Übersicht über benutzerdefinierte Module für Event Threat Detection

Auf dieser Seite erhalten Sie einen Überblick über benutzerdefinierte Module für Event Threat Detection.

Sie können Module, auch Detektoren genannt, konfigurieren, um Ihren Cloud Logging-Stream zu verarbeiten und Bedrohungen anhand der von Ihnen angegebenen Parameter zu erkennen. Diese Funktion erweitert die Monitoringfunktionen von Event Threat Detection und ermöglicht Ihnen, Module mit Ihren eigenen Erkennungsparametern, Abhilfemaßnahmen und Schweregradangaben für Konfigurationen hinzuzufügen, die die integrierten Detektoren möglicherweise nicht unterstützen.

Benutzerdefinierte Module sind nützlich, wenn Sie Module mit Erkennungsregeln benötigen, die die besonderen Anforderungen Ihrer Organisation erfüllen. Sie können beispielsweise ein benutzerdefiniertes Modul hinzufügen, das Ergebnisse erstellt, wenn Logeinträge zeigen, dass eine Ressource mit bestimmten IP-Adressen verbunden oder in einer eingeschränkten Region erstellt wurde.

Funktionsweise benutzerdefinierter Module für Event Threat Detection

Benutzerdefinierte Module sind eine ausgewählte Gruppe von Event Threat Detection-Detektoren, die Sie mit Ihren eigenen Erkennungsparametern konfigurieren können. Über die Google Cloud Console können Sie ein benutzerdefiniertes Event Threat Detection-Modul erstellen. Alternativ können Sie ein Modul erstellen, indem Sie eine benutzerdefinierte Modulvorlage aktualisieren und das benutzerdefinierte Modul über die Google Cloud CLI an Security Command Center senden. Informationen zu verfügbaren Vorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.

Benutzerdefinierte Modulvorlagen werden in JSON geschrieben und ermöglichen Ihnen, Erkennungsparameter zu definieren, die steuern, welche Ereignisse in Logeinträgen Ergebnisse auslösen sollen. Der integrierte Detektor Malware: Bad IP prüft beispielsweise die Flusslogs der Virtual Private Cloud auf Verbindungen zu bekanntermaßen verdächtigen IP-Adressen. Sie können jedoch das benutzerdefinierte Modul Configurable Bad IP aktivieren und mit einer Liste verdächtiger IP-Adressen ändern. Wenn Ihre Logs auf eine Verbindung zu einer der bereitgestellten IP-Adressen hinweisen, wird ein Ergebnis generiert und in Security Command Center geschrieben.

Mit Modulvorlagen können Sie auch den Schweregrad von Bedrohungen definieren und benutzerdefinierte Abhilfemaßnahmen bereitstellen, um Ihren Sicherheitsteams bei der Behebung von Problemen zu helfen.

Mit benutzerdefinierten Modulen haben Sie mehr Kontrolle darüber, wie Event Threat Detection Bedrohungen erkennt und Ergebnisse meldet. Benutzerdefinierte Module enthalten die von Ihnen bereitgestellten Parameter, nutzen aber weiterhin die eigene Erkennungslogik und Bedrohungsdaten von Event Threat Detection, einschließlich des Stolperwire-Indikator-Abgleichs. Sie können eine breite Palette von Bedrohungsmodellen implementieren, die auf die individuellen Anforderungen Ihres Unternehmens zugeschnitten ist.

Neben den integrierten Detektoren werden die benutzerdefinierten Event Threat Detection-Module ausgeführt. Aktivierte Module werden im Echtzeitmodus ausgeführt, der Scans jedes Mal auslöst, wenn neue Logs erstellt werden.

Benutzerdefinierte Module und Vorlagen

Die folgende Tabelle enthält eine Liste der unterstützten benutzerdefinierten Modultypen, Beschreibungen, erforderlichen Logs und JSON-Modulvorlagen.

Sie benötigen diese JSON-Modulvorlagen, wenn Sie die gcloud CLI verwenden möchten, um benutzerdefinierte Module zu erstellen oder zu aktualisieren. Um eine Vorlage aufzurufen, klicken Sie auf das Symbol zum Maximieren neben ihrem Namen. Informationen zur Verwendung von benutzerdefinierten Modulen finden Sie unter Benutzerdefinierte Module konfigurieren und verwalten.

Ergebniskategorie Modultyp Logquelltypen Beschreibung
Konfigurierbare fehlerhafte IP-Adresse CONFIGURABLE_BAD_IP VPC-Flusslogs
Logs für Firewallregeln 		Erkennt eine Verbindung zu einer angegebenen IP-Adresse
Vorlage: Konfigurierbare fehlerhafte IP-Adresse
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse, die von diesem Modul erzeugt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird das Attribut explanation für jedes von diesem Modul generierte Ergebnis ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, mit denen Sicherheitsteams das erkannte Problem beheben können. Anhand dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses ausgefüllt.
  • IP_ADDRESS_1: Eine öffentlich routbare IPv4- oder IPv6-Adresse oder ein CIDR-Block, auf den überwacht werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24.
  • IP_ADDRESS_2: Optional. Eine öffentlich routbare IPv4- oder IPv6-Adresse oder ein CIDR-Block, auf den überwacht werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24.
Konfigurierbare fehlerhafte Domain CONFIGURABLE_BAD_DOMAIN Cloud DNS-Logs Erkennt eine Verbindung zu einem angegebenen Domainnamen
Vorlage: Konfigurierbare fehlerhafte Domain
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse, die von diesem Modul erzeugt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird das Attribut explanation für jedes von diesem Modul generierte Ergebnis ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, mit denen Sicherheitsteams das erkannte Problem beheben können. Anhand dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses ausgefüllt.
  • DOMAIN_1: Ein Domainname, der überwacht werden soll, z. B. example.com. Der Wert localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Zum Beispiel sind 例子.example und xn--fsqu00a.example gleichwertig.
  • DOMAIN_2: Optional. Ein Domainname, der überwacht werden soll, z. B. example.com. Der Wert localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Zum Beispiel sind 例子.example und xn--fsqu00a.example gleichwertig.
Unerwarteter Compute Engine-Instanztyp CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen.
Vorlage: Unerwarteter Compute Engine-Instanztyp
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse, die von diesem Modul erzeugt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird das Attribut explanation für jedes von diesem Modul generierte Ergebnis ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, mit denen Sicherheitsteams das erkannte Problem beheben können. Anhand dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses ausgefüllt.
  • SERIES: Optional. Die Compute Engine-Maschinenserie, z. B. C2. Wenn das Feld leer ist, erlaubt das Modul alle Reihen. Weitere Informationen finden Sie unter Ressourcen und Vergleich für Maschinenfamilien.
  • MINIMUM_NUMBER_OF_CPUS: Optional. Die Mindestanzahl von CPUs, die zugelassen werden sollen. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_CPUS: Optional. Die maximal zulässige Anzahl von CPUs. Wenn nicht vorhanden, gibt es keine Obergrenze. Muss größer oder gleich minimum und kleiner oder gleich 1.000 sein.
  • MINIMUM_RAM_SIZE: Optional. Die minimale RAM-Größe, die zulässig ist, in Megabyte. Wenn nicht vorhanden, gibt es keine Mindestanzahl.
  • MAXIMUM_RAM_SIZE: Optional. Die maximal zulässige RAM-Größe in Megabyte. Wenn dieser Wert nicht vorhanden ist, gibt es keine Angabe für das Maximum. Muss größer oder gleich minimum und kleiner oder gleich 10.000.000 sein.
  • MINIMUM_NUMBER_OF_GPUS: Optional. Die Mindestanzahl von zulässigen GPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_GPUS: Optional. Die maximal zulässige Anzahl von GPUs. Wenn nicht vorhanden, gibt es keine Obergrenze. Muss größer oder gleich minimum und kleiner oder gleich 100 sein.
  • PROJECT_ID_1: Optional. Die ID eines Projekts, auf das Sie dieses Modul anwenden möchten, z. B. projects/example-project. Wenn das Modul leer oder nicht konfiguriert ist, wird es auf Instanzen angewendet, die in allen Projekten innerhalb des aktuellen Bereichs erstellt werden.
  • PROJECT_ID_2: Optional. Die ID eines Projekts, auf das Sie dieses Modul anwenden möchten, z. B. projects/example-project.
  • REGION_1: Optional. Eine Region, auf die Sie dieses Modul anwenden möchten, z. B. us-central1. Wenn das Modul leer oder nicht konfiguriert ist, wird es auf Instanzen angewendet, die in allen Regionen erstellt werden.
  • REGION_2: Optional. Eine Region, in der Sie dieses Modul anwenden möchten, z. B. us-central1.
Unerwartetes Compute Engine-Quell-Image CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder einer Image-Familie, das nicht mit einer angegebenen Liste übereinstimmt
Vorlage: Unerwartetes Compute Engine-Quell-Image
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse, die von diesem Modul erzeugt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird das Attribut explanation für jedes von diesem Modul generierte Ergebnis ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, mit denen Sicherheitsteams das erkannte Problem beheben können. Anhand dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses ausgefüllt.
  • PATTERN_1: Ein regulärer RE2 für die Prüfung von Bildern, z. B. debian-image-1. Wenn ein Image zum Erstellen einer Compute Engine-Instanz verwendet wird und der Name dieses Images mit keinem der angegebenen regulären Ausdrücke übereinstimmt, wird ein Ergebnis ausgegeben.
  • NAME_1: Ein aussagekräftiger Name für das Muster, z. B. first-image.
  • PATTERN_2: Optional. Ein weiterer regulärer RE2-Ausdruck, auf den Bilder geprüft werden sollen, z. B. debian-image-2.
  • NAME_2: Optional. Ein aussagekräftiger Name für das zweite Muster, z. B. second-image.
Unerwartete Compute Engine-Region CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die nicht in einer angegebenen Liste enthalten ist
Vorlage: Unerwartete Compute Engine-Region
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse, die von diesem Modul erzeugt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird das Attribut explanation für jedes von diesem Modul generierte Ergebnis ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, mit denen Sicherheitsteams das erkannte Problem beheben können. Anhand dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses ausgefüllt.
  • REGION_1: Der Name einer Region, die zugelassen werden soll, z. B. us-west1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt Event Threat Detection ein Ergebnis aus.
  • REGION_2: Optional. Der Name einer zulässigen Region, z. B. us-central1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt Event Threat Detection ein Ergebnis aus.
Break-Glass-Konto verwendet CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass)
Vorlage: Break-Glass-Konto verwendet
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse, die von diesem Modul erzeugt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird das Attribut explanation für jedes von diesem Modul generierte Ergebnis ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, mit denen Sicherheitsteams das erkannte Problem beheben können. Anhand dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses ausgefüllt.
  • BREAKGLASS_ACCOUNT_1: Ein Break-Glass-Konto, das überwacht werden soll, z. B. test@example.com. Wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logs-Eintrag aufgezeichnet wird, wird ein Ergebnis generiert.
  • BREAKGLASS_ACCOUNT_2: Optional. Ein Break-Glass-Konto, das überwacht werden soll, z. B. test@example.com. Wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logs-Eintrag aufgezeichnet wird, wird ein Ergebnis generiert.
Unerwartete Rollenzuweisung CONFIGURABLE_UNEXPECTED_ROLE_GRANT Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird
Vorlage: Unerwartete Rollenzuweisung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse, die von diesem Modul erzeugt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird das Attribut explanation für jedes von diesem Modul generierte Ergebnis ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, mit denen Sicherheitsteams das erkannte Problem beheben können. Anhand dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses ausgefüllt.
  • ROLE_1: Eine IAM-Rolle, die überwacht werden soll, z. B. roles/owner. Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
  • ROLE_2: Optional. Eine IAM-Rolle, die überwacht werden soll, z. B. roles/editor. Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
Benutzerdefinierte Rolle mit unzulässiger Berechtigung CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt, wenn eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen erstellt oder aktualisiert wird.
Vorlage: Benutzerdefinierte Rolle mit unzulässiger Berechtigung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse, die von diesem Modul erzeugt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird das Attribut explanation für jedes von diesem Modul generierte Ergebnis ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, mit denen Sicherheitsteams das erkannte Problem beheben können. Anhand dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses ausgefüllt.
  • PERMISSION_1: Eine IAM-Berechtigung, nach der gesucht werden soll, z. B. storage.buckets.list. Event Threat Detection gibt ein Ergebnis aus, wenn einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung gewährt wurde.
  • PERMISSION_2: Optional. Eine IAM-Berechtigung, nach der gesucht werden soll, z. B. storage.buckets.get. Event Threat Detection stellt fest, ob einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung gewährt wurde.
Unerwarteter Cloud API-Aufruf CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt, wenn ein angegebenes Hauptkonto eine angegebene Methode für eine angegebene Ressource aufruft. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzelnen Logeintrag übereinstimmen.
Vorlage: Unerwarteter Cloud API-Aufruf
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse, die von diesem Modul erzeugt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird das Attribut explanation für jedes von diesem Modul generierte Ergebnis ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, mit denen Sicherheitsteams das erkannte Problem beheben können. Anhand dieser Erklärung wird das Attribut nextSteps jedes von diesem Modul generierten Ergebnisses ausgefüllt.
  • CALLER_PATTERN: Ein regulärer RE2, auf den Hauptkonten geprüft werden sollen. Beispiel: .* stimmt mit einem beliebigen Hauptkonto überein.
  • METHOD_PATTERN: Ein regulärer RE2-Ausdruck, auf den Methoden geprüft werden, z. B. ^cloudsql\\.instances\\.export$.
  • RESOURCE_PATTERN: Ein regulärer RE2-Ausdruck, mit dem Ressourcen verglichen werden sollen, z. B. example-project.

Preise und Kontingente

Dieses Feature ist für Kunden von Security Command Center Premium kostenlos.

Benutzerdefinierte Event Threat Detection-Module unterliegen Kontingentlimits.

Das standardmäßige Kontingentlimit zum Erstellen benutzerdefinierter Module beträgt 200.

API-Aufrufe an benutzerdefinierte Modulmethoden unterliegen ebenfalls Kontingentlimits. Die folgende Tabelle enthält die Standardkontingentlimits für API-Aufrufe von benutzerdefinierten Modulen.

API-Aufruftyp Limit
Get, List 1.000 API-Aufrufe pro Minute und Organisation
Erstellen, aktualisieren, löschen 60 API-Aufrufe pro Minute pro Organisation

Größenbeschränkungen für das Modul

Jedes benutzerdefinierte Event Threat Detection-Modul hat eine Größenbeschränkung von 6 MB.

Ratenlimits

Es gelten die folgenden Ratenbegrenzungen:

  • 30 Ergebnisse pro benutzerdefiniertes Modul und Stunde
  • 200 benutzerdefinierte Modulergebnisse pro übergeordneter Ressource (Organisation oder Projekt) und Stunde. Jedes Ergebnis wird entweder auf eine Organisation oder ein Projekt angerechnet, je nachdem, auf welcher Ebene das benutzerdefinierte Quellmodul erstellt wurde.

Diese Limits können nicht erhöht werden.

Nächste Schritte