Panoramica dei moduli personalizzati per Event Threat Detection

Questa pagina fornisce una panoramica dei moduli personalizzati per Event Threat Detection.

Puoi configurare i moduli, noti anche come rilevatori, per l'elaborazione Cloud Logging e rilevare le minacce in base ai parametri specificati. Questa funzionalità estende le funzionalità di monitoraggio di Event Threat Detection e consente di aggiungere moduli parametri di rilevamento, linee guida per la correzione e designazioni di gravità per configurazioni che i rilevatori integrati potrebbero non supportare.

I moduli personalizzati sono utili se hai bisogno di moduli con regole di rilevamento che soddisfino i le esigenze specifiche della tua organizzazione. Ad esempio, puoi aggiungere un modulo personalizzato crea risultati se le voci di log indicano che una risorsa è connessa a un IP specifico indirizzi IP o è creato in una regione con limitazioni.

Come funzionano i moduli personalizzati per Event Threat Detection

I moduli personalizzati sono un gruppo selezionato di rilevatori di Event Threat Detection che puoi configurarli con i tuoi parametri di rilevamento. Puoi creare un nuovo Modulo personalizzato Event Threat Detection tramite la console Google Cloud. In alternativa, puoi crearne uno aggiornando un modello di modulo personalizzato inviando il modulo personalizzato a Security Command Center tramite Google Cloud CLI. Per informazioni sui modelli disponibili, vedi Moduli personalizzati e modelli.

I modelli di moduli personalizzati sono scritti in JSON e ti consentono di definire il rilevamento parametri che controllano quali eventi nelle voci di log devono attivare i risultati. Per esempio, il rilevatore Malware: Bad IP integrato controlla Log di flusso Virtual Private Cloud per la ricerca di prove di connessioni a IP sospetti noti indirizzi IP esterni. Tuttavia, puoi attivare e modificare la personalizzazione Configurable Bad IP con un elenco degli indirizzi IP sospetti che gestisci. Se i log indicare una connessione a uno qualsiasi degli indirizzi IP da te forniti, viene restituito generati e scritti in Security Command Center.

I modelli di modulo consentono inoltre di definire la gravità delle minacce e forniscono misure correttive per aiutare i team di sicurezza a risolvere i problemi.

Con i moduli personalizzati, hai un maggiore controllo su come Event Threat Detection rileva minacce e segnala i risultati. I moduli personalizzati includono i parametri che hai fornito, ma utilizzano comunque la logica di rilevamento e le minacce proprietarie di Event Threat Detection intelligente, inclusa la corrispondenza degli indicatori di cavo. Puoi implementare un'ampia un insieme di modelli di minacce su misura per le esigenze specifiche della tua azienda.

I moduli personalizzati di Event Threat Detection vengono eseguiti insieme ai rilevatori integrati. Attivato i moduli vengono eseguiti in tempo reale, che attiva le scansioni ogni volta che vengono è stato creato.

Moduli e modelli personalizzati

La tabella seguente contiene un elenco dei tipi di moduli personalizzati supportati: descrizioni, log richiesti e modelli di moduli JSON.

Questi modelli di modulo JSON sono necessari se vuoi utilizzare gcloud CLI per creare o aggiornare i moduli personalizzati. Per vedere un modello, Fai clic sull'icona Espandi accanto al nome. Per informazioni sull'utilizzo dei moduli personalizzati, vedere Configurare e gestire moduli.

Categoria risultati Module type Tipi di sorgente log Descrizione
IP non valido configurabile CONFIGURABLE_BAD_IP Log di flusso VPC
Log delle regole firewall 		Rileva la connessione a un indirizzo IP specificato
Modello: IP non valido configurabile
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Sostituisci quanto segue:

  • SEVERITY: l'importanza dei risultati da verificare generate da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia che rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare explanation proprietà di ogni risultato generato da questo in maggior dettaglio più avanti in questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • IP_ADDRESS_1: un IPv4 o IPv6 con routing pubblico di un indirizzo IP o un blocco CIDR da controllare, ad esempio 192.0.2.1 o 192.0.2.0/24.
  • IP_ADDRESS_2: facoltativo. Un percorso pubblico Indirizzo IPv4 o IPv6 o blocco CIDR da controllare, ad esempio 192.0.2.1 o 192.0.2.0/24.
Dominio non valido configurabile CONFIGURABLE_BAD_DOMAIN Log di Cloud DNS Rileva la connessione a un nome di dominio specificato
Modello: Dominio non valido configurabile
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Sostituisci quanto segue:

  • SEVERITY: l'importanza dei risultati da verificare generate da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia che rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare explanation proprietà di ogni risultato generato da questo in maggior dettaglio più avanti in questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • DOMAIN_1: un nome di dominio da controllare, per ad esempio example.com. Il valore localhost è non è consentito. I nomi di dominio Unicode e Punycode sono normalizzati. Per esempio, 例子.example e xn--fsqu00a.example sono equivalenti.
  • DOMAIN_2: facoltativo. Un nome di dominio da guardare per, ad esempio example.com. Il valore localhost non è consentito. Nomi di dominio Unicode e Punycode vengono normalizzati. Ad esempio, 例子.example e xn--fsqu00a.example sono equivalenti.
Tipo di istanza Compute Engine imprevisto CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio)
Log degli accessi ai dati (facoltativo)		 Rileva la creazione di istanze di Compute Engine che non corrispondono al tipo di istanza o alla configurazione specificata.
Modello: Tipo di istanza Compute Engine imprevisto
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Sostituisci quanto segue:

  • SEVERITY: l'importanza dei risultati da verificare generate da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia che rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare explanation proprietà di ogni risultato generato da questo in maggior dettaglio più avanti in questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • SERIES: facoltativo. Compute Engine di macchine virtuali, ad esempio C2. Se è vuoto, il modulo consente tutte le serie. Per saperne di più, consulta Risorse e confronto delle famiglie di macchine .
  • MINIMUM_NUMBER_OF_CPUS: facoltativo. Il minimo di CPU da consentire. Se non è presente, non esiste un minimo. Non deve essere negativo.
  • MAXIMUM_NUMBER_OF_CPUS: facoltativo. Il valore massimo di CPU da consentire. Se non è presente, non esiste un limite massimo. Deve essere maggiore o uguale a minimum e minore di o uguale a 1000.
  • MINIMUM_RAM_SIZE: facoltativo. La RAM minima dimensioni consentite, in megabyte. Se non è presente, non c'è minimo.
  • MAXIMUM_RAM_SIZE: facoltativo. La RAM massima dimensioni consentite, in megabyte. Se non è presente, non c'è massimo. Deve essere maggiore o uguale a minimum e minore o uguale a 10.000.000.
  • MINIMUM_NUMBER_OF_GPUS: facoltativo. Il minimo il numero di GPU consentito. Se non è presente, non esiste un minimo. Non deve essere negativo.
  • MAXIMUM_NUMBER_OF_GPUS: facoltativo. Il valore massimo il numero di GPU consentito. Se non è presente, non esiste un limite massimo. Deve essere maggiore o uguale a minimum e minore o uguale a 100.
  • PROJECT_ID_1: facoltativo. L'ID di un progetto che a cui vuoi applicare questo modulo, ad esempio projects/example-project. Se vuoto o non configurato, il modulo è applicata alle istanze create in tutti i progetti nell'ambito attuale.
  • PROJECT_ID_2: facoltativo. L'ID di un progetto che a cui vuoi applicare questo modulo, ad esempio projects/example-project.
  • REGION_1: facoltativo. La regione in cui vuoi applicarla ad esempio us-central1. Se vuoto o non impostato, il valore viene applicato alle istanze create in tutte le regioni.
  • REGION_2: facoltativo. Una regione in cui vuoi e applica questo modulo, ad esempio us-central1.
Immagine di origine Compute Engine imprevista CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio)
Log degli accessi ai dati (facoltativo)		 Rileva la creazione di un'istanza Compute Engine con un'immagine o famiglia di immagini che non corrisponde a un elenco specificato
Modello: Immagine di origine Compute Engine imprevista
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Sostituisci quanto segue:

  • SEVERITY: l'importanza dei risultati da verificare generate da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia che rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare explanation proprietà di ogni risultato generato da questo in maggior dettaglio più avanti in questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • PATTERN_1: un RE2 un'espressione regolare con cui verificare le immagini, ad esempio debian-image-1. Se un'immagine viene utilizzata per creare un'istanza Compute Engine e il suo nome non corrisponde a nessuna delle espressioni regolari specificate, viene emesso un risultato.
  • NAME_1: un nome descrittivo ad esempio first-image.
  • PATTERN_2: facoltativo. Un'altra espressione regolare RE2 per confronta le immagini, ad esempio debian-image-2.
  • NAME_2: facoltativo. Un nome descrittivo per secondo pattern, ad esempio second-image.
Regione Compute Engine imprevista CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio)
Log degli accessi ai dati (facoltativo)		 Rileva la creazione di un'istanza Compute Engine in una regione che non si trova un elenco specificato
Modello: Regione Compute Engine imprevista
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Sostituisci quanto segue:

  • SEVERITY: l'importanza dei risultati da verificare generate da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia che rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare explanation proprietà di ogni risultato generato da questo in maggior dettaglio più avanti in questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • REGION_1: il nome di una regione da consentire per esempio, us-west1. Se un'istanza Compute Engine creato in una regione non specificata nell'elenco, Event Threat Detection emette un risultato.
  • REGION_2: facoltativo. Il nome di una regione da permesso, ad esempio us-central1. Se viene creata un'istanza Compute Engine in una regione non specificata nell'elenco, Event Threat Detection genera un risultato.
Account deployment di emergenza utilizzato CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio)
Log degli accessi ai dati (facoltativo)		 Rileva l'utilizzo di un account di accesso di emergenza (deployment di emergenza)
Modello: Account deployment di emergenza utilizzato
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Sostituisci quanto segue:

  • SEVERITY: l'importanza dei risultati da verificare generate da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia che rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare explanation proprietà di ogni risultato generato da questo in maggior dettaglio più avanti in questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • BREAKGLASS_ACCOUNT_1: un account di deployment di emergenza per cerca di, ad esempio test@example.com. Un risultato è generato se questo account viene utilizzato per un'azione registrata in Voce Cloud Audit Logs.
  • BREAKGLASS_ACCOUNT_2: facoltativo. Un deployment di emergenza account da controllare, ad esempio test@example.com. R viene generato se questo account viene utilizzato per un'azione registrata una voce Cloud Audit Logs.
Concessione del ruolo imprevista CONFIGURABLE_UNEXPECTED_ROLE_GRANT Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio)
Log degli accessi ai dati (facoltativo)		 Rileva quando un ruolo specificato viene concesso a un utente
Modello: Concessione del ruolo imprevista
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Sostituisci quanto segue:

  • SEVERITY: l'importanza dei risultati da verificare generate da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia che rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare explanation proprietà di ogni risultato generato da questo in maggior dettaglio più avanti in questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • ROLE_1: un ruolo IAM da tenere d'occhio ad esempio roles/owner. Viene generato un risultato se a questo ruolo.
  • ROLE_2: facoltativo. Un ruolo IAM per da osservare, ad esempio roles/editor. Viene generato un risultato se questo ruolo viene concesso.
Ruolo personalizzato con autorizzazione vietata CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio)
Log degli accessi ai dati (facoltativo)		 Rileva quando viene creato o aggiornato un ruolo personalizzato con una qualsiasi delle autorizzazioni IAM specificate.
Modello: ruolo personalizzato con autorizzazione vietata
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Sostituisci quanto segue:

  • SEVERITY: l'importanza dei risultati da verificare generate da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia che rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare explanation proprietà di ogni risultato generato da questo in maggior dettaglio più avanti in questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • PERMISSION_1: un'autorizzazione IAM per da osservare, ad esempio storage.buckets.list. Event Threat Detection genera un risultato se un ruolo IAM personalizzato contenente questa autorizzazione è concessa a un'entità.
  • PERMISSION_2: facoltativo. Un account IAM l'autorizzazione a controllare, ad esempio storage.buckets.get. Event Threat Detection emette un rilevare se un ruolo IAM personalizzato contenente questa autorizzazione a un'entità.
Chiamata API Cloud imprevista CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Audit log di Cloud:
Log delle attività di amministrazione (obbligatori)
Log degli accessi ai dati (facoltativo)		 Rileva quando un'entità specificata chiama un metodo specificato rispetto a un risorsa specificata. Un risultato viene generato solo se tutte le espressioni regolari corrispondono a una singola voce di log.
Modello: Chiamata API Cloud imprevista
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Sostituisci quanto segue:

  • SEVERITY: l'importanza dei risultati da verificare generate da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia che rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare explanation proprietà di ogni risultato generato da questo in maggior dettaglio più avanti in questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • CALLER_PATTERN: un RE2 un'espressione regolare con cui verificare le entità. Ad esempio: .* corrisponde a qualsiasi entità.
  • METHOD_PATTERN: normale RE2 un'espressione con cui controllare i metodi, ad esempio ^cloudsql\\.instances\\.export$.
  • RESOURCE_PATTERN: normale RE2 un'espressione di controllo per controllare le risorse, ad esempio example-project.

Prezzi e quote

Questa funzionalità è senza costi aggiuntivi per Security Command Center Premium clienti.

I moduli personalizzati di Event Threat Detection sono soggetti a limiti di quota.

Il limite di quota predefinito per la creazione di moduli personalizzati è 200.

Anche le chiamate API a metodi di moduli personalizzati sono soggette a limiti di quota. La la seguente tabella mostra i limiti di quota predefiniti per le chiamate API dei moduli personalizzati.

Tipo di chiamata API Limite
Scarica, elenco 1000 chiamate API al minuto per organizzazione
Crea, aggiorna, elimina 60 chiamate API al minuto per organizzazione

Limiti delle dimensioni dei moduli

Ogni modulo personalizzato di Event Threat Detection ha un dimensioni massime di 6 MB.

Limiti di frequenza

Si applicano i seguenti limiti di frequenza:

  • 30 risultati per modulo personalizzato all'ora.
  • 200 risultati di moduli personalizzati per risorsa padre (organizzazione o progetto) all'ora. Ogni risultato viene conteggiato ai fini di un'organizzazione progetto, a seconda del livello in cui è stato creato il modulo personalizzato di origine.

Questi limiti non possono essere aumentati.

Passaggi successivi