Présentation des modules personnalisés Event Threat Detection

Cette page présente les modules personnalisés pour Event Threat Detection.

Vous pouvez configurer des modules, également appelés détecteurs, pour traiter vos flux Cloud Logging et détecter les menaces en fonction des paramètres que vous spécifiez. Cette fonctionnalité étend les capacités de surveillance d'Event Threat Detection et vous permet d'ajouter des modules avec vos propres paramètres de détection, conseils de correction et désignations de gravité pour les configurations que les détecteurs intégrés ne prennent peut-être pas en charge.

Les modules personnalisés sont utiles si vous avez besoin de modules avec des règles de détection qui répondent aux besoins uniques de votre organisation. Par exemple, vous pouvez ajouter un module personnalisé qui crée des résultats si les entrées de journal indiquent qu'une ressource est connectée à des adresses IP spécifiques ou qu'elle est créée dans une région soumise à des restrictions.

Fonctionnement des modules personnalisés pour Event Threat Detection

Les modules personnalisés sont un groupe sélectionné de détecteurs Event Threat Detection que vous pouvez configurer avec vos propres paramètres de détection. Vous pouvez créer un Module personnalisé Event Threat Detection via la console Google Cloud. Par ailleurs, vous pouvez en créer un en mettant à jour un modèle de module personnalisé en envoyant le module personnalisé à Security Command Center via la Google Cloud CLI. Pour plus d'informations sur les modèles disponibles, reportez-vous à la section Modules et modèles de ML.

Les modèles de modules personnalisés sont écrits en JSON et vous permettent de définir qui contrôlent quels événements dans les entrées de journal doivent déclencher les résultats. Pour exemple, le détecteur Malware: Bad IP intégré vérifie Journaux de flux de cloud privé virtuel pour détecter la présence de connexions à des adresses IP suspectes connues des adresses IP externes. Toutefois, vous pouvez activer et modifier le module personnalisé Configurable Bad IP avec une liste d'adresses IP suspectes que vous gérez. Si vos journaux indiquent une connexion à l'une des adresses IP que vous avez fournies, un résultat est généré et écrit dans Security Command Center.

Les modèles de module vous permettent aussi de définir la gravité des menaces et de fournir des pour aider vos équipes de sécurité à résoudre les problèmes.

Les modules personnalisés vous permettent de mieux contrôler la façon dont Event Threat Detection détecte les menaces et signale les résultats. Les modules personnalisés incluent les paramètres que vous avez fournis, mais utilisent toujours la logique de détection et les renseignements sur les menaces propriétaires d'Event Threat Detection, y compris la mise en correspondance des indicateurs de tripwire. Vous pouvez implémenter une requête large un ensemble de modèles de gestion des menaces adaptés aux besoins spécifiques de votre entreprise.

Les modules personnalisés d'Event Threat Detection s'exécutent parallèlement aux détecteurs intégrés. Les modules activés s'exécutent en mode en temps réel, qui déclenche une analyse chaque fois que de nouveaux journaux sont créés.

Modules et modèles personnalisés

Le tableau suivant contient la liste des types de modules personnalisés compatibles, des descriptions, des journaux requis et des modèles de modules JSON.

Vous avez besoin de ces modèles de modules JSON si vous souhaitez utiliser la gcloud CLI pour créer ou mettre à jour des modules personnalisés. Pour afficher un modèle, cliquez sur l'icône de développement  à côté de son nom. Pour en savoir plus sur l'utilisation des modules personnalisés, consultez la section Configurer et gérer les modules personnalisés.

Catégorie de résultats Module type Types de sources de journal Description
Adresse IP incorrecte configurable CONFIGURABLE_BAD_IP Journaux de flux VPC
Journaux des règles de pare-feu 		Détecte une connexion à une adresse IP spécifiée
Modèle: adresse IP incorrecte configurable
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Remplacez les éléments suivants :

  • SEVERITY: gravité des résultats générées par ce module. Les valeurs valides sont LOW, MEDIUM, HIGH et CRITICAL.
  • DESCRIPTION: description de la menace détecté par le module personnalisé. Cette description sert à renseigner Propriété explanation de chaque résultat généré par ce de ce module.
  • RECOMMENDATION: explication de les mesures recommandées que les équipes de sécurité peuvent suivre pour résoudre les problème. Cette explication est utilisée pour renseigner le champ nextSteps. de chaque résultat généré par ce module.
  • IP_ADDRESS_1: adresse IPv4 ou IPv6 routable publiquement ou un bloc CIDR à surveiller, par exemple 192.0.2.1 ou 192.0.2.0/24.
  • IP_ADDRESS_2 : facultatif. Adresse IPv4 ou IPv6 ou bloc CIDR routable publiquement à surveiller (par exemple, 192.0.2.1 ou 192.0.2.0/24).
Domaine incorrect configurable CONFIGURABLE_BAD_DOMAIN Journaux Cloud DNS Détecte une connexion à un nom de domaine spécifié
Modèle: domaine incorrect configurable
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Remplacez les éléments suivants :

  • SEVERITY: gravité des résultats générées par ce module. Les valeurs valides sont LOW, MEDIUM, HIGH et CRITICAL.
  • DESCRIPTION: description de la menace détecté par le module personnalisé. Cette description sert à renseigner Propriété explanation de chaque résultat généré par ce de ce module.
  • RECOMMENDATION: explication de les mesures recommandées que les équipes de sécurité peuvent suivre pour résoudre les problème. Cette explication est utilisée pour renseigner le champ nextSteps. de chaque résultat généré par ce module.
  • DOMAIN_1: nom de domaine à surveiller, Exemple : example.com. Une valeur de localhost est non autorisés. Les noms de domaine Unicode et Punycode sont normalisés. Par exemple, 例子.example et xn--fsqu00a.example sont équivalents.
  • DOMAIN_2 : facultatif. Un nom de domaine à surveiller par exemple example.com. Une valeur de localhost n'est pas autorisé. Noms de domaine Unicode et Punycode sont normalisés. Par exemple, 例子.example et xn--fsqu00a.example sont équivalents.
Type d'instance Compute Engine inattendu CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud Audit Logs:
Journaux des activités d'administration (obligatoire)
Journaux des accès aux données (facultatif)		 Détecte la création d'instances Compute Engine qui ne correspondent pas à la configuration ou au type d'instance spécifié.
Modèle : type d'instance Compute Engine inattendu
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Remplacez les éléments suivants :

  • SEVERITY: gravité des résultats générées par ce module. Les valeurs valides sont LOW, MEDIUM, HIGH et CRITICAL.
  • DESCRIPTION: description de la menace détecté par le module personnalisé. Cette description sert à renseigner Propriété explanation de chaque résultat généré par ce de ce module.
  • RECOMMENDATION: explication de les mesures recommandées que les équipes de sécurité peuvent suivre pour résoudre les problème. Cette explication permet de renseigner la propriété nextSteps de chaque résultat généré par ce module.
  • SERIES : facultatif. Compute Engine (par exemple, C2). Si ce champ est vide, le module autorise toutes les séries. Pour en savoir plus, consultez le Guide des ressources de familles de machines et guide comparatif.
  • MINIMUM_NUMBER_OF_CPUS : facultatif. Nombre minimal de processeurs à autoriser. S'il n'est pas présent, il n'y a pas de minimum. Cette valeur ne doit pas être négative.
  • MAXIMUM_NUMBER_OF_CPUS : facultatif. Nombre maximal de processeurs à autoriser. Sinon, il n'y a pas de valeur maximale. Doit être supérieur ou égal à minimum et inférieur ou égal à égal à 1 000.
  • MINIMUM_RAM_SIZE : facultatif. Taille minimale de RAM autorisée, en mégaoctets. S'il n'est pas présent, il n'y a pas minimum.
  • MAXIMUM_RAM_SIZE : facultatif. Taille maximale de la RAM autorisée, en mégaoctets. S'il n'est pas présent, il n'y a pas maximum. Doit être supérieur ou égal à minimum et inférieur ou égal à 10 000 000.
  • MINIMUM_NUMBER_OF_GPUS : facultatif. Nombre minimal de GPU à autoriser. S'il n'est pas présent, il n'y a pas de minimum. Il ne doit pas être négatif.
  • MAXIMUM_NUMBER_OF_GPUS : facultatif. La valeur de GPU à autoriser. Sinon, il n'y a pas de valeur maximale. Doit être supérieur ou égal à minimum et inférieur ou égal à 100.
  • PROJECT_ID_1 : facultatif. L'ID d'un projet auxquelles vous voulez appliquer ce module (par exemple, projects/example-project Si ce champ est vide ou n'est pas défini, la valeur aux instances créées dans tous les projets du champ d'application actuel.
  • PROJECT_ID_2 : facultatif. L'ID d'un projet auxquelles vous voulez appliquer ce module (par exemple, projects/example-project
  • REGION_1 : facultatif. La région dans laquelle vous souhaitez l'appliquer module (par exemple, us-central1). Si ce champ est vide ou n'est pas défini, s'applique aux instances créées dans toutes les régions.
  • REGION_2 : facultatif. Région dans laquelle vous souhaitez appliquer ce module (par exemple, us-central1).
Image source Compute Engine inattendue CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud Audit Logs:
Journaux des activités d'administration (obligatoire)
Journaux des accès aux données (facultatif)		 Détecte la création d'une instance Compute Engine qui repose sur une image ou une famille d'images ne faisant pas partie d'une liste spécifiée
Modèle : image source Compute Engine inattendue
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Remplacez les éléments suivants :

  • SEVERITY: gravité des résultats générées par ce module. Les valeurs valides sont LOW, MEDIUM, HIGH et CRITICAL.
  • DESCRIPTION: description de la menace détecté par le module personnalisé. Cette description sert à renseigner Propriété explanation de chaque résultat généré par ce de ce module.
  • RECOMMENDATION : explication des étapes recommandées que les équipes de sécurité peuvent suivre pour résoudre le problème détecté. Cette explication est utilisée pour renseigner le champ nextSteps. de chaque résultat généré par ce module.
  • PATTERN_1 : expression régulière RE2 à comparer aux images (par exemple, debian-image-1). Si une image est utilisée pour créer une instance Compute Engine et que le nom de cette image ne correspond à aucune des expressions régulières spécifiées, un résultat est généré.
  • NAME_1 : nom descriptif de ce modèle (par exemple, first-image).
  • PATTERN_2 : facultatif. Autre expression régulière RE2 à comparer aux images (par exemple, debian-image-2).
  • NAME_2 : facultatif. Nom descriptif du deuxième modèle (par exemple, second-image).
Région Compute Engine inattendue CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Journaux d'audit Cloud :
Journaux des activités d'administration (obligatoire)
Journaux d'accès aux données (facultatif)		 Détecte la création d'une instance Compute Engine dans une région ne figurant pas dans une liste spécifiée
Modèle : Région Compute Engine inattendue
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Remplacez les éléments suivants :

  • SEVERITY: gravité des résultats générées par ce module. Les valeurs valides sont LOW, MEDIUM, HIGH et CRITICAL.
  • DESCRIPTION: description de la menace détecté par le module personnalisé. Cette description sert à renseigner Propriété explanation de chaque résultat généré par ce de ce module.
  • RECOMMENDATION: explication de les mesures recommandées que les équipes de sécurité peuvent suivre pour résoudre les problème. Cette explication est utilisée pour renseigner le champ nextSteps. de chaque résultat généré par ce module.
  • REGION_1: nom d'une région à autoriser, pour exemple : us-west1. Si une instance Compute Engine est créée dans une région qui n'est pas spécifiée dans la liste, Event Threat Detection génère une anomalie.
  • REGION_2 : facultatif. Le nom d'une région à autoriser (par exemple, us-central1). Si une instance Compute Engine est créée dans une région qui ne figure pas dans la liste, Event Threat Detection génère une anomalie.
Compte "bris de glace" utilisé CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Journaux d'audit Cloud :
Journaux des activités d'administration (obligatoire)
Journaux d'accès aux données (facultatif)		 Détecte l'utilisation d'un compte d'accès d'urgence (bris de glace)
Modèle : Compte "bris de glace" utilisé
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Remplacez les éléments suivants :

  • SEVERITY: gravité des résultats générées par ce module. Les valeurs valides sont LOW, MEDIUM, HIGH et CRITICAL.
  • DESCRIPTION: description de la menace détecté par le module personnalisé. Cette description sert à renseigner Propriété explanation de chaque résultat généré par ce de ce module.
  • RECOMMENDATION : explication des étapes recommandées que les équipes de sécurité peuvent suivre pour résoudre le problème détecté. Cette explication est utilisée pour renseigner le champ nextSteps. de chaque résultat généré par ce module.
  • BREAKGLASS_ACCOUNT_1 : compte de secours à surveiller (par exemple, test@example.com). Un résultat est généré si ce compte est utilisé pour une action enregistrée dans une entrée de journal d'audit Cloud.
  • BREAKGLASS_ACCOUNT_2 : facultatif. Un bris de glace compte à surveiller, par exemple test@example.com. A est généré si ce compte est utilisé pour une action enregistrée dans une entrée Cloud Audit Logs.
Attribution de rôle inattendue CONFIGURABLE_UNEXPECTED_ROLE_GRANT Journaux d'audit Cloud :
Journaux des activités d'administration (obligatoire)
Journaux d'accès aux données (facultatif)		 Détecte quand un rôle spécifié est attribué à un utilisateur
Modèle: Attribution de rôle inattendue
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Remplacez les éléments suivants :

  • SEVERITY: gravité des résultats générées par ce module. Les valeurs valides sont LOW, MEDIUM, HIGH et CRITICAL.
  • DESCRIPTION: description de la menace détecté par le module personnalisé. Cette description sert à renseigner Propriété explanation de chaque résultat généré par ce de ce module.
  • RECOMMENDATION : explication des étapes recommandées que les équipes de sécurité peuvent suivre pour résoudre le problème détecté. Cette explication est utilisée pour renseigner le champ nextSteps. de chaque résultat généré par ce module.
  • ROLE_1: un rôle IAM à surveiller par exemple roles/owner. Un résultat est généré si ce rôle est accordé.
  • ROLE_2 : facultatif. un rôle IAM pour surveiller, par exemple, roles/editor. Un résultat est généré si ce rôle est accordé.
Rôle personnalisé avec autorisation interdite CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Journaux d'audit Cloud :
Journaux des activités d'administration (obligatoire)
Journaux d'accès aux données (facultatif)		 Détecte quand un rôle personnalisé disposant de l'une des autorisations IAM spécifiées est créé ou mis à jour.
Modèle : rôle personnalisé avec autorisation interdite
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Remplacez les éléments suivants :

  • SEVERITY: gravité des résultats générées par ce module. Les valeurs valides sont LOW, MEDIUM, HIGH et CRITICAL.
  • DESCRIPTION: description de la menace détecté par le module personnalisé. Cette description sert à renseigner Propriété explanation de chaque résultat généré par ce de ce module.
  • RECOMMENDATION : explication des étapes recommandées que les équipes de sécurité peuvent suivre pour résoudre le problème détecté. Cette explication permet de renseigner la propriété nextSteps de chaque résultat généré par ce module.
  • PERMISSION_1 : autorisation IAM à surveiller (par exemple, storage.buckets.list). Event Threat Detection émet un résultat si un rôle IAM personnalisé contenant cette autorisation est attribué à un principal.
  • PERMISSION_2 : facultatif. Une autorisation IAM à surveiller (par exemple, storage.buckets.get). Event Threat Detection émet une déterminer si un rôle IAM personnalisé contenant cette autorisation accordé à un compte principal.
Appel d'API Cloud inattendu CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Journaux d'audit Cloud :
Journaux des activités d'administration (obligatoire)
Journaux d'accès aux données (facultatif)		 Détecte lorsqu'un compte principal spécifié appelle une méthode spécifiée sur un objet ressource spécifiée. Un résultat n'est généré que si toutes les expressions régulières sont mis en correspondance dans une seule entrée de journal.
Modèle : Appel d'API Cloud inattendu
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Remplacez les éléments suivants :

  • SEVERITY: gravité des résultats générées par ce module. Les valeurs valides sont LOW, MEDIUM, HIGH et CRITICAL.
  • DESCRIPTION: description de la menace détecté par le module personnalisé. Cette description sert à renseigner Propriété explanation de chaque résultat généré par ce de ce module.
  • RECOMMENDATION: explication de les mesures recommandées que les équipes de sécurité peuvent suivre pour résoudre les problème. Cette explication est utilisée pour renseigner le champ nextSteps. de chaque résultat généré par ce module.
  • CALLER_PATTERN: RE2 une expression régulière à comparer aux comptes principaux. Par exemple : .* correspond à n'importe quel compte principal.
  • METHOD_PATTERN: un standard RE2 pour comparer les méthodes (par exemple, ^cloudsql\\.instances\\.export$
  • RESOURCE_PATTERN: standard RE2 pour comparer les ressources, par exemple example-project

Tarifs et quotas

Cette fonctionnalité est sans frais pour Security Command Center Premium clients.

Les modules personnalisés Event Threat Detection sont soumis à des limites de quota.

La limite de quota par défaut pour la création de modules personnalisés est de 200.

Les appels d'API aux méthodes de modules personnalisés sont également soumis à des limites de quota. Le tableau suivant indique les limites de quota par défaut pour les appels d'API de module personnalisé.

Type d'appel d'API Limite
Get, List 1 000 appels d'API par minute et par organisation
Create, Update, Delete 60 appels d'API par minute et par organisation

Limites de taille des modules

La taille de chaque module personnalisé Event Threat Detection est limitée à 6 Mo.

Limites de débit

Les limites de débit suivantes s'appliquent :

  • 30 résultats par module personnalisé et par heure
  • 200 résultats du module personnalisé par ressource parente (organisation ou projet) et par heure. Chaque résultat est comptabilisé pour une organisation ou un projet, selon le niveau auquel le module personnalisé source a été créé.

Ces limites ne peuvent pas être augmentées.

Étape suivante