Übersicht über benutzerdefinierte Module für Event Threat Detection

Diese Seite bietet eine Übersicht über benutzerdefinierte Module für Event Threat Detection.

Sie können Module, auch Detektoren genannt, zur Verarbeitung Cloud Logging-Stream und Bedrohungen anhand der von Ihnen angegebenen Parameter erkennen. Diese Funktion erweitert die Monitoring-Funktionen von Event Threat Detection können Sie Module zu Ihrem eigene Erkennungsparameter, Abhilfemaßnahmen und Schweregradangaben für Konfigurationen, die die integrierten Detektoren möglicherweise nicht unterstützen.

Benutzerdefinierte Module sind nützlich, wenn Sie Module mit Erkennungsregeln benötigen, die den Ihrer Organisation zu erfüllen. Sie können beispielsweise ein benutzerdefiniertes Modul hinzufügen, Erstellt Ergebnisse, wenn Logeinträge zeigen, dass eine Ressource mit einer bestimmten IP-Adresse verbunden ist oder die in einer eingeschränkten Region erstellt wurde.

So funktionieren benutzerdefinierte Module für Event Threat Detection

Benutzerdefinierte Module sind eine ausgewählte Gruppe von Event Threat Detection-Detektoren, mit eigenen Erkennungsparametern konfigurieren. Sie können ein Benutzerdefiniertes Event Threat Detection-Modul über die Google Cloud Console Alternativ können Sie können Sie eines erstellen, indem Sie eine benutzerdefinierte Modulvorlage aktualisieren und Das benutzerdefinierte Modul wird über die Google Cloud CLI an Security Command Center gesendet. Für Informationen zu verfügbaren Vorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.

Benutzerdefinierte Modulvorlagen werden in JSON geschrieben und ermöglichen es Ihnen, die Erkennung zu definieren Parameter, die steuern, welche Ereignisse in Logeinträgen Ergebnisse auslösen sollen. Für prüft der integrierte Malware: Bad IP-Detektor Virtual Private Cloud-Flusslogs zum Nachweis von Verbindungen zu einer bekannten verdächtigen IP-Adresse Adressen. Sie können das benutzerdefinierte Feld Configurable Bad IP jedoch aktivieren und ändern. enthält eine Liste verdächtiger IP-Adressen, die Sie verwalten. Wenn Ihre Logs eine Verbindung zu einer der von Ihnen angegebenen IP-Adressen darstellen, ist ein Ergebnis generiert und in Security Command Center geschrieben.

Mit Modulvorlagen können Sie auch den Schweregrad von Bedrohungen definieren Abhilfemaßnahmen, mit denen Ihre Sicherheitsteams Probleme beheben können.

Mit benutzerdefinierten Modulen haben Sie mehr Kontrolle darüber, wie Event Threat Detection erkennt Bedrohungen und meldet Ergebnisse. Benutzerdefinierte Module enthalten Ihre Parameter, aber trotzdem die proprietäre Erkennungslogik von Event Threat Detection und die z. B. den Abgleich von Fahrtrichtungsindikatoren. Sie können eine breit gefasste und auf die individuellen Anforderungen Ihres Unternehmens zugeschnitten.

Benutzerdefinierte Event Threat Detection-Module werden zusammen mit den integrierten Detektoren ausgeführt. Aktiviert Module werden im Echtzeitmodus ausgeführt, wodurch Scans ausgelöst werden, wenn neue Logs erstellt.

Benutzerdefinierte Module und Vorlagen

Die folgende Tabelle enthält eine Liste der unterstützten benutzerdefinierten Modultypen, Beschreibungen, erforderlichen Logs und JSON-Modulvorlagen.

Sie benötigen diese JSON-Modulvorlagen, wenn Sie die gcloud CLI verwenden, um benutzerdefinierte Module zu erstellen oder zu aktualisieren. So rufen Sie eine Vorlage auf: Klicken Sie neben dem Namen auf das Symbol zum Maximieren . Weitere Informationen Weitere Informationen zur Verwendung benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module konfigurieren und verwalten Module.

Ergebniskategorie Modultyp Logquelltypen Beschreibung
Konfigurierbare fehlerhafte IP-Adresse CONFIGURABLE_BAD_IP VPC-Flusslogs
Logs zu Firewallregeln 		Erkennt eine Verbindung zu einer angegebenen IP-Adresse
Vorlage: Konfigurierbare fehlerhafte IP-Adresse
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse die in diesem Modul produziert wurden. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet, explanation-Eigenschaft jedes von diesem generierten Ergebniss generiert -Modul.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • IP_ADDRESS_1: Eine öffentlich routbare IPv4- oder IPv6-Adresse oder CIDR-Block, nach dem gesucht werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24.
  • IP_ADDRESS_2: Optional. Eine öffentlich weiterleitbare IPv4- oder IPv6-Adresse oder CIDR-Block, nach dem gesucht werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24.
Konfigurierbare fehlerhafte Domain CONFIGURABLE_BAD_DOMAIN Cloud DNS-Logs Erkennt eine Verbindung zu einem angegebenen Domainnamen
Vorlage: Konfigurierbare fehlerhafte Domain
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse die in diesem Modul produziert wurden. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet, explanation-Eigenschaft jedes von diesem generierten Ergebniss generiert -Modul.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • DOMAIN_1: Ein Domainname, auf den überwacht werden soll – Beispiel: example.com. Ein Wert von localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Für Beispiel: 例子.example und xn--fsqu00a.example sind gleichwertig.
  • DOMAIN_2: Optional. Ein Domainname, der beobachtet werden soll z. B. example.com. Wert von localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Zum Beispiel sind 例子.example und xn--fsqu00a.example. Äquivalent zu vergleichen.
Unerwarteter Compute Engine-Instanztyp CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen.
Vorlage: Unerwarteter Compute Engine-Instanztyp
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse die in diesem Modul produziert wurden. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet, explanation-Eigenschaft jedes von diesem generierten Ergebniss generiert -Modul.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • SERIES: Optional. Compute Engine Maschinenserie, z. B. C2. Wenn das Modul leer ist, alle Reihen zulässt. Weitere Informationen finden Sie unter Ressourcen und Vergleich zu Maschinenfamilien. .
  • MINIMUM_NUMBER_OF_CPUS: Optional. Das Minimum Anzahl der zulässigen CPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_CPUS: Optional. Das Maximum Anzahl der zulässigen CPUs. Wenn nicht vorhanden, gibt es kein Maximum. Muss größer oder gleich minimum und kleiner als oder sein gleich 1.000.
  • MINIMUM_RAM_SIZE: Optional. Mindestanforderung RAM die zulässige Größe in Megabyte. Falls nicht vorhanden, ist keine Minimum
  • MAXIMUM_RAM_SIZE: Optional. Maximaler RAM die zulässige Größe in Megabyte. Falls nicht vorhanden, ist keine maximal. Muss größer oder gleich minimum und kleiner sein als oder gleich 10.000.000 ist.
  • MINIMUM_NUMBER_OF_GPUS: Optional. Das Minimum die zulässige Anzahl von GPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_GPUS: Optional. Das Maximum die zulässige Anzahl von GPUs. Wenn nicht vorhanden, gibt es kein Maximum. Muss größer oder gleich minimum und kleiner oder gleich 100.
  • PROJECT_ID_1: Optional. Die ID eines Projekts, in der Sie dieses Modul anwenden möchten, z. B. projects/example-project Wenn das Modul leer oder nicht konfiguriert ist, wird auf Instanzen angewendet, die in allen Projekten im aktuellen Bereich erstellt wurden.
  • PROJECT_ID_2: Optional. Die ID eines Projekts, in der Sie dieses Modul anwenden möchten, z. B. projects/example-project
  • REGION_1: Optional. Eine Region, auf die Sie dies anwenden möchten Modul, z. B. us-central1. Wenn das Feld leer oder nicht konfiguriert ist, -Modul wird auf Instanzen angewendet, die in allen Regionen erstellt wurden.
  • REGION_2: Optional. Eine Region, in der Sie dieses Modul anwenden, z. B. us-central1.
Unerwartetes Compute Engine-Quell-Image CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder Image-Familie, die keiner angegebenen Liste entspricht
Vorlage: Unerwartetes Compute Engine-Quell-Image
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse die in diesem Modul produziert wurden. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet, explanation-Eigenschaft jedes von diesem generierten Ergebniss generiert -Modul.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • PATTERN_1: Ein RE2 regulärer Ausdruck verwendet werden, um Images zu vergleichen, z. B. debian-image-1. Wenn ein Image zum Erstellen einer Compute Engine-Instanz verwendet wird und der Name dieses Images mit keinem der der angegebenen regulären Ausdrücke wird ein Ergebnis ausgegeben.
  • NAME_1: Ein beschreibender Name Muster, z. B. first-image.
  • PATTERN_2: Optional. Ein weiterer regulärer RE2-Ausdruck Bilder mit vergleichen, z. B. debian-image-2.
  • NAME_2: Optional. Ein aussagekräftiger Name für die zweites Muster, z. B. second-image.
Unerwartete Compute Engine-Region CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die sich nicht in einer bestimmten Liste
Vorlage: Unerwartete Compute Engine-Region
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse die in diesem Modul produziert wurden. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet, explanation-Eigenschaft jedes von diesem generierten Ergebniss generiert -Modul.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • REGION_1: Der Name einer Region, die zugelassen werden soll – für Beispiel: us-west1. Wenn eine Compute Engine-Instanz die in einer Region erstellt wurden, die nicht in der Liste Event Threat Detection aufgeführt ist. ein Ergebnis.
  • REGION_2: Optional. Der Name einer Region, für die erlauben, z. B. us-central1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt Event Threat Detection ein Ergebnis aus.
Break-Glass-Konto verwendet CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass-Konto)
Vorlage: Break-Glass-Konto verwendet
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse die in diesem Modul produziert wurden. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet, explanation-Eigenschaft jedes von diesem generierten Ergebniss generiert -Modul.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • BREAKGLASS_ACCOUNT_1: Break-Glass-Konto für achten, z. B. test@example.com. Ein Ergebnis ist generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Eintrag in Cloud-Audit-Logs.
  • BREAKGLASS_ACCOUNT_2: Optional. Break-Glass Konto, auf das überwacht werden soll, z. B. test@example.com. A Ergebnis wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einen Eintrag in Cloud-Audit-Logs.
Unerwartete Rollenzuweisung CONFIGURABLE_UNEXPECTED_ROLE_GRANT Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird
Vorlage: Unerwartete Rollenzuweisung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse die in diesem Modul produziert wurden. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet, explanation-Eigenschaft jedes von diesem generierten Ergebniss generiert -Modul.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • ROLE_1: Eine zu beobachtende IAM-Rolle z. B. roles/owner. Ein Ergebnis wird generiert, wenn diese Rolle gewährt wird.
  • ROLE_2: Optional. Eine IAM-Rolle für achten, z. B. roles/editor. Ein Ergebnis wird generiert wenn diese Rolle gewährt wird.
Benutzerdefinierte Rolle mit unzulässiger Berechtigung CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt, wenn eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen erstellt oder aktualisiert wird.
Vorlage: Benutzerdefinierte Rolle mit unzulässiger Berechtigung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse die in diesem Modul produziert wurden. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet, explanation-Eigenschaft jedes von diesem generierten Ergebniss generiert -Modul.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • PERMISSION_1: Eine IAM-Berechtigung für achten, z. B. storage.buckets.list. Event Threat Detection gibt ein Ergebnis aus, wenn eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung einem Hauptkonto gewährt wird.
  • PERMISSION_2: Optional. Ein IAM z. B. die Berechtigung, storage.buckets.get Event Threat Detection gibt eine Ermitteln, ob eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung die einem Hauptkonto zugewiesen wurden.
Unerwarteter Cloud API-Aufruf CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt, wenn ein angegebenes Hauptkonto eine angegebene Methode für ein angegebene Ressource. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzelnen Logeintrag abgeglichen.
Vorlage: Unerwarteter Cloud API-Aufruf
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Ersetzen Sie Folgendes:

  • SEVERITY: Der Schweregrad der Ergebnisse die in diesem Modul produziert wurden. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet, explanation-Eigenschaft jedes von diesem generierten Ergebniss generiert -Modul.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • CALLER_PATTERN: Ein RE2 regulärer Ausdruck, auf die Hauptkonten geprüft werden sollen. Beispiel: .* entspricht jedem Hauptkonto.
  • METHOD_PATTERN: ein regulärer RE2-Typ Ausdruck für den Abgleich von Methoden, z. B. ^cloudsql\\.instances\\.export$.
  • RESOURCE_PATTERN: ein regulärer RE2-Typ Ausdruck, um Ressourcen zu prüfen. Beispiel: example-project.

Preise und Kontingente

Diese Funktion ist für Security Command Center Premium kostenlos Kunden zu gewinnen.

Benutzerdefinierte Event Threat Detection-Module unterliegen Kontingentlimits.

Das standardmäßige Kontingentlimit für die Erstellung von benutzerdefinierten Modulen beträgt 200.

API-Aufrufe an benutzerdefinierte Modulmethoden unterliegen ebenfalls Kontingentlimits. Die Die folgende Tabelle zeigt die standardmäßigen Kontingentlimits für API-Aufrufe von benutzerdefinierten Modulen.

API-Aufruftyp Limit
Get, List 1.000 API-Aufrufe pro Minute und Organisation
Erstellen, aktualisieren, löschen 60 API-Aufrufe pro Minute pro Organisation

Beschränkungen der Modulgröße

Jedes benutzerdefinierte Event Threat Detection-Modul hat ein Größenbeschränkung von 6 MB.

Ratenlimits

Es gelten die folgenden Ratenbegrenzungen:

  • 30 Ergebnisse pro benutzerdefiniertem Modul und Stunde.
  • 200 Ergebnisse für benutzerdefinierte Module pro übergeordnete Ressource (Organisation oder Projekt) pro Stunde. Jedes Ergebnis zählt entweder Projekt erstellen, je nachdem, auf welcher Ebene das benutzerdefinierte Quellmodul erstellt wurde.

Diese Limits können nicht erhöht werden.

Nächste Schritte