איסוף יומני ביקורת של GitHub
במסמך הזה מוסבר איך להטמיע יומני ביקורת של GitHub ב-Google Security Operations. אפשר להגדיר את ההטמעה באחת מהדרכים הבאות:
- Google Cloud Storage V2 (מומלץ): הזרמת יומני ביקורת מ-GitHub Enterprise Cloud ישירות לקטגוריה ב-GCS, ואז הטמעה ב-Google SecOps.
- Webhook: הגדרת GitHub כך שידחוף מטען ייעודי (payload) של אירועים ישירות לנקודת קצה של webhook ב-Google SecOps בזמן אמת.
GitHub היא פלטפורמה מבוססת-ענן לניהול גרסאות ולשיתוף פעולה, שמאפשרת למפתחים לאחסן ולנהל קוד, לעקוב אחרי שינויים ולשתף פעולה בפרויקטים של תוכנה. GitHub Enterprise Cloud מספק תכונות אבטחה ברמה ארגונית, כולל סטרימינג של יומני ביקורת לצורך עמידה בדרישות וניטור לצורכי אבטחה.
לפני שמתחילים
חשוב לוודא שמתקיימות דרישות הסף הבאות:
מופע של Google SecOps
חשבון GitHub Enterprise Cloud עם הרשאות של בעלים של הארגון (לסטרימינג של GCS) או הרשאות של בעלים של הארגון (ל-webhook)
בשיטת GCS, צריך גם:
- פרויקט בענן של Google Cloud שמופעל בו Cloud Storage API
- הרשאות ליצירה ולניהול של קטגוריות GCS
- הרשאות ליצירת חשבונות שירות ולניהול מדיניות IAM
בשיטת ה-Webhook, צריך גם:
- גישה למסוף Google Cloud (ליצירת מפתח API)
- הרשאות אדמין במאגר או בעלים של הארגון ב-GitHub
אפשרות 1: הגדרת הטמעה באמצעות Google Cloud Storage V2 (מומלץ)
יצירת קטגוריה של Google Cloud Storage
- נכנסים אל מסוף Google Cloud.
- בוחרים פרויקט או יוצרים פרויקט חדש.
- בתפריט הניווט, עוברים אל Cloud Storage > Buckets.
- לוחצים על Create bucket.
מזינים את פרטי ההגדרה הבאים:
הגדרה ערך Name your bucket (שם הקטגוריה) מזינים שם ייחודי גלובלית (לדוגמה, github-audit-logs)סוג מיקום בוחרים לפי הצרכים (אזור, שני אזורים, מספר אזורים) Location בוחרים את המיקום (לדוגמה, us-central1).סוג אחסון (storage class) רגיל (מומלץ ליומנים שמתבצעת אליהם גישה לעיתים קרובות) בקרת גישה אחיד (מומלץ) כלים להגנה אופציונלי: הפעלת ניהול גרסאות של אובייקטים או מדיניות שמירת נתונים לוחצים על יצירה.
יצירת חשבון שירות להזרמת יומן ביקורת של GitHub
כדי לבצע אימות ולכתוב יומני ביקורת לדלי GCS, צריך ב-GitHub חשבון שירות ב-Google Cloud עם מפתח JSON.
- ב-מסוף Google Cloud, עוברים אל IAM & Admin > חשבונות שירות.
- לוחצים על יצירת חשבון שירות.
- מספקים את פרטי ההגדרה הבאים:
- שם חשבון השירות: מזינים שם תיאורי (לדוגמה,
github-audit-streaming) - תיאור חשבון השירות: מזינים
Service account for GitHub Enterprise Cloud audit log streaming to GCS
- שם חשבון השירות: מזינים שם תיאורי (לדוגמה,
- לוחצים על יצירה והמשך.
לוחצים על סיום.
מעניקים לחשבון השירות הרשאת כתיבה לקטגוריית GCS.
- נכנסים אל Cloud Storage > Buckets (קטגוריות).
- לוחצים על שם הקטגוריה (לדוגמה,
github-audit-logs). - עוברים לכרטיסייה Permissions.
- לוחצים על הענקת גישה.
- מספקים את פרטי ההגדרה הבאים:
- Add principals (הוספת ישויות מורשות): מזינים את כתובת האימייל בחשבון השירות (לדוגמה,
github-audit-streaming@PROJECT_ID.iam.gserviceaccount.com). - הקצאת תפקידים: בוחרים באפשרות יצירת אובייקטים של אחסון.
- Add principals (הוספת ישויות מורשות): מזינים את כתובת האימייל בחשבון השירות (לדוגמה,
- לוחצים על Save.
יצירת מפתח JSON לחשבון השירות
- ב-מסוף Google Cloud, עוברים אל IAM & Admin > חשבונות שירות.
- לוחצים על חשבון השירות (לדוגמה,
github-audit-streaming). - עוברים לכרטיסייה Keys.
- לוחצים על Add Key > Create new key.
- בוחרים באפשרות JSON בתור סוג המפתח.
- לוחצים על יצירה.
למחשב שלכם תתבצע הורדה של קובץ JSON עם המפתח. שומרים את הקובץ באופן מאובטח.
הגדרה של סטרימינג של יומן ביקורת מ-GitHub Enterprise Cloud ל-GCS
- נכנסים ל-GitHub Enterprise Cloud כבעלי הארגון.
- בפינה השמאלית העליונה, לוחצים על תמונת הפרופיל ואז על הגדרות ארגוניות (או לוחצים על ארגונים ואז על הארגון שרוצים להציג).
- למעלה, לוחצים על הגדרות.
- בקטע הגדרות, לוחצים על יומן ביקורת.
- בקטע יומן ביקורת, לוחצים על העברת יומן בסטרימינג.
- לוחצים על התפריט הנפתח Configure stream (הגדרת הסטרימינג) ובוחרים באפשרות Google Cloud Storage.
- מספקים את פרטי ההגדרה הבאים:
- Bucket (קטגוריה): מזינים את השם של קטגוריית GCS (לדוגמה,
github-audit-logs) - פרטי כניסה בפורמט JSON: מדביקים את כל התוכן של קובץ מפתח ה-JSON של חשבון השירות
- Bucket (קטגוריה): מזינים את השם של קטגוריית GCS (לדוגמה,
- לוחצים על Check endpoint (בדיקת נקודת הקצה) כדי לוודא ש-GitHub יכול להתחבר לקטגוריה של Google Cloud Storage ולכתוב בה.
אחרי שמאמתים את נקודת הקצה, לוחצים על שמירה.
אחזור חשבון השירות של Google SecOps
Google SecOps משתמש בחשבון שירות ייחודי כדי לקרוא נתונים ממאגר GCS שלכם. צריך להעניק לחשבון השירות הזה גישה לדלי.
קבלת כתובת האימייל בחשבון השירות
- עוברים אל SIEM Settings > Feeds (הגדרות SIEM > פידים).
- לוחצים על הוספת פיד חדש.
- לוחצים על הגדרת פיד יחיד.
- בשדה שם הפיד, מזינים שם לפיד (לדוגמה,
GitHub audit logs). - בוחרים באפשרות Google Cloud Storage V2 בתור סוג המקור.
- בוחרים באפשרות GitHub בתור סוג היומן.
- לוחצים על Get Service Account (קבלת חשבון שירות).
תוצג כתובת האימייל בחשבון שירות ייחודי, לדוגמה:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comמעתיקים את כתובת האימייל הזו לשימוש בשלב הבא.
לוחצים על הבא.
מציינים ערכים לפרמטרים הבאים של הקלט:
כתובת ה-URL של קטגוריית האחסון: מזינים את ה-URI של קטגוריית GCS:
gs://github-audit-logs/
אפשרות למחיקת המקור: בוחרים את אפשרות המחיקה לפי ההעדפה שלכם:
- אף פעם: לא נמחקים קבצים אחרי ההעברה (מומלץ לבדיקות).
- מחיקת קבצים שהועברו: הקבצים נמחקים אחרי שההעברה מסתיימת בהצלחה.
מחיקת קבצים שהועברו וספריות ריקות: מחיקת קבצים וספריות ריקות אחרי שההעברה מסתיימת בהצלחה.
הגיל המקסימלי של הקובץ: כולל קבצים שעברו שינוי במספר הימים האחרון (ברירת המחדל היא 180 ימים)
מרחב שמות של נכס: מרחב השמות של הנכס
תוויות להוספה: התווית שתתווסף לאירועים מהפיד הזה
לוחצים על הבא.
בודקים את ההגדרות של הפיד החדש במסך סיום ולוחצים על שליחה.
הענקת הרשאות IAM לחשבון השירות של Google SecOps
- לחשבון השירות של Google SecOps צריך להיות התפקיד צפייה באובייקט אחסון בקטגוריה של GCS.
- נכנסים אל Cloud Storage > Buckets (קטגוריות).
- לוחצים על שם הקטגוריה (
github-audit-logs). - עוברים לכרטיסייה Permissions.
- לוחצים על הענקת גישה.
- מספקים את פרטי ההגדרה הבאים:
- Add principals (הוספת ישויות מורשות): מדביקים את כתובת האימייל בחשבון של חשבון השירות של Google SecOps
- הקצאת תפקידים: בוחרים באפשרות צפייה באובייקטים באחסון.
לוחצים על Save.
אפשרות 2: הגדרת הטמעה באמצעות Webhook
יצירת פיד של webhook ב-Google SecOps
יצירת הפיד
- עוברים אל SIEM Settings > Feeds (הגדרות SIEM > פידים).
- לוחצים על הוספת פיד חדש.
- בדף הבא, לוחצים על הגדרת פיד יחיד.
- בשדה שם הפיד, מזינים שם לפיד (לדוגמה,
GitHub webhook events). - בוחרים באפשרות Webhook בתור סוג המקור.
- בוחרים באפשרות GitHub בתור סוג היומן.
- לוחצים על הבא.
- מציינים ערכים לפרמטרים הבאים של הקלט:
- תו מפריד לפיצול (אופציונלי): מזינים
\nאם GitHub שולח כמה אירועים לכל בקשה, או משאירים ריק אם המטען הייעודי (payload) הוא של אירוע יחיד - מרחב שמות של נכס: מרחב השמות של הנכס
- תוויות להוספה: התווית שתתווסף לאירועים מהפיד הזה
- תו מפריד לפיצול (אופציונלי): מזינים
- לוחצים על הבא.
- בודקים את ההגדרות של הפיד החדש במסך סיום ולוחצים על שליחה.
יצירה ושמירה של מפתח סודי
אחרי שיוצרים את הפיד, צריך ליצור מפתח סודי לאימות:
- בדף הפרטים של הפיד, לוחצים על יצירת מפתח סודי.
- בתיבת דו-שיח מוצג המפתח הסודי.
- מעתיקים את המפתח הסודי ושומרים אותו בצורה מאובטחת.
קבלת כתובת ה-URL של נקודת הקצה של הפיד
- עוברים לכרטיסייה פרטים של הפיד.
- בקטע Endpoint Information, מעתיקים את Feed endpoint URL.
הפורמט של כתובת ה-URL הוא:
https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreateשומרים את כתובת ה-URL הזו כדי לבצע את השלבים הבאים.
לוחצים על סיום.
יצירת מפתח Google Cloud API
- מערכת Google SecOps דורשת מפתח API לצורך אימות. יוצרים מפתח API מוגבל במסוף Google Cloud.
יצירת מפתח API
- נכנסים אל הדף Credentials במסוף Google Cloud.
- בוחרים את הפרויקט (הפרויקט שמשויך למופע Google SecOps).
- לוחצים על Create credentials > API key.
- מפתח API נוצר ומוצג בתיבת דו-שיח.
- לוחצים על Edit API key כדי להגביל את המפתח.
הגבלת מפתח ה-API
- בדף ההגדרות API key:
- שם: מזינים שם תיאורי (לדוגמה,
Chronicle Webhook API Key)
- שם: מזינים שם תיאורי (לדוגמה,
- בקטע API restrictions (הגבלות על API):
- בוחרים באפשרות הגבלת המקש.
- בתפריט הנפתח Select APIs (בחירת ממשקי API), מחפשים ובוחרים באפשרות Google SecOps API (או Chronicle API).
- לוחצים על Save.
- מעתיקים את הערך של מפתח ה-API מהשדה מפתח ה-API בחלק העליון של הדף.
שומרים את מפתח ה-API בצורה מאובטחת.
הרכבת ה-webhook URL
משלבים את כתובת ה-URL של נקודת הקצה של Google SecOps ואת מפתח ה-API:
<ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY>לדוגמה:
https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...&secret=abcd1234...
הגדרת webhook בארגון ב-GitHub
- נכנסים אל GitHub ומנווטים לארגון.
- לוחצים על הגדרות.
- בסרגל הצד הימני, לוחצים על Webhooks.
- לוחצים על Add webhook (הוספת webhook).
- מספקים את פרטי ההגדרה הבאים:
- כתובת URL של מטען ייעודי (payload): מדביקים את כתובת ה-URL המלאה של ה-webhook שנוצרה בשלב הקודם (כתובת URL של נקודת הקצה עם מפתח ה-API והמפתח הסודי שנוספו כפרמטרים של שאילתה)
- סוג התוכן: בוחרים באפשרות application/json
- סוד: משאירים ריק (האימות מתבצע באמצעות הפרמטרים של כתובת ה-URL)
- בקטע Which events would you like to trigger this webhook? (אילו אירועים יפעילו את ה-webhook הזה?):
- בוחרים באפשרות אני רוצה לבחור אירועים ספציפיים.
- בוחרים את האירועים שרוצים לשלוח ל-Google SecOps. אירועים מומלצים לניטור לצורכי אבטחה כוללים:
- יצירת ענף או תג
- מחיקה של ענף או תג
- שותף עריכה נוסף, הוסר או השתנה
- מפתחות פריסה
- פריסות
- Forks
- גורם
- מועדון החברים
- ארגונים
- Pull requests
- בדיקות של בקשות משיכה
- העלאות
- פריטי תוכן
- מאגרים
- התראות על סריקת סודות
- עצות בנושא אבטחה
- צוותים
- שינויים בהרשאות הגישה
- מסמנים את תיבת הסימון פעיל כדי להפעיל את ה-webhook.
- לוחצים על Add webhook (הוספת webhook).
GitHub שולח אירוע בדיקה
ping. מוודאים שב-webhook מופיע סימן וי ירוק שמעיד על מסירה מוצלחת.
סוגי אירועים
בטבלה הבאה מפורטים סוגי האירועים והתנאים לסוגי האירועים:
| event_type | תנאים |
|---|---|
NETWORK_CONNECTION |
[has_target] == "true" && [has_principal] == "true" |
PROCESS_LAUNCH |
[has_principal] == "true" && [has_target_process] == "true" |
STATUS_UPDATE |
[has_principal] == "true" |
USER_LOGIN |
[raw][message] =~ "Authentication success" or [message] =~ "Authentication success" && ([has_target]== "true" || [has_target_user] == "true") |
USER_RESOURCE_CREATION |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in ["personal_access_token.create" ,"repository_vulnerability_alert.create"] |
USER_RESOURCE_DELETION |
[has_target_resource] == "true" && [has_principal_user] == "true" && [action] in ["hook.destroy" ,"protected_branch.destroy" ,"public_key.delete"] |
USER_RESOURCE_DELETION |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in [ "hook.destroy" ,"protected_branch.destroy" ,"public_key.delete"] |
USER_RESOURCE_UPDATE_CONTENT |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in [ "pull_request.merge" , "hook.events_changed"] |
USER_RESOURCE_UPDATE_PERMISSIONS |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in ["repo.update_actions_secret","protected_branch.update_pull_request_reviews_enforcement_level", "org.update_member" ,"protected_branch.update_admin_enforced" ,"protected_branch.update_required_status_checks_enforcement_level","org.integration_manager_removed" ,"repo.update_member", "repo.add_member"] |
USER_UNCATEGORIZED |
[has_principal_userid] == "true" |
טבלת מיפוי UDM
| invitee | event.idm.read_only_udm.target.user.userid | ממופה מיומן השינויים | | inviter | event.idm.read_only_udm.src.user.userid | ממופה מיומן השינויים | | pull_request.user.login | event.idm.read_only_udm.principal.user.userid | ממופה מיומן השינויים | | pull_request.user.id | event.idm.read_only_udm.principal.user.product_object_id | ממופה מיומן השינויים | | sender.login | event.idm.read_only_udm.principal.user.userid | ממופה מיומן השינויים | | sender.id | event.idm.read_only_udm.principal.user.product_object_id | ממופה מיומן השינויים | | sender.node_id | event.idm.read_only_udm.principal.asset_id ו-event.idm.read_only_udm.principal.asset.asset_id | ממופה מיומן השינויים | | sender.url | event.idm.read_only_udm.principal.url | ממופה מיומן השינויים | | repository.custom_properties.criticality | event.idm.read_only_udm.target.resource.attribute.labels | ממופה מיומן השינויים | | host.name | event.idm.read_only_udm.principal.hostname ו-event.idm.read_only_udm.principal.asset.hostname | ממופה מיומן השינויים | | host | event.idm.read_only_udm.principal.hostname ו-event.idm.read_only_udm.principal.asset.hostname | ממופה מיומן השינויים | | logData.Level | event.idm.read_only_udm.security_result.severity | ממופה מיומן השינויים | | logData.Level | event.idm.read_only_udm.security_result.severity_details | ממופה מיומן השינויים | | logData.Method | event.idm.read_only_udm.target.resource.name | ממופה מיומן השינויים | | logData.IdentityName | event.idm.read_only_udm.principal.ip ו-event.idm.read_only_udm.principal.asset.ip | ממופה מיומן השינויים | | logData.IPAddress | event.idm.read_only_udm.principal.ip ו-event.idm.read_only_udm.principal.asset.ip | ממופה מיומן השינויים | | logData.IdentityName | event.idm.read_only_udm.principal.user.userid | ממופה מיומן השינויים | | logData.Username | event.idm.read_only_udm.principal.user.userid | ממופה מיומן השינויים | | logData.HostId | event.idm.read_only_udm.principal.asset.asset_id | ממופה מיומן השינויים | | logData.ServiceHost | event.idm.read_only_udm.principal.asset.asset_id | ממופה מיומן השינויים | | logData.TenantId | event.idm.read_only_udm.metadata.product_deployment_id | ממופה מיומן השינויים | | logData.AuthenticationMechanism | event.idm.read_only_udm.extensions.auth.auth_details | ממופה מיומן השינויים | | logData.HttpRequestHost | event.idm.read_only_udm.target.ip ו-event.idm.read_only_udm.target.asset.ip | ממופה מיומן השינויים | | logData.HttpRequestHost | event.idm.read_only_udm.target.hostname ו-event.idm.read_only_udm.target.asset.hostname | ממופה מיומן השינויים | | logData.HttpRemotePort | event.idm.read_only_udm.principal.port | ממופה מיומן השינויים | | logData.Command | event.idm.read_only_udm.security_result.description | ממופה מיומן השינויים | | logData.HttpRequestMethod | event.idm.read_only_udm.network.http.method | ממופה מיומן השינויים | | logData.ResponseCode | event.idm.read_only_udm.network.http.response_code | ממופה מיומן השינויים | | logData.Status | event.idm.read_only_udm.security_result.action_details | ממופה מיומן השינויים | | logData.PersistentSessionId | event.idm.read_only_udm.network.session_id | ממופה מיומן השינויים | | logData.ActivityId | event.idm.read_only_udm.metadata.product_log_id | ממופה מיומן השינויים | | logData.HttpRequestProtocol | event.idm.read_only_udm.network.application_protocol | ממופה מיומן השינויים | | logData.HttpRequestProtocol | event.idm.read_only_udm.network.application_protocol_version | ממופה מיומן השינויים | | logData.UserAgent | event.idm.read_only_udm.network.http.user_agent | ממופה מיומן השינויים | | logData.UserAgent | event.idm.read_only_udm.network.http.parsed_user_agent | ממופה מיומן השינויים | | logData.Referrer | event.idm.read_only_udm.network.http.referral_url | ממופה מיומן השינויים | | logData.Application | event.idm.read_only_udm.principal.application | ממופה מיומן השינויים | | logData.UriStem | event.idm.read_only_udm.target.url | ממופה מיומן השינויים | | logData.CUID | event.idm.read_only_udm.principal.user.product_object_id | ממופה מיומן השינויים | | logData | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | AadExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | AadExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | AadGraphExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | AadGraphExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | AadTokenExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | AadTokenExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ActivityStatus | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | AfdRefInfo | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | AnonymousIdentifier | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ApplicationHash | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | Area | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | AuthorizationId | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | BlobStorageExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | BlobStorageExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | CPUCycles | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | CPUExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | CPUTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | CommandHash | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | CommandIdentifier | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ConcurrencySemaphoreTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ContextId | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ControllerTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | CurrentAuthenticationSessionId | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | DelayTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | E2EID | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ElapsedTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ExceptionMessage | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ExceptionType | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ExecutionTimeThreshold | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | Feature | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | FinalSqlCommandExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | HostStartTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | HostType | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | HttpRequestTransferEncoding | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | HttpResponseArrProxyTarget | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | HttpResponseCacheControl | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | HttpResponseContentEncoding | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | HttpUriQuery | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | IsExceptionExpected | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | Layer | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | LogicalReads | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | Message | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | MethodInformationTimeout | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | OrchestrationId | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ParentHostId | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | Path | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | PendingAuthenticationSessionId | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | PhysicalReads | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | PostControllerTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | PreControllerTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | PreciseTimeStamp | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ProcessName | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ProviderId | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | QueueTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | RedisExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | RedisExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | RelatedActivityId | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | Service | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ServiceBusExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ServiceBusExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | SqlExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | SqlExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | SqlReadOnlyExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | SqlReadOnlyExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | SqlRetryExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | SqlRetryExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | StartTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | SupportsPublicAccess | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | TSTUs | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | TableStorageExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | TableStorageExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | ThrottleReason | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | TimeToFirstPage | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | TraceId | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | Tracepoint | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | UniqueIdentifier | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | Uri | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | UserDefined | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | VSID | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | VssClientExecutionCount | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | VssClientExecutionTime | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.email | event.idm.read_only_udm.target.user.email_addresses | ממופה מיומן השינויים | | invitation.created_at | event.idm.read_only_udm.metadata.event_timestamp | ממופה מיומן השינויים | | invitation.id | event.idm.read_only_udm.metadata.product_log_id | ממופה מיומן השינויים | | invitation.invitation_teams_url | event.idm.read_only_udm.target.url | ממופה מיומן השינויים | | invitation.role | event.idm.read_only_udm.target.user.attribute.roles | ממופה מיומן השינויים | | invitation.inviter.id | event.idm.read_only_udm.principal.user.product_object_id | ממופה מיומן השינויים | | invitation.inviter.login | event.idm.read_only_udm.principal.user.userid | ממופה מיומן השינויים | | invitation.inviter.html_url | event.idm.read_only_udm.principal.url | ממופה מיומן השינויים | | invitation.login | event.idm.read_only_udm.target.user.userid | ממופה מיומן השינויים | | invitation.inviter.url | event.idm.read_only_udm.principal.user.attribute.labels | ממופה מיומן השינויים | | invitation.inviter.avatar_url | event.idm.read_only_udm.principal.user.attribute.labels | ממופה מיומן השינויים | | invitation.inviter.type | event.idm.read_only_udm.principal.user.attribute.labels | ממופה מיומן השינויים | | organization.url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.invitation_source | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.team_count | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.node_id | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.failed_at | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.failed_reason | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.avatar_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.type | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.events_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.followers_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.following_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.gists_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.gravatar_id | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.node_id | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.organizations_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.received_events_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.repos_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.site_admin | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.starred_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.subscriptions_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | invitation.inviter.user_view_type | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | commit_message | event.idm.read_only_udm.metadata.description | ממופה מיומן השינויים | | sender.type | event.idm.read_only_udm.src.user.title | ממופה מיומן השינויים | | sha | event.idm.read_only_udm.target.file.sha1 | ממופה מיומן השינויים | | target_url | event.idm.read_only_udm.target.url | ממופה מיומן השינויים | | description | event.idm.read_only_udm.security_result.description | ממופה מיומן השינויים | | avatar_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | context | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | commit_node_id | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | commit_committer_name | event.id.read_only_udm.additional.fields | ממופה מיומן השינויים | | state | event.idm.read_only_udm.security_result.action_details | ממופה מיומן השינויים | | commit_committer_name | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | commit_committer_email | event.idm.read_only_udm.principal.email | ממופה מיומן השינויים | | commit_tree_sha | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | comment_count | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | reason | event.idm.read_only_udm.security_result.summary | ממופה מיומן השינויים | | commit_url | event.idm.read_only_udm.principal.url | ממופה מיומן השינויים | | comments_url | event.idm.read_only_udm.additional.fields | ממופה מיומן השינויים | | commit_user_name | event.idm.read_only_udm.principal.user.user_display_name | ממופה מיומן השינויים | | commit_user_id | event.idm.read_only_udm.principal.user.userid | ממופה מיומן השינויים | | principal.assetid | event.idm.read_only_udm.principal.asset_id | ממופה מיומן השינויים | | sender_login | event.idm.read_only_udm.src.user.user_display_name | ממופה מיומן השינויים | | sender_id | event.idm.read_only_udm.src.user.product_object_id | ממופה מיומן השינויים | | sender_assetid | event.idm.read_only_udm.src.asset_id | ממופה מיומן השינויים | | sender_url | event.idm.read_only_udm.src.url | ממופה מיומן השינויים | | alert.created_at | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | alert.html_url | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | alert.locations_url | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | alert.multi_repo | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | alert.number | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | alert.publicly_leaked | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | alert.push_protection_bypassed | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | alert.secret_type | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | alert.secret_type_display_name | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | alert.updated_at | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | alert.validity | event.idm.read_only_udm.security_result.detection_fields | ממופה מיומן השינויים | | repository_selection", "user_programmatic_access_name", and "permissions_added.* | additional.fields | ממופה מיומן השינויים | | external_identity_nameid | principal.user.userid | ממופה מיומן השינויים | | actor_id | principal.user.userid | ממופה מיומן השינויים | | new_repo_permission", "user", and "actor | additional.fields | ממופה מיומן השינויים | | secret_type_display_name | additional.fields | ממופה מיומן השינויים | | user_id | target.user.userid | ממופה מיומן השינויים | | push_protection_bypass_reason | security_result.detection_fields | ממופה מיומן השינויים | | actor | principal.resource.attribute.labels | ממופה מיומן השינויים | | pull_request_url | target.url | ממופה מיומן השינויים | | pull_request_title", "pull_request_id" ,and "previous_visibility | additional.fields | ממופה מיומן השינויים | | explanation | additional.fields | ממופה מיומן השינויים | | invitee_email" and "email | additional.fields | ממופה מיומן השינויים | | required_status_checks_enforcement_level", "events_were" and "old_permission | additional.fields | ממופה מיומן השינויים | | name", "manager", "pull_request_reviews_enforcement_level", "hook_id", "events", "config_was", "key", "fingerprint", "permission", and "title | additional.fields | ממופה מיומן השינויים | | security_result.action | ALLOW | ממופה מיומן השינויים | | security_result.action | BLOCK | ממופה מיומן השינויים | | user | target.user.user_display_name | ממופה מיומן השינויים | | referrer | network.http.referral_url | ממופה מיומן השינויים | | user_session_id | network.session_id | ממופה מיומן השינויים | | ip | principal.ip | ממופה מיומן השינויים | | from | additional.fields | ממופה מיומן השינויים | | request_category | additional.fields | ממופה מיומן השינויים | | device_cookie | additional.fields | ממופה מיומן השינויים | | operation_type | additional.fields | ממופה מיומן השינויים | | category_type | additional.fields | ממופה מיומן השינויים | | note | additional.fields | ממופה מיומן השינויים | | read | additional.fields | ממופה מיומן השינויים | | pre_perform_allocation_count | additional.fields | ממופה מיומן השינויים | | backend | additional.fields | ממופה מיומן השינויים | | queue | additional.fields | ממופה מיומן השינויים | | class | additional.fields | ממופה מיומן השינויים | | success | additional.fields | ממופה מיומן השינויים | | controller_action | security_result.detection_fields | ממופה מיומן השינויים | | two_factor | security_result.detection_fields | ממופה מיומן השינויים | | user_agent | network.http.user_agent | ממופה מיומן השינויים | | request_method | network.http.method | ממופה מיומן השינויים | | application_name | target.application | ממופה מיומן השינויים | | status_code | network.http.response_code | ממופה מיומן השינויים | | url_path | target.url | ממופה מיומן השינויים | | user_id | target.userid | ממופה מיומן השינויים | | transport_protocol_name | network.application_protocol | ממופה מיומן השינויים | | raw.now | metadata.event_timestamp | ממופה מיומן השינויים | | raw.ip | principal.ip | ממופה מיומן השינויים | | raw.request_id | metadata.product_log_id | ממופה מיומן השינויים | | raw.repo | target.url | ממופה מיומן השינויים | | raw.action | security_result.summary | ממופה מיומן השינויים | | raw.protocol | network.application_protocol | ממופה מיומן השינויים | | raw.message | metadata.description | ממופה מיומן השינויים | | raw.at | security_result.action | ממופה מיומן השינויים | | raw.login | target.user_display_name | ממופה מיומן השינויים | | raw.user_id | target.userid | ממופה מיומן השינויים | | raw.failure_reason", "raw.failure_type", "raw.raw_login" and "raw.from | additional.fields | ממופה מיומן השינויים | | workflow_run.id | target.resource.attribute.labels | ממופה מיומן השינויים | | workflow_run.event | additional.fields | ממופה מיומן השינויים | | workflow_run.actor.login | principal.user.userid | ממופה מיומן השינויים | | workflow_run.head_branch | security_result.about.labels | ממופה מיומן השינויים | | workflow_run.head_sha | target.file.sha256 | ממופה מיומן השינויים | | enterprise.name | additional.fields | ממופה מיומן השינויים | | workflow.name | security_result.about.labels | ממופה מיומן השינויים | | workflow_run.workflow_id | security_result.about.labels | ממופה מיומן השינויים | | external_identity_nameid | target.user.email_addresses | ממופה מיומן השינויים | | external_identity_nameid | target.user.userid | ממופה מיומן השינויים | | config.url | target.url | ממופה מיומן השינויים |
| שדה ביומן | מיפוי UDM | הערות |
|---|---|---|
above_lock_quota |
additional.fields |
|
above_warn_quota |
additional.fields |
|
ac_ms |
additional.fields |
|
accept |
additional.fields |
|
action |
metadata.product_event_type |
יומנים בפורמט JSON. |
action |
security_result.summary |
לרישום ביומני Syslog. |
active |
target.resource.attribute.labels |
|
active_job_id |
additional.fields |
|
actor |
principal.user.userid |
|
actor_id |
principal.user.attribute.labels.value |
|
actor_ip |
principal.ip |
|
actor_is_agent |
additional.fields |
|
actor_is_bot |
principal.user.attribute.labels |
|
actor_location.country_code |
principal.location.country_or_region |
|
actor_session |
additional.fields |
|
additional_list |
additional.fields |
|
additional_string |
additional.fields |
|
after |
additional.fields |
|
alert_id |
security_result.detection_fields |
|
alert_number |
security_result.detection_fields |
|
alert_numbers |
additional.fields |
|
allow_deletions_enforcement_level |
additional.fields |
|
allow_force_pushes_enforcement_level |
additional.fields |
|
allow_private_repository_forking |
additional.fields |
|
application_name |
target.application |
|
aqueduct_job_id |
additional.fields |
|
auth_tries |
additional.fields |
|
babeld |
additional.fields |
|
banner |
additional.fields |
|
before |
additional.fields |
|
best_cipher |
additional.fields |
|
best_kex |
additional.fields |
|
best_mac |
additional.fields |
|
best_sigtype |
additional.fields |
|
Body |
security_result.description |
|
branch |
target.resource.attribute.labels |
|
branches |
target.resource.attribute.labels |
|
business |
additional.fields |
|
business_id |
additional.fields |
|
cactive |
additional.fields |
|
calling_workflow_refs |
target.resource.attribute.labels |
|
calling_workflow_shas |
target.resource.attribute.labels |
|
changes.body.from |
additional.fields |
|
charset |
additional.fields |
|
check_run.app |
additional.fields |
|
check_run.app.events |
additional.fields |
|
check_run.app.owner |
additional.fields |
|
check_run.check_suite.app.client_id |
additional.fields |
|
check_run.check_suite.app.created_at |
additional.fields |
|
check_run.check_suite.app.description |
additional.fields |
|
check_run.check_suite.app.events |
additional.fields |
|
check_run.check_suite.app.external_url |
additional.fields |
|
check_run.check_suite.app.html_url |
additional.fields |
|
check_run.check_suite.app.id |
additional.fields |
|
check_run.check_suite.app.name |
additional.fields |
|
check_run.check_suite.app.node_id |
additional.fields |
|
check_run.check_suite.app.slug |
additional.fields |
|
check_run.check_suite.app.updated_at |
additional.fields |
|
check_run.check_suite.conclusion |
additional.fields |
|
check_run.check_suite.id |
additional.fields |
|
check_run.check_suite.url |
additional.fields |
|
check_run.completed_at |
additional.fields |
|
check_run.conclusion |
additional.fields |
|
check_run.output |
additional.fields |
|
check_run.started_at |
additional.fields |
|
check_suite (כל שדות המשנה שלו) |
additional.fields |
|
check_suite.app (כל שדות המשנה שלו) |
additional.fields |
|
check_suite.app.events |
additional.fields |
|
check_suite.app.owner (כל שדות המשנה שלו) |
additional.fields |
|
check_suite.head_commit (כל שדות המשנה שלו) |
additional.fields |
|
cid |
additional.fields |
|
cipher |
network.tls.cipher |
|
client_id |
principal.user.attribute.labels |
|
cloning |
additional.fields |
|
code |
additional.fields |
|
CodeNamespace |
additional.fields |
|
comment (כל שדות המשנה שלו) |
additional.fields |
|
comment.performed_via_github_app (כל שדות המשנה שלו) |
additional.fields |
|
comment.performed_via_github_app.events |
additional.fields |
|
comment.reactions (כל שדות המשנה שלו) |
additional.fields |
|
commit.author |
principal.resource.attribute.labels |
|
commit.commit.author.date |
additional.fields |
|
commit.commit.author.email |
additional.fields |
|
commit.commit.author.name |
additional.fields |
|
commit.commit.tree.url |
additional.fields |
|
commit.commit.verification |
additional.fields |
|
commit.committer |
additional.fields |
|
commit.parents |
additional.fields |
|
commit.sha |
additional.fields |
|
commit.url |
additional.fields |
|
commit_oid |
additional.fields |
|
committer_date |
additional.fields |
|
completed_at |
vulns.vulnerabilities.scan_end_time |
|
config.content_typt |
target.resource.attribute.labels |
|
config.insecure_ssl |
target.resource.attribute.labels |
|
config.secret |
target.resource.attribute.labels |
|
config.url |
target.url |
|
considers.site.admin |
additional.fields |
|
content_type |
target.file.mime_type |
|
cr |
additional.fields |
|
create_protected |
additional.fields |
|
created_at |
metadata.event_timestamp |
הערך מומר מאלפיות שנייה ב-UNIX לחותמת זמן. |
credential |
detection_fields |
|
ctotal |
additional.fields |
|
data._document_id |
metadata.product_log_id |
|
data.active_job_id |
additional.fields |
|
data.aqueduct_job_id |
additional.fields |
|
data.business |
target.administrative_domain |
|
data.business_id |
additional.fields |
|
data.cancelled_at |
extensions.vulns.vulnerabilities.scan_end_time |
הערך מומר מפורמט ISO8601 לחותמת זמן. |
data.category_type |
security_result.category_details |
|
data.dn |
additional.fields |
|
data.email |
target.user.email_addresses |
|
data.entry_found |
additional.fields |
|
data.event |
target.resource.attribute.labels |
|
data.events |
security_result.about.labels.value |
|
data.head_branch |
target.resource.attribute.labels |
|
data.head_sha |
target.file.sha256 |
|
data.hook_id |
target.resource.product_object_id |
|
data.job |
target.application |
|
data.operation_type |
additional.fields |
|
data.started_at |
extensions.vulns.vulnerabilities.scan_start_time |
הערך מומר מפורמט ISO8601 לחותמת זמן. |
data.team |
target.group.group_display_name |
|
data.trigger_id |
target.resource.attribute.labels |
|
data.uid |
additional.fields |
|
data.workflow_id |
target.resource.attribute.labels |
|
data.workflow_run_id |
target.resource.attribute.labels |
|
default_new_repo_branch |
additional.fields |
|
default_repo_visibility |
additional.fields |
|
default_repository_permission |
additional.fields |
|
degraded |
additional.fields |
|
dependency_scope |
additional.fields |
|
deployment.environment |
additional.fields |
|
disable_members_can_create_repositories |
additional.fields |
|
disable_members_can_delete_repositories |
additional.fields |
|
disable_user_org_creation |
additional.fields |
|
disk_info |
additional.fields |
|
disk_py_file |
additional.fields |
|
dismiss_stale_reviews_on_push |
additional.fields |
|
dotcom_contributions |
additional.fields |
|
dotcom_user_license_usage_upload |
additional.fields |
|
duration_ms |
additional.fields |
|
ecosystem |
additional.fields |
|
enforcement_level |
additional.fields |
|
enterprise |
principal.resource.attribute.labels |
|
enterprise.name |
additional.fields.value.string_value |
|
environment_name |
target.resource.attribute.labels |
|
error |
additional.fields |
|
external_id |
additional.fields |
|
external_identity_nameid |
target.user.email_addresses |
אם הערך הוא כתובת אימייל, הוא מתווסף למערך target.user.email_addresses. |
external_identity_nameid |
target.user.userid |
|
external_identity_username |
additional.fields |
ממופה ל-additional.fields אם הוא לא מאוכלס ב-target.user.user_display_name. |
external_identity_username |
target.user.user_display_name |
המיפוי מתבצע כשהשדה מאוכלס ב-target.user.user_display_name. |
features |
additional.fields |
|
filtered |
additional.fields |
|
filtered_request_body.query |
additional.fields |
|
fluentbit_pod_name |
additional.fields |
|
fp_sha256 |
additional.fields |
|
frontend |
additional.fields |
|
frontend_pid |
intermediary.process.pid |
|
frontend_ppid |
intermediary.process.parent_process.pid |
|
fs_host |
target.hostname |
|
fsc_ms |
additional.fields |
|
fully_qualified_domain_name |
additional.fields |
|
gh.sdk.name |
additional.fields |
|
gh.sdk.version |
additional.fields |
|
gh.timerd.timer.name |
additional.fields |
|
ghsa_id |
additional.fields |
|
git.maxobjectsize |
additional.fields |
|
git_dir_safe |
target.resource.attribute.labels |
|
github_event_after |
target.resource.attribute.labels |
|
github_event_before |
target.resource.attribute.labels |
|
github_event_compare |
target.resource.attribute.labels |
|
github_event_created |
target.resource.attribute.labels |
|
github_event_deleted |
target.resource.attribute.labels |
|
github_event_forced |
target.resource.attribute.labels |
|
github_event_head_commit_author_email |
target.resource.attribute.labels |
|
github_event_head_commit_author_name |
target.resource.attribute.labels |
|
github_event_head_commit_author_username |
target.resource.attribute.labels |
|
github_event_head_commit_committer_email |
target.resource.attribute.labels |
|
github_event_head_commit_committer_name |
target.resource.attribute.labels |
|
github_event_head_commit_committer_username |
target.resource.attribute.labels |
|
github_event_head_commit_distinct |
target.resource.attribute.labels |
|
github_event_head_commit_msg1 |
target.resource.attribute.labels |
|
github_event_head_commit_timestamp |
target.resource.attribute.labels |
|
github_event_pusher_email |
target.resource.attribute.labels |
|
github_event_pusher_name |
target.resource.attribute.labels |
|
github_event_ref |
target.resource.attribute.labels |
|
github_event_repository_has_projects |
target.resource.attributes.labels |
|
github_event_repository_master_branch |
target.resource.attribute.labels |
|
github_event_repository_organization |
target.resource.attribute.labels |
|
github_event_repository_owner_name |
target.resource.attribute.labels |
|
github_event_repository_stargazers |
target.resource.attribute.labels |
|
github_event_workflow_job_completed_at |
target.resource.attributes.labels |
|
gpv |
additional.fields |
|
handler_code |
additional.fields |
|
hashed_token |
network.session_id |
|
head_branch |
target.resource.attribute.labels |
|
head_sha |
target.file.sha256 |
|
healthy |
additional.fields |
|
hmac |
additional.fields |
|
hook_id |
target.resource.attribute.labels |
|
host.name |
principal.user.attribute.labels |
|
http_version |
network.application_protocol_version |
|
id |
metadata.product_log_id |
|
ignore_approvals_from_contributors |
additional.fields |
|
imode |
additional.fields |
|
imperfect |
additional.fields |
|
InstrumentationScope |
additional.fields |
|
integration_id |
additional.fields |
|
intel.flat |
additional.fields |
|
is_hosted_runner |
target.resource.attribute.labels |
|
issue (כל שדות המשנה שלו) |
additional.fields |
|
issue.pull_request (כל שדות המשנה שלו) |
additional.fields |
|
job_name |
target.resource.attribute.labels.value |
|
job_workflow_ref |
target.resource.attribute.labels.value |
|
job_workflow_sha |
target.resource.attribute.labels.value |
|
kafka_cluster |
additional.fields |
|
kex |
additional.fields |
|
keytype |
additional.fields |
|
kubernetes.container_image |
principal.resource.attribute.labels |
|
kubernetes.container_name |
principal.resource.attribute.labels |
|
kubernetes.host |
principal.resource.attribute.labels |
|
kubernetes.labels.app |
principal.resource.attribute.labels |
|
kubernetes.labels.chart |
principal.resource.attribute.labels |
|
kubernetes.labels.component |
principal.resource.attribute.labels |
|
kubernetes.labels.heritage |
principal.resource.attribute.labels |
|
kubernetes.labels.pod-template-hash |
principal.resource.attribute.labels |
|
kubernetes.labels.release |
principal.resource.attribute.labels |
|
kubernetes.labels.system |
principal.resource.attribute.labels |
|
kubernetes.namespace_name |
principal.resource.attribute.labels |
|
kubernetes.pod_ip |
principal.ip, principal.asset.ip |
|
kubernetes.pod_name |
principal.resource.attribute.labels |
|
last_state_change_at |
additional.fields |
|
last_state_change_reason |
additional.fields |
|
lat |
principal.location.region_coordinates.latitude |
|
ldap.debug_logging_enabled |
additional.fields |
|
level |
security_result.severity |
|
lfs_auth_scope |
additional.fields |
|
lfs_deploy_key_header |
additional.fields |
|
lfs_verify_reason |
additional.fields |
|
linear_history_requirement_enforcement_level |
additional.fields |
|
lock_allows_fetch_and_merge |
additional.fields |
|
lock_branch_enforcement_level |
additional.fields |
|
log_level |
security_result.severity |
|
log_source |
additional.fields |
|
log_source_file |
target.file.full_path |
|
logData.Count |
additional.fields |
|
logData.Metrics.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
logType |
additional.fields |
|
lon |
principal.location.region_coordinates.longitude |
|
loop |
additional.fields |
|
matched_policies |
security_result.detection_fields |
|
member |
target.user.attribute.labels |
|
merge_queue_enforcement_level |
additional.fields |
|
method |
additional.fields |
|
multi_repo |
security_result.detection_fields |
|
mysql_component |
additional.fields |
|
mysql_warning_code |
additional.fields |
|
name |
target.resource.attribute.labels |
|
non_integer_id |
additional.fields |
|
ns |
additional.fields |
|
number |
additional.fields |
|
oauth_application |
principal.application |
|
oauth_application_id |
principal.resource.attribute.labels |
|
oauth_party |
additional.fields |
|
offset |
additional.fields |
|
old_permissions |
additional.fields |
|
old_repo_permissions |
additional.fields |
|
org |
target.administrative_domain |
|
org_id |
additional.fields.value.string_value |
|
organization.url |
additional.fields |
|
original_user_agent |
additional.fields |
|
overridden_codes |
additional.fields |
|
owner |
principal.user.user_display_name |
|
owner_id |
principal.user.userid |
|
package |
additional.fields |
|
package_name |
target.application |
|
parent |
additional.fields |
|
parent_installation_id |
additional.fields |
|
partition |
additional.fields |
|
path_info |
additional.fields |
זה המיפוי כשהנתיב כבר ממופה ל-target.file.full_path. |
path_info |
target.file.full_path |
זה המיפוי אם הנתיב עדיין לא ממופה ל-target.file.full_path. |
pgroup |
additional.fields |
|
pk_ms |
additional.fields |
|
prin_ip |
principal.ip, principal.asset.ip |
|
prin_port |
principal.port |
|
prin_usr |
principal.user.userid |
|
pro_pid |
target.process.pid |
|
probe_fail |
additional.fields |
|
probe_ok |
additional.fields |
|
programmatic_access_type |
additional.fields.value.string_value |
|
pubkey_creator_id |
additional.fields |
|
pubkey_creator_login |
additional.fields |
|
pubkey_fingerprint |
additional.fields |
|
pubkey_id |
additional.fields |
|
pubkey_verifier_id |
additional.fields |
|
pubkey_verifier_login |
additional.fields |
|
public_repo |
additional.fields.value.string_value |
|
public_repo |
target.location.name |
|
publicly_leaked |
security_result.detection_fields |
|
pull_request.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
pull_request._links.comments.href |
additional.fields |
|
pull_request._links.commits.href |
additional.fields |
|
pull_request._links.html.href |
additional.fields |
|
pull_request._links.issue.href |
additional.fields |
|
pull_request._links.review_comment.href |
additional.fields |
|
pull_request._links.review_comments.href |
additional.fields |
|
pull_request._links.self.href |
additional.fields |
|
pull_request._links.statuses.href |
additional.fields |
|
pull_request.base.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
pull_request.base.repo.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
pull_request.base.repo.owner.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
pull_request.head.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
pull_request.head.owner.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
pull_request.head.repo.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
pull_request.head.user.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
pull_request.requested_reviewers.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
pull_request.requested_teams.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
pull_request.user. (וכל שדות המשנה שלו חוץ מ-login) |
principal.user.attribute.labels |
|
pull_request.user.login |
principal.user.user_display_name |
|
pull_request_id |
target.resource.attribute.labels |
|
pull_request_title |
target.resource.attribute.labels |
|
query_string |
additional.fields.value.string_value |
|
queue_duration |
additional.fields |
|
quotas_enabled |
additional.fields |
|
rate_limit |
additional.fields |
|
rate_limit_family |
additional.fields |
|
rate_limit_key |
additional.fields |
|
rate_limit_remaining |
additional.fields.value.string_value |
|
rate_limit_reset |
additional.fields |
|
rate_limit_used |
additional.fields |
|
raw.at |
additional.fields |
|
raw.hashed_token |
network.session_id |
|
raw.token_type |
additional.fields |
|
raw.url |
target.url |
|
raw.user_agent |
network.http.user_agent, network.http.parsed_user_agent |
|
raw_login |
additional.fields |
|
read_only |
additional.fields |
|
readonly |
additional.fields |
|
reasons |
additional.fields |
|
ref |
target.resource.attribute.labels |
|
replicas |
additional.fields |
|
repo |
target.resource.name |
|
repo_id |
additional.fields.value.string_value |
|
repo_owner_login |
target.resource.attribute.labels |
|
repo_owner_type |
target.resource.attribute.labels |
|
repo_public |
additional.fields |
|
repository |
target.resource.attribute.labels |
|
repository.archive_url |
target.resource.attribute.labels |
|
repository.assignees_url |
target.resource.attribute.labels |
|
repository.blobs_url |
target.resource.attribute.labels |
|
repository.branches_url |
target.resource.attribute.labels |
|
repository.clone_url |
target.resource.attribute.labels |
|
repository.collaborators_url |
target.resource.attribute.labels |
|
repository.comments_url |
target.resource.attribute.labels |
|
repository.commits_url |
target.resource.attribute.labels |
|
repository.compare_url |
target.resource.attribute.labels |
|
repository.contents_url |
target.resource.attribute.labels |
|
repository.contributors_url |
target.resource.attribute.labels |
|
repository.created_at |
target.resource.attribute.labels |
|
repository.custom_properties. (וכל שדות המשנה שלו) |
target.resource.attribute.labels |
|
repository.deployments_url |
target.resource.attribute.labels |
|
repository.downloads_url |
target.resource.attribute.labels |
|
repository.events_url |
target.resource.attribute.labels |
|
repository.fork |
target.resource.attribute.labels |
|
repository.forks_url |
target.resource.attribute.labels |
|
repository.full_name |
target.resource.attribute.labels |
|
repository.git_commits_url |
target.resource.attribute.labels |
|
repository.git_refs_url |
target.resource.attribute.labels |
|
repository.git_tags_url |
target.resource.attribute.labels |
|
repository.git_url |
target.resource.attribute.labels |
|
repository.homepage |
target.resource.attributes.labels |
|
repository.hooks_url |
target.resource.attribute.labels |
|
repository.html_url |
target.resource.attribute.labels |
|
repository.id |
target.resource.attribute.labels |
|
repository.issue_comment_url |
target.resource.attribute.labels |
|
repository.issue_events_url |
target.resource.attribute.labels |
|
repository.issues_url |
target.resource.attribute.labels |
|
repository.keys_url |
target.resource.attribute.labels |
|
repository.labels_url |
target.resource.attribute.labels |
|
repository.languages_url |
target.resource.attribute.labels |
|
repository.license |
target.resource.attributes.labels |
|
repository.merges_url |
target.resource.attribute.labels |
|
repository.milestones_url |
target.resource.attribute.labels |
|
repository.mirror_url |
target.resource.attributes.labels |
|
repository.name |
target.resource.attribute.labels |
|
repository.node_id |
target.resource.attribute.labels |
|
repository.notifications_url |
target.resource.attribute.labels |
|
repository.open_issues_count |
target.resource.attribute.labels |
|
repository.owner.avatar_url |
target.resource.attribute.labels |
|
repository.owner.events_url |
target.resource.attribute.labels |
|
repository.owner.followers_url |
target.resource.attribute.labels |
|
repository.owner.following_url |
target.resource.attribute.labels |
|
repository.owner.gists_url |
target.resource.attribute.labels |
|
repository.owner.gravatar_id |
target.resource.attribute.labels |
|
repository.owner.html_url |
target.resource.attribute.labels |
|
repository.owner.id |
target.resource.attribute.labels |
|
repository.owner.node_id |
target.resource.attribute.labels |
|
repository.owner.organizations_url |
target.resource.attribute.labels |
|
repository.owner.received_events_url |
target.resource.attribute.labels |
|
repository.owner.repos_url |
target.resource.attribute.labels |
|
repository.owner.site_admin |
target.resource.attribute.labels |
|
repository.owner.starred_url |
target.resource.attribute.labels |
|
repository.owner.subscriptions_url |
target.resource.attribute.labels |
|
repository.owner.type |
target.resource.attribute.labels |
|
repository.owner.url |
target.resource.attribute.labels |
|
repository.owner.user_view_type |
target.resource.attribute.labels |
|
repository.private |
target.resource.attribute.labels |
|
repository.pulls_url |
target.resource.attribute.labels |
|
repository.pushed_at |
target.resource.attribute.labels |
|
repository.releases_url |
target.resource.attribute.labels |
|
repository.size |
target.resource.attribute.labels |
|
repository.ssh_url |
target.resource.attribute.labels |
|
repository.stargazers_url |
target.resource.attribute.labels |
|
repository.statuses_url |
target.resource.attribute.labels |
|
repository.subscribers_url |
target.resource.attribute.labels |
|
repository.subscription_url |
target.resource.attribute.labels |
|
repository.svn_url |
target.resource.attribute.labels |
|
repository.tags_url |
target.resource.attribute.labels |
|
repository.teams_url |
target.resource.attribute.labels |
|
repository.topics |
target.resource.attributes.labels |
|
repository.trees_url |
target.resource.attribute.labels |
|
repository.updated_at |
target.resource.attribute.labels |
|
repository.url |
target.resource.attribute.labels |
|
repository.visibility |
target.resource.attribute.labels |
|
repository_public |
target.resource.attribute.labels |
|
req_content_type |
target.file.mime_type |
|
request_access_security_header |
security_result.detection_fields |
|
request_auth |
additional.fields |
|
request_body |
additional.fields.value.string_value |
|
request_duration |
additional.fields |
|
request_host |
principal.ip, principal.asset.ip |
אם יש כתובת IP, המיפוי הוא ל-principal.ip (המיפוי הקיים של principal.hostname נשמר). |
request_method |
network.http.method |
הערך מומר לאותיות רישיות. |
requested_reviewers.* |
additional.fields |
הכוכבית (*) מציינת שכל שדות המשנה נכללים. |
require_code_owner_review |
additional.fields |
|
require_last_push_approval |
additional.fields |
|
required_approving_review_count |
additional.fields |
|
required_deployments_enforcement_level |
additional.fields |
|
required_review_thread_resolution_enforcement_level |
additional.fields |
|
rerun_type |
additional.fields |
|
res_type |
target.resource.resource_subtype |
|
response_time |
additional.fields |
|
review_id |
target.resource.attributes.labels |
|
route |
additional.fields.value.string_value |
|
rpc.jsonrpc.error_code |
network.http.response_code |
|
rpc.jsonrpc.error_message |
security_result.summary |
|
rule_suite_id |
security_result.rule_id |
|
run_attempt |
additional.fields |
|
run_number |
additional.fields |
|
runner_labels |
target.resource.attribute.labels |
|
runner_owner_type |
target.resource.attribute.labels |
|
runner_tenant_id |
target.resource.attribute.labels |
|
s3_tag |
additional.fields |
|
secret_type |
security_result.detection_fields |
|
secret_types |
security_result.detection_fields |
|
secrets_passed |
security_result.detection_fields |
|
sender.id |
src.user.product_object_id |
|
sender.login |
src.user.user_display_name |
|
sender.node_id |
src.asset_id |
|
sender.type |
src.user.title |
|
sender.url |
src.url |
|
service |
target.resource.name |
|
service.version |
additional.fields |
|
serviceName |
target.resource.name |
|
severity (אם גבוה) |
security_result.severity |
|
SeverityText |
security_result.severity |
|
shallow |
additional.fields |
|
sign_in_verification_method |
security_result.detection_fields |
|
signature_requirement_enforcement_level |
additional.fields |
|
sigtype |
additional.fields |
|
source |
src.resource.name |
|
spec |
additional.fields |
|
sr |
additional.fields |
|
ss |
additional.fields |
|
started_at |
vulns.vulnerabilities.scan_start_time |
|
stateless |
additional.fields |
|
status_code |
network.http.response_code |
|
strict_required_status_checks_policy |
additional.fields |
|
subject.business.id |
target.resource.attribute.labels |
|
subject.owner.id |
additional.fields |
|
subject.owning_organization.id |
principal.group.product_object_id |
|
subject.repository.id |
target.resource.product_object_id |
|
subject.repository.internal |
target.resource.attribute.labels |
|
subject.repository.owner.id |
additional.fields |
|
subject.repository.public |
target.resource.attribute.labels |
|
subject.repository.writable |
target.resource.attribute.labels |
|
subject.type |
target.resource.attribute.labels |
|
synthetic_status |
additional.fields |
|
tar_application |
target.application |
|
telemetry.sdk.name |
additional.fields |
|
tenant_id |
target.resource.attribute.labels |
|
tid |
additional.fields |
|
time |
metadata.event_timestamp |
|
time_duration_ms |
additional.fields |
|
time_zone |
additional.fields |
|
timestamp |
metadata.event_timestamp |
|
tls_version |
network.tls.version |
|
token_id |
additional.fields.value.string_value |
|
token_scopes |
additional.fields.value.string_value |
|
topic |
additional.fields |
|
total |
additional.fields |
|
transport_protocol |
additional.fields |
|
transport_protocol_name |
network.application_protocol |
הערך מומר לאותיות רישיות. |
ts |
metadata.event_timestamp |
כשהערך בשדה process_type הוא github_production. |
TTY |
additional.fields |
|
twirp_method |
additional.fields |
|
twirp_package |
additional.fields |
|
twirp_service |
additional.fields |
|
twirp_status |
network.http.response_code |
|
two_factor_type |
security_result.detection_fields |
|
type |
additional.fields |
|
unavailable |
additional.fields |
|
updated_at |
metadata.collected_timestamp |
|
url_path |
target.url |
|
usage_metrics |
additional.fields |
|
user |
target.user.userid |
|
user.id |
target.user.attr.labels |
כשהשדה actor.id קיים. |
user.id |
target.user.userid |
כשactor.id לא קיים. |
user_agent |
network.http.parsed_user_agent |
הערך מנותח. |
user_agent |
network.http.user_agent |
|
user_id |
target.user.userid |
|
user_operator_mode |
additional.fields |
|
user_programmatic_access_id |
additional.fields |
|
user_renaming_enabled |
additional.fields |
|
user_spammy |
additional.fields |
|
version |
metadata.product_version |
המיפוי הזה כולל יומני JSON. |
visibility |
additional.fields |
|
vk_ms |
additional.fields |
|
vulnerability_id |
additional.fields |
|
vulnerable_version_range_id |
additional.fields |
|
workflow |
target.resource.attributes.labels |
|
workflow.name |
target.resource.attribute.labels |
|
workflow_id |
target.resource.attribute.labels |
|
workflow_job.head_branch |
security_result.detection_fields |
|
workflow_job.name |
target.resource.attributes.labels |
|
workflow_job.workflow_name |
security_result.detection_fields |
|
workflow_run.actor. (וכל שדות המשנה שלו, מלבד השדה login, שנכלל בכל שדה משנה) |
principal.user.attribute.labels |
|
workflow_run.actor.login |
principal.user.userid |
|
workflow_run.artifacts_url |
target.resource.attributes.labels |
|
workflow_run.cancel_url |
target.resource.attributes.labels |
|
workflow_run.check_suite_id |
additional.fields |
|
workflow_run.check_suite_node_id |
additional.fields |
|
workflow_run.check_suite_url |
target.resource.attributes.labels |
|
workflow_run.conclusion |
target.resource.attribute.labels |
|
workflow_run.created_at |
metadata.event_timestamp |
|
workflow_run.display_title |
target.resource.attribute.labels |
|
workflow_run.event |
additional.fields.value.string_value |
|
workflow_run.event |
target.resource.attribute.labels |
|
workflow_run.head_branch |
target.resource.attribute.labels |
|
workflow_run.head_commit |
target.resource.attributes.labels |
|
workflow_run.head_repository |
additional.fields |
|
workflow_run.head_sha |
target.file.sha256 |
|
workflow_run.html_url |
target.resource.attribute.labels |
|
workflow_run.id |
target.resource.attribute.labels.value |
|
workflow_run.jobs_url |
target.resource.attributes.labels |
|
workflow_run.logs_url |
target.resource.attributes.labels |
|
workflow_run.name |
target.resource.name |
|
workflow_run.node_id |
target.resource.product_object_id |
|
workflow_run.path |
target.resource.attribute.labels |
|
workflow_run.previous_attempt_url |
target.resource.attributes.labels |
|
workflow_run.pull_requests |
about.resource.attribute.labels |
|
workflow_run.repository |
additional.fields |
|
workflow_run.rerun_url |
target.resource.attributes.labels |
|
workflow_run.run_attempt |
target.resource.attribute.labels |
|
workflow_run.run_number |
target.resource.attribute.labels |
|
workflow_run.run_started_at |
target.resource.attribute.labels |
|
workflow_run.status |
security_result.description |
|
workflow_run.triggering_actor |
additional.fields |
|
workflow_run.updated_at |
metadata.collected_timestamp |
|
workflow_run.url |
target.url |
|
workflow_run.workflow_id |
security_result.about.labels.value |
|
workflow_run.workflow_id |
target.resource.attribute.labels |
|
workflow_run.workflow_url |
target.resource.attributes.labels |
הסבר על דלתאות של גרסאות
ב-8 בינואר 2026, צוות Google SecOps פרסם גרסה חדשה של כלי הניתוח של GitHub, שכוללת שינויים משמעותיים.
הדלתא של מיפוי השדות ביומן
בטבלה הבאה מפורטות השינויים במיפוי של שדות ביומן GitHub ל-UDM שנחשפו לפני 8 בינואר 2026 ואחריו (מפורטים בעמודות מיפוי ישן ומיפוי נוכחי בהתאמה):
| שדה ביומן | מיפוי ישן | מיפוי נוכחי |
|---|---|---|
action (ליומני JSON) |
metadata.product_event_type, security_result.summary,security_result.detection_fields |
metadata.product_event_type |
action (עבור יומני syslog) |
additional.fields, security_result.summary |
security_result.summary |
business |
additional.fields, target.user.company_name |
additional.fields |
business_id |
target.resource.attribute.labels |
additional.fields |
data.email |
target.email |
target.user.email_addresses |
data.event |
security_result.about.labels |
target.resource.attribute.labels |
data.head_branch |
security_result.about.labels |
target.resource.attribute.labels |
data.hook_id |
target.resource.attribute.labels |
target.resource.product_object_id |
data.team |
target.user.group_identifiers |
target.group.group_display_name |
data.trigger_id |
security_result.about.labels |
target.resource.attribute.labels |
data.workflow_id |
security_result.about.labels |
target.resource.attribute.labels |
data.workflow_run_id |
security_result.about.labels |
target.resource.attribute.labels |
hashed_token |
additional.fields |
network.session_id |
hook_id (ליומני JSON) |
additional.fields |
target.resource.attribute.labels |
name |
additional.fields |
target.resource.attribute.labels |
oauth_application_id |
additional.fields |
principal.resource.attribute.labels |
pull_request_id |
additional.fields |
target.resource.attribute.labels |
pull_request_title |
additional.fields |
target.resource.attribute.labels |
repository.archive_url |
additional.fields |
target.resource.attribute.labels |
repository.assignees_url |
additional.fields |
target.resource.attribute.labels |
repository.blobs_url |
additional.fields |
target.resource.attribute.labels |
repository.branches_url |
additional.fields |
target.resource.attribute.labels |
repository.clone_url |
additional.fields |
target.resource.attribute.labels |
repository.collaborators_url |
additional.fields |
target.resource.attribute.labels |
repository.comments_url |
additional.fields |
target.resource.attribute.labels |
repository.commits_url |
additional.fields |
target.resource.attribute.labels |
repository.compare_url |
additional.fields |
target.resource.attribute.labels |
repository.contents_url |
additional.fields |
target.resource.attribute.labels |
repository.contributors_url |
additional.fields |
target.resource.attribute.labels |
repository.created_at |
additional.fields |
target.resource.attribute.labels |
repository.deployments_url |
additional.fields |
target.resource.attribute.labels |
repository.downloads_url |
additional.fields |
target.resource.attribute.labels |
repository.events_url |
additional.fields |
target.resource.attribute.labels |
repository.fork |
additional.fields |
target.resource.attribute.labels |
repository.forks_url |
additional.fields |
target.resource.attribute.labels |
repository.full_name |
additional.fields |
target.resource.attribute.labels |
repository.git_commits_url |
additional.fields |
target.resource.attribute.labels |
repository.git_refs_url |
additional.fields |
target.resource.attribute.labels |
repository.git_tags_url |
additional.fields |
target.resource.attribute.labels |
repository.git_url |
additional.fields |
target.resource.attribute.labels |
repository.hooks_url |
additional.fields |
target.resource.attribute.labels |
repository.html_url |
additional.fields |
target.resource.attribute.labels |
repository.id |
additional |
target.resource.attribute.labels |
repository.issue_comment_url |
additional.fields |
target.resource.attribute.labels |
repository.issue_events_url |
additional.fields |
target.resource.attribute.labels |
repository.issues_url |
additional.fields |
target.resource.attribute.labels |
repository.keys_url |
additional.fields |
target.resource.attribute.labels |
repository.labels_url |
additional.fields |
target.resource.attribute.labels |
repository.languages_url |
additional.fields |
target.resource.attribute.labels |
repository.merges_url |
additional.fields |
target.resource.attribute.labels |
repository.milestones_url |
additional.fields |
target.resource.attribute.labels |
repository.name |
additional.fields |
target.resource.attribute.labels |
repository.node_id |
additional.fields |
target.resource.attribute.labels |
repository.notifications_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.avatar_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.events_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.followers_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.following_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.gists_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.gravatar_id |
additional.fields |
target.resource.attribute.labels |
repository.owner.html_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.id |
additional.fields |
target.resource.attribute.labels |
repository.owner.node_id |
additional.fields |
target.resource.attribute.labels |
repository.owner.organizations_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.received_events_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.repos_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.site_admin |
additional.fields |
target.resource.attribute.labels |
repository.owner.starred_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.subscriptions_url |
additional.fields |
target.resource.attribute.labels |
repository.owner.type |
additional.fields |
target.resource.attribute.labels |
repository.owner.url |
additional.fields |
target.resource.attribute.labels |
repository.owner.user_view_type |
additional.fields |
target.resource.attribute.labels |
repository.private |
additional.fields |
target.resource.attribute.labels |
repository.pulls_url |
additional.fields |
target.resource.attribute.labels |
repository.pushed_at |
additional.fields |
target.resource.attribute.labels |
repository.releases_url |
additional.fields |
target.resource.attribute.labels |
repository.size |
additional.fields |
target.resource.attribute.labels |
repository.ssh_url |
additional.fields |
target.resource.attribute.labels |
repository.stargazers_url |
additional.fields |
target.resource.attribute.labels |
repository.statuses_url |
additional.fields |
target.resource.attribute.labels |
repository.subscribers_url |
additional.fields |
target.resource.attribute.labels |
repository.subscription_url |
additional.fields |
target.resource.attribute.labels |
repository.svn_url |
additional.fields |
target.resource.attribute.labels |
repository.tags_url |
additional.fields |
target.resource.attribute.labels |
repository.teams_url |
additional.fields |
target.resource.attribute.labels |
repository.trees_url |
additional.fields |
target.resource.attribute.labels |
repository.updated_at |
additional.fields |
target.resource.attribute.labels |
repository.url |
additional.fields |
target.resource.attribute.labels |
repository.visibility |
additional.fields |
target.resource.attribute.labels |
repository_public |
additional.fields |
target.resource.attribute.labels |
res_type |
target.resource.type |
target.resource.resource_subtype |
sender.id |
src.user.product_object_id, additional.fields |
src.user.product_object_id |
sender.login |
additional.fields, src.user.user_display_name |
src.user.user_display_name |
sender.node_id |
src.asset_id, additional.fields |
src.asset_id |
sender.type |
src.user.title, additional.fields |
src.user.title |
sender.url |
src.url, additional.fields |
src.url |
workflow.name |
security_result.about.labels |
target.resource.attribute.labels |
workflow_job.head_branch |
security_result.about.labels |
security_result.detection_fields |
workflow_job.workflow_name |
security_result.about.labels |
security_result.detection_fields |
workflow_run.event |
additional.fields |
target.resource.attribute.labels |
workflow_run.head_branch |
security_result.about.labels |
target.resource.attribute.labels |
workflow_run.workflow_id |
security_result.about.labels |
target.resource.attribute.labels |
תנאים להערכת אירועים
התנאים שקובעים את סוגי האירועים ב-Google SecOps השתנו בגרסה מ-8 בינואר 2026.
בטבלה הבאה מפורטים סוגי האירועים והתנאים הנוכחיים (כלומר, התנאים היו שונים לפני ההשקה ב-8 בינואר 2026):
| event_type | תנאים |
|---|---|
NETWORK_CONNECTION |
[has_target] == "true" && [has_principal] == "true" |
STATUS_UPDATE |
[has_principal] == "true" |
USER_RESOURCE_DELETION |
[has_target_resource] == "true" && [has_principal_user] == "true" && [action] in ["hook.destroy" ,"protected_branch.destroy" ,"public_key.delete"] |
USER_RESOURCE_UPDATE_CONTENT |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in [ "pull_request.merge" , "hook.events_changed"] |
USER_RESOURCE_UPDATE_PERMISSIONS |
[has_target_resource] == "true" && [has_principal_userid] == "true" && [action] in ["repo.update_actions_secret","protected_branch.update_pull_request_reviews_enforcement_level", "org.update_member" ,"protected_branch.update_admin_enforced" ,"protected_branch.update_required_status_checks_enforcement_level","org.integration_manager_removed" ,"repo.update_member", "repo.add_member"] |
דלתא של מיפוי מקשים
בטבלה הבאה מפורטות המיפויים של מפתחות בשדות של יומנים גולמיים למפתחות בשדות של UDM שנחשפו לפני 8 בינואר 2026 ואחריו (מפורטים בעמודות Old key ו-Current key בהתאמה):
| המפתח ביומן הגולמי | מפתח ישן | המפתח הנוכחי |
|---|---|---|
alert.secret_type_display_name |
secret_type_display_name |
alert_secret_type_display_name |
enterprise.name |
Enterprise Name |
enterprise_name |
hook_id |
Hook Id |
Hook_Id |
invitation.failed_at |
failed_at |
invitation_failed_at |
invitation.failed_reason |
failed_reason |
invitation_failed_reason |
invitation.invitation_source |
invitation_source |
invitation_invitation_source |
raw.failure_reason |
failure_reason |
raw_failure_reason |
raw.failure_type |
failure_type |
raw_failure_type |
raw.from |
from |
raw_from |
workflow_run.event |
event |
workflow_run_event |
workflow_run.head_branch |
Head Branch |
Head_Branch |
workflow_run.id |
workflow_run_id |
workflow_Run_id |
workflow_run.workflow_id |
Workflow Id |
Workflow_Id |
שנה רישום
צפייה ביומן השינויים של כלי הניתוח הזה
הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.