Google 安全指挥中心
编辑Google 安全指挥中心
编辑概述
编辑Google 安全指挥中心 集成允许用户监控发现、审计、资产和来源。安全指挥中心高级版为 Google Cloud 提供全面的威胁检测,其中包括内置服务事件威胁检测、容器威胁检测和虚拟机威胁检测。
使用 Google SCC 集成来收集和解析来自 Google SCC REST API(发现、资产和来源)或 GCP Pub/Sub(发现、资产和审计)的数据。然后在 Elastic Security 中通过搜索、关联和可视化来可视化该数据。
数据流
编辑Google SCC 集成收集四种类型的数据:发现、审计、资产和来源。
发现 是对评估数据(如安全、风险、健康或隐私)的记录,这些数据被摄取到安全指挥中心,用于展示、通知、分析、策略测试和实施。例如,App Engine 应用程序中的跨站点脚本 (XSS) 漏洞就是一个发现。
审计 是安全指挥中心作为云审计日志的一部分创建的日志。
资产 列出具有时间和资源类型的资产,并在响应中返回分页结果。
来源 是一个实体或一种机制,可以产生发现。来源就像一个容器,其中包含来自同一扫描器、记录器、监视器和其他工具的发现。
兼容性
编辑此模块已针对最新的 Google SCC API 版本 v1 进行了测试。
要求
编辑- 必须安装 Elastic Agent。
- 每个主机只能安装一个 Elastic Agent。
- 需要 Elastic Agent 从 GCP Pub/Sub 或 REST API 流式传输数据,并将数据发送到 Elastic,然后这些事件将通过集成的摄取管道进行处理。
安装和管理 Elastic Agent
编辑您有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用这种方法,您可以安装 Elastic Agent,并在 Kibana 中使用 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得容易得多。
以独立模式安装 Elastic Agent(高级用户)
编辑使用这种方法,您可以安装 Elastic Agent,并在其安装的系统上本地手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表中获得,并且我们提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参阅 此处 的链接。
最低要求的 kibana.version 是 8.8.0。
先决条件
编辑- 创建 Google SCC 服务帐户 创建步骤。
-
服务帐户所需的权限
- 组织级别的云资产查看器
- 项目级别的 Pub/Sub 订阅者
- 组织级别的安全中心管理员编辑器
- 必须启用 安全指挥中心 API 和 云资产 API。
此集成将使用以下 oauth2 范围
-
https://www.googleapis.com/auth/cloud-platform
将服务帐户凭据下载为 JSON 文件后,即可设置集成以收集数据。
如果在 GCP-Cloud 环境中安装,则无需提供任何凭据,并确保与 VM 链接的帐户具有所有必需的 IAM 权限。 设置应用程序默认凭据的步骤。
设置
编辑要创建 GCP Pub/Sub,请按照以下步骤操作
编辑要从 GCP Pub/Sub 收集数据,请按照以下步骤操作
编辑注意
- 将审计日志导出到 GCP Pub/Sub 时,接收器目标 必须是 Pub/Sub 主题。
- 为每个数据流创建唯一的 Pub/Sub 主题。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到 管理 > 集成。
- 在“搜索集成”搜索栏中,键入 Google 安全指挥中心。
- 从搜索结果中单击 Google 安全指挥中心 集成。
- 单击 添加 Google 安全指挥中心 集成按钮以添加集成。
-
在添加集成时,如果您想通过 Rest API 收集日志,请打开切换开关,然后输入以下详细信息
- 凭据类型
- 凭据 JSON/文件
- 父类型
- ID
-
要收集 资产日志,请输入以下详细信息
-
内容类型
或者,如果您想通过 GCP Pub/Sub 收集日志,请打开切换开关,然后输入以下详细信息
-
- 凭据类型
- 凭据 JSON/文件
- 项目 ID
-
要收集 资产、审计或发现日志,请输入以下详细信息
- 主题
- 订阅名称
日志参考
编辑资产
编辑这是 Asset 数据集。
示例
asset 的示例事件如下所示
{
"@timestamp": "2023-07-03T06:24:10.638Z",
"agent": {
"ephemeral_id": "7ab58b6a-e33a-470d-b529-80d7f867ce64",
"id": "4c00a899-0103-47cf-a91d-fa52a48711c8",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"data_stream": {
"dataset": "google_scc.asset",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "4c00a899-0103-47cf-a91d-fa52a48711c8",
"snapshot": false,
"version": "8.8.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"created": "2023-07-03T06:24:26.934Z",
"dataset": "google_scc.asset",
"id": "f14c38ac40-2",
"ingested": "2023-07-03T06:24:30Z",
"kind": "event",
"type": [
"info"
]
},
"google_scc": {
"asset": {
"ancestors": [
"projects/123456987522",
"folders/123456987520",
"organizations/523456987520"
],
"prior": {
"ancestors": [
"projects/123456987522",
"folders/123456987520",
"organizations/523456987520"
],
"name": "//logging.googleapis.com/projects/123456987522/locations/global/buckets/_Default",
"resource": {
"data": {
"analyticsEnabled": true,
"description": "Default bucket",
"lifecycleState": "ACTIVE",
"name": "projects/123456987522/locations/global/buckets/_Default",
"retentionDays": 30
},
"discovery": {
"document_uri": "https://logging.googleapis.com/$discovery/rest",
"name": "LogBucket"
},
"location": "global",
"parent": "//cloudresourcemanager.googleapis.com/projects/123456987522",
"version": "v2"
},
"type": "logging.googleapis.com/LogBucket",
"update_time": "2023-05-27T18:53:48.843Z"
},
"prior_asset_state": "PRESENT",
"resource": {
"data": {
"description": "Default bucket",
"lifecycleState": "ACTIVE",
"name": "projects/123456987522/locations/global/buckets/_Default",
"retentionDays": 30
},
"discovery": {
"document_uri": "https://logging.googleapis.com/$discovery/rest",
"name": "LogBucket"
},
"location": "global",
"parent": "//cloudresourcemanager.googleapis.com/projects/123456987522",
"version": "v2"
},
"update_time": "2023-05-28T06:59:48.052Z",
"window": {
"start_time": "2023-05-28T06:59:48.052Z"
}
}
},
"host": {
"name": "//logging.googleapis.com/projects/123456987522/locations/global/buckets/_Default",
"type": "logging.googleapis.com/LogBucket"
},
"input": {
"type": "gcp-pubsub"
},
"related": {
"hosts": [
"//logging.googleapis.com/projects/123456987522/locations/global/buckets/_Default"
]
},
"tags": [
"forwarded",
"google_scc-asset"
]
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
google_scc.asset.access_level.basic.combining_function |
应如何组合条件列表以确定是否授予请求此 AccessLevel。如果使用 AND,则必须满足 conditions 中的每个 Condition 才能应用 AccessLevel。如果使用 OR,则必须满足 conditions 中的至少一个 Condition 才能应用 AccessLevel。默认行为是 AND。 |
keyword |
google_scc.asset.access_level.basic.conditions.device_policy.allowed_device_management_levels |
允许的设备管理级别,空列表允许所有管理级别。 |
keyword |
google_scc.asset.access_level.basic.conditions.device_policy.allowed_encryption_statuses |
允许的加密状态,空列表允许所有状态。 |
keyword |
google_scc.asset.access_level.basic.conditions.device_policy.os_constraints.minimum_version |
允许的最低操作系统版本。如果未设置,则此操作系统的任何版本都满足约束。格式:“major.minor.patch”。示例:“10.5.301”、“9.2.1”。 |
keyword |
google_scc.asset.access_level.basic.conditions.device_policy.os_constraints.os_type |
必需。允许的操作系统类型。 |
keyword |
google_scc.asset.access_level.basic.conditions.device_policy.os_constraints.require_verified_chrome_os |
仅允许来自具有已验证 Chrome OS 的设备的请求。验证包括要求设备是企业管理的,符合域策略,并且调用者有权调用请求所针对的 API。 |
boolean |
google_scc.asset.access_level.basic.conditions.device_policy.require_admin_approval |
设备是否需要客户管理员批准。 |
boolean |
google_scc.asset.access_level.basic.conditions.device_policy.require_corp_owned |
设备是否需要是公司拥有的。 |
boolean |
google_scc.asset.access_level.basic.conditions.device_policy.require_screenlock |
DevicePolicy 为 true 是否需要屏幕锁定。默认为 false。 |
boolean |
google_scc.asset.access_level.basic.conditions.members |
请求必须由提供的用户或服务帐户之一发出。不支持组。语法:user:{emailid} serviceAccount:{emailid} 如果未指定,则请求可能来自任何用户。 |
keyword |
google_scc.asset.access_level.basic.conditions.negate |
是否取反 Condition。如果为 true,则 Condition 将成为其非空字段的 NAND,每个字段必须为 false 才能满足整个 Condition。默认为 false。 |
boolean |
google_scc.asset.access_level.basic.conditions.regions |
请求必须来自提供的国家/地区之一。必须是有效的 ISO 3166-1 alpha-2 代码。 |
keyword |
google_scc.asset.access_level.basic.conditions.required_access_levels |
在同一策略中定义的其他访问级别列表,按资源名称引用。引用不存在的 AccessLevel 是错误的。要使 Condition 为 true,必须授予列出的所有访问级别。示例:“accessPolicies/MY_POLICY/accessLevels/LEVEL_NAME”。 |
keyword |
google_scc.asset.access_level.basic.conditions.sub_networks |
CIDR 块 IP 子网规范。可以是 IPv4 或 IPv6。请注意,对于 CIDR IP 地址块,指定的 IP 地址部分必须正确截断(即,所有主机位必须为零),否则输入将被视为格式错误。例如,“192.0.2.0/24”被接受,但“192.0.2.1/24”不被接受。同样,对于 IPv6,“2001:db8::/32”被接受,而“2001:db8::1/32”不被接受。请求的源 IP 必须在列出的子网之一中,此 Condition 才能为 true。如果为空,则允许所有 IP 地址。 |
keyword |
google_scc.asset.access_level.custom.expression.description |
可选。表达式的说明。这是一个较长的文本,用于描述表达式,例如,在 UI 中悬停在其上时。 |
keyword |
google_scc.asset.access_level.custom.expression.location |
可选。字符串,指示错误报告中表达式的位置,例如文件名和文件中的位置。 |
keyword |
google_scc.asset.access_level.custom.expression.text |
使用通用表达式语言语法表示的表达式的文本形式。 |
keyword |
google_scc.asset.access_level.custom.expression.title |
可选。表达式的标题,即简短的字符串,用于描述其用途。例如,可以在允许输入表达式的界面中使用。 |
keyword |
google_scc.asset.access_level.description |
AccessLevel 及其用途的说明。不影响行为。 |
keyword |
google_scc.asset.access_level.name |
必需。Access Level 的资源名称。shortName 组件必须以字母开头,并且只能包含字母数字字符和 _。格式:accessPolicies/{accessPolicy}/accessLevels/{accessLevel}。accessLevel 组件的最大长度为 50 个字符。 |
keyword |
google_scc.asset.access_level.title |
人类可读的标题。在策略中必须唯一。 |
keyword |
google_scc.asset.access_policy.etag |
仅输出。AccessPolicy 当前版本的不透明标识符。这将始终是一个经过强验证的 etag,这意味着当且仅当两个 Access Policy 的 etag 相同时,它们才是相同的。客户端不应期望此项采用任何特定格式。 |
keyword |
google_scc.asset.access_policy.name |
仅输出。AccessPolicy 的资源名称。格式:accessPolicies/{accessPolicy}。 |
keyword |
google_scc.asset.access_policy.parent |
必需。此 AccessPolicy 在云资源层次结构中的父级。创建后当前不可变。格式:organizations/{organization_id}。 |
keyword |
google_scc.asset.access_policy.scopes |
策略的作用域定义了 ACM 策略可以限制哪些资源,以及 ACM 资源可以在何处引用。例如,作用域为 ["folders/123"] 的策略具有以下行为:- vpcsc 边界只能限制 folders/123 中的项目 - 访问级别只能被 folders/123 中的资源引用。如果为空,则对 ACM 策略可以限制哪些资源没有限制,并且对 ACM 资源可以在何处引用也没有限制。只有一个策略可以包含给定的作用域(尝试创建第二个包含“folders/123”的策略将导致错误)。目前,创建策略后无法修改作用域。目前,策略只能有一个作用域。格式:文件夹列表/{folder_number} 或项目列表/{project_number}。 |
keyword |
google_scc.asset.access_policy.title |
必需。人类可读的标题。不影响行为。 |
keyword |
google_scc.asset.ancestors |
Google Cloud 资源层次结构中资产的祖先路径,表示为相对资源名称的列表。祖先路径从层次结构中最近的祖先开始,到根结束。如果资产是项目、文件夹或组织,则祖先路径从资产本身开始。示例:["projects/123456789", "folders/5432", "organizations/1234"]。 |
keyword |
google_scc.asset.iam_policy.audit_configs.audit_log_configs.exempted_members |
指定不会为此类型权限触发日志记录的身份。遵循与 Binding.members 相同的格式。 |
keyword |
google_scc.asset.iam_policy.audit_configs.audit_log_configs.log_type |
此配置启用的日志类型。 |
keyword |
google_scc.asset.iam_policy.audit_configs.service |
指定将启用审计日志记录的服务。例如,storage.googleapis.com、cloudsql.googleapis.com。allServices 是一个涵盖所有服务的特殊值。 |
keyword |
google_scc.asset.iam_policy.bindings.condition |
与此绑定关联的条件。如果条件评估为 true,则此绑定适用于当前请求。如果条件评估为 false,则此绑定不适用于当前请求。但是,不同的角色绑定可能会将相同的角色授予此绑定中的一个或多个主体。要了解哪些资源在其 IAM 策略中支持条件,请参阅 IAM 文档。 |
flattened |
google_scc.asset.iam_policy.bindings.members |
指定请求访问 Google Cloud 资源的主体。成员可以具有以下值:allUsers:一个特殊标识符,表示互联网上的任何人;无论是否有 Google 帐户。allAuthenticatedUsers:一个特殊标识符,表示使用 Google 帐户或服务帐户进行身份验证的任何人。user:{emailid}:表示特定 Google 帐户的电子邮件地址。例如,[email protected]。serviceAccount:{emailid}:表示 Google 服务帐户的电子邮件地址。例如,[email protected]。serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]:Kubernetes 服务帐户的标识符。例如,my-project.svc.id.goog[my-namespace/my-kubernetes-sa]。group:{emailid}:表示 Google 群组的电子邮件地址。例如,[email protected]。deleted:user:{emailid}?uid={uniqueid}:表示最近删除的用户(加唯一标识符)的电子邮件地址。例如,[email protected]?uid=123456789012345678901。如果恢复用户,此值将恢复为 user:{emailid},并且恢复的用户将保留绑定中的角色。deleted:serviceAccount:{emailid}?uid={uniqueid}:表示最近删除的服务帐户(加唯一标识符)的电子邮件地址。例如,[email protected]?uid=123456789012345678901。如果取消删除服务帐户,此值将恢复为 serviceAccount:{emailid},并且取消删除的服务帐户将保留绑定中的角色。deleted:group:{emailid}?uid={uniqueid}:表示最近删除的 Google 群组(加唯一标识符)的电子邮件地址。例如,[email protected]?uid=123456789012345678901。如果恢复群组,此值将恢复为 group:{emailid},并且恢复的群组将保留绑定中的角色。domain:{domain}:表示该域的所有用户的 G Suite 域(主要域)。例如,google.com 或 example.com。 |
keyword |
google_scc.asset.iam_policy.bindings.role |
分配给成员或主体的列表的角色。例如,roles/viewer、roles/editor 或 roles/owner。 |
keyword |
google_scc.asset.iam_policy.etag |
etag 用于乐观并发控制,作为一种帮助防止策略同时更新相互覆盖的方式。强烈建议系统在读取-修改-写入循环中使用 etag 来执行策略更新,以避免竞争条件:etag 在 getIamPolicy 的响应中返回,并且系统应将该 etag 放入 setIamPolicy 的请求中,以确保其更改将应用于策略的同一版本。重要提示:如果您使用 IAM 条件,则每次调用 setIamPolicy 时都必须包含 etag 字段。如果您省略此字段,则 IAM 允许您使用版本 1 策略覆盖版本 3 策略,并且版本 3 策略中的所有条件都将丢失。一个 base64 编码的字符串。 |
keyword |
google_scc.asset.iam_policy.version |
指定策略的格式。有效值为 0、1 和 3。指定无效值的请求将被拒绝。任何影响条件角色绑定的操作都必须指定版本 3。此要求适用于以下操作:获取包含条件角色绑定的策略。向策略添加条件角色绑定。更改策略中的条件角色绑定。从包含条件的策略中删除任何角色绑定(无论是否带有条件)。重要提示:如果您使用 IAM 条件,则每次调用 setIamPolicy 时都必须包含 etag 字段。如果您省略此字段,则 IAM 允许您使用版本 1 策略覆盖版本 3 策略,并且版本 3 策略中的所有条件都将丢失。如果策略不包含任何条件,则对该策略的操作可以指定任何有效版本或将该字段保留为未设置。要了解哪些资源在其 IAM 策略中支持条件,请参阅 IAM 文档。 |
keyword |
google_scc.asset.name |
资产的全名。示例://compute.googleapis.com/projects/my_project_123/zones/zone1/instances/instance1。有关更多信息,请参阅资源名称。 |
keyword |
google_scc.asset.organization_policy.boolean_policy.enforced |
如果为 true,则强制执行策略。如果为 false,则任何配置都是可接受的。 |
boolean |
google_scc.asset.organization_policy.constraint |
策略正在配置的约束的名称,例如 constraints/serviceuser.services。可用约束列表可用。创建后不可变。 |
keyword |
google_scc.asset.organization_policy.etag |
指示策略当前版本的不透明标记,用于并发控制。当策略从 policies.get 或 ListOrgPolicy 请求返回时,此 etag 指示在执行读取-修改-写入循环时要使用的当前策略的版本。当策略从 policies.getEffectivePolicy 请求返回时,etag 将被取消设置。当策略在 SetOrgPolicy 方法中使用时,请使用从 GetOrgPolicy 请求返回的 etag 值作为读取-修改-写入循环的一部分以进行并发控制。在 SetOrgPolicy 请求中不设置 etag 将导致策略的无条件写入。一个 base64 编码的字符串。 |
keyword |
google_scc.asset.organization_policy.list_policy.all_values |
策略的 allValues 状态。 |
keyword |
google_scc.asset.organization_policy.list_policy.allowed_values |
此资源允许的值的列表。仅当 allValues 设置为 ALL_VALUES_UNSPECIFIED 时才能设置。 |
keyword |
google_scc.asset.organization_policy.list_policy.denied_values |
此资源拒绝的值的列表。仅当 allValues 设置为 ALL_VALUES_UNSPECIFIED 时才能设置。 |
keyword |
google_scc.asset.organization_policy.list_policy.inherit_from_parent |
确定此策略的继承行为。 |
boolean |
google_scc.asset.organization_policy.list_policy.suggested_value |
可选。Google Cloud Console 将尝试默认使用与此策略中指定的值匹配的配置。如果未设置 suggestedValue,则它将继承在层次结构中较高位置指定的值,除非 inheritFromParent 为 false。 |
keyword |
google_scc.asset.organization_policy.restore_default.etag |
仅输出。AccessPolicy 当前版本的不透明标识符。这将始终是一个经过强验证的 etag,这意味着当且仅当两个 Access Policy 的 etag 相同时,它们才是相同的。客户端不应期望此项采用任何特定格式。 |
keyword |
google_scc.asset.organization_policy.restore_default.name |
仅输出。AccessPolicy 的资源名称。格式:accessPolicies/{accessPolicy}。 |
keyword |
google_scc.asset.organization_policy.restore_default.parent |
必需。此 AccessPolicy 在云资源层次结构中的父级。创建后当前不可变。格式:organizations/{organization_id}。 |
keyword |
google_scc.asset.organization_policy.restore_default.scopes |
策略的作用域定义了 ACM 策略可以限制哪些资源,以及 ACM 资源可以在何处引用。例如,作用域为 ["folders/123"] 的策略具有以下行为:- vpcsc 边界只能限制 folders/123 中的项目 - 访问级别只能被 folders/123 中的资源引用。如果为空,则对 ACM 策略可以限制哪些资源没有限制,并且对 ACM 资源可以在何处引用也没有限制。只有一个策略可以包含给定的作用域(尝试创建第二个包含“folders/123”的策略将导致错误)。目前,创建策略后无法修改作用域。目前,策略只能有一个作用域。格式:文件夹列表/{folder_number} 或项目列表/{project_number}。 |
keyword |
google_scc.asset.organization_policy.restore_default.title |
必需。人类可读的标题。不影响行为。 |
keyword |
google_scc.asset.organization_policy.update_time |
上次更新策略的时间戳。这是由服务器设置的,而不是由调用者指定的,表示上次为此策略调用 SetOrgPolicy 的时间。客户端设置的任何值都将被忽略。RFC3339 UTC“Zulu”格式的时间戳,具有纳秒分辨率,最多可有九个小数位。示例:“2014-10-02T15:01:23Z”和“2014-10-02T15:01:23.045123456Z”。 |
日期 |
google_scc.asset.organization_policy.version |
策略的版本。默认版本为 0。 |
keyword |
google_scc.asset.os_inventory.items |
flattened |
|
google_scc.asset.os_inventory.name |
仅限输出。Inventory API 资源名称。格式:projects/{项目编号}/locations/{位置}/instances/{实例 ID}/inventory。 |
keyword |
google_scc.asset.os_inventory.os_info.architecture |
操作系统的系统架构。 |
keyword |
google_scc.asset.os_inventory.os_info.hostname |
虚拟机主机名。 |
keyword |
google_scc.asset.os_inventory.os_info.kernel.release |
操作系统的内核版本。 |
keyword |
google_scc.asset.os_inventory.os_info.kernel.version |
操作系统的内核版本。 |
keyword |
google_scc.asset.os_inventory.os_info.long_name |
操作系统长名称。例如,Debian GNU/Linux 9 或 Microsoft Window Server 2019 Datacenter。 |
keyword |
google_scc.asset.os_inventory.os_info.os_config_agent_version |
虚拟机上运行的 OS Config 代理的当前版本。 |
keyword |
google_scc.asset.os_inventory.os_info.short_name |
操作系统短名称。例如,windows 或 debian。 |
keyword |
google_scc.asset.os_inventory.os_info.version |
操作系统的版本。 |
keyword |
google_scc.asset.os_inventory.update_time |
仅限输出。上次报告虚拟机清单的时间戳。采用 RFC3339 UTC“Zulu”格式的时间戳,具有纳秒级分辨率和最多九个小数位。示例:“2014-10-02T15:01:23Z”和“2014-10-02T15:01:23.045123456Z”。 |
日期 |
google_scc.asset.prior.access_level.basic.combining_function |
应如何组合条件列表以确定是否授予请求此 AccessLevel。如果使用 AND,则必须满足 conditions 中的每个 Condition 才能应用 AccessLevel。如果使用 OR,则必须满足 conditions 中的至少一个 Condition 才能应用 AccessLevel。默认行为是 AND。 |
keyword |
google_scc.asset.prior.access_level.basic.conditions.device_policy.allowed_device_management_levels |
允许的设备管理级别,空列表允许所有管理级别。 |
keyword |
google_scc.asset.prior.access_level.basic.conditions.device_policy.allowed_encryption_statuses |
允许的加密状态,空列表允许所有状态。 |
keyword |
google_scc.asset.prior.access_level.basic.conditions.device_policy.os_constraints.minimum_version |
允许的最低操作系统版本。如果未设置,则此操作系统的任何版本都满足约束。格式:“major.minor.patch”。示例:“10.5.301”、“9.2.1”。 |
keyword |
google_scc.asset.prior.access_level.basic.conditions.device_policy.os_constraints.os_type |
必需。允许的操作系统类型。 |
keyword |
google_scc.asset.prior.access_level.basic.conditions.device_policy.os_constraints.require_verified_chrome_os |
仅允许来自具有已验证 Chrome OS 的设备的请求。验证包括要求设备是企业管理的,符合域策略,并且调用者有权调用请求所针对的 API。 |
boolean |
google_scc.asset.prior.access_level.basic.conditions.device_policy.require_admin_approval |
设备是否需要客户管理员批准。 |
boolean |
google_scc.asset.prior.access_level.basic.conditions.device_policy.require_corp_owned |
设备是否需要是公司拥有的。 |
boolean |
google_scc.asset.prior.access_level.basic.conditions.device_policy.require_screenlock |
DevicePolicy 为 true 是否需要屏幕锁定。默认为 false。 |
boolean |
google_scc.asset.prior.access_level.basic.conditions.members |
请求必须由提供的用户或服务帐户之一发出。不支持组。语法:user:{emailid} serviceAccount:{emailid} 如果未指定,则请求可能来自任何用户。 |
keyword |
google_scc.asset.prior.access_level.basic.conditions.negate |
是否取反 Condition。如果为 true,则 Condition 将成为其非空字段的 NAND,每个字段必须为 false 才能满足整个 Condition。默认为 false。 |
boolean |
google_scc.asset.prior.access_level.basic.conditions.regions |
请求必须来自提供的国家/地区之一。必须是有效的 ISO 3166-1 alpha-2 代码。 |
keyword |
google_scc.asset.prior.access_level.basic.conditions.required_access_levels |
在同一策略中定义的其他访问级别列表,按资源名称引用。引用不存在的 AccessLevel 是错误的。要使 Condition 为 true,必须授予列出的所有访问级别。示例:“accessPolicies/MY_POLICY/accessLevels/LEVEL_NAME”。 |
keyword |
google_scc.asset.prior.access_level.basic.conditions.sub_networks |
CIDR 块 IP 子网规范。可以是 IPv4 或 IPv6。请注意,对于 CIDR IP 地址块,指定的 IP 地址部分必须正确截断(即,所有主机位必须为零),否则输入将被视为格式错误。例如,“192.0.2.0/24”被接受,但“192.0.2.1/24”不被接受。同样,对于 IPv6,“2001:db8::/32”被接受,而“2001:db8::1/32”不被接受。请求的源 IP 必须在列出的子网之一中,此 Condition 才能为 true。如果为空,则允许所有 IP 地址。 |
keyword |
google_scc.asset.prior.access_level.custom.expression.description |
可选。表达式的说明。这是一个较长的文本,用于描述表达式,例如,在 UI 中悬停在其上时。 |
keyword |
google_scc.asset.prior.access_level.custom.expression.location |
可选。字符串,指示错误报告中表达式的位置,例如文件名和文件中的位置。 |
keyword |
google_scc.asset.prior.access_level.custom.expression.text |
使用通用表达式语言语法表示的表达式的文本形式。 |
keyword |
google_scc.asset.prior.access_level.custom.expression.title |
可选。表达式的标题,即简短的字符串,用于描述其用途。例如,可以在允许输入表达式的界面中使用。 |
keyword |
google_scc.asset.prior.access_level.description |
AccessLevel 及其用途的说明。不影响行为。 |
keyword |
google_scc.asset.prior.access_level.name |
必需。Access Level 的资源名称。shortName 组件必须以字母开头,并且只能包含字母数字字符和 _。格式:accessPolicies/{accessPolicy}/accessLevels/{accessLevel}。accessLevel 组件的最大长度为 50 个字符。 |
keyword |
google_scc.asset.prior.access_level.title |
人类可读的标题。在策略中必须唯一。 |
keyword |
google_scc.asset.prior.access_policy.etag |
仅输出。AccessPolicy 当前版本的不透明标识符。这将始终是一个经过强验证的 etag,这意味着当且仅当两个 Access Policy 的 etag 相同时,它们才是相同的。客户端不应期望此项采用任何特定格式。 |
keyword |
google_scc.asset.prior.access_policy.name |
仅输出。AccessPolicy 的资源名称。格式:accessPolicies/{accessPolicy}。 |
keyword |
google_scc.asset.prior.access_policy.parent |
必需。此 AccessPolicy 在云资源层次结构中的父项。创建后当前不可变。格式:organizations/{组织 ID} |
keyword |
google_scc.asset.prior.access_policy.scopes |
策略的作用域定义了 ACM 策略可以限制哪些资源,以及 ACM 资源可以在何处引用。例如,作用域为 ["folders/123"] 的策略具有以下行为:- vpcsc 边界只能限制 folders/123 中的项目 - 访问级别只能被 folders/123 中的资源引用。如果为空,则对 ACM 策略可以限制哪些资源没有限制,并且对 ACM 资源可以在何处引用也没有限制。只有一个策略可以包含给定的作用域(尝试创建第二个包含“folders/123”的策略将导致错误)。目前,创建策略后无法修改作用域。目前,策略只能有一个作用域。格式:文件夹列表/{folder_number} 或项目列表/{project_number}。 |
keyword |
google_scc.asset.prior.access_policy.title |
必需。人类可读的标题。不影响行为。 |
keyword |
google_scc.asset.prior.ancestors |
Google Cloud 资源层次结构中资产的祖先路径,表示为相对资源名称的列表。祖先路径从层次结构中最近的祖先开始,到根结束。如果资产是项目、文件夹或组织,则祖先路径从资产本身开始。示例:["projects/123456789", "folders/5432", "organizations/1234"]。 |
keyword |
google_scc.asset.prior.iam_policy.audit_configs.audit_log_configs.exempted_members |
指定不会为此类型权限触发日志记录的身份。遵循与 Binding.members 相同的格式。 |
keyword |
google_scc.asset.prior.iam_policy.audit_configs.audit_log_configs.log_type |
此配置启用的日志类型。 |
keyword |
google_scc.asset.prior.iam_policy.audit_configs.service |
指定将启用审计日志记录的服务。例如,storage.googleapis.com、cloudsql.googleapis.com。allServices 是一个涵盖所有服务的特殊值。 |
keyword |
google_scc.asset.prior.iam_policy.bindings.condition |
与此绑定关联的条件。如果条件评估为 true,则此绑定适用于当前请求。如果条件评估为 false,则此绑定不适用于当前请求。但是,不同的角色绑定可能会将相同的角色授予此绑定中的一个或多个主体。要了解哪些资源在其 IAM 策略中支持条件,请参阅 IAM 文档。 |
flattened |
google_scc.asset.prior.iam_policy.bindings.members |
指定请求访问 Google Cloud 资源的主体。成员可以具有以下值:allUsers:一个特殊标识符,表示互联网上的任何人;无论是否有 Google 帐户。allAuthenticatedUsers:一个特殊标识符,表示使用 Google 帐户或服务帐户进行身份验证的任何人。user:{emailid}:表示特定 Google 帐户的电子邮件地址。例如,[email protected]。serviceAccount:{emailid}:表示 Google 服务帐户的电子邮件地址。例如,[email protected]。serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]:Kubernetes 服务帐户的标识符。例如,my-project.svc.id.goog[my-namespace/my-kubernetes-sa]。group:{emailid}:表示 Google 群组的电子邮件地址。例如,[email protected]。deleted:user:{emailid}?uid={uniqueid}:表示最近删除的用户(加唯一标识符)的电子邮件地址。例如,[email protected]?uid=123456789012345678901。如果恢复用户,此值将恢复为 user:{emailid},并且恢复的用户将保留绑定中的角色。deleted:serviceAccount:{emailid}?uid={uniqueid}:表示最近删除的服务帐户(加唯一标识符)的电子邮件地址。例如,[email protected]?uid=123456789012345678901。如果取消删除服务帐户,此值将恢复为 serviceAccount:{emailid},并且取消删除的服务帐户将保留绑定中的角色。deleted:group:{emailid}?uid={uniqueid}:表示最近删除的 Google 群组(加唯一标识符)的电子邮件地址。例如,[email protected]?uid=123456789012345678901。如果恢复群组,此值将恢复为 group:{emailid},并且恢复的群组将保留绑定中的角色。domain:{domain}:表示该域的所有用户的 G Suite 域(主要域)。例如,google.com 或 example.com。 |
keyword |
google_scc.asset.prior.iam_policy.bindings.role |
分配给成员或主体的列表的角色。例如,roles/viewer、roles/editor 或 roles/owner。 |
keyword |
google_scc.asset.prior.iam_policy.etag |
etag 用于乐观并发控制,作为一种帮助防止策略同时更新相互覆盖的方式。强烈建议系统在读取-修改-写入循环中使用 etag 来执行策略更新,以避免竞争条件:etag 在 getIamPolicy 的响应中返回,并且系统应将该 etag 放入 setIamPolicy 的请求中,以确保其更改将应用于策略的同一版本。重要提示:如果您使用 IAM 条件,则每次调用 setIamPolicy 时都必须包含 etag 字段。如果您省略此字段,则 IAM 允许您使用版本 1 策略覆盖版本 3 策略,并且版本 3 策略中的所有条件都将丢失。一个 base64 编码的字符串。 |
keyword |
google_scc.asset.prior.iam_policy.version |
指定策略的格式。有效值为 0、1 和 3。指定无效值的请求将被拒绝。任何影响条件角色绑定的操作都必须指定版本 3。此要求适用于以下操作:获取包含条件角色绑定的策略。向策略添加条件角色绑定。更改策略中的条件角色绑定。从包含条件的策略中删除任何角色绑定(无论是否带有条件)。重要提示:如果您使用 IAM 条件,则每次调用 setIamPolicy 时都必须包含 etag 字段。如果您省略此字段,则 IAM 允许您使用版本 1 策略覆盖版本 3 策略,并且版本 3 策略中的所有条件都将丢失。如果策略不包含任何条件,则对该策略的操作可以指定任何有效版本或将该字段保留为未设置。要了解哪些资源在其 IAM 策略中支持条件,请参阅 IAM 文档。 |
keyword |
google_scc.asset.prior.name |
资产的全名。示例://compute.googleapis.com/projects/my_project_123/zones/zone1/instances/instance1。有关更多信息,请参阅资源名称。 |
keyword |
google_scc.asset.prior.organization_policy.boolean_policy.enforced |
如果为 true,则强制执行策略。如果为 false,则任何配置都是可接受的。 |
boolean |
google_scc.asset.prior.organization_policy.constraint |
策略正在配置的约束的名称,例如 constraints/serviceuser.services。可用约束列表可用。创建后不可变。 |
keyword |
google_scc.asset.prior.organization_policy.etag |
指示策略当前版本的不透明标记,用于并发控制。当策略从 policies.get 或 ListOrgPolicy 请求返回时,此 etag 指示在执行读取-修改-写入循环时要使用的当前策略的版本。当策略从 policies.getEffectivePolicy 请求返回时,etag 将被取消设置。当策略在 SetOrgPolicy 方法中使用时,请使用从 GetOrgPolicy 请求返回的 etag 值作为读取-修改-写入循环的一部分以进行并发控制。在 SetOrgPolicy 请求中不设置 etag 将导致策略的无条件写入。一个 base64 编码的字符串。 |
keyword |
google_scc.asset.prior.organization_policy.list_policy.all_values |
策略的 allValues 状态。 |
keyword |
google_scc.asset.prior.organization_policy.list_policy.allowed_values |
此资源允许的值的列表。仅当 allValues 设置为 ALL_VALUES_UNSPECIFIED 时才能设置。 |
keyword |
google_scc.asset.prior.organization_policy.list_policy.denied_values |
此资源拒绝的值的列表。仅当 allValues 设置为 ALL_VALUES_UNSPECIFIED 时才能设置。 |
keyword |
google_scc.asset.prior.organization_policy.list_policy.inherit_from_parent |
确定此策略的继承行为。 |
boolean |
google_scc.asset.prior.organization_policy.list_policy.suggested_value |
可选。Google Cloud Console 将尝试默认使用与此策略中指定的值匹配的配置。如果未设置 suggestedValue,则它将继承在层次结构中较高位置指定的值,除非 inheritFromParent 为 false。 |
keyword |
google_scc.asset.prior.organization_policy.restore_default.etag |
仅输出。AccessPolicy 当前版本的不透明标识符。这将始终是一个经过强验证的 etag,这意味着当且仅当两个 Access Policy 的 etag 相同时,它们才是相同的。客户端不应期望此项采用任何特定格式。 |
keyword |
google_scc.asset.prior.organization_policy.restore_default.name |
仅输出。AccessPolicy 的资源名称。格式:accessPolicies/{accessPolicy}。 |
keyword |
google_scc.asset.prior.organization_policy.restore_default.parent |
必需。此 AccessPolicy 在云资源层次结构中的父级。创建后当前不可变。格式:organizations/{organization_id}。 |
keyword |
google_scc.asset.prior.organization_policy.restore_default.scopes |
策略的作用域定义了 ACM 策略可以限制哪些资源,以及可以在哪里引用 ACM 资源。例如,具有 scopes=["folders/123"] 的策略具有以下行为: - vpcsc 外围信息只能限制 folders/123 内的项目 - 访问级别只能由 folders/123 内的资源引用。如果为空,则对 ACM 策略可以限制哪些资源没有限制,并且对可以在哪里引用 ACM 资源没有限制。只有一个策略可以包含给定的作用域(尝试创建包含“folders/123”的第二个策略将导致错误)。当前,创建策略后无法修改作用域。当前,策略只能有一个作用域。格式:folders/{文件夹编号} 或 projects/{项目编号} 的列表 |
keyword |
google_scc.asset.prior.organization_policy.restore_default.title |
必需。人类可读的标题。不影响行为。 |
keyword |
google_scc.asset.prior.organization_policy.update_time |
上次更新策略的时间戳。这是由服务器设置的,而不是由调用者指定的,表示上次为此策略调用 SetOrgPolicy 的时间。客户端设置的任何值都将被忽略。RFC3339 UTC“Zulu”格式的时间戳,具有纳秒分辨率,最多可有九个小数位。示例:“2014-10-02T15:01:23Z”和“2014-10-02T15:01:23.045123456Z”。 |
日期 |
google_scc.asset.prior.organization_policy.version |
策略的版本。默认版本为 0。 |
keyword |
google_scc.asset.prior.os_inventory.items |
flattened |
|
google_scc.asset.prior.os_inventory.name |
仅限输出。Inventory API 资源名称。格式:projects/{项目编号}/locations/{位置}/instances/{实例 ID}/inventory。 |
keyword |
google_scc.asset.prior.os_inventory.os_info.architecture |
操作系统的系统架构。 |
keyword |
google_scc.asset.prior.os_inventory.os_info.hostname |
虚拟机主机名。 |
keyword |
google_scc.asset.prior.os_inventory.os_info.kernel.release |
操作系统的内核版本。 |
keyword |
google_scc.asset.prior.os_inventory.os_info.kernel.version |
操作系统的内核版本。 |
keyword |
google_scc.asset.prior.os_inventory.os_info.long_name |
操作系统长名称。例如,Debian GNU/Linux 9 或 Microsoft Window Server 2019 Datacenter。 |
keyword |
google_scc.asset.prior.os_inventory.os_info.os_config_agent_version |
虚拟机上运行的 OS Config 代理的当前版本。 |
keyword |
google_scc.asset.prior.os_inventory.os_info.short_name |
操作系统短名称。例如,windows 或 debian。 |
keyword |
google_scc.asset.prior.os_inventory.os_info.version |
操作系统的版本。 |
keyword |
google_scc.asset.prior.os_inventory.update_time |
仅限输出。上次报告虚拟机清单的时间戳。采用 RFC3339 UTC“Zulu”格式的时间戳,具有纳秒级分辨率和最多九个小数位。示例:“2014-10-02T15:01:23Z”和“2014-10-02T15:01:23.045123456Z”。 |
日期 |
google_scc.asset.prior.related_asset.ancestors |
Google Cloud 资源层次结构中资产的祖先,表示为相对资源名称的列表。祖先路径从层次结构中最接近的祖先开始,到根结束。示例:["projects/123456789", "folders/5432", "organizations/1234"]。 |
keyword |
google_scc.asset.prior.related_asset.name |
资产的全名。示例://compute.googleapis.com/projects/my_project_123/zones/zone1/instances/instance1。有关更多信息,请参阅资源名称。 |
keyword |
google_scc.asset.prior.related_asset.relationship_type |
关系类型的唯一标识符。示例:INSTANCE_TO_INSTANCEGROUP |
keyword |
google_scc.asset.prior.related_asset.type |
资产的类型。示例:compute.googleapis.com/Disk。有关详细信息,请参阅支持的资产类型。 |
keyword |
google_scc.asset.prior.related_assets.assets.ancestors |
Google Cloud 资源层次结构中资产的祖先,表示为相对资源名称的列表。祖先路径从层次结构中最接近的祖先开始,到根结束。示例:["projects/123456789", "folders/5432", "organizations/1234"]。 |
keyword |
google_scc.asset.prior.related_assets.assets.name |
资产的全名。示例://compute.googleapis.com/projects/my_project_123/zones/zone1/instances/instance1。有关更多信息,请参阅资源名称。 |
keyword |
google_scc.asset.prior.related_assets.assets.relationship_type |
关系类型的唯一标识符。示例:INSTANCE_TO_INSTANCEGROUP |
keyword |
google_scc.asset.prior.related_assets.assets.type |
资产的类型。示例:compute.googleapis.com/Disk。有关详细信息,请参阅支持的资产类型。 |
keyword |
google_scc.asset.prior.related_assets.relationship_attributes.action |
关系的详细信息,例如,包含、附加。 |
keyword |
google_scc.asset.prior.related_assets.relationship_attributes.source_resource_type |
源资产类型。示例:compute.googleapis.com/Instance。 |
keyword |
google_scc.asset.prior.related_assets.relationship_attributes.target_resource_type |
目标资产类型。示例:compute.googleapis.com/Disk。 |
keyword |
google_scc.asset.prior.related_assets.relationship_attributes.type |
关系类型的唯一标识符。示例:INSTANCE_TO_INSTANCEGROUP。 |
keyword |
google_scc.asset.prior.resource.data |
资源的内容,其中删除了一些敏感字段,可能不存在。 |
flattened |
google_scc.asset.prior.resource.discovery.document_uri |
包含资源 JSON 架构的发现文档的 URL。示例:https://www.googleapis.com/discovery/v1/apis/compute/v1/rest 此值对于没有基于发现文档的 API 的资源(例如 Cloud Bigtable)未指定。 |
keyword |
google_scc.asset.prior.resource.discovery.name |
发现文档中列出的 JSON 架构名称。示例:Project 此值对于没有基于发现文档的 API 的资源(例如 Cloud Bigtable)未指定。 |
keyword |
google_scc.asset.prior.resource.location |
资源在 Google Cloud 中的位置,例如其区域和地区。有关详细信息,请参阅 https://cloud.google.com/about/locations/。 |
keyword |
google_scc.asset.prior.resource.parent |
此资源的直接父级的完整名称。有关详细信息,请参阅资源名称。对于 Google Cloud 资产,此值是在 Cloud IAM 策略层次结构中定义的父资源。示例://cloudresourcemanager.googleapis.com/projects/my_project_123 对于第三方资产,此字段的设置可能不同。 |
keyword |
google_scc.asset.prior.resource.url |
用于访问资源的 REST URL。使用此 URL 的 HTTP GET 请求会返回资源本身。示例:https://cloudresourcemanager.googleapis.com/v1/projects/my-project-1233[https://cloudresourcemanager.googleapis.com/v1/projects/my-project-1233] 此值对于没有 REST API 的资源未指定。 |
keyword |
google_scc.asset.prior.resource.version |
API 版本。示例:v1。 |
keyword |
google_scc.asset.prior.service_perimeter.description |
ServicePerimeter 及其用途的描述。不会影响行为。 |
keyword |
google_scc.asset.prior.service_perimeter.name |
必需。ServicePerimeter 的资源名称。shortName 组件必须以字母开头,并且只能包含字母数字和 _。格式:accessPolicies/{accessPolicy}/servicePerimeters/{servicePerimeter}。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.access_levels |
允许从 Internet 访问 ServicePerimeter 内的资源的 AccessLevel 资源名称列表。列出的 AccessLevel 必须与此 ServicePerimeter 在同一策略中。引用不存在的 AccessLevel 是语法错误。如果未列出任何 AccessLevel 名称,则只能通过 Google Cloud 调用(请求来自外围信息内)来访问外围信息内的资源。示例:“accessPolicies/MY_POLICY/accessLevels/MY_LEVEL”。对于 Service Perimeter Bridge,必须为空。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.egress_policies.egress_from.identities |
允许通过此 [EgressPolicy] 访问的身份列表。应采用电子邮件地址的格式。电子邮件地址应仅表示单个用户或服务帐号。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.egress_policies.egress_from.identity_type |
指定允许访问外围信息外部的身份类型。如果未指定,则将允许 identities 字段的成员进行访问。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.egress_policies.egress_to.external_resources |
允许访问的外部资源列表。仅支持 AWS 和 Azure 资源。对于 Amazon S3,支持的格式为 s3://BUCKET_NAME。对于 Azure Storage,支持的格式为 azure://myaccount.blob.core.windows.net/CONTAINER_NAME。如果请求包含此列表中的外部资源,则请求匹配(示例:s3://bucket/path)。目前不允许使用 *。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.egress_policies.egress_to.operations.method_selectors.method |
方法的 value 应为 ApiOperation 中对应 serviceName 的有效方法名称。如果 * 用作方法的 value,则允许所有方法和权限。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.egress_policies.egress_to.operations.method_selectors.permission |
权限的 value 应为 ApiOperation 中对应 serviceName 的有效 Cloud IAM 权限。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.egress_policies.egress_to.operations.service_name |
IngressPolicy 或 EgressPolicy 希望允许其方法或权限的 API 的名称。将 serviceName 字段设置为 * 的单个 ApiOperation 将允许所有服务的所有方法和权限。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.egress_policies.egress_to.resources |
资源列表,目前只有 projects/<项目编号> 形式的项目,允许由相应 EgressFrom 中定义的源访问。如果请求包含此列表中的资源,则请求匹配。如果为资源指定了 *,则此 EgressTo 规则将授权访问外围信息外部的所有资源。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.ingress_policies.ingress_from.identities |
允许通过此入口策略访问的身份列表。应采用电子邮件地址的格式。电子邮件地址应仅表示单个用户或服务帐号。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.ingress_policies.ingress_from.identity_type |
指定允许从外围信息外部访问的身份类型。如果未指定,则将允许 identities 字段的成员进行访问。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.ingress_policies.ingress_from.sources.access_level |
允许从 Internet 访问 ServicePerimeters 内的资源的 AccessLevel 资源名称。列出的 AccessLevel 必须与此 ServicePerimeter 在同一策略中。引用不存在的 AccessLevel 将导致错误。如果未列出任何 AccessLevel 名称,则只能通过 Google Cloud 调用(请求来自外围信息内)来访问外围信息内的资源。示例:accessPolicies/MY_POLICY/accessLevels/MY_LEVEL。如果为 accessLevel 指定了单个 *,则将允许所有 IngressSources。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.ingress_policies.ingress_from.sources.resource |
允许进入边界的 Google Cloud 资源。来自这些资源的请求将被允许访问边界数据。目前仅允许项目。格式:projects/{项目编号} 该项目可能位于任何 Google Cloud 组织中,而不仅仅是定义边界的组织中。不允许使用 *,不支持仅允许所有 Google Cloud 资源的情况。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.ingress_policies.ingress_to.operations.method_selectors.method |
方法的 value 应为 ApiOperation 中对应 serviceName 的有效方法名称。如果 * 用作方法的 value,则允许所有方法和权限。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.ingress_policies.ingress_to.operations.method_selectors.permission |
权限的 value 应为 ApiOperation 中对应 serviceName 的有效 Cloud IAM 权限。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.ingress_policies.ingress_to.operations.service_name |
IngressPolicy 或 EgressPolicy 希望允许其方法或权限的 API 的名称。将 serviceName 字段设置为 * 的单个 ApiOperation 将允许所有服务的所有方法和权限。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.ingress_policies.ingress_to.resources |
受此服务边界保护的资源列表,目前仅支持 projects/<项目编号> 格式的项目,允许由相应的 IngressFrom 中定义的源访问。如果指定单个 *,则允许访问边界内的所有资源。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.resources |
位于服务边界内的 Google Cloud 资源列表。目前仅允许项目。格式:projects/{项目编号}。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.restricted_services |
受服务边界限制约束的 Google Cloud 服务。例如,如果指定了 storage.googleapis.com,则对边界内存储桶的访问必须满足边界的访问限制。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.vpc_accessible_services.allowed_services |
可在服务边界内使用的 API 列表。除非enableRestriction 为 True,否则必须为空。您可以指定单个服务列表,也可以包括 RESTRICTED-SERVICES 值,该值会自动包含受边界保护的所有服务。 |
keyword |
google_scc.asset.prior.service_perimeter.spec.vpc_accessible_services.enable_restriction |
是否将服务边界内的 API 调用限制为 allowedServices 中指定的 API 列表。 |
boolean |
google_scc.asset.prior.service_perimeter.status.access_levels |
允许从 Internet 访问 ServicePerimeter 内的资源的 AccessLevel 资源名称列表。列出的 AccessLevel 必须与此 ServicePerimeter 在同一策略中。引用不存在的 AccessLevel 是语法错误。如果未列出任何 AccessLevel 名称,则只能通过 Google Cloud 调用(请求来自外围信息内)来访问外围信息内的资源。示例:“accessPolicies/MY_POLICY/accessLevels/MY_LEVEL”。对于 Service Perimeter Bridge,必须为空。 |
keyword |
google_scc.asset.prior.service_perimeter.status.egress_policies.egress_from.identities |
允许通过此 [EgressPolicy] 访问的身份列表。应采用电子邮件地址的格式。电子邮件地址应仅表示单个用户或服务帐号。 |
keyword |
google_scc.asset.prior.service_perimeter.status.egress_policies.egress_from.identity_type |
指定允许访问外围信息外部的身份类型。如果未指定,则将允许 identities 字段的成员进行访问。 |
keyword |
google_scc.asset.prior.service_perimeter.status.egress_policies.egress_to.external_resources |
允许访问的外部资源列表。仅支持 AWS 和 Azure 资源。对于 Amazon S3,支持的格式为 s3://BUCKET_NAME。对于 Azure Storage,支持的格式为 azure://myaccount.blob.core.windows.net/CONTAINER_NAME。如果请求包含此列表中的外部资源,则请求匹配(示例:s3://bucket/path)。目前不允许使用 *。 |
keyword |
google_scc.asset.prior.service_perimeter.status.egress_policies.egress_to.operations.method_selectors.method |
方法的 value 应为 ApiOperation 中对应 serviceName 的有效方法名称。如果 * 用作方法的 value,则允许所有方法和权限。 |
keyword |
google_scc.asset.prior.service_perimeter.status.egress_policies.egress_to.operations.method_selectors.permission |
权限的 value 应为 ApiOperation 中对应 serviceName 的有效 Cloud IAM 权限。 |
keyword |
google_scc.asset.prior.service_perimeter.status.egress_policies.egress_to.operations.service_name |
IngressPolicy 或 EgressPolicy 希望允许其方法或权限的 API 的名称。将 serviceName 字段设置为 * 的单个 ApiOperation 将允许所有服务的所有方法和权限。 |
keyword |
google_scc.asset.prior.service_perimeter.status.egress_policies.egress_to.resources |
资源列表,目前只有 projects/<项目编号> 形式的项目,允许由相应 EgressFrom 中定义的源访问。如果请求包含此列表中的资源,则请求匹配。如果为资源指定了 *,则此 EgressTo 规则将授权访问外围信息外部的所有资源。 |
keyword |
google_scc.asset.prior.service_perimeter.status.ingress_policies.ingress_from.identities |
允许通过此入口策略访问的身份列表。应采用电子邮件地址的格式。电子邮件地址应仅表示单个用户或服务帐号。 |
keyword |
google_scc.asset.prior.service_perimeter.status.ingress_policies.ingress_from.identity_type |
指定允许从外围信息外部访问的身份类型。如果未指定,则将允许 identities 字段的成员进行访问。 |
keyword |
google_scc.asset.prior.service_perimeter.status.ingress_policies.ingress_from.sources.access_level |
允许从 Internet 访问 ServicePerimeters 内的资源的 AccessLevel 资源名称。列出的 AccessLevel 必须与此 ServicePerimeter 在同一策略中。引用不存在的 AccessLevel 将导致错误。如果未列出任何 AccessLevel 名称,则只能通过 Google Cloud 调用(请求来自外围信息内)来访问外围信息内的资源。示例:accessPolicies/MY_POLICY/accessLevels/MY_LEVEL。如果为 accessLevel 指定了单个 *,则将允许所有 IngressSources。 |
keyword |
google_scc.asset.prior.service_perimeter.status.ingress_policies.ingress_from.sources.resource |
允许进入边界的 Google Cloud 资源。来自这些资源的请求将被允许访问边界数据。目前仅允许项目。格式:projects/{项目编号} 该项目可能位于任何 Google Cloud 组织中,而不仅仅是定义边界的组织中。不允许使用 *,不支持仅允许所有 Google Cloud 资源的情况。 |
keyword |
google_scc.asset.prior.service_perimeter.status.ingress_policies.ingress_to.operations.method_selectors.method |
方法的 value 应为 ApiOperation 中对应 serviceName 的有效方法名称。如果 * 用作方法的 value,则允许所有方法和权限。 |
keyword |
google_scc.asset.prior.service_perimeter.status.ingress_policies.ingress_to.operations.method_selectors.permission |
权限的 value 应为 ApiOperation 中对应 serviceName 的有效 Cloud IAM 权限。 |
keyword |
google_scc.asset.prior.service_perimeter.status.ingress_policies.ingress_to.operations.service_name |
IngressPolicy 或 EgressPolicy 希望允许其方法或权限的 API 的名称。将 serviceName 字段设置为 * 的单个 ApiOperation 将允许所有服务的所有方法和权限。 |
keyword |
google_scc.asset.prior.service_perimeter.status.ingress_policies.ingress_to.resources |
受此服务边界保护的资源列表,目前仅支持 projects/<项目编号> 格式的项目,允许由相应的 IngressFrom 中定义的源访问。如果指定单个 *,则允许访问边界内的所有资源。 |
keyword |
google_scc.asset.prior.service_perimeter.status.resources |
位于服务边界内的 Google Cloud 资源列表。目前仅允许项目。格式:projects/{项目编号}。 |
keyword |
google_scc.asset.prior.service_perimeter.status.restricted_services |
受服务边界限制约束的 Google Cloud 服务。例如,如果指定了 storage.googleapis.com,则对边界内存储桶的访问必须满足边界的访问限制。 |
keyword |
google_scc.asset.prior.service_perimeter.status.vpc_accessible_services.allowed_services |
可在服务边界内使用的 API 列表。除非enableRestriction 为 True,否则必须为空。您可以指定单个服务列表,也可以包括 RESTRICTED-SERVICES 值,该值会自动包含受边界保护的所有服务。 |
keyword |
google_scc.asset.prior.service_perimeter.status.vpc_accessible_services.enable_restriction |
是否将服务边界内的 API 调用限制为 allowedServices 中指定的 API 列表。 |
boolean |
google_scc.asset.prior.service_perimeter.title |
人类可读的标题。在策略中必须唯一。 |
keyword |
google_scc.asset.prior.service_perimeter.type |
边界类型指示符。单个项目可以是一个常规边界的成员,但可以是多个服务边界桥的成员。一个项目不能既包含在常规边界中,又包含在边界桥中。对于边界桥,受限服务列表以及访问级别列表必须为空。 |
keyword |
google_scc.asset.prior.service_perimeter.use_explicit_dry_run_spec |
使用显式试运行规范标志。通常,所有服务边界都隐式存在一个试运行规范,该规范与这些服务边界的状态相同。设置此标志后,会抑制隐式规范的生成,从而允许用户显式提供配置(“spec”)以在服务边界的试运行版本中使用。这允许用户测试对强制配置(“status”)的更改,而无需实际强制执行这些更改。此测试通过分析当前强制执行的限制和建议的限制之间的差异来完成。如果 spec 中的任何字段设置为非默认值,则必须将 useExplicitDryRunSpec 设置为 True。 |
boolean |
google_scc.asset.prior.type |
资产的类型。示例:compute.googleapis.com/Disk。有关更多信息,请参阅支持的资产类型。 |
keyword |
google_scc.asset.prior.update_time |
资产的上次更新时间戳。当执行创建/更新/删除操作时,将更新 updateTime。采用 RFC3339 UTC“Zulu”格式的时间戳,具有纳秒级分辨率和最多九位小数。示例:“2014-10-02T15:01:23Z”和“2014-10-02T15:01:23.045123456Z”。 |
日期 |
google_scc.asset.prior_asset_state |
keyword |
|
google_scc.asset.related_asset.ancestors |
Google Cloud 资源层次结构中资产的祖先,表示为相对资源名称的列表。祖先路径从层次结构中最接近的祖先开始,到根结束。示例:["projects/123456789", "folders/5432", "organizations/1234"]。 |
keyword |
google_scc.asset.related_asset.name |
资产的全名。示例://compute.googleapis.com/projects/my_project_123/zones/zone1/instances/instance1。有关更多信息,请参阅资源名称。 |
keyword |
google_scc.asset.related_asset.relationship_type |
关系类型的唯一标识符。示例:INSTANCE_TO_INSTANCEGROUP。 |
keyword |
google_scc.asset.related_asset.type |
资产的类型。示例:compute.googleapis.com/Disk。有关详细信息,请参阅支持的资产类型。 |
keyword |
google_scc.asset.related_assets.assets.ancestors |
Google Cloud 资源层次结构中资产的祖先,表示为相对资源名称的列表。祖先路径从层次结构中最接近的祖先开始,到根结束。示例:["projects/123456789", "folders/5432", "organizations/1234"]。 |
keyword |
google_scc.asset.related_assets.assets.name |
资产的全名。示例://compute.googleapis.com/projects/my_project_123/zones/zone1/instances/instance1。有关更多信息,请参阅资源名称。 |
keyword |
google_scc.asset.related_assets.assets.relationship_type |
关系类型的唯一标识符。示例:INSTANCE_TO_INSTANCEGROUP。 |
keyword |
google_scc.asset.related_assets.assets.type |
资产的类型。示例:compute.googleapis.com/Disk。有关详细信息,请参阅支持的资产类型。 |
keyword |
google_scc.asset.related_assets.relationship_attributes.action |
关系的详细信息,例如,包含、附加。 |
keyword |
google_scc.asset.related_assets.relationship_attributes.source_resource_type |
源资产类型。示例:compute.googleapis.com/Instance。 |
keyword |
google_scc.asset.related_assets.relationship_attributes.target_resource_type |
目标资产类型。示例:compute.googleapis.com/Disk。 |
keyword |
google_scc.asset.related_assets.relationship_attributes.type |
关系类型的唯一标识符。示例:INSTANCE_TO_INSTANCEGROUP。 |
keyword |
google_scc.asset.resource.data |
资源的内容,其中删除了一些敏感字段,可能不存在。 |
flattened |
google_scc.asset.resource.discovery.document_uri |
包含资源 JSON 架构的发现文档的 URL。示例:https://www.googleapis.com/discovery/v1/apis/compute/v1/rest 此值对于没有基于发现文档的 API 的资源(例如 Cloud Bigtable)未指定。 |
keyword |
google_scc.asset.resource.discovery.name |
发现文档中列出的 JSON 架构名称。示例:Project 此值对于没有基于发现文档的 API 的资源(例如 Cloud Bigtable)未指定。 |
keyword |
google_scc.asset.resource.location |
资源在 Google Cloud 中的位置,例如其区域和地区。有关详细信息,请参阅 https://cloud.google.com/about/locations/。 |
keyword |
google_scc.asset.resource.parent |
此资源的直接父级的完整名称。有关详细信息,请参阅资源名称。对于 Google Cloud 资产,此值是在 Cloud IAM 策略层次结构中定义的父资源。示例://cloudresourcemanager.googleapis.com/projects/my_project_123 对于第三方资产,此字段的设置可能不同。 |
keyword |
google_scc.asset.resource.url |
用于访问资源的 REST URL。使用此 URL 的 HTTP GET 请求会返回资源本身。示例:https://cloudresourcemanager.googleapis.com/v1/projects/my-project-1233[https://cloudresourcemanager.googleapis.com/v1/projects/my-project-1233] 此值对于没有 REST API 的资源未指定。 |
keyword |
google_scc.asset.resource.version |
API 版本。示例:v1。 |
keyword |
google_scc.asset.service_perimeter.description |
ServicePerimeter 及其用途的描述。不会影响行为。 |
keyword |
google_scc.asset.service_perimeter.name |
必需。ServicePerimeter 的资源名称。shortName 组件必须以字母开头,并且只能包含字母数字和 _。格式:accessPolicies/{accessPolicy}/servicePerimeters/{servicePerimeter}。 |
keyword |
google_scc.asset.service_perimeter.spec.access_levels |
允许从 Internet 访问 ServicePerimeter 内的资源的 AccessLevel 资源名称列表。列出的 AccessLevel 必须与此 ServicePerimeter 在同一策略中。引用不存在的 AccessLevel 是语法错误。如果未列出任何 AccessLevel 名称,则只能通过 Google Cloud 调用(请求来自外围信息内)来访问外围信息内的资源。示例:“accessPolicies/MY_POLICY/accessLevels/MY_LEVEL”。对于 Service Perimeter Bridge,必须为空。 |
keyword |
google_scc.asset.service_perimeter.spec.egress_policies.egress_from.identities |
允许通过此 [EgressPolicy] 访问的身份列表。应采用电子邮件地址的格式。电子邮件地址应仅表示单个用户或服务帐号。 |
keyword |
google_scc.asset.service_perimeter.spec.egress_policies.egress_from.identity_type |
指定允许访问外围信息外部的身份类型。如果未指定,则将允许 identities 字段的成员进行访问。 |
keyword |
google_scc.asset.service_perimeter.spec.egress_policies.egress_to.external_resources |
允许访问的外部资源列表。仅支持 AWS 和 Azure 资源。对于 Amazon S3,支持的格式为 s3://BUCKET_NAME。对于 Azure Storage,支持的格式为 azure://myaccount.blob.core.windows.net/CONTAINER_NAME。如果请求包含此列表中的外部资源,则请求匹配(示例:s3://bucket/path)。目前不允许使用 *。 |
keyword |
google_scc.asset.service_perimeter.spec.egress_policies.egress_to.operations.method_selectors.method |
方法的 value 应为 ApiOperation 中对应 serviceName 的有效方法名称。如果 * 用作方法的 value,则允许所有方法和权限。 |
keyword |
google_scc.asset.service_perimeter.spec.egress_policies.egress_to.operations.method_selectors.permission |
权限的 value 应为 ApiOperation 中对应 serviceName 的有效 Cloud IAM 权限。 |
keyword |
google_scc.asset.service_perimeter.spec.egress_policies.egress_to.operations.service_name |
IngressPolicy 或 EgressPolicy 希望允许其方法或权限的 API 的名称。将 serviceName 字段设置为 * 的单个 ApiOperation 将允许所有服务的所有方法和权限。 |
keyword |
google_scc.asset.service_perimeter.spec.egress_policies.egress_to.resources |
资源列表,目前只有 projects/<项目编号> 形式的项目,允许由相应 EgressFrom 中定义的源访问。如果请求包含此列表中的资源,则请求匹配。如果为资源指定了 *,则此 EgressTo 规则将授权访问外围信息外部的所有资源。 |
keyword |
google_scc.asset.service_perimeter.spec.ingress_policies.ingress_from.identities |
允许通过此入口策略访问的身份列表。应采用电子邮件地址的格式。电子邮件地址应仅表示单个用户或服务帐号。 |
keyword |
google_scc.asset.service_perimeter.spec.ingress_policies.ingress_from.identity_type |
指定允许从外围信息外部访问的身份类型。如果未指定,则将允许 identities 字段的成员进行访问。 |
keyword |
google_scc.asset.service_perimeter.spec.ingress_policies.ingress_from.sources.access_level |
允许从 Internet 访问 ServicePerimeters 内的资源的 AccessLevel 资源名称。列出的 AccessLevel 必须与此 ServicePerimeter 在同一策略中。引用不存在的 AccessLevel 将导致错误。如果未列出任何 AccessLevel 名称,则只能通过 Google Cloud 调用(请求来自外围信息内)来访问外围信息内的资源。示例:accessPolicies/MY_POLICY/accessLevels/MY_LEVEL。如果为 accessLevel 指定了单个 *,则将允许所有 IngressSources。 |
keyword |
google_scc.asset.service_perimeter.spec.ingress_policies.ingress_from.sources.resource |
允许进入边界的 Google Cloud 资源。来自这些资源的请求将被允许访问边界数据。目前仅允许项目。格式:projects/{项目编号} 该项目可能位于任何 Google Cloud 组织中,而不仅仅是定义边界的组织中。不允许使用 *,不支持仅允许所有 Google Cloud 资源的情况。 |
keyword |
google_scc.asset.service_perimeter.spec.ingress_policies.ingress_to.operations.method_selectors.method |
方法的 value 应为 ApiOperation 中对应 serviceName 的有效方法名称。如果 * 用作方法的 value,则允许所有方法和权限。 |
keyword |
google_scc.asset.service_perimeter.spec.ingress_policies.ingress_to.operations.method_selectors.permission |
权限的 value 应为 ApiOperation 中对应 serviceName 的有效 Cloud IAM 权限。 |
keyword |
google_scc.asset.service_perimeter.spec.ingress_policies.ingress_to.operations.service_name |
IngressPolicy 或 EgressPolicy 希望允许其方法或权限的 API 的名称。将 serviceName 字段设置为 * 的单个 ApiOperation 将允许所有服务的所有方法和权限。 |
keyword |
google_scc.asset.service_perimeter.spec.ingress_policies.ingress_to.resources |
受此服务边界保护的资源列表,目前仅支持 projects/<项目编号> 格式的项目,允许由相应的 IngressFrom 中定义的源访问。如果指定单个 *,则允许访问边界内的所有资源。 |
keyword |
google_scc.asset.service_perimeter.spec.resources |
位于服务边界内的 Google Cloud 资源列表。目前仅允许项目。格式:projects/{项目编号}。 |
keyword |
google_scc.asset.service_perimeter.spec.restricted_services |
受服务边界限制约束的 Google Cloud 服务。例如,如果指定了 storage.googleapis.com,则对边界内存储桶的访问必须满足边界的访问限制。 |
keyword |
google_scc.asset.service_perimeter.spec.vpc_accessible_services.allowed_services |
可在服务边界内使用的 API 列表。除非enableRestriction 为 True,否则必须为空。您可以指定单个服务列表,也可以包括 RESTRICTED-SERVICES 值,该值会自动包含受边界保护的所有服务。 |
keyword |
google_scc.asset.service_perimeter.spec.vpc_accessible_services.enable_restriction |
是否将服务边界内的 API 调用限制为 allowedServices 中指定的 API 列表。 |
boolean |
google_scc.asset.service_perimeter.status.access_levels |
允许从 Internet 访问 ServicePerimeter 内的资源的 AccessLevel 资源名称列表。列出的 AccessLevel 必须与此 ServicePerimeter 在同一策略中。引用不存在的 AccessLevel 是语法错误。如果未列出任何 AccessLevel 名称,则只能通过 Google Cloud 调用(请求来自外围信息内)来访问外围信息内的资源。示例:“accessPolicies/MY_POLICY/accessLevels/MY_LEVEL”。对于 Service Perimeter Bridge,必须为空。 |
keyword |
google_scc.asset.service_perimeter.status.egress_policies.egress_from.identities |
允许通过此 [EgressPolicy] 访问的身份列表。应采用电子邮件地址的格式。电子邮件地址应仅表示单个用户或服务帐号。 |
keyword |
google_scc.asset.service_perimeter.status.egress_policies.egress_from.identity_type |
指定允许访问外围信息外部的身份类型。如果未指定,则将允许 identities 字段的成员进行访问。 |
keyword |
google_scc.asset.service_perimeter.status.egress_policies.egress_to.external_resources |
允许访问的外部资源列表。仅支持 AWS 和 Azure 资源。对于 Amazon S3,支持的格式为 s3://BUCKET_NAME。对于 Azure Storage,支持的格式为 azure://myaccount.blob.core.windows.net/CONTAINER_NAME。如果请求包含此列表中的外部资源,则请求匹配(示例:s3://bucket/path)。目前不允许使用 *。 |
keyword |
google_scc.asset.service_perimeter.status.egress_policies.egress_to.operations.method_selectors.method |
方法的 value 应为 ApiOperation 中对应 serviceName 的有效方法名称。如果 * 用作方法的 value,则允许所有方法和权限。 |
keyword |
google_scc.asset.service_perimeter.status.egress_policies.egress_to.operations.method_selectors.permission |
权限的 value 应为 ApiOperation 中对应 serviceName 的有效 Cloud IAM 权限。 |
keyword |
google_scc.asset.service_perimeter.status.egress_policies.egress_to.operations.service_name |
IngressPolicy 或 EgressPolicy 希望允许其方法或权限的 API 的名称。将 serviceName 字段设置为 * 的单个 ApiOperation 将允许所有服务的所有方法和权限。 |
keyword |
google_scc.asset.service_perimeter.status.egress_policies.egress_to.resources |
资源列表,目前只有 projects/<项目编号> 形式的项目,允许由相应 EgressFrom 中定义的源访问。如果请求包含此列表中的资源,则请求匹配。如果为资源指定了 *,则此 EgressTo 规则将授权访问外围信息外部的所有资源。 |
keyword |
google_scc.asset.service_perimeter.status.ingress_policies.ingress_from.identities |
允许通过此入口策略访问的身份列表。应采用电子邮件地址的格式。电子邮件地址应仅表示单个用户或服务帐号。 |
keyword |
google_scc.asset.service_perimeter.status.ingress_policies.ingress_from.identity_type |
指定允许从外围信息外部访问的身份类型。如果未指定,则将允许 identities 字段的成员进行访问。 |
keyword |
google_scc.asset.service_perimeter.status.ingress_policies.ingress_from.sources.access_level |
允许从 Internet 访问 ServicePerimeters 内的资源的 AccessLevel 资源名称。列出的 AccessLevel 必须与此 ServicePerimeter 在同一策略中。引用不存在的 AccessLevel 将导致错误。如果未列出任何 AccessLevel 名称,则只能通过 Google Cloud 调用(请求来自外围信息内)来访问外围信息内的资源。示例:accessPolicies/MY_POLICY/accessLevels/MY_LEVEL。如果为 accessLevel 指定了单个 *,则将允许所有 IngressSources。 |
keyword |
google_scc.asset.service_perimeter.status.ingress_policies.ingress_from.sources.resource |
允许进入边界的 Google Cloud 资源。来自这些资源的请求将被允许访问边界数据。目前仅允许项目。格式:projects/{项目编号} 该项目可能位于任何 Google Cloud 组织中,而不仅仅是定义边界的组织中。不允许使用 *,不支持仅允许所有 Google Cloud 资源的情况。 |
keyword |
google_scc.asset.service_perimeter.status.ingress_policies.ingress_to.operations.method_selectors.method |
方法的 value 应为 ApiOperation 中对应 serviceName 的有效方法名称。如果 * 用作方法的 value,则允许所有方法和权限。 |
keyword |
google_scc.asset.service_perimeter.status.ingress_policies.ingress_to.operations.method_selectors.permission |
权限的 value 应为 ApiOperation 中对应 serviceName 的有效 Cloud IAM 权限。 |
keyword |
google_scc.asset.service_perimeter.status.ingress_policies.ingress_to.operations.service_name |
IngressPolicy 或 EgressPolicy 希望允许其方法或权限的 API 的名称。将 serviceName 字段设置为 * 的单个 ApiOperation 将允许所有服务的所有方法和权限。 |
keyword |
google_scc.asset.service_perimeter.status.ingress_policies.ingress_to.resources |
受此服务边界保护的资源列表,目前仅支持 projects/<项目编号> 格式的项目,允许由相应的 IngressFrom 中定义的源访问。如果指定单个 *,则允许访问边界内的所有资源。 |
keyword |
google_scc.asset.service_perimeter.status.resources |
位于服务边界内的 Google Cloud 资源列表。目前仅允许项目。格式:projects/{项目编号}。 |
keyword |
google_scc.asset.service_perimeter.status.restricted_services |
受服务边界限制约束的 Google Cloud 服务。例如,如果指定了 storage.googleapis.com,则对边界内存储桶的访问必须满足边界的访问限制。 |
keyword |
google_scc.asset.service_perimeter.status.vpc_accessible_services.allowed_services |
可在服务边界内使用的 API 列表。除非enableRestriction 为 True,否则必须为空。您可以指定单个服务列表,也可以包括 RESTRICTED-SERVICES 值,该值会自动包含受边界保护的所有服务。 |
keyword |
google_scc.asset.service_perimeter.status.vpc_accessible_services.enable_restriction |
是否将服务边界内的 API 调用限制为 allowedServices 中指定的 API 列表。 |
boolean |
google_scc.asset.service_perimeter.title |
人类可读的标题。在策略中必须唯一。 |
keyword |
google_scc.asset.service_perimeter.type |
边界类型指示符。单个项目可以是一个常规边界的成员,但可以是多个服务边界桥的成员。一个项目不能既包含在常规边界中,又包含在边界桥中。对于边界桥,受限服务列表以及访问级别列表必须为空。 |
keyword |
google_scc.asset.service_perimeter.use_explicit_dry_run_spec |
使用显式试运行规范标志。通常,所有服务边界都隐式存在一个试运行规范,该规范与这些服务边界的状态相同。设置此标志后,会抑制隐式规范的生成,从而允许用户显式提供配置(“spec”)以在服务边界的试运行版本中使用。这允许用户测试对强制配置(“status”)的更改,而无需实际强制执行这些更改。此测试通过分析当前强制执行的限制和建议的限制之间的差异来完成。如果 spec 中的任何字段设置为非默认值,则必须将 useExplicitDryRunSpec 设置为 True。 |
boolean |
google_scc.asset.type |
资产的类型。示例:compute.googleapis.com/Disk。有关更多信息,请参阅支持的资产类型。 |
keyword |
google_scc.asset.update_time |
资产的上次更新时间戳。当执行创建/更新/删除操作时,将更新 updateTime。采用 RFC3339 UTC“Zulu”格式的时间戳,具有纳秒级分辨率和最多九位小数。示例:“2014-10-02T15:01:23Z”和“2014-10-02T15:01:23.045123456Z”。 |
日期 |
google_scc.asset.window.start_time |
日期 |
|
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
发现
编辑这是 Finding 数据集。
示例
finding 的示例事件如下所示
{
"@timestamp": "2023-06-02T05:17:41.936Z",
"agent": {
"ephemeral_id": "3595a791-e9ba-4a51-9eb2-18219952e440",
"id": "4c00a899-0103-47cf-a91d-fa52a48711c8",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"data_stream": {
"dataset": "google_scc.finding",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "4c00a899-0103-47cf-a91d-fa52a48711c8",
"snapshot": false,
"version": "8.8.0"
},
"event": {
"agent_id_status": "verified",
"created": "2020-02-19T13:37:43.858Z",
"dataset": "google_scc.finding",
"id": "67d5908d21-1",
"ingested": "2023-07-03T06:30:14Z",
"kind": "event"
},
"google_scc": {
"finding": {
"canonical_name": "organizations/515665165161/sources/98481484454154454545/findings/414rfrhjebhrbhjbr444454hv54545",
"category": "application",
"external_systems": {
"test": {
"assignees": [
"primary"
],
"externalSystemUpdateTime": "2022-01-05T05:00:35.674Z",
"externalUid": "test_scc_finding_2",
"name": "organizations/515665165161/sources/98481484454154454545/findings/414rfrhjebhrbhjbr444454hv54545/externalSystems/test",
"status": "updated1"
}
},
"mute": {
"initiator": "Unmuted by [email protected]",
"state": "UNMUTED",
"update_time": "2022-03-23T05:50:21.804Z"
},
"name": "organizations/515665165161/sources/98481484454154454545/findings/414rfrhjebhrbhjbr444454hv54545",
"parent": "organizations/515665165161/sources/98481484454154454545",
"resource": {
"name": "//cloudresourcemanager.googleapis.com/projects/45455445554"
},
"resource_name": "//cloudresourcemanager.googleapis.com/projects/45455445554",
"security_marks": {
"name": "organizations/515665165161/sources/98481484454154454545/findings/414rfrhjebhrbhjbr444454hv54545/securityMarks"
},
"severity": "CRITICAL",
"source_id": "98481484454154454545",
"state": "ACTIVE"
}
},
"input": {
"type": "gcp-pubsub"
},
"organization": {
"id": "515665165161"
},
"tags": [
"forwarded",
"google_scc-finding"
],
"url": {
"domain": "www.adwait.com",
"original": "http://www.adwait.com",
"scheme": "http"
}
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
google_scc.finding.access.caller_ip |
调用者的 IP 地址,例如“1.1.1.1”。 |
ip |
google_scc.finding.access.caller_ip_geo.region_code |
一个 CLDR。 |
keyword |
google_scc.finding.access.method_name |
服务帐户调用的方法,例如“SetIamPolicy”。 |
keyword |
google_scc.finding.access.principal.email |
关联的电子邮件,例如“[email protected]”。 |
keyword |
google_scc.finding.access.principal.subject |
表示与身份关联的 principalSubject 的字符串。与 principalEmail 不同,principalSubject 支持未与电子邮件地址关联的主体,例如第三方主体。对于大多数身份,格式为 principal://iam.googleapis.com/{身份池名称}/subject/{subject}。某些 GKE 身份,例如 GKE_WORKLOAD、FREEFORM 和 GKE_HUB_WORKLOAD,仍使用旧格式 serviceAccount:{身份池名称}[{subject}]。 |
keyword |
google_scc.finding.access.service_account.delegation_info.principal.email |
Google 帐户的电子邮件地址。 |
keyword |
google_scc.finding.access.service_account.delegation_info.principal.subject |
表示与身份关联的 principalSubject 的字符串。与 principalEmail 相比,它支持未与电子邮件地址关联的主体,例如第三方主体。对于大多数身份,格式将是 principal://iam.googleapis.com/{身份池名称}/subject/{subject},但某些 GKE 身份(GKE_WORKLOAD、FREEFORM、GKE_HUB_WORKLOAD)仍采用旧格式 serviceAccount:{身份池名称}[{subject}]。 |
keyword |
google_scc.finding.access.service_account.key_name |
用于创建或交换凭据以验证发出请求的服务帐户的服务帐户密钥的名称。这是一个无模式 URI 的完整资源名称。例如:“//iam.googleapis.com/projects/{PROJECT_ID}/serviceAccounts/{ACCOUNT}/keys/{key}”。 |
keyword |
google_scc.finding.access.service_name |
这是服务帐户调用 API 的服务,例如“iam.googleapis.com”。 |
keyword |
google_scc.finding.access.user_agent_family |
与发现关联的用户代理类型,例如操作系统 shell 和嵌入式或独立的应用程序。 |
keyword |
google_scc.finding.access.user_name |
表示用户名的字符串。提供的用户名取决于发现的类型,并且可能不是 IAM 主体。例如,如果发现与虚拟机相关,则这可以是系统用户名,或者它可以是应用程序登录用户名。 |
keyword |
google_scc.finding.canonical_name |
发现的规范名称。它是“organizations/{organization_id}/sources/{source_id}/findings/{findingId}”、“folders/{folder_id}/sources/{source_id}/findings/{findingId}”或“projects/{project_number}/sources/{source_id}/findings/{findingId}”,具体取决于与发现关联的资源的最近 CRM 祖先。 |
keyword |
google_scc.finding.category |
给定来源的发现中的其他分类组。此字段在创建时间后不可变。示例:“XSS_FLASH_INJECTION”。 |
keyword |
google_scc.finding.class |
发现的类别。 |
keyword |
google_scc.finding.cloud_dlp.data_profile.value |
数据配置文件的名称,例如 projects/123/locations/europe/tableProfiles/8383929。 |
keyword |
google_scc.finding.cloud_dlp.inspection.full_scan |
Cloud DLP 是否扫描了完整资源或采样子集。 |
boolean |
google_scc.finding.cloud_dlp.inspection.info_type.count |
Cloud DLP 在此作业和资源中找到此 infoType 的次数。 |
long |
google_scc.finding.cloud_dlp.inspection.info_type.value |
找到的信息类型(或 infoType),例如 EMAIL_ADDRESS 或 STREET_ADDRESS。 |
keyword |
google_scc.finding.cloud_dlp.inspection.inspect_job |
检查作业的名称,例如 projects/123/locations/europe/dlpJobs/i-8383929。 |
keyword |
google_scc.finding.compliances.ids |
标准或基准内的策略,例如 A.12.4.1。 |
keyword |
google_scc.finding.compliances.standard |
行业范围内的合规性标准或基准,例如“cis”、“pci”和“owasp”。 |
keyword |
google_scc.finding.compliances.version |
标准或基准的版本,例如“1.1”。 |
keyword |
google_scc.finding.connections.destination.ip |
目标 IP 地址。对于正在侦听且未连接的套接字,则不存在。 |
ip |
google_scc.finding.connections.destination.port |
目标端口。对于正在侦听且未连接的套接字,则不存在。 |
long |
google_scc.finding.connections.protocol |
IANA Internet 协议号,例如 TCP(6) 和 UDP(17)。 |
keyword |
google_scc.finding.connections.source.ip |
源 IP 地址。 |
ip |
google_scc.finding.connections.source.port |
源端口。 |
long |
google_scc.finding.contacts.all.email |
keyword |
|
google_scc.finding.contacts.billing.email |
keyword |
|
google_scc.finding.contacts.legal.email |
keyword |
|
google_scc.finding.contacts.product_updates.email |
keyword |
|
google_scc.finding.contacts.security.email |
keyword |
|
google_scc.finding.contacts.suspension.email |
keyword |
|
google_scc.finding.contacts.technical.email |
keyword |
|
google_scc.finding.contacts.technical_incidents.email |
keyword |
|
google_scc.finding.containers.image_id |
可选的容器镜像 ID,如果由容器运行时提供。唯一标识使用容器镜像摘要启动的容器镜像。 |
keyword |
google_scc.finding.containers.labels.name |
标签的名称。 |
keyword |
google_scc.finding.containers.labels.value |
与标签名称对应的值。 |
keyword |
google_scc.finding.containers.name |
容器的名称。 |
keyword |
google_scc.finding.containers.uri |
配置 Pod 或容器时提供的容器镜像 URI。可以使用可变标签标识容器镜像版本。 |
keyword |
google_scc.finding.create_time |
在 Security Command Center 中创建发现结果的时间。 |
日期 |
google_scc.finding.database.display_name |
用户连接的数据库的人工可读名称。 |
keyword |
google_scc.finding.database.grantees |
SQL 权限授予的目标用户名、角色或组,而不是 IAM 策略更改。 |
keyword |
google_scc.finding.database.name |
用户连接的数据库的完整资源名称,如果 Cloud Asset Inventory 支持该数据库。(https://google.aip.dev/122#full-resource-names) |
keyword |
google_scc.finding.database.query |
与数据库访问关联的 SQL 语句。 |
keyword |
google_scc.finding.database.user_name |
用于连接数据库的用户名。用户名可能不是 IAM 主体,并且没有固定的格式。 |
keyword |
google_scc.finding.description |
包含有关发现结果的更多详细信息。 |
keyword |
google_scc.finding.event_time |
首次检测到发现结果的时间。如果更新了现有发现结果,则这是发生更新的时间。例如,如果发现结果表示已打开的防火墙,则此属性捕获检测器认为防火墙变为打开状态的时间。准确性由检测器确定。如果稍后解决了发现结果,则此时间反映解决发现结果的时间。此值不得大于当前时间戳。 |
日期 |
google_scc.finding.exfiltration.sources.components |
被外泄资产的子组件,例如外泄期间使用的 URI、表名称、数据库和文件名。例如,可能从同一个 CloudSQL 实例中外泄了多个表,或者可能从同一个 Cloud Storage 存储桶中外泄了多个文件。 |
keyword |
google_scc.finding.exfiltration.sources.name |
资源的完整资源名称。 |
keyword |
google_scc.finding.exfiltration.targets.components |
被外泄资产的子组件,例如外泄期间使用的 URI、表名称、数据库和文件名。例如,可能从同一个 CloudSQL 实例中外泄了多个表,或者可能从同一个 Cloud Storage 存储桶中外泄了多个文件。 |
keyword |
google_scc.finding.exfiltration.targets.name |
资源的完整资源名称。 |
keyword |
google_scc.finding.external_systems |
仅输出。SCC 中的第三方 SIEM/SOAR 字段,包含外部系统信息和外部系统发现结果字段。 |
flattened |
google_scc.finding.external_uri |
如果可用,则指向 Security Command Center 外部的网页的 URI,其中可以找到有关发现结果的其他信息。此字段保证为空或格式正确的 URL。 |
keyword |
google_scc.finding.files.contents |
文件内容的前缀,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.files.hashed_size |
已哈希的文件前缀的长度(以字节为单位)。如果 hashedSize == size,则任何报告的哈希值都表示整个文件。 |
long |
google_scc.finding.files.partially_hashed |
当哈希仅覆盖文件的前缀时为 True。 |
boolean |
google_scc.finding.files.path |
文件的绝对路径,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.files.sha256 |
文件的前 hashedSize 字节的 SHA256 哈希值,编码为十六进制字符串。如果 hashedSize == size,则 sha256 表示整个文件的 SHA256 哈希值。 |
keyword |
google_scc.finding.files.size |
文件的大小(以字节为单位)。 |
long |
google_scc.finding.iam_bindings.action |
对 Binding 执行的操作。 |
keyword |
google_scc.finding.iam_bindings.member |
请求访问 Cloud Platform 资源的单个身份,例如“[email protected]”。 |
keyword |
google_scc.finding.iam_bindings.role |
分配给“成员”的角色。例如,“roles/viewer”、“roles/editor”或“roles/owner”。 |
keyword |
google_scc.finding.indicator.domains |
与发现结果关联的域列表。 |
keyword |
google_scc.finding.indicator.ip_addresses |
与发现结果关联的 IP 地址列表。 |
ip |
google_scc.finding.indicator.signatures.memory_hash_signature.binary_family |
二进制系列。 |
keyword |
google_scc.finding.indicator.signatures.memory_hash_signature.detections.binary |
与内存哈希签名检测关联的二进制文件的名称。 |
keyword |
google_scc.finding.indicator.signatures.memory_hash_signature.detections.percent_pages_matched |
签名中匹配的内存页哈希的百分比。 |
long |
google_scc.finding.indicator.signatures.yara.rule |
YARA 规则的名称。 |
keyword |
google_scc.finding.indicator.uris |
与发现结果关联的 URI 列表。 |
keyword |
google_scc.finding.kernel_root_kit.name |
Rootkit 名称(如果可用)。 |
keyword |
google_scc.finding.kernel_root_kit.unexpected.code_modification |
如果存在内核代码内存的意外修改,则为 True。 |
boolean |
google_scc.finding.kernel_root_kit.unexpected.ftrace_handler |
如果存在指向不在预期内核或模块代码范围内的区域的回调的 ftrace 点,则为 True。 |
boolean |
google_scc.finding.kernel_root_kit.unexpected.interrupt_handler |
如果存在不在预期内核或模块代码区域的 中断处理程序,则为 True。 |
boolean |
google_scc.finding.kernel_root_kit.unexpected.kernel_code_pages |
如果存在不在预期内核或模块代码区域的内核代码页,则为 True。 |
boolean |
google_scc.finding.kernel_root_kit.unexpected.kprobe_handler |
如果存在指向不在预期内核或模块代码范围内的区域的回调的 kprobe 点,则为 True。 |
boolean |
google_scc.finding.kernel_root_kit.unexpected.processes_in_runqueue |
如果存在调度程序运行队列中意外的进程,则为 True。此类进程在运行队列中,但不在进程任务列表中。 |
boolean |
google_scc.finding.kernel_root_kit.unexpected.read_only_data_modification |
如果存在内核只读数据内存的意外修改,则为 True。 |
boolean |
google_scc.finding.kernel_root_kit.unexpected.system_call_handler |
如果存在不在预期内核或模块代码区域的系统调用处理程序,则为 True。 |
boolean |
google_scc.finding.kubernetes.access_reviews.group |
资源的 API 组。“*”表示所有。 |
keyword |
google_scc.finding.kubernetes.access_reviews.name |
所请求资源的名称。空表示所有。 |
keyword |
google_scc.finding.kubernetes.access_reviews.namespace |
所请求操作的命名空间。目前,没有命名空间和所有命名空间之间没有区别。两者都用“”(空)表示。 |
keyword |
google_scc.finding.kubernetes.access_reviews.resource |
请求的可选资源类型。“*”表示所有。 |
keyword |
google_scc.finding.kubernetes.access_reviews.subresource |
可选的子资源类型。 |
keyword |
google_scc.finding.kubernetes.access_reviews.verb |
Kubernetes 资源 API 动词,例如 get、list、watch、create、update、delete、proxy。“*”表示所有。 |
keyword |
google_scc.finding.kubernetes.access_reviews.version |
资源的 API 版本。“*”表示所有。 |
keyword |
google_scc.finding.kubernetes.bindings.name |
绑定的名称。 |
keyword |
google_scc.finding.kubernetes.bindings.namespace |
绑定的命名空间。 |
keyword |
google_scc.finding.kubernetes.bindings.role.kind |
角色类型。 |
keyword |
google_scc.finding.kubernetes.bindings.role.name |
角色名称。 |
keyword |
google_scc.finding.kubernetes.bindings.role.namespace |
角色命名空间。 |
keyword |
google_scc.finding.kubernetes.bindings.subjects.kind |
主体的身份验证类型。 |
keyword |
google_scc.finding.kubernetes.bindings.subjects.name |
主体的名称。 |
keyword |
google_scc.finding.kubernetes.bindings.subjects.namespace |
主体的命名空间。 |
keyword |
google_scc.finding.kubernetes.node_pools.name |
Kubernetes 节点池名称。 |
keyword |
google_scc.finding.kubernetes.node_pools.nodes.name |
运行集群节点的 Compute Engine 虚拟机的完整资源名称。 |
keyword |
google_scc.finding.kubernetes.nodes.name |
运行集群节点的 Compute Engine 虚拟机的完整资源名称。 |
keyword |
google_scc.finding.kubernetes.pods.containers.image_id |
可选的容器镜像 ID,如果由容器运行时提供。唯一标识使用容器镜像摘要启动的容器镜像。 |
keyword |
google_scc.finding.kubernetes.pods.containers.labels.name |
标签的名称。 |
keyword |
google_scc.finding.kubernetes.pods.containers.labels.value |
与标签名称对应的值。 |
keyword |
google_scc.finding.kubernetes.pods.containers.name |
容器的名称。 |
keyword |
google_scc.finding.kubernetes.pods.containers.uri |
配置 Pod 或容器时提供的容器镜像 URI。可以使用可变标签标识容器镜像版本。 |
keyword |
google_scc.finding.kubernetes.pods.labels.name |
标签的名称。 |
keyword |
google_scc.finding.kubernetes.pods.labels.value |
与标签名称对应的值。 |
keyword |
google_scc.finding.kubernetes.pods.name |
Kubernetes Pod 名称。 |
keyword |
google_scc.finding.kubernetes.pods.namespace |
Kubernetes Pod 命名空间。 |
keyword |
google_scc.finding.kubernetes.roles.kind |
角色类型。 |
keyword |
google_scc.finding.kubernetes.roles.name |
角色名称。 |
keyword |
google_scc.finding.kubernetes.roles.namespace |
角色命名空间。 |
keyword |
google_scc.finding.mitre_attack.additional.tactics |
与此发现结果相关的其他 MITRE ATT&CK 策略(如果有)。 |
keyword |
google_scc.finding.mitre_attack.additional.techniques |
与此发现结果相关的其他 MITRE ATT&CK 技术(如果有),以及它们各自的父技术。 |
keyword |
google_scc.finding.mitre_attack.primary.tactic |
此发现结果最密切代表的 MITRE ATT&CK 策略(如果有)。 |
keyword |
google_scc.finding.mitre_attack.primary.techniques |
此发现结果最密切代表的 MITRE ATT&CK 技术(如果有)。primaryTechniques 是一个重复字段,因为 MITRE ATT&CK 技术有多个级别。如果此发现结果最密切代表的技术是子技术(例如,SCANNING_IP_BLOCKS),则将列出子技术及其父技术(例如,SCANNING_IP_BLOCKS、ACTIVE_SCANNING)。 |
keyword |
google_scc.finding.mitre_attack.version |
上述字段引用的 MITRE ATT&CK 版本。例如,“8”。 |
keyword |
google_scc.finding.module_name |
生成发现结果的模块的唯一标识符。示例:folders/598186756061/securityHealthAnalyticsSettings/customModules/56799441161885。 |
keyword |
google_scc.finding.mute.initiator |
记录有关静音操作的其他信息,例如,使发现结果静音的静音配置以及使发现结果静音的用户。 |
keyword |
google_scc.finding.mute.state |
指示发现结果的静音状态(已静音、未静音或未定义)。与其他发现结果属性不同,发现结果提供程序不应设置静音的值。 |
keyword |
google_scc.finding.mute.update_time |
仅输出。最近一次静音或取消静音此发现结果的时间。 |
日期 |
google_scc.finding.name |
此发现结果的相对资源名称。请参阅:https://cloud.google.com/apis/design/resource_names#relative_resource_name 示例:“organizations/{organization_id}/sources/{source_id}/findings/{findingId}”。 |
keyword |
google_scc.finding.next_steps |
解决发现结果的步骤。 |
keyword |
google_scc.finding.notification_config_name |
keyword |
|
google_scc.finding.parent |
发现结果所属来源的相对资源名称。请参阅:https://cloud.google.com/apis/design/resource_names#relative_resource_name 此字段在创建后不可变。例如:“organizations/{organization_id}/sources/{source_id}”。 |
keyword |
google_scc.finding.parent_display_name |
仅输出。发现结果来源的人工可读显示名称,例如“事件威胁检测”或“安全运行状况分析”。 |
keyword |
google_scc.finding.processes.args |
进程参数,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.processes.arguments_truncated |
如果 args 不完整,则为 True。 |
boolean |
google_scc.finding.processes.binary.contents |
文件内容的前缀,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.processes.binary.hashed_size |
已哈希的文件前缀的长度(以字节为单位)。如果 hashedSize == size,则任何报告的哈希值都表示整个文件。 |
long |
google_scc.finding.processes.binary.partially_hashed |
当哈希仅覆盖文件的前缀时为 True。 |
boolean |
google_scc.finding.processes.binary.path |
文件的绝对路径,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.processes.binary.sha256 |
文件的前 hashedSize 字节的 SHA256 哈希值,编码为十六进制字符串。如果 hashedSize == size,则 sha256 表示整个文件的 SHA256 哈希值。 |
keyword |
google_scc.finding.processes.binary.size |
文件的大小(以字节为单位)。 |
long |
google_scc.finding.processes.environment_variables.name |
环境变量名称,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.processes.environment_variables.value |
环境变量值,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.processes.environment_variables_truncated |
如果 envVariables 不完整,则为 True。 |
boolean |
google_scc.finding.processes.libraries.contents |
文件内容的前缀,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.processes.libraries.hashed_size |
已哈希的文件前缀的长度(以字节为单位)。如果 hashedSize == size,则任何报告的哈希值都表示整个文件。 |
long |
google_scc.finding.processes.libraries.partially_hashed |
当哈希仅覆盖文件的前缀时为 True。 |
boolean |
google_scc.finding.processes.libraries.path |
文件的绝对路径,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.processes.libraries.sha256 |
文件的前 hashedSize 字节的 SHA256 哈希值,编码为十六进制字符串。如果 hashedSize == size,则 sha256 表示整个文件的 SHA256 哈希值。 |
keyword |
google_scc.finding.processes.libraries.size |
文件的大小(以字节为单位)。 |
long |
google_scc.finding.processes.name |
进程名称,如 top 和 ps 等实用程序中显示的那样。可以通过 /proc/[pid]/comm 访问此名称,并使用 prctl(PR_SET_NAME) 进行更改。 |
keyword |
google_scc.finding.processes.parent.pid |
父进程 ID。 |
long |
google_scc.finding.processes.pid |
进程 ID。 |
long |
google_scc.finding.processes.script.contents |
文件内容的前缀,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.processes.script.hashed_size |
已哈希的文件前缀的长度(以字节为单位)。如果 hashedSize == size,则任何报告的哈希值都表示整个文件。 |
long |
google_scc.finding.processes.script.partially_hashed |
当哈希仅覆盖文件的前缀时为 True。 |
boolean |
google_scc.finding.processes.script.path |
文件的绝对路径,作为 JSON 编码的字符串。 |
keyword |
google_scc.finding.processes.script.sha256 |
文件的前 hashedSize 字节的 SHA256 哈希值,编码为十六进制字符串。如果 hashedSize == size,则 sha256 表示整个文件的 SHA256 哈希值。 |
keyword |
google_scc.finding.processes.script.size |
文件的大小(以字节为单位)。 |
long |
google_scc.finding.resource.display_name |
资源的人工可读名称。 |
keyword |
google_scc.finding.resource.folders.display_name |
为此文件夹定义的用户显示名称。 |
keyword |
google_scc.finding.resource.folders.name |
此文件夹的完整资源名称。请参阅:https://cloud.google.com/apis/design/resource_names#full_resource_name |
keyword |
google_scc.finding.resource.name |
对于 Google Cloud 资源的发现,这是该发现所针对的 Google Cloud 资源的完整资源名称。请参阅:https://cloud.google.com/apis/design/resource_names#full_resource_name。当发现针对非 Google Cloud 资源时,resourceName 可以是客户或合作伙伴定义的字符串。此字段在创建后不可变。 |
keyword |
google_scc.finding.resource.parent.display_name |
资源父项的人类可读名称。 |
keyword |
google_scc.finding.resource.parent.name |
资源父项的完整资源名称。 |
keyword |
google_scc.finding.resource.project.display_name |
资源所属的项目 ID。 |
keyword |
google_scc.finding.resource.project.name |
资源所属项目的完整资源名称。 |
keyword |
google_scc.finding.resource.type |
资源的完整资源类型。 |
keyword |
google_scc.finding.resource_name |
对于 Google Cloud 资源的发现,这是该发现所针对的 Google Cloud 资源的完整资源名称。请参阅:https://cloud.google.com/apis/design/resource_names#full_resource_name。当发现针对非 Google Cloud 资源时,resourceName 可以是客户或合作伙伴定义的字符串。此字段在创建后不可变。 |
keyword |
google_scc.finding.security_marks.canonical_name |
标记的规范名称。示例:“organizations/{organization_id}/assets/{asset_id}/securityMarks”、“folders/{folder_id}/assets/{asset_id}/securityMarks”、“projects/{project_number}/assets/{asset_id}/securityMarks”、“organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks”、“folders/{folder_id}/sources/{source_id}/findings/{findingId}/securityMarks”、“projects/{project_number}/sources/{source_id}/findings/{findingId}/securityMarks”。 |
keyword |
google_scc.finding.security_marks.name |
SecurityMarks 的相对资源名称。请参阅:https://cloud.google.com/apis/design/resource_names#relative_resource_name。示例:“organizations/{organization_id}/assets/{asset_id}/securityMarks”、“organizations/{organization_id}/sources/{source_id}/findings/{findingId}/securityMarks”。 |
keyword |
google_scc.finding.security_marks.value |
属于父资源的可变用户指定安全标记。约束如下:键和值不区分大小写。键的长度必须在 1 到 256 个字符之间(包括 1 和 256)。键必须是字母、数字、下划线或破折号。值的前导和尾随空格会被删除,剩余字符的长度必须在 1 到 4096 个字符之间(包括 1 和 4096)。 |
flattened |
google_scc.finding.severity |
发现的严重性。此字段由写入发现的源管理。 |
keyword |
google_scc.finding.source_id |
keyword |
|
google_scc.finding.source_properties |
源特定属性。这些属性由写入发现的源管理。sourceProperties 映射中的键名必须在 1 到 255 个字符之间,并且必须以字母开头,且仅包含字母数字字符或下划线。 |
flattened |
google_scc.finding.source_properties_supporting_data |
keyword |
|
google_scc.finding.state |
发现的状态。 |
keyword |
google_scc.finding.vulnerability.cve.cvssv3.attack.complexity |
此指标描述了要利用漏洞,除了攻击者控制之外必须存在的条件。 |
keyword |
google_scc.finding.vulnerability.cve.cvssv3.attack.vector |
基本指标表示漏洞的内在特征,这些特征会随着时间和用户环境的变化而保持不变。此指标反映了可能利用漏洞的上下文。 |
keyword |
google_scc.finding.vulnerability.cve.cvssv3.availability_impact |
此指标衡量了成功利用漏洞对受影响组件的可用性造成的影响。 |
keyword |
google_scc.finding.vulnerability.cve.cvssv3.base_score |
基本分数是基本指标分数的函数。 |
long |
google_scc.finding.vulnerability.cve.cvssv3.confidentiality_impact |
此指标衡量了成功利用漏洞对软件组件管理的机密信息资源造成的影响。 |
keyword |
google_scc.finding.vulnerability.cve.cvssv3.integrity_impact |
此指标衡量了成功利用漏洞对完整性的影响。 |
keyword |
google_scc.finding.vulnerability.cve.cvssv3.privileges_required |
此指标描述了攻击者在成功利用漏洞之前必须拥有的特权级别。 |
keyword |
google_scc.finding.vulnerability.cve.cvssv3.scope |
“范围”指标捕获了一个易受攻击组件中的漏洞是否会影响其安全范围之外的组件中的资源。 |
keyword |
google_scc.finding.vulnerability.cve.cvssv3.user_interaction |
此指标捕获了除攻击者之外的人类用户参与成功危及易受攻击组件的要求。 |
keyword |
google_scc.finding.vulnerability.cve.id |
漏洞的唯一标识符,例如 CVE-2021-34527。 |
keyword |
google_scc.finding.vulnerability.cve.references.source |
参考来源,例如 NVD。 |
keyword |
google_scc.finding.vulnerability.cve.references.uri |
该来源的 URI,例如 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527。 |
keyword |
google_scc.finding.vulnerability.cve.upstream_fix_available |
上游修复是否可用于 CVE。 |
boolean |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
源
编辑这是 Source 数据集。
示例
以下是 source 的一个示例事件
{
"@timestamp": "2023-07-03T06:32:03.193Z",
"agent": {
"ephemeral_id": "498f9d2e-09a7-4616-8ee1-8c60809852c3",
"id": "4c00a899-0103-47cf-a91d-fa52a48711c8",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"data_stream": {
"dataset": "google_scc.source",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "4c00a899-0103-47cf-a91d-fa52a48711c8",
"snapshot": false,
"version": "8.8.0"
},
"event": {
"agent_id_status": "verified",
"created": "2023-07-03T06:32:03.193Z",
"dataset": "google_scc.source",
"ingested": "2023-07-03T06:32:06Z",
"kind": "event",
"original": "{\"canonicalName\":\"organizations/595779152576/sources/10134421585261057824\",\"description\":\"Extend your security view from the edge.\",\"displayName\":\"Cloudflare Security Events\",\"name\":\"organizations/595779152576/sources/10134421585261057824\"}"
},
"google_scc": {
"source": {
"canonical_name": "organizations/595779152576/sources/10134421585261057824",
"description": "Extend your security view from the edge.",
"display_name": "Cloudflare Security Events",
"id": "10134421585261057824",
"name": "organizations/595779152576/sources/10134421585261057824"
}
},
"input": {
"type": "httpjson"
},
"message": "Extend your security view from the edge.",
"organization": {
"id": "595779152576"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"google_scc-source"
]
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
google_scc.source.canonical_name |
发现的规范名称。它要么是“organizations/{organization_id}/sources/{source_id}”,要么是“folders/{folder_id}/sources/{source_id}”,要么是“projects/{project_number}/sources/{source_id}”,具体取决于与发现关联的资源最近的 CRM 祖先。 |
keyword |
google_scc.source.description |
源的描述(最多 1024 个字符)。示例:“Web Security Scanner 是一个用于 App Engine 应用程序中常见漏洞的 Web 安全扫描器。它可以自动扫描和检测四种常见的漏洞,包括跨站点脚本 (XSS)、Flash 注入、混合内容(HTTPS 中的 HTTP)和过时或不安全的库。” |
keyword |
google_scc.source.display_name |
源的显示名称。源的显示名称在其同级项中必须是唯一的,例如,具有相同父项的两个源不能共享相同的显示名称。显示名称的长度必须在 1 到 64 个字符之间(包括 1 和 64)。 |
keyword |
google_scc.source.id |
keyword |
|
google_scc.source.name |
此源的相对资源名称。请参阅:https://cloud.google.com/apis/design/resource_names#relative_resource_name。示例:“organizations/{organization_id}/sources/{source_id}”。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
审核
编辑这是 Audit 数据集。
示例
以下是 audit 的一个示例事件
{
"@timestamp": "2021-09-24T16:16:57.183Z",
"agent": {
"ephemeral_id": "1d64ed9e-03f2-4eea-9e8a-b9a630236e12",
"id": "4c00a899-0103-47cf-a91d-fa52a48711c8",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"cloud": {
"service": {
"name": "login.googleapis.com"
}
},
"data_stream": {
"dataset": "google_scc.audit",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "4c00a899-0103-47cf-a91d-fa52a48711c8",
"snapshot": false,
"version": "8.8.0"
},
"event": {
"action": "google.login.LoginService.loginFailure",
"agent_id_status": "verified",
"created": "2023-07-03T06:26:31.858Z",
"dataset": "google_scc.audit",
"id": "-nahbepd4l1x",
"ingested": "2023-07-03T06:26:35Z",
"kind": "event",
"severity": 300
},
"google_scc": {
"audit": {
"http_request": {
"remote": {
"ip": "FE80::0202:B3FF:FE1E",
"port": 1010
}
},
"log_name": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
"proto_payload": {
"resource_name": "organizations/123",
"type": "type.googleapis.com/google.cloud.audit.AuditLog"
},
"receive_timestamp": "2021-09-24T17:51:25.034Z",
"resource": {
"type": "audited_resource"
}
}
},
"input": {
"type": "gcp-pubsub"
},
"log": {
"level": "NOTICE"
},
"related": {
"ip": [
"175.16.199.1",
"FE80::0202:B3FF:FE1E"
],
"user": [
"[email protected]"
]
},
"source": {
"ip": "175.16.199.1",
"user": {
"email": "[email protected]"
}
},
"tags": [
"forwarded",
"google_scc-audit"
]
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
google_scc.audit.http_request.cache.fill_bytes |
插入缓存的 HTTP 响应字节数。仅当尝试填充缓存时设置。 |
long |
google_scc.audit.http_request.cache.hit |
是否从缓存中提供实体(无论是否经过验证)。 |
boolean |
google_scc.audit.http_request.cache.look_up |
是否尝试进行缓存查找。 |
boolean |
google_scc.audit.http_request.cache.validated_with_origin_server |
是否在从缓存中提供之前使用原始服务器验证了响应。仅当 cacheHit 为 True 时,此字段才有意义。 |
boolean |
google_scc.audit.http_request.latency |
服务器上的请求处理延迟,从收到请求到发送响应的时间。 |
keyword |
google_scc.audit.http_request.protocol |
用于请求的协议。 |
keyword |
google_scc.audit.http_request.referer |
请求的引用 URL。 |
keyword |
google_scc.audit.http_request.remote.ip |
发出 HTTP 请求的客户端的 IP 地址(IPv4 或 IPv6)。 |
ip |
google_scc.audit.http_request.remote.port |
发出 HTTP 请求的客户端的端口。 |
long |
google_scc.audit.http_request.request_method |
请求方法。 |
keyword |
google_scc.audit.http_request.request_size |
HTTP 请求消息的大小(以字节为单位),包括请求标头和请求正文。 |
long |
google_scc.audit.http_request.request_url |
所请求的 URL 的方案(http、https)、主机名、路径和查询部分。 |
keyword |
google_scc.audit.http_request.response_size |
发送回客户端的 HTTP 响应消息的大小(以字节为单位),包括响应标头和响应正文。 |
long |
google_scc.audit.http_request.server.ip |
将请求发送到的原始服务器的 IP 地址(IPv4 或 IPv6)。此字段可以包括端口信息。 |
ip |
google_scc.audit.http_request.server.port |
将请求发送到的原始服务器的端口。 |
long |
google_scc.audit.http_request.status |
指示响应状态的响应代码。 |
long |
google_scc.audit.http_request.user_agent |
客户端发送的用户代理。 |
keyword |
google_scc.audit.insert_id |
日志条目的唯一标识符。 |
keyword |
google_scc.audit.labels |
提供有关日志条目的附加信息的键值对映射。标签可以是用户定义的或系统定义的。 |
object |
google_scc.audit.log_name |
此日志条目所属的日志的资源名称。 |
keyword |
google_scc.audit.operation.first |
如果这是操作中的第一个日志条目,则将其设置为 True。 |
boolean |
google_scc.audit.operation.id |
任意操作标识符。 |
keyword |
google_scc.audit.operation.last |
如果这是操作中的最后一个日志条目,则将其设置为 True。 |
boolean |
google_scc.audit.operation.producer |
任意生产者标识符。 |
keyword |
google_scc.audit.proto_payload.authentication_info.authority_selector |
请求者指定的权限选择器(如果有)。不能保证主体被允许使用此权限。 |
keyword |
google_scc.audit.proto_payload.authentication_info.principal_email |
发出请求的已验证用户(或代表第三方主体的服务帐号)的电子邮件地址。 |
keyword |
google_scc.audit.proto_payload.authentication_info.principal_subject |
请求方的身份的字符串表示形式。为第一方和第三方身份填充。 |
keyword |
google_scc.audit.proto_payload.authentication_info.service_account_delegation_info.first_party_principal.email |
Google 帐户的电子邮件地址。 |
keyword |
google_scc.audit.proto_payload.authentication_info.service_account_delegation_info.first_party_principal.service_metadata |
有关使用服务帐号的服务的元数据。 |
flattened |
google_scc.audit.proto_payload.authentication_info.service_account_delegation_info.principal_subject |
表示与身份关联的 principalSubject 的字符串。 |
keyword |
google_scc.audit.proto_payload.authentication_info.service_account_delegation_info.third_party_principal.claims |
有关第三方身份的元数据。 |
flattened |
google_scc.audit.proto_payload.authentication_info.service_account_key_name |
用于创建或交换凭据以验证发出请求的服务帐号的服务帐号密钥的名称。这是一个无方案的 URI 完整资源名称。 |
keyword |
google_scc.audit.proto_payload.authentication_info.third_party_principal |
发出请求的已验证用户的第三方标识(如果有)。 |
flattened |
google_scc.audit.proto_payload.authorization_info.granted |
是否已授予资源和权限的授权。 |
boolean |
google_scc.audit.proto_payload.authorization_info.permission |
所需的 IAM 权限。 |
keyword |
google_scc.audit.proto_payload.authorization_info.resource |
要访问的资源,采用 REST 样式或云资源字符串。 |
keyword |
google_scc.audit.proto_payload.authorization_info.resource_attributes.annotations |
注释是与资源一起存储的非结构化键值映射,可以由外部工具设置以存储和检索任意元数据。 |
flattened |
google_scc.audit.proto_payload.authorization_info.resource_attributes.create_time |
资源创建的时间戳。 |
日期 |
google_scc.audit.proto_payload.authorization_info.resource_attributes.delete_time |
资源上次被删除的时间戳。 |
日期 |
google_scc.audit.proto_payload.authorization_info.resource_attributes.display_name |
客户端设置的显示名称。 |
keyword |
google_scc.audit.proto_payload.authorization_info.resource_attributes.etag |
一个不透明的值,唯一标识资源的某个版本或生成。 |
keyword |
google_scc.audit.proto_payload.authorization_info.resource_attributes.labels |
资源上的标签,例如 AWS 资源标签和 Kubernetes 资源标签。 |
object |
google_scc.audit.proto_payload.authorization_info.resource_attributes.location |
资源的位置。 |
keyword |
google_scc.audit.proto_payload.authorization_info.resource_attributes.name |
服务上资源的稳定标识符(名称)。资源可以逻辑上标识为 "//{resource.service}/{resource.name}"。 |
keyword |
google_scc.audit.proto_payload.authorization_info.resource_attributes.service |
此资源所属的服务的名称,例如 pubsub.googleapis.com。此服务可能与实际服务请求的 DNS 主机名不同。 |
keyword |
google_scc.audit.proto_payload.authorization_info.resource_attributes.type |
资源的类型。语法是特定于平台的,因为不同的平台以不同的方式定义其资源。 |
keyword |
google_scc.audit.proto_payload.authorization_info.resource_attributes.uid |
资源的唯一标识符。 |
keyword |
google_scc.audit.proto_payload.authorization_info.resource_attributes.update_time |
资源上次更新的时间戳。 |
日期 |
google_scc.audit.proto_payload.metadata |
关于当前审计事件的请求、响应和其他服务特定的数据。 |
flattened |
google_scc.audit.proto_payload.method_name |
服务方法或操作的名称。对于 API 调用,这应该是 API 方法的名称。 |
keyword |
google_scc.audit.proto_payload.num_response_items |
如果适用,从 List 或 Query API 方法返回的项目数。 |
long |
google_scc.audit.proto_payload.policy_violation_info.org_policy_violation_info.payload |
当前在范围内并受组织策略条件约束的资源有效负载。 |
flattened |
google_scc.audit.proto_payload.policy_violation_info.org_policy_violation_info.resource.tags |
在评估时在资源上引用的标签。 |
flattened |
google_scc.audit.proto_payload.policy_violation_info.org_policy_violation_info.resource.type |
组织策略检查的资源类型。 |
keyword |
google_scc.audit.proto_payload.policy_violation_info.org_policy_violation_info.violation_info.checked_value |
正在检查策略的值。 |
keyword |
google_scc.audit.proto_payload.policy_violation_info.org_policy_violation_info.violation_info.constraint |
约束名称。 |
keyword |
google_scc.audit.proto_payload.policy_violation_info.org_policy_violation_info.violation_info.error_message |
策略指示的错误消息。 |
keyword |
google_scc.audit.proto_payload.policy_violation_info.org_policy_violation_info.violation_info.policy_type |
指示策略的类型。 |
keyword |
google_scc.audit.proto_payload.request |
操作请求。 |
flattened |
google_scc.audit.proto_payload.request_metadata.caller.ip |
调用者的 IP 地址。 |
ip |
google_scc.audit.proto_payload.request_metadata.caller.ip_value |
keyword |
|
google_scc.audit.proto_payload.request_metadata.caller.network |
调用者的网络。 |
keyword |
google_scc.audit.proto_payload.request_metadata.caller.supplied_user_agent |
调用者的用户代理。 |
keyword |
google_scc.audit.proto_payload.request_metadata.destination_attributes.ip |
对等方的 IP 地址。 |
ip |
google_scc.audit.proto_payload.request_metadata.destination_attributes.labels |
与对等方关联的标签。 |
object |
google_scc.audit.proto_payload.request_metadata.destination_attributes.port |
对等方的网络端口。 |
long |
google_scc.audit.proto_payload.request_metadata.destination_attributes.principal |
此对等方的身份。 |
keyword |
google_scc.audit.proto_payload.request_metadata.destination_attributes.region_code |
与上述 IP 地址关联的 CLDR 国家/地区代码。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.auth.access_levels |
允许经过身份验证的请求者访问资源的访问级别资源名称列表。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.auth.audiences |
此身份验证信息的预期受众。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.auth.claims |
凭据提供的结构化声明。 |
flattened |
google_scc.audit.proto_payload.request_metadata.request_attributes.auth.presenter |
凭据的授权演示者。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.auth.principal |
经过身份验证的主体。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.headers |
HTTP 请求头。 |
flattened |
google_scc.audit.proto_payload.request_metadata.request_attributes.host |
HTTP 请求 Host 头值。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.id |
请求的唯一 ID,可以传播到下游系统。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.method |
HTTP 请求方法,例如 GET、POST。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.path |
HTTP URL 路径,不包括查询参数。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.protocol |
请求使用的网络协议,例如“http/1.1”、“spdy/3”、“h2”、“h2c”、“webrtc”、“tcp”、“udp”、“quic”。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.query |
HTTP URL 查询,格式为 name1=value1&name2=value2,它出现在 HTTP 请求的第一行中。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.reason |
请求原因的特殊参数。安全系统使用它来将审计信息与请求关联起来。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.schema |
HTTP URL 方案,例如 http 和 https。 |
keyword |
google_scc.audit.proto_payload.request_metadata.request_attributes.size |
HTTP 请求大小(以字节为单位)。 |
long |
google_scc.audit.proto_payload.request_metadata.request_attributes.time |
目标服务接收请求的最后一个字节的时间戳。 |
日期 |
google_scc.audit.proto_payload.resource_location.current_locations |
操作执行后资源的位置。 |
keyword |
google_scc.audit.proto_payload.resource_location.original_locations |
操作执行前资源的位置。 |
keyword |
google_scc.audit.proto_payload.resource_name |
作为操作目标的资源或集合。名称是一个无方案的 URI,不包括 API 服务名称。 |
keyword |
google_scc.audit.proto_payload.resource_original_state |
资源在发生变更前的原始状态。 |
flattened |
google_scc.audit.proto_payload.response |
操作响应。 |
flattened |
google_scc.audit.proto_payload.service_data |
关于请求、响应和其他活动的其他服务特定的数据。 |
flattened |
google_scc.audit.proto_payload.service_name |
执行操作的 API 服务的名称。 |
keyword |
google_scc.audit.proto_payload.status.code |
状态代码,应为 google.rpc.Code 的枚举值。 |
long |
google_scc.audit.proto_payload.status.details |
包含错误详细信息的消息列表。 |
nested |
google_scc.audit.proto_payload.status.message |
面向开发人员的错误消息,应为英文。任何面向用户的错误消息都应本地化并在 google.rpc.Status.details 字段中发送,或由客户端本地化。 |
keyword |
google_scc.audit.proto_payload.type |
keyword |
|
google_scc.audit.receive_timestamp |
日志条目被 Logging 接收的时间。 |
日期 |
google_scc.audit.resource.labels |
关联的监控资源描述符中列出的所有标签的值。 |
object |
google_scc.audit.resource.type |
监控的资源类型。 |
keyword |
google_scc.audit.severity.code |
日志条目的严重性。 |
long |
google_scc.audit.severity.value |
日志条目的严重性。 |
keyword |
google_scc.audit.source_location.file |
源文件名。根据运行时环境,这可能是简单的名称或完全限定的名称。 |
keyword |
google_scc.audit.source_location.function |
被调用的函数或方法的人类可读名称,带有可选的上下文,例如类或包名称。 |
keyword |
google_scc.audit.source_location.line |
源文件中的行。基于 1;0 表示没有可用的行号。 |
long |
google_scc.audit.span_id |
与正在写入日志的当前操作关联的 Cloud Trace span 的 ID。 |
keyword |
google_scc.audit.split.index |
此 LogEntry 在拆分日志条目序列中的索引。为日志条目提供 |
index |
对于 n 个日志条目的序列,值为 0、1、…、n-1。 |
long |
google_scc.audit.split.total_splits |
原始 LogEntry 被拆分成的日志条目总数。 |
long |
google_scc.audit.split.uid |
拆分日志条目序列中所有日志条目的全局唯一标识符。所有具有相同 |
LogSplit.uid |
的日志条目都被假定为同一拆分日志条目序列的一部分。 |
keyword |
google_scc.audit.timestamp |
日志条目描述的事件发生的时间。 |
日期 |
google_scc.audit.trace |
与此日志条目关联写入到 Cloud Trace 的跟踪的 REST 资源名称。 |
keyword |
google_scc.audit.trace_sampled |
与日志条目关联的跟踪的采样决策。 |
boolean |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.6.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.5.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.4.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.2.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.1.1 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.0.1 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
0.9.0 |
增强 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.1 |
错误修复 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.1 |
错误修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |