Diese Seite bietet eine Übersicht über benutzerdefinierte Module für Event Threat Detection.
Sie können Module, auch Detektoren genannt, konfigurieren, um Ihren Cloud Logging-Stream zu verarbeiten und Bedrohungen anhand der von Ihnen angegebenen Parameter zu erkennen. Dieses Feature erweitert die Monitoringfunktionen von Event Threat Detection. Sie können Module mit Ihren eigenen Erkennungsparametern, Abhilfemaßnahmen und Schweregradangaben für Konfigurationen hinzufügen, die von den integrierten Detektoren möglicherweise nicht unterstützt werden.
Benutzerdefinierte Module sind nützlich, wenn Sie Module mit Erkennungsregeln benötigen, die den individuellen Anforderungen Ihrer Organisation entsprechen. Sie können beispielsweise ein benutzerdefiniertes Modul hinzufügen, das Ergebnisse erstellt, wenn Logeinträge zeigen, dass eine Ressource mit bestimmten IP-Adressen verbunden ist oder in einer eingeschränkten Region erstellt wird.
So funktionieren benutzerdefinierte Module für Event Threat Detection
Benutzerdefinierte Module sind eine ausgewählte Gruppe von Event Threat Detection-Detektoren, die Sie mit Ihren eigenen Erkennungsparametern konfigurieren können. Sie können ein benutzerdefiniertes Event Threat Detection-Modul über die Google Cloud Console erstellen. Alternativ können Sie ein Modul erstellen, indem Sie eine benutzerdefinierte Modulvorlage aktualisieren und das benutzerdefinierte Modul über die Google Cloud CLI an Security Command Center senden. Informationen zu verfügbaren Vorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.
Benutzerdefinierte Modulvorlagen werden in JSON geschrieben. Mit ihnen können Sie Erkennungsparameter definieren, die steuern, welche Ereignisse in Logeinträgen Ergebnisse auslösen sollen. Der integrierte Malware: Bad IP-Detektor prüft beispielsweise die Flusslogs von Virtual Private Cloud auf Verbindungen zu bekannten verdächtigen IP-Adressen. Sie können das benutzerdefinierte Modul Configurable Bad IP jedoch mit einer Liste verdächtiger IP-Adressen, die Sie verwalten, aktivieren und ändern. Wenn Ihre Logs eine Verbindung zu einer der von Ihnen angegebenen IP-Adressen angeben, wird ein Ergebnis generiert und in Security Command Center geschrieben.
Mit Modulvorlagen können Sie auch den Schweregrad von Bedrohungen definieren und benutzerdefinierte Abhilfemaßnahmen bereitstellen, um Ihre Sicherheitsteams bei der Behebung von Problemen zu unterstützen.
Mit benutzerdefinierten Modulen haben Sie mehr Kontrolle darüber, wie Event Threat Detection Bedrohungen erkennt und Ergebnisse meldet. Benutzerdefinierte Module enthalten die von Ihnen angegebenen Parameter, verwenden aber weiterhin die proprietäre Erkennungslogik und Bedrohungserkennung von Event Threat Detection, einschließlich des Abgleichs von Tripwire-Indikatoren. Sie können eine Vielzahl von Bedrohungsmodellen implementieren, die auf die individuellen Anforderungen Ihres Unternehmens zugeschnitten sind.
Benutzerdefinierte Event Threat Detection-Module werden zusammen mit den integrierten Detektoren ausgeführt. Aktivierte Module werden im Echtzeitmodus ausgeführt, wodurch Scans ausgelöst werden, wenn neue Logs erstellt werden.
Benutzerdefinierte Module und Vorlagen
Die folgende Tabelle enthält eine Liste der unterstützten benutzerdefinierten Modultypen, Beschreibungen, erforderlichen Logs und JSON-Modulvorlagen.
Sie benötigen diese JSON-Modulvorlagen, wenn Sie mit der gcloud CLI benutzerdefinierte Module erstellen oder aktualisieren möchten. Klicken Sie zum Aufrufen einer Vorlage auf das Symbol zum Maximieren neben ihrem Namen. Informationen zum Verwenden benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module konfigurieren und verwalten.
| Ergebniskategorie | Modultyp | Logquelltypen | Beschreibung |
|---|---|---|---|
| Konfigurierbare fehlerhafte IP-Adresse | CONFIGURABLE_BAD_IP |
VPC-Flusslogs Logs zu Firewallregeln |
Erkennt eine Verbindung zu einer angegebenen IP-Adresse |
|
Vorlage: Konfigurierbare fehlerhafte IP-Adresse
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"ips": [
"IP_ADDRESS_1",
"IP_ADDRESS_2"
]
}
Ersetzen Sie Folgendes:
|
|||
| Konfigurierbare fehlerhafte Domain | CONFIGURABLE_BAD_DOMAIN
|
Cloud DNS-Logs | Erkennt eine Verbindung zu einem angegebenen Domainnamen |
|
Vorlage: Konfigurierbare fehlerhafte Domain
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"domains": [
"DOMAIN_1","DOMAIN_2"
]
}
Ersetzen Sie Folgendes:
|
|||
| Unerwarteter Compute Engine-Instanztyp | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE
|
Cloud-Audit-Logs: Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen. |
|
Vorlage: Unerwarteter Compute Engine-Instanztyp
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"instances": [
{
"series": "SERIES",
"cpus": {
"minimum": MINIMUM_NUMBER_OF_CPUS,
"maximum": MAXIMUM_NUMBER_OF_CPUS
},
"ram_mb": {
"minimum": MINIMUM_RAM_SIZE,
"maximum": MAXIMUM_RAM_SIZE
},
"gpus": {
"minimum": MINIMUM_NUMBER_OF_GPUS,
"maximum": MAXIMUM_NUMBER_OF_GPUS
},
"projects": [
"PROJECT_ID_1",
"PROJECT_ID_2"
],
"regions": [
"REGION_1",
"REGION_2"
]
},
{
"series": " ... ",
...
"regions": [ ... ]
}
]
}
Ersetzen Sie Folgendes:
|
|||
| Unerwartetes Compute Engine-Quell-Image | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE |
Cloud-Audit-Logs: Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder einer Image-Familie, das bzw. die nicht mit einer angegebenen Liste übereinstimmt |
|
Vorlage: Unerwartetes Compute Engine-Quell-Image
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"patterns": [
{
"pattern": "PATTERN_1",
"name": "NAME_1"
},
{
"pattern": "PATTERN_2",
"name": "NAME_2"
}
]
}
Ersetzen Sie Folgendes:
|
|||
| Unerwartete Compute Engine-Region | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION |
Cloud-Audit-Logs: Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die nicht in einer angegebenen Liste enthalten ist |
|
Vorlage: Unerwartete Compute Engine-Region
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"regions": [
{
"region": "REGION_1"
},
{
"region": "REGION_2"
}
]
}
Ersetzen Sie Folgendes:
|
|||
| Break-Glass-Konto verwendet | CONFIGURABLE_BREAKGLASS_ACCOUNT_USED |
Cloud-Audit-Logs: Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass-Konto) |
|
Vorlage: Break-Glass-Konto verwendet
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"accounts": [
"BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
]
}
Ersetzen Sie Folgendes:
|
|||
| Unerwartete Rollenzuweisung | CONFIGURABLE_UNEXPECTED_ROLE_GRANT |
Cloud-Audit-Logs: Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird |
|
Vorlage: Unerwartete Rollenzuweisung
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"roles": ["ROLE_1", "ROLE_2"]
}
Ersetzen Sie Folgendes:
|
|||
| Benutzerdefinierte Rolle mit unzulässiger Berechtigung | CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION |
Cloud-Audit-Logs: Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt, wenn eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen erstellt oder aktualisiert wird. |
|
Vorlage: Benutzerdefinierte Rolle mit unzulässiger Berechtigung
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"permissions": [
"PERMISSION_1",
"PERMISSION_2"
]
}
Ersetzen Sie Folgendes:
|
|||
| Unerwarteter Cloud API-Aufruf | CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL
|
Cloud-Audit-Logs: Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt, wenn ein angegebenes Hauptkonto eine angegebene Methode für eine angegebene Ressource aufruft. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzelnen Logeintrag übereinstimmen. |
|
Vorlage: Unerwarteter Cloud API-Aufruf
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"caller_pattern": "CALLER_PATTERN",
"method_pattern": "METHOD_PATTERN",
"resource_pattern": "RESOURCE_PATTERN"
}
Ersetzen Sie Folgendes:
|
|||
Preise und Kontingente
Dieses Feature ist für Security Command Center Premium-Kunden kostenlos.
Benutzerdefinierte Event Threat Detection-Module unterliegen Kontingentlimits.
Das standardmäßige Kontingentlimit für die Erstellung von benutzerdefinierten Modulen beträgt 200.
API-Aufrufe an benutzerdefinierte Modulmethoden unterliegen ebenfalls Kontingentlimits. In der folgenden Tabelle sind die standardmäßigen Kontingentlimits für API-Aufrufe von benutzerdefinierten Modulen aufgeführt.
| API-Aufruftyp | Limit |
|---|---|
| Get, List | 1.000 API-Aufrufe pro Minute und Organisation |
| Erstellen, aktualisieren, löschen | 60 API-Aufrufe pro Minute pro Organisation |
Beschränkungen der Modulgröße
Jedes benutzerdefinierte Event Threat Detection-Modul hat eine Größenbeschränkung von 6 MB.
Ratenlimits
Es gelten die folgenden Ratenbegrenzungen:
- 30 Ergebnisse pro benutzerdefiniertem Modul und Stunde.
- 200 Ergebnisse des benutzerdefinierten Moduls pro übergeordneter Ressource (Organisation oder Projekt) und Stunde. Jedes Ergebnis wird entweder einer Organisation oder einem Projekt angerechnet, je nachdem, auf welcher Ebene das benutzerdefinierte Quellmodul erstellt wurde.
Diese Limits können nicht erhöht werden.