
|
pubkey_creator_login |
additional.fields |
|
pubkey_fingerprint |
additional.fields |
|
pubkey_id |
additional.fields |
|
pubkey_verifier_id |
additional.fields |
|
pubkey_verifier_login |
additional.fields |
|
public_repo |
additional.fields.value.string_value |
|
public_repo |
target.location.name |
|
publicly_leaked |
security_result.detection_fields |
|
pull_request.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
pull_request._links.comments.href |
additional.fields |
|
pull_request._links.commits.href |
additional.fields |
|
pull_request._links.html.href |
additional.fields |
|
pull_request._links.issue.href |
additional.fields |
|
pull_request._links.review_comment.href |
additional.fields |
|
pull_request._links.review_comments.href |
additional.fields |
|
pull_request._links.self.href |
additional.fields |
|
pull_request._links.statuses.href |
additional.fields |
|
pull_request.base.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
pull_request.base.repo.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
pull_request.base.repo.owner.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
pull_request.head.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
pull_request.head.owner.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
pull_request.head.repo.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
pull_request.head.user.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
pull_request.requested_reviewers.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
pull_request.requested_teams.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
pull_request.user. (und alle zugehörigen Unterfelder außer login) |
principal.user.attribute.labels |
|
pull_request.user.login |
principal.user.user_display_name |
|
pull_request_id |
target.resource.attribute.labels |
|
pull_request_title |
target.resource.attribute.labels |
|
query_string |
additional.fields.value.string_value |
|
queue_duration |
additional.fields |
|
quotas_enabled |
additional.fields |
|
rate_limit |
additional.fields |
|
rate_limit_family |
additional.fields |
|
rate_limit_key |
additional.fields |
|
rate_limit_remaining |
additional.fields.value.string_value |
|
rate_limit_reset |
additional.fields |
|
rate_limit_used |
additional.fields |
|
raw.at |
additional.fields |
|
raw.hashed_token |
network.session_id |
|
raw.token_type |
additional.fields |
|
raw.url |
target.url |
|
raw.user_agent |
network.http.user_agent, network.http.parsed_user_agent |
|
raw_login |
additional.fields |
|
read_only |
additional.fields |
|
readonly |
additional.fields |
|
reasons |
additional.fields |
|
ref |
target.resource.attribute.labels |
|
replicas |
additional.fields |
|
repo |
target.resource.name |
|
repo_id |
additional.fields.value.string_value |
|
repo_owner_login |
target.resource.attribute.labels |
|
repo_owner_type |
target.resource.attribute.labels |
|
repo_public |
additional.fields |
|
repository |
target.resource.attribute.labels |
|
repository.archive_url |
target.resource.attribute.labels |
|
repository.assignees_url |
target.resource.attribute.labels |
|
repository.blobs_url |
target.resource.attribute.labels |
|
repository.branches_url |
target.resource.attribute.labels |
|
repository.clone_url |
target.resource.attribute.labels |
|
repository.collaborators_url |
target.resource.attribute.labels |
|
repository.comments_url |
target.resource.attribute.labels |
|
repository.commits_url |
target.resource.attribute.labels |
|
repository.compare_url |
target.resource.attribute.labels |
|
repository.contents_url |
target.resource.attribute.labels |
|
repository.contributors_url |
target.resource.attribute.labels |
|
repository.created_at |
target.resource.attribute.labels |
|
repository.custom_properties. (und alle zugehörigen Unterfelder) |
target.resource.attribute.labels |
|
repository.deployments_url |
target.resource.attribute.labels |
|
repository.downloads_url |
target.resource.attribute.labels |
|
repository.events_url |
target.resource.attribute.labels |
|
repository.fork |
target.resource.attribute.labels |
|
repository.forks_url |
target.resource.attribute.labels |
|
repository.full_name |
target.resource.attribute.labels |
|
repository.git_commits_url |
target.resource.attribute.labels |
|
repository.git_refs_url |
target.resource.attribute.labels |
|
repository.git_tags_url |
target.resource.attribute.labels |
|
repository.git_url |
target.resource.attribute.labels |
|
repository.homepage |
target.resource.attributes.labels |
|
repository.hooks_url |
target.resource.attribute.labels |
|
repository.html_url |
target.resource.attribute.labels |
|
repository.id |
target.resource.attribute.labels |
|
repository.issue_comment_url |
target.resource.attribute.labels |
|
repository.issue_events_url |
target.resource.attribute.labels |
|
repository.issues_url |
target.resource.attribute.labels |
|
repository.keys_url |
target.resource.attribute.labels |
|
repository.labels_url |
target.resource.attribute.labels |
|
repository.languages_url |
target.resource.attribute.labels |
|
repository.license |
target.resource.attributes.labels |
|
repository.merges_url |
target.resource.attribute.labels |
|
repository.milestones_url |
target.resource.attribute.labels |
|
repository.mirror_url |
target.resource.attributes.labels |
|
repository.name |
target.resource.attribute.labels |
|
repository.node_id |
target.resource.attribute.labels |
|
repository.notifications_url |
target.resource.attribute.labels |
|
repository.open_issues_count |
target.resource.attribute.labels |
|
repository.owner.avatar_url |
target.resource.attribute.labels |
|
repository.owner.events_url |
target.resource.attribute.labels |
|
repository.owner.followers_url |
target.resource.attribute.labels |
|
repository.owner.following_url |
target.resource.attribute.labels |
|
repository.owner.gists_url |
target.resource.attribute.labels |
|
repository.owner.gravatar_id |
target.resource.attribute.labels |
|
repository.owner.html_url |
target.resource.attribute.labels |
|
repository.owner.id |
target.resource.attribute.labels |
|
repository.owner.node_id |
target.resource.attribute.labels |
|
repository.owner.organizations_url |
target.resource.attribute.labels |
|
repository.owner.received_events_url |
target.resource.attribute.labels |
|
repository.owner.repos_url |
target.resource.attribute.labels |
|
repository.owner.site_admin |
target.resource.attribute.labels |
|
repository.owner.starred_url |
target.resource.attribute.labels |
|
repository.owner.subscriptions_url |
target.resource.attribute.labels |
|
repository.owner.type |
target.resource.attribute.labels |
|
repository.owner.url |
target.resource.attribute.labels |
|
repository.owner.user_view_type |
target.resource.attribute.labels |
|
repository.private |
target.resource.attribute.labels |
|
repository.pulls_url |
target.resource.attribute.labels |
|
repository.pushed_at |
target.resource.attribute.labels |
|
repository.releases_url |
target.resource.attribute.labels |
|
repository.size |
target.resource.attribute.labels |
|
repository.ssh_url |
target.resource.attribute.labels |
|
repository.stargazers_url |
target.resource.attribute.labels |
|
repository.statuses_url |
target.resource.attribute.labels |
|
repository.subscribers_url |
target.resource.attribute.labels |
|
repository.subscription_url |
target.resource.attribute.labels |
|
repository.svn_url |
target.resource.attribute.labels |
|
repository.tags_url |
target.resource.attribute.labels |
|
repository.teams_url |
target.resource.attribute.labels |
|
repository.topics |
target.resource.attributes.labels |
|
repository.trees_url |
target.resource.attribute.labels |
|
repository.updated_at |
target.resource.attribute.labels |
|
repository.url |
target.resource.attribute.labels |
|
repository.visibility |
target.resource.attribute.labels |
|
repository_public |
target.resource.attribute.labels |
|
req_content_type |
target.file.mime_type |
|
request_access_security_header |
security_result.detection_fields |
|
request_auth |
additional.fields |
|
request_body |
additional.fields.value.string_value |
|
request_duration |
additional.fields |
|
request_host |
principal.ip, principal.asset.ip |
Wenn eine IP-Adresse vorhanden ist, wird die Zuordnung zu principal.ip vorgenommen (die vorhandene Zuordnung von principal.hostname bleibt erhalten). |
request_method |
network.http.method |
Der Wert wird in Großbuchstaben umgewandelt. |
requested_reviewers.* |
additional.fields |
Das Sternchen (*) gibt an, dass alle Unterfelder enthalten sind. |
require_code_owner_review |
additional.fields |
|
require_last_push_approval |
additional.fields |
|
required_approving_review_count |
additional.fields |
|
required_deployments_enforcement_level |
additional.fields |
|
required_review_thread_resolution_enforcement_level |
additional.fields |
|
rerun_type |
additional.fields |
|
res_type |
target.resource.resource_subtype |
|
response_time |
additional.fields |
|
review_id |
target.resource.attributes.labels |
|
route |
additional.fields.value.string_value |
|
rpc.jsonrpc.error_code |
network.http.response_code |
|
rpc.jsonrpc.error_message |
security_result.summary |
|
rule_suite_id |
security_result.rule_id |
|
run_attempt |
additional.fields |
|
run_number |
additional.fields |
|
runner_labels |
target.resource.attribute.labels |
|
runner_owner_type |
target.resource.attribute.labels |
|
runner_tenant_id |
target.resource.attribute.labels |
|
s3_tag |
additional.fields |
|
secret_type |
security_result.detection_fields |
|
secret_types |
security_result.detection_fields |
|
secrets_passed |
security_result.detection_fields |
|
sender.id |
src.user.product_object_id |
|
sender.login |
src.user.user_display_name |
|
sender.node_id |
src.asset_id |
|
sender.type |
src.user.title |
|
sender.url |
src.url |
|
service |
target.resource.name |
|
service.version |
additional.fields |
|
serviceName |
target.resource.name |
|
severity (falls hoch) |
security_result.severity |
|
SeverityText |
security_result.severity |
|
shallow |
additional.fields |
|
sign_in_verification_method |
security_result.detection_fields |
|
signature_requirement_enforcement_level |
additional.fields |
|
sigtype |
additional.fields |
|
source |
src.resource.name |
|
spec |
additional.fields |
|
sr |
additional.fields |
|
ss |
additional.fields |
|
started_at |
vulns.vulnerabilities.scan_start_time |
|
stateless |
additional.fields |
|
status_code |
network.http.response_code |
|
strict_required_status_checks_policy |
additional.fields |
|
subject.business.id |
target.resource.attribute.labels |
|
subject.owner.id |
additional.fields |
|
subject.owning_organization.id |
principal.group.product_object_id |
|
subject.repository.id |
target.resource.product_object_id |
|
subject.repository.internal |
target.resource.attribute.labels |
|
subject.repository.owner.id |
additional.fields |
|
subject.repository.public |
target.resource.attribute.labels |
|
subject.repository.writable |
target.resource.attribute.labels |
|
subject.type |
target.resource.attribute.labels |
|
synthetic_status |
additional.fields |
|
tar_application |
target.application |
|
telemetry.sdk.name |
additional.fields |
|
tenant_id |
target.resource.attribute.labels |
|
tid |
additional.fields |
|
time |
metadata.event_timestamp |
|
time_duration_ms |
additional.fields |
|
time_zone |
additional.fields |
|
timestamp |
metadata.event_timestamp |
|
tls_version |
network.tls.version |
|
token_id |
additional.fields.value.string_value |
|
token_scopes |
additional.fields.value.string_value |
|
topic |
additional.fields |
|
total |
additional.fields |
|
transport_protocol |
additional.fields |
|
transport_protocol_name |
network.application_protocol |
Der Wert wird in Großbuchstaben umgewandelt. |
ts |
metadata.event_timestamp |
Wenn process_type github_production ist. |
TTY |
additional.fields |
|
twirp_method |
additional.fields |
|
twirp_package |
additional.fields |
|
twirp_service |
additional.fields |
|
twirp_status |
network.http.response_code |
|
two_factor_type |
security_result.detection_fields |
|
type |
additional.fields |
|
unavailable |
additional.fields |
|
updated_at |
metadata.collected_timestamp |
|
url_path |
target.url |
|
usage_metrics |
additional.fields |
|
user |
target.user.userid |
|
user.id |
target.user.attr.labels |
Wenn actor.id vorhanden ist. |
user.id |
target.user.userid |
Wenn actor.id nicht vorhanden ist. |
user_agent |
network.http.parsed_user_agent |
Der Wert wird geparst. |
user_agent |
network.http.user_agent |
|
user_id |
target.user.userid |
|
user_operator_mode |
additional.fields |
|
user_programmatic_access_id |
additional.fields |
|
user_renaming_enabled |
additional.fields |
|
user_spammy |
additional.fields |
|
version |
metadata.product_version |
Diese Zuordnung umfasst JSON-Logs. |
visibility |
additional.fields |
|
vk_ms |
additional.fields |
|
vulnerability_id |
additional.fields |
|
vulnerable_version_range_id |
additional.fields |
|
workflow |
target.resource.attributes.labels |
|
workflow.name |
target.resource.attribute.labels |
|
workflow_id |
target.resource.attribute.labels |
|
workflow_job.head_branch |
security_result.detection_fields |
|
workflow_job.name |
target.resource.attributes.labels |
|
workflow_job.workflow_name |
security_result.detection_fields |
|
workflow_run.actor. (und alle zugehörigen Unterfelder mit Ausnahme des Felds login, das in jedem Unterfeld enthalten ist) |
principal.user.attribute.labels |
|
workflow_run.actor.login |
principal.user.userid |
|
workflow_run.artifacts_url |
target.resource.attributes.labels |
|
workflow_run.cancel_url |
target.resource.attributes.labels |
|
workflow_run.check_suite_id |
additional.fields |
|
workflow_run.check_suite_node_id |
additional.fields |
|
workflow_run.check_suite_url |
target.resource.attributes.labels |
|
workflow_run.conclusion |
target.resource.attribute.labels |
|
workflow_run.created_at |
metadata.event_timestamp |
|
workflow_run.display_title |
target.resource.attribute.labels |
|
workflow_run.event |
additional.fields.value.string_value |
|
workflow_run.event |
target.resource.attribute.labels |
|
workflow_run.head_branch |
target.resource.attribute.labels |
|
workflow_run.head_commit |
target.resource.attributes.labels |
|
workflow_run.head_repository |
additional.fields |
|
workflow_run.head_sha |
target.file.sha256 |
|
workflow_run.html_url |
target.resource.attribute.labels |
|
workflow_run.id |
target.resource.attribute.labels.value |
|
workflow_run.jobs_url |
target.resource.attributes.labels |
|
workflow_run.logs_url |
target.resource.attributes.labels |
|
workflow_run.name |
target.resource.name |
|
workflow_run.node_id |
target.resource.product_object_id |
|
workflow_run.path |
target.resource.attribute.labels |
|
workflow_run.previous_attempt_url |
target.resource.attributes.labels |
|
workflow_run.pull_requests |
about.resource.attribute.labels |
|
workflow_run.repository |
additional.fields |
|
workflow_run.rerun_url |
target.resource.attributes.labels |
|
workflow_run.run_attempt |
target.resource.attribute.labels |
|
workflow_run.run_number |
target.resource.attribute.labels |
|
workflow_run.run_started_at |
target.resource.attribute.labels |
|
workflow_run.status |
security_result.description |
|
workflow_run.triggering_actor |
additional.fields |
|
workflow_run.updated_at |
metadata.collected_timestamp |
|
workflow_run.url |
target.url |
|
workflow_run.workflow_id |
security_result.about.labels.value |
|
workflow_run.workflow_id |
target.resource.attribute.labels |
|
workflow_run.workflow_url |
target.resource.attributes.labels |
Referenz zu Release-Deltas
Am 8. Januar 2026 hat Google SecOps eine neue Version des GitHub-Parsers mit wichtigen Änderungen veröffentlicht.
Delta der Zuordnung von Logfeldern
In der folgenden Tabelle ist das Zuordnungsdelta für GitHub-Log-zu-UDM-Felder aufgeführt, die vor dem 8. Januar 2026 und danach verfügbar waren (in den Spalten Alte Zuordnung bzw. Aktuelle Zuordnung):
| Logfeld | Alte Zuordnung | Aktuelle Zuordnung |
|---|---|---|
action (für JSON-Logs) |
metadata.product_event_type, security_result.summary,security_result.detection_fields |
metadata.product_event_type |
action (für Syslog-Logs) |
additional.fields, security_result.summary |
security_result.summary |
business |
additional.fields, target.user.company_name |
additional.fields |
business_id |
target.resource.attribute.labels |
additional.fields |
data.email |
target.email |
target.user.email_addresses |
data.event |
security_result.about.labels |
target.resource.attribute.labels |
data.head_branch |
security_result.about.labels |
target.resource.attribute.labels |
data.hook_id |
target.resource.attribute.labels |
target.resource.product_object_id |
data.team |
target.user.group_identifiers |
target.group.group_display_name |
data.trigger_id |
security_result.about.labels |
target.resource.attribute.labels |
data.workflow_id |
security_result.about.labels |
target.resource.attribute.labels |
data.workflow_run_id |
security_result.about.labels |
target.resource.attribute.labels |
hashed_token |
additional.fields |
network.session_id |
hook_id (für JSON-Logs) |
additional.fields |
target.resource.attribute.labels |
name |
additional.fields |
target.resource.attribute.labels |
oauth_application_id |
additional.fields |
principal.resource.attribute.labels |
pull_request_id |
additional.fields |
target.resource.attribute.labels |
pull_request_title |
additional.fields |
target.resource.attribute.labels |
repository.archive_url |
additional.fields |
target.resource.attribute.labels |
repository.assignees_url |
additional.fields |
target.resource.attribute.labels |
repository.blobs_url |
additional.fields |
target.resource.attribute.labels |
repository.branches_url |
additional.fields |
target.resource.attribute.labels |
repository.clone_url |
additional.fields |
target.resource.attribute.labels |
repository.collaborators_url |
additional.fields |
target.resource.attribute.labels |
repository.comments_url |
additional.fields |
target.resource.attribute.labels |
repository.commits_url |
additional.fields |
target.resource.attribute.labels |
repository.compare_url |
additional.fields |
target.resource.attribute.labels |
repository.contents_url |
additional.fields |
target.resource.attribute.labels |
repository.contributors_url |
additional.fields |
target.resource.attribute.labels |
repository.created_at |
additional.fields |
target.resource.attribute.labels |
repository.deployments_url |
additional.fields |
target.resource.attribute.labels |
repository.downloads_url |
additional.fields |
target.resource.attribute.labels |
repository.events_url |
additional.fields |
target.resource.attribute.labels |
repository.fork |
additional.fields |
target.resource.attribute.labels |
repository.forks_url |
additional.fields |
target.resource.attribute.labels |
repository.full_name |
additional.fields |
target.resource.attribute.labels |
repository.git_commits_url |
additional.fields |
target.resource.attribute.labels |
repository.git_refs_url |
additional.fields |
target.resource.attribute.labels |
repository.git_tags_url |
additional.fields |
target.resource.attribute.labels |
repository.git_url |
additional.fields |
target.resource.attribute.labels |
repository.hooks_url |
additional.fields |
target.resource.attribute.labels |
repository.html_url |
additional.fields |
target.resource.attribute.labels |
repository.id |
additional |
target.resource.attribute.labels |
repository.issue_comment_url |
additional.fields |
target.resource.attribute.labels |
repository.issue_events_url |
additional.fields |
target.resource.attribute.labels |
repository.issues_url |
additional.fields |
target.resource.attribute.labels |
repository.keys_url |
additional.fields |
target.resource.attribute.labels |
repository.labels_url |
additional.fields |
target.resource.attribute.labels |
repository.languages_url |
additional.fields |
target.resource.attribute.labels |
repository.merges_url |
additional.fields |
target.resource.attribute.labels |
repository.milestones_url |
additional.fields |
target.resource.attribute.labels |
repository.name |
additional.fields |
target.resource.attribute.labels |
repository.node_id |
additional.fields |
target.resource.attribute.labels |
repository.notifications_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.avatar_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.events_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.followers_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.following_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.gists_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.gravatar_id |
additional.fields |
target.resource.attribute.labels |
repository.owner.html_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.id |
additional.fields |
target.resource.attribute.labels |
repository.owner.node_id |
additional.fields |
target.resource.attribute.labels |
repository.owner.organizations_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.received_events_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.repos_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.site_admin |
additional.fields |
target.resource.attribute.labels |
repository.owner.starred_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.subscriptions_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.type |
additional.fields |
target.resource.attribute.labels |
repository.owner.url |
additional.fields |
target.resource.attribute.labels |
repository.owner.user_view_type |
additional.fields |
target.resource.attribute.labels |
repository.private |
additional.fields |
target.resource.attribute.labels |
repository.pulls_url |
additional.fields |
target.resource.attribute.labels |
repository.pushed_at |
additional.fields |
target.resource.attribute.labels |
repository.releases_url |
additional.fields |
target.resource.attribute.labels |
repository.size |
additional.fields |
target.resource.attribute.labels |
repository.ssh_url |
additional.fields |
target.resource.attribute.labels |
repository.stargazers_url |
additional.fields |
target.resource.attribute.labels |
repository.statuses_url |
additional.fields |
target.resource.attribute.labels |
repository.subscribers_url |
additional.fields |
target.resource.attribute.labels |
repository.subscription_url |
additional.fields |
target.resource.attribute.labels |
repository.svn_url |
additional.fields |
target.resource.attribute.labels |
repository.tags_url |
additional.fields |
target.resource.attribute.labels |
repository.teams_url |
additional.fields |
target.resource.attribute.labels |
repository.trees_url |
additional.fields |
target.resource.attribute.labels |
repository.updated_at |
additional.fields |
target.resource.attribute.labels |
repository.url |
additional.fields |
target.resource.attribute.labels |
repository.visibility |
additional.fields |
target.resource.attribute.labels |
repository_public |
additional.fields |
target.resource.attribute.labels |
res_type |
target.resource.type |
target.resource.resource_subtype |
sender.id |
src.user.product_object_id, additional.fields |
src.user.product_object_id |
sender.login |
additional.fields, src.user.user_display_name |
src.user.user_display_name |
sender.node_id |
src.asset_id, additional.fields |
src.asset_id |
sender.type |
src.user.title, additional.fields |
src.user.title |
sender.url |
src.url, additional.fields |
src.url |
workflow.name |
security_result.about.labels |
target.resource.attribute.labels |
workflow_job.head_branch |
security_result.about.labels |
security_result.detection_fields |
workflow_job.workflow_name |
security_result.about.labels |
security_result.detection_fields |
workflow_run.event |
additional.fields |
target.resource.attribute.labels |
workflow_run.head_branch |
security_result.about.labels |
target.resource.attribute.labels |
workflow_run.workflow_id |
security_result.about.labels |
target.resource.attribute.labels |
Delta der Bedingungen für Ereignistypen
Die Bedingungen, die Google SecOps-Ereignistypen bestimmen, wurden in der Version vom 8. Januar 2026 geändert.
In der folgenden Tabelle sind die Ereignistypen und die aktuellen Bedingungen aufgeführt (die Bedingungen waren vor dem Release am 8. Januar 2026 anders):
| event_type | Conditions |
|---|---|
NETWORK_CONNECTION |
[has_target] == "true" && [has_principal] == "true" |
STATUS_UPDATE |
[has_principal] == "true" |
USER_RESOURCE_DELETION |
[has_target_resource] == "true" && [has_principal_user] == "true" && [action] in ["hook.destroy" ,"protected_branch.destroy" ,"public_key.delete"] |
USER_RESOURCE_UPDATE_CONTENT |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in [ "pull_request.merge" , "hook.events_changed"] |
USER_RESOURCE_UPDATE_PERMISSIONS |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in ["repo.update_actions_secret","protected_branch.update_pull_request_reviews_enforcement_level", "org.update_member" ,"protected_branch.update_admin_enforced" ,"protected_branch.update_required_status_checks_enforcement_level","org.integration_manager_removed" ,"repo.update_member", "repo.add_member"] |
Delta der Tastenbelegung
In der folgenden Tabelle ist das Delta für die Zuordnung von Schlüsseln in Rohlogfeldern zu Schlüsseln in UDM-Feldern aufgeführt, die vor dem 8. Januar 2026 und danach verfügbar gemacht wurden (in den Spalten Alter Schlüssel bzw. Aktueller Schlüssel):
| Schlüssel im Rohlog | Alter Schlüssel | Aktueller Schlüssel |
|---|---|---|
alert.secret_type_display_name |
secret_type_display_name |
alert_secret_type_display_name |
enterprise.name |
Enterprise Name |
enterprise_name |
hook_id |
Hook Id |
Hook_Id |
invitation.failed_at |
failed_at |
invitation_failed_at |
invitation.failed_reason |
failed_reason |
invitation_failed_reason |
invitation.invitation_source |
invitation_source |
invitation_invitation_source |
raw.failure_reason |
failure_reason |
raw_failure_reason |
raw.failure_type |
failure_type |
raw_failure_type |
raw.from |
from |
raw_from |
workflow_run.event |
event |
workflow_run_event |
workflow_run.head_branch |
Head Branch |
Head_Branch |
workflow_run.id |
workflow_run_id |
workflow_Run_id |
workflow_run.workflow_id |
Workflow Id |
Workflow_Id |
Änderungsprotokoll
Änderungsprotokoll für diesen Parser ansehen
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten