Cette page présente les modules personnalisés pour Event Threat Detection.
Vous pouvez configurer des modules, également appelés détecteurs, pour traiter vos flux Cloud Logging et détecter les menaces en fonction des paramètres que vous spécifiez. Cette fonctionnalité étend de surveillance d'Event Threat Detection et vous permet d'ajouter des modules vos propres paramètres de détection, des conseils de résolution et des désignations de gravité pour que les détecteurs intégrés ne prennent peut-être pas en charge.
Les modules personnalisés sont utiles si vous avez besoin de modules avec des règles de détection qui respectent les les besoins uniques de votre organisation. Par exemple, vous pouvez ajouter un module personnalisé crée des résultats si les entrées de journal indiquent qu'une ressource est connectée à une adresse IP spécifique ; ou est créée dans une région restreinte.
Fonctionnement des modules personnalisés pour Event Threat Detection
Les modules personnalisés regroupent plusieurs détecteurs Event Threat Detection avec vos propres paramètres de détection. Vous pouvez créer un Module personnalisé Event Threat Detection via la console Google Cloud. Par ailleurs, vous pouvez en créer un en mettant à jour un modèle de module personnalisé en envoyant le module personnalisé à Security Command Center via la Google Cloud CLI. Pour plus d'informations sur les modèles disponibles, reportez-vous à la section Modules et modèles de ML.
Les modèles de modules personnalisés sont écrits en JSON et vous permettent de définir
qui contrôlent quels événements dans les entrées
de journal doivent déclencher les résultats. Pour
exemple, le détecteur Malware: Bad IP
intégré vérifie
Journaux de flux de cloud privé virtuel pour détecter la présence de connexions à des adresses IP suspectes connues
des adresses IP externes. Toutefois, vous pouvez activer et modifier l'Configurable Bad IP
personnalisé
par une liste d'adresses IP suspectes que vous gérez. Si vos journaux
indique une connexion à l'une des adresses IP que vous avez fournies, un résultat est
générées et écrites dans Security Command Center.
Les modèles de module vous permettent aussi de définir la gravité des menaces et de fournir des pour aider vos équipes de sécurité à résoudre les problèmes.
Les modules personnalisés vous permettent de mieux contrôler la façon dont Event Threat Detection détecte les menaces et signale les résultats. Les modules personnalisés incluent les paramètres que vous fournissez, tout en continuant à utiliser la logique de détection propriétaire d'Event Threat Detection et de l'intelligence artificielle, y compris la mise en correspondance de l'indicateur de trajectoire. Vous pouvez implémenter une requête large un ensemble de modèles de gestion des menaces adaptés aux besoins spécifiques de votre entreprise.
Les modules personnalisés d'Event Threat Detection s'exécutent parallèlement aux détecteurs intégrés. Activé modules s'exécutent en temps réel, ce qui déclenche des analyses chaque fois que de nouveaux journaux sont créé.
Modules et modèles personnalisés
Le tableau suivant contient une liste des types de modules personnalisés pris en charge, les descriptions, les journaux requis et les modèles de module JSON.
Vous avez besoin de ces modèles de module JSON si vous souhaitez utiliser le gcloud CLI pour créer ou mettre à jour des modules personnalisés. Pour voir un modèle, cliquez sur l'icône Développer Configurer et gérer modules.
à côté de son nom. Pour plus d'informations sur l'utilisation des modules personnalisés, reportez-vous à la pageCatégorie de résultats | Module type | Types de sources de journal | Description |
---|---|---|---|
Adresse IP incorrecte configurable | CONFIGURABLE_BAD_IP |
Journaux de flux VPC Journaux des règles de pare-feu |
Détecte une connexion à une adresse IP spécifiée |
Modèle: adresse IP incorrecte configurable
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "ips": [ "IP_ADDRESS_1", "IP_ADDRESS_2" ] } Remplacez les éléments suivants :
|
|||
Domaine incorrect configurable | CONFIGURABLE_BAD_DOMAIN
|
Journaux Cloud DNS | Détecte une connexion à un nom de domaine spécifié |
Modèle: domaine incorrect configurable
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "domains": [ "DOMAIN_1","DOMAIN_2" ] } Remplacez les éléments suivants :
|
|||
Type d'instance Compute Engine inattendu | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE
|
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte la création d'instances Compute Engine qui ne correspondent pas à la configuration ou au type d'instance spécifié. |
Modèle: Type d'instance Compute Engine inattendu
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "instances": [ { "series": "SERIES", "cpus": { "minimum": MINIMUM_NUMBER_OF_CPUS, "maximum": MAXIMUM_NUMBER_OF_CPUS }, "ram_mb": { "minimum": MINIMUM_RAM_SIZE, "maximum": MAXIMUM_RAM_SIZE }, "gpus": { "minimum": MINIMUM_NUMBER_OF_GPUS, "maximum": MAXIMUM_NUMBER_OF_GPUS }, "projects": [ "PROJECT_ID_1", "PROJECT_ID_2" ], "regions": [ "REGION_1", "REGION_2" ] }, { "series": " ... ", ... "regions": [ ... ] } ] } Remplacez les éléments suivants :
|
|||
Image source Compute Engine inattendue | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE |
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte la création d'une instance Compute Engine avec une image ou famille d'images ne correspondant pas à une liste spécifiée |
Modèle: Image source Compute Engine inattendue
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "patterns": [ { "pattern": "PATTERN_1", "name": "NAME_1" }, { "pattern": "PATTERN_2", "name": "NAME_2" } ] } Remplacez les éléments suivants :
|
|||
Région Compute Engine inattendue | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION |
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte la création d'une instance Compute Engine dans une région extérieure à une liste spécifiée |
Modèle: Région Compute Engine inattendue
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "regions": [ { "region": "REGION_1" }, { "region": "REGION_2" } ] } Remplacez les éléments suivants :
|
|||
Compte "bris de glace" utilisé | CONFIGURABLE_BREAKGLASS_ACCOUNT_USED |
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte l'utilisation d'un compte d'accès d'urgence (bris de glace) |
Modèle: Compte "bris de glace" utilisé
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "accounts": [ "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2" ] } Remplacez les éléments suivants :
|
|||
Attribution de rôle inattendue | CONFIGURABLE_UNEXPECTED_ROLE_GRANT |
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte quand un rôle spécifié est attribué à un utilisateur |
Modèle: Attribution de rôle inattendue
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "roles": ["ROLE_1", "ROLE_2"] } Remplacez les éléments suivants :
|
|||
Rôle personnalisé avec autorisation interdite | CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION |
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte la création ou la mise à jour d'un rôle personnalisé disposant de l'une des autorisations IAM spécifiées. |
Modèle: rôle personnalisé avec autorisation interdite
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "permissions": [ "PERMISSION_1", "PERMISSION_2" ] } Remplacez les éléments suivants :
|
|||
Appel d'API Cloud inattendu | CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL
|
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte lorsqu'un compte principal spécifié appelle une méthode spécifiée sur un objet ressource spécifiée. Un résultat n'est généré que si toutes les expressions régulières sont mis en correspondance dans une seule entrée de journal. |
Modèle: Appel d'API Cloud inattendu
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "caller_pattern": "CALLER_PATTERN", "method_pattern": "METHOD_PATTERN", "resource_pattern": "RESOURCE_PATTERN" } Remplacez les éléments suivants :
|
Tarifs et quotas
Cette fonctionnalité est sans frais pour Security Command Center Premium clients.
Les modules personnalisés d'Event Threat Detection sont soumis à des limites de quota.
La limite de quota par défaut pour la création de modules personnalisés est de 200.
Les appels d'API vers des méthodes de module personnalisé sont également soumis à des limites de quota. La Le tableau suivant indique les limites de quota par défaut pour les appels d'API de modules personnalisés.
Type d'appel d'API | Limite |
---|---|
Get, List | 1 000 appels d'API par minute et par organisation |
Create, Update, Delete | 60 appels d'API par minute et par organisation |
Limites de taille des modules
Chaque module personnalisé Event Threat Detection dispose d'un ne doit pas dépasser 6 Mo.
Limites de débit
Les limites de débit suivantes s'appliquent:
- 30 résultats par module personnalisé et par heure
- 200 résultats de module personnalisé par ressource parente (organisation ou projet) par heure. Chaque résultat compte pour une organisation ou projet, en fonction du niveau dans lequel le module personnalisé source a été créé.
Ces limites ne peuvent pas être augmentées.
Étape suivante
- Découvrez comment créer et gérer des modules personnalisés.