Cette page présente les modules personnalisés pour Event Threat Detection.
Vous pouvez configurer des modules, également appelés détecteurs, pour traiter votre flux Cloud Logging et détecter les menaces en fonction des paramètres que vous spécifiez. Cette fonctionnalité étend les fonctionnalités de surveillance d'Event Threat Detection et vous permet d'ajouter des modules avec vos propres paramètres de détection, conseils de correction et désignations de gravité pour les configurations non compatibles avec les détecteurs intégrés.
Les modules personnalisés sont utiles si vous avez besoin de modules avec des règles de détection qui répondent aux besoins uniques de votre organisation. Par exemple, vous pouvez ajouter un module personnalisé qui crée des résultats si les entrées de journal indiquent qu'une ressource est connectée à des adresses IP spécifiques ou créée dans une région restreinte.
Fonctionnement des modules personnalisés pour Event Threat Detection
Les modules personnalisés constituent un groupe spécifique de détecteurs Event Threat Detection que vous pouvez configurer avec vos propres paramètres de détection. Vous pouvez créer un module personnalisé Event Threat Detection via la console Google Cloud. Vous pouvez également en créer un en mettant à jour un modèle de module personnalisé et en l'envoyant à Security Command Center via la Google Cloud CLI. Pour en savoir plus sur les modèles disponibles, consultez la page Modules et modèles personnalisés.
Les modèles de modules personnalisés sont écrits en JSON et vous permettent de définir des paramètres de détection qui contrôlent les événements dans les entrées de journal qui doivent déclencher les résultats. Par exemple, le détecteur Malware: Bad IP
intégré vérifie les journaux de flux de cloud privé virtuel pour détecter d'éventuelles connexions à des adresses IP suspectes connues. Toutefois, vous pouvez activer et modifier le module personnalisé Configurable Bad IP
avec une liste d'adresses IP suspectes que vous gérez. Si vos journaux indiquent une connexion à l'une des adresses IP que vous avez fournies, un résultat est généré et écrit dans Security Command Center.
Les modèles de module vous permettent également de définir la gravité des menaces et de fournir des mesures de résolution personnalisées pour aider vos équipes de sécurité à résoudre les problèmes.
Les modules personnalisés vous permettent de mieux contrôler la manière dont Event Threat Detection détecte les menaces et signale les résultats. Les modules personnalisés incluent les paramètres fournis, mais utilisent toujours la logique de détection propriétaire et les renseignements sur les menaces d'Event Threat Detection, y compris la mise en correspondance des indicateurs de triplage. Vous pouvez mettre en œuvre un large éventail de modèles de gestion des menaces adaptés aux besoins spécifiques de votre entreprise.
Les modules personnalisés d'Event Threat Detection s'exécutent parallèlement aux détecteurs intégrés. Les modules activés s'exécutent en mode temps réel, ce qui déclenche des analyses chaque fois que de nouveaux journaux sont créés.
Modules et modèles personnalisés
Le tableau suivant contient la liste des types de modules personnalisés compatibles, des descriptions, des journaux requis et des modèles de module JSON.
Vous avez besoin de ces modèles de module JSON si vous souhaitez utiliser la gcloud CLI pour créer ou mettre à jour des modules personnalisés. Pour afficher un modèle, cliquez sur l'icône Développer Configurer et gérer des modules personnalisés.
à côté de son nom. Pour en savoir plus sur l'utilisation des modules personnalisés, consultez la pageCatégorie de résultats | Module type | Types de sources de journal | Description |
---|---|---|---|
Adresse IP incorrecte configurable | CONFIGURABLE_BAD_IP |
Journaux de flux VPC Journaux de règles de pare-feu |
Détecte une connexion à une adresse IP spécifiée |
Modèle: adresse IP incorrecte configurable
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "ips": [ "IP_ADDRESS_1", "IP_ADDRESS_2" ] } Remplacez les éléments suivants :
|
|||
Domaine incorrect configurable | CONFIGURABLE_BAD_DOMAIN
|
Journaux Cloud DNS | Détecte une connexion à un nom de domaine spécifié |
Modèle: domaine incorrect configurable
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "domains": [ "DOMAIN_1","DOMAIN_2" ] } Remplacez les éléments suivants :
|
|||
Type d'instance Compute Engine inattendu | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE
|
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte la création d'instances Compute Engine qui ne correspondent pas à la configuration ou au type d'instance spécifié. |
Modèle: Type d'instance Compute Engine inattendu
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "instances": [ { "series": "SERIES", "cpus": { "minimum": MINIMUM_NUMBER_OF_CPUS, "maximum": MAXIMUM_NUMBER_OF_CPUS }, "ram_mb": { "minimum": MINIMUM_RAM_SIZE, "maximum": MAXIMUM_RAM_SIZE }, "gpus": { "minimum": MINIMUM_NUMBER_OF_GPUS, "maximum": MAXIMUM_NUMBER_OF_GPUS }, "projects": [ "PROJECT_ID_1", "PROJECT_ID_2" ], "regions": [ "REGION_1", "REGION_2" ] }, { "series": " ... ", ... "regions": [ ... ] } ] } Remplacez les éléments suivants :
|
|||
Image source Compute Engine inattendue | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE |
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte la création d'une instance Compute Engine avec une image ou une famille d'images ne correspondant pas à une liste spécifiée |
Modèle: Image source Compute Engine inattendue
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "patterns": [ { "pattern": "PATTERN_1", "name": "NAME_1" }, { "pattern": "PATTERN_2", "name": "NAME_2" } ] } Remplacez les éléments suivants :
|
|||
Région Compute Engine inattendue | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION |
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte la création d'une instance Compute Engine dans une région ne figurant pas dans une liste spécifiée |
Modèle: Région Compute Engine inattendue
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "regions": [ { "region": "REGION_1" }, { "region": "REGION_2" } ] } Remplacez les éléments suivants :
|
|||
Compte "bris de glace" utilisé | CONFIGURABLE_BREAKGLASS_ACCOUNT_USED |
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte l'utilisation d'un compte d'accès d'urgence (bris de glace) |
Modèle: Compte "bris de glace" utilisé
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "accounts": [ "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2" ] } Remplacez les éléments suivants :
|
|||
Attribution de rôle inattendue | CONFIGURABLE_UNEXPECTED_ROLE_GRANT |
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte quand un rôle spécifié est attribué à un utilisateur |
Modèle: Attribution de rôle inattendue
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "roles": ["ROLE_1", "ROLE_2"] } Remplacez les éléments suivants :
|
|||
Rôle personnalisé avec autorisation interdite | CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION |
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte la création ou la mise à jour d'un rôle personnalisé disposant de l'une des autorisations IAM spécifiées. |
Modèle: rôle personnalisé avec autorisation interdite
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "permissions": [ "PERMISSION_1", "PERMISSION_2" ] } Remplacez les éléments suivants :
|
|||
Appel d'API Cloud inattendu | CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL
|
Cloud Audit Logs: Journaux des activités d'administration (obligatoire) Journaux des accès aux données (facultatif) |
Détecte les cas où un compte principal spécifié appelle une méthode spécifiée pour une ressource spécifiée. Un résultat n'est généré que si toutes les expressions régulières sont mises en correspondance dans une même entrée de journal. |
Modèle: Appel d'API Cloud inattendu
{ "metadata": { "severity": "SEVERITY", "description": "DESCRIPTION", "recommendation": "RECOMMENDATION" }, "caller_pattern": "CALLER_PATTERN", "method_pattern": "METHOD_PATTERN", "resource_pattern": "RESOURCE_PATTERN" } Remplacez les éléments suivants :
|
Tarifs et quotas
Cette fonctionnalité est sans frais pour les clients Security Command Center Premium.
Les modules personnalisés d'Event Threat Detection sont soumis à des limites de quota.
La limite de quota par défaut pour la création de modules personnalisés est de 200.
Les appels d'API vers des méthodes de module personnalisé sont également soumis à des limites de quota. Le tableau suivant présente les limites de quota par défaut pour les appels d'API de modules personnalisés.
Type d'appel d'API | Limite |
---|---|
Get, List | 1 000 appels d'API par minute et par organisation |
Create, Update, Delete | 60 appels d'API par minute et par organisation |
Limites de taille des modules
La taille de chaque module personnalisé Event Threat Detection est de 6 Mo.
Limites de débit
Les limites de débit suivantes s'appliquent:
- 30 résultats par module personnalisé et par heure
- 200 résultats de module personnalisé par ressource parente (organisation ou projet) et par heure Chaque résultat est comptabilisé dans une organisation ou un projet, en fonction du niveau dans lequel le module personnalisé source a été créé.
Ces limites ne peuvent pas être augmentées.
Étapes suivantes
- Découvrez comment créer et gérer des modules personnalisés.