Übersicht über benutzerdefinierte Module für Event Threat Detection

Diese Seite bietet eine Übersicht über benutzerdefinierte Module für Event Threat Detection.

Sie können Module, auch Detektoren genannt, konfigurieren, um Ihren Cloud Logging-Stream zu verarbeiten und Bedrohungen anhand der von Ihnen angegebenen Parameter zu erkennen. Dieses Feature erweitert die Monitoringfunktionen von Event Threat Detection. Sie können Module mit Ihren eigenen Erkennungsparametern, Abhilfemaßnahmen und Schweregradangaben für Konfigurationen hinzufügen, die von den integrierten Detektoren möglicherweise nicht unterstützt werden.

Benutzerdefinierte Module sind nützlich, wenn Sie Module mit Erkennungsregeln benötigen, die den individuellen Anforderungen Ihrer Organisation entsprechen. Sie können beispielsweise ein benutzerdefiniertes Modul hinzufügen, das Ergebnisse erstellt, wenn Logeinträge zeigen, dass eine Ressource mit bestimmten IP-Adressen verbunden ist oder in einer eingeschränkten Region erstellt wird.

So funktionieren benutzerdefinierte Module für Event Threat Detection

Benutzerdefinierte Module sind eine ausgewählte Gruppe von Event Threat Detection-Detektoren, die Sie mit Ihren eigenen Erkennungsparametern konfigurieren können. Sie können ein benutzerdefiniertes Event Threat Detection-Modul über die Google Cloud Console erstellen. Alternativ können Sie ein Modul erstellen, indem Sie eine benutzerdefinierte Modulvorlage aktualisieren und das benutzerdefinierte Modul über die Google Cloud CLI an Security Command Center senden. Informationen zu verfügbaren Vorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.

Benutzerdefinierte Modulvorlagen werden in JSON geschrieben. Mit ihnen können Sie Erkennungsparameter definieren, die steuern, welche Ereignisse in Logeinträgen Ergebnisse auslösen sollen. Der integrierte Malware: Bad IP-Detektor prüft beispielsweise die Flusslogs von Virtual Private Cloud auf Verbindungen zu bekannten verdächtigen IP-Adressen. Sie können das benutzerdefinierte Modul Configurable Bad IP jedoch mit einer Liste verdächtiger IP-Adressen, die Sie verwalten, aktivieren und ändern. Wenn Ihre Logs eine Verbindung zu einer der von Ihnen angegebenen IP-Adressen angeben, wird ein Ergebnis generiert und in Security Command Center geschrieben.

Mit Modulvorlagen können Sie auch den Schweregrad von Bedrohungen definieren und benutzerdefinierte Abhilfemaßnahmen bereitstellen, um Ihre Sicherheitsteams bei der Behebung von Problemen zu unterstützen.

Mit benutzerdefinierten Modulen haben Sie mehr Kontrolle darüber, wie Event Threat Detection Bedrohungen erkennt und Ergebnisse meldet. Benutzerdefinierte Module enthalten die von Ihnen angegebenen Parameter, verwenden aber weiterhin die proprietäre Erkennungslogik und Bedrohungserkennung von Event Threat Detection, einschließlich des Abgleichs von Tripwire-Indikatoren. Sie können eine Vielzahl von Bedrohungsmodellen implementieren, die auf die individuellen Anforderungen Ihres Unternehmens zugeschnitten sind.

Benutzerdefinierte Event Threat Detection-Module werden zusammen mit den integrierten Detektoren ausgeführt. Aktivierte Module werden im Echtzeitmodus ausgeführt, wodurch Scans ausgelöst werden, wenn neue Logs erstellt werden.

Benutzerdefinierte Module und Vorlagen

Die folgende Tabelle enthält eine Liste der unterstützten benutzerdefinierten Modultypen, Beschreibungen, erforderlichen Logs und JSON-Modulvorlagen.

Sie benötigen diese JSON-Modulvorlagen, wenn Sie mit der gcloud CLI benutzerdefinierte Module erstellen oder aktualisieren möchten. Klicken Sie zum Aufrufen einer Vorlage auf das Symbol zum Maximieren neben ihrem Namen. Informationen zum Verwenden benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module konfigurieren und verwalten.

Ergebniskategorie Modultyp Logquelltypen Beschreibung
Konfigurierbare fehlerhafte IP-Adresse CONFIGURABLE_BAD_IP VPC-Flusslogs
Logs zu Firewallregeln
Erkennt eine Verbindung zu einer angegebenen IP-Adresse
Vorlage: Konfigurierbare fehlerhafte IP-Adresse
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der von diesem Modul zu erstellenden Ergebnisse. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die das benutzerdefinierte Modul erkennt. Mit dieser Beschreibung wird das Attribut explanation jedes von diesem Modul generierten Ergebnisses gefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses gefüllt.
  • IP_ADDRESS_1: Eine öffentlich routbare IPv4- oder IPv6-Adresse oder ein CIDR-Block, nach dem gesucht werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24.
  • IP_ADDRESS_2: Optional. Eine öffentlich routbare IPv4- oder IPv6-Adresse oder ein CIDR-Block, nach dem überwacht werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24.
Konfigurierbare fehlerhafte Domain CONFIGURABLE_BAD_DOMAIN Cloud DNS-Logs Erkennt eine Verbindung zu einem angegebenen Domainnamen
Vorlage: Konfigurierbare fehlerhafte Domain
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der von diesem Modul zu erstellenden Ergebnisse. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die das benutzerdefinierte Modul erkennt. Mit dieser Beschreibung wird das Attribut explanation jedes von diesem Modul generierten Ergebnisses gefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses gefüllt.
  • DOMAIN_1: Ein Domainname, nach dem gesucht werden soll, z. B. example.com. Der Wert localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. So sind beispielsweise 例子.example und xn--fsqu00a.example gleichwertig.
  • DOMAIN_2: Optional. Ein Domainname, der überwacht werden soll, z. B. example.com. Der Wert localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Zum Beispiel sind 例子.example und xn--fsqu00a.example gleichwertig.
Unerwarteter Compute Engine-Instanztyp CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)
Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen.
Vorlage: Unerwarteter Compute Engine-Instanztyp
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der von diesem Modul zu erstellenden Ergebnisse. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die das benutzerdefinierte Modul erkennt. Mit dieser Beschreibung wird das Attribut explanation jedes von diesem Modul generierten Ergebnisses gefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses gefüllt.
  • SERIES: Optional. Die Compute Engine-Maschinenserie, z. B. C2. Wenn das Modul leer ist, lässt das Modul alle Reihen zu. Weitere Informationen finden Sie unter Ressourcen und Vergleiche für Maschinenfamilien.
  • MINIMUM_NUMBER_OF_CPUS: Optional. Die Mindestanzahl von zulässigen CPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_CPUS: Optional. Die maximale Anzahl zulässiger CPUs. Wenn nicht vorhanden, gibt es kein Maximum. Muss größer oder gleich minimum und kleiner oder gleich 1.000 sein.
  • MINIMUM_RAM_SIZE: Optional. Die zulässige Mindestgröße für den RAM in Megabyte. Wenn nicht vorhanden, gibt es keine Mindestanzahl.
  • MAXIMUM_RAM_SIZE: Optional. Die maximal zulässige RAM-Größe in Megabyte. Wenn nicht vorhanden, gibt es kein Maximum. Muss größer oder gleich minimum und kleiner oder gleich 10.000.000 sein.
  • MINIMUM_NUMBER_OF_GPUS: Optional. Die Mindestanzahl zulässiger GPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_GPUS: Optional. Die maximale Anzahl zulässiger GPUs. Wenn nicht vorhanden, gibt es kein Maximum. Muss größer oder gleich minimum und kleiner oder gleich 100 sein.
  • PROJECT_ID_1: Optional. Die ID eines Projekts, auf das Sie dieses Modul anwenden möchten, z. B. projects/example-project. Wenn das Modul leer oder nicht konfiguriert ist, wird es auf Instanzen angewendet, die in allen Projekten im aktuellen Bereich erstellt wurden.
  • PROJECT_ID_2: Optional. Die ID eines Projekts, auf das Sie dieses Modul anwenden möchten, z. B. projects/example-project.
  • REGION_1: Optional. Eine Region, auf die Sie dieses Modul anwenden möchten, z. B. us-central1. Wenn das Feld leer oder nicht konfiguriert ist, wird das Modul auf Instanzen angewendet, die in allen Regionen erstellt wurden.
  • REGION_2: Optional. Eine Region, auf die Sie dieses Modul anwenden möchten, z. B. us-central1.
Unerwartetes Compute Engine-Quell-Image CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)
Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder einer Image-Familie, das bzw. die nicht mit einer angegebenen Liste übereinstimmt
Vorlage: Unerwartetes Compute Engine-Quell-Image
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der von diesem Modul zu erstellenden Ergebnisse. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die das benutzerdefinierte Modul erkennt. Mit dieser Beschreibung wird das Attribut explanation jedes von diesem Modul generierten Ergebnisses gefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses gefüllt.
  • PATTERN_1: Ein regulärer RE2, auf den Images geprüft werden sollen, z. B. debian-image-1. Wenn ein Image zum Erstellen einer Compute Engine-Instanz verwendet wird und der Name dieses Images mit keinem der angegebenen regulären Ausdrücke übereinstimmt, wird ein Ergebnis ausgegeben.
  • NAME_1: Ein beschreibender Name für dieses Muster, z. B. first-image.
  • PATTERN_2: Optional. Einen weiteren regulären RE2-Ausdruck zum Vergleichen von Images, z. B. debian-image-2.
  • NAME_2: Optional. Ein beschreibender Name für das zweite Muster, z. B. second-image.
Unerwartete Compute Engine-Region CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)
Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die nicht in einer angegebenen Liste enthalten ist
Vorlage: Unerwartete Compute Engine-Region
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der von diesem Modul zu erstellenden Ergebnisse. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die das benutzerdefinierte Modul erkennt. Mit dieser Beschreibung wird das Attribut explanation jedes von diesem Modul generierten Ergebnisses gefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses gefüllt.
  • REGION_1: Der Name einer Region, die zugelassen werden soll, z. B. us-west1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt Event Threat Detection ein Ergebnis aus.
  • REGION_2: Optional. Der Name einer Region, die zugelassen werden soll, z. B. us-central1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt Event Threat Detection ein Ergebnis aus.
Break-Glass-Konto verwendet CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)
Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass-Konto)
Vorlage: Break-Glass-Konto verwendet
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der von diesem Modul zu erstellenden Ergebnisse. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die das benutzerdefinierte Modul erkennt. Mit dieser Beschreibung wird das Attribut explanation jedes von diesem Modul generierten Ergebnisses gefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses gefüllt.
  • BREAKGLASS_ACCOUNT_1: Ein Break-Glass-Konto, nach dem gesucht werden soll, z. B. test@example.com. Ein Ergebnis wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logs-Eintrag aufgezeichnet wird.
  • BREAKGLASS_ACCOUNT_2: Optional. Ein Break-Glass-Konto, nach dem gesucht werden soll, z. B. test@example.com. Ein Ergebnis wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logs-Eintrag aufgezeichnet wird.
Unerwartete Rollenzuweisung CONFIGURABLE_UNEXPECTED_ROLE_GRANT Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)
Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird
Vorlage: Unerwartete Rollenzuweisung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der von diesem Modul zu erstellenden Ergebnisse. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die das benutzerdefinierte Modul erkennt. Mit dieser Beschreibung wird das Attribut explanation jedes von diesem Modul generierten Ergebnisses gefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses gefüllt.
  • ROLE_1: Eine IAM-Rolle, die überwacht werden soll, z. B. roles/owner. Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
  • ROLE_2: Optional. Eine IAM-Rolle, die überwacht werden soll, z. B. roles/editor. Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
Benutzerdefinierte Rolle mit unzulässiger Berechtigung CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)
Erkennt, wenn eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen erstellt oder aktualisiert wird.
Vorlage: Benutzerdefinierte Rolle mit unzulässiger Berechtigung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der von diesem Modul zu erstellenden Ergebnisse. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die das benutzerdefinierte Modul erkennt. Mit dieser Beschreibung wird das Attribut explanation jedes von diesem Modul generierten Ergebnisses gefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses gefüllt.
  • PERMISSION_1: Eine IAM-Berechtigung, die überwacht werden soll, z. B. storage.buckets.list. Event Threat Detection gibt ein Ergebnis aus, wenn einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung gewährt wird.
  • PERMISSION_2: Optional. Eine IAM-Berechtigung, die überwacht werden soll, z. B. storage.buckets.get. Event Threat Detection gibt ein Ergebnis aus, wenn einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung gewährt wird.
Unerwarteter Cloud API-Aufruf CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)
Erkennt, wenn ein angegebenes Hauptkonto eine angegebene Methode für eine angegebene Ressource aufruft. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzelnen Logeintrag übereinstimmen.
Vorlage: Unerwarteter Cloud API-Aufruf
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der von diesem Modul zu erstellenden Ergebnisse. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die das benutzerdefinierte Modul erkennt. Mit dieser Beschreibung wird das Attribut explanation jedes von diesem Modul generierten Ergebnisses gefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses gefüllt.
  • CALLER_PATTERN: Ein regulärer RE2, auf den Hauptkonten geprüft werden sollen. .* entspricht beispielsweise jedem Hauptkonto.
  • METHOD_PATTERN: Ein regulärer RE2-Ausdruck, auf den Methoden geprüft werden sollen, z. B. ^cloudsql\\.instances\\.export$.
  • RESOURCE_PATTERN: Ein regulärer RE2-Ausdruck, mit dem Ressourcen verglichen werden sollen, z. B. example-project.

Preise und Kontingente

Dieses Feature ist für Security Command Center Premium-Kunden kostenlos.

Benutzerdefinierte Event Threat Detection-Module unterliegen Kontingentlimits.

Das standardmäßige Kontingentlimit für die Erstellung von benutzerdefinierten Modulen beträgt 200.

API-Aufrufe an benutzerdefinierte Modulmethoden unterliegen ebenfalls Kontingentlimits. In der folgenden Tabelle sind die standardmäßigen Kontingentlimits für API-Aufrufe von benutzerdefinierten Modulen aufgeführt.

API-Aufruftyp Limit
Get, List 1.000 API-Aufrufe pro Minute und Organisation
Erstellen, aktualisieren, löschen 60 API-Aufrufe pro Minute pro Organisation

Beschränkungen der Modulgröße

Jedes benutzerdefinierte Event Threat Detection-Modul hat eine Größenbeschränkung von 6 MB.

Ratenlimits

Es gelten die folgenden Ratenbegrenzungen:

  • 30 Ergebnisse pro benutzerdefiniertem Modul und Stunde.
  • 200 Ergebnisse des benutzerdefinierten Moduls pro übergeordneter Ressource (Organisation oder Projekt) und Stunde. Jedes Ergebnis wird entweder einer Organisation oder einem Projekt angerechnet, je nachdem, auf welcher Ebene das benutzerdefinierte Quellmodul erstellt wurde.

Diese Limits können nicht erhöht werden.

Nächste Schritte