Übersicht über benutzerdefinierte Module für Event Threat Detection

Diese Seite bietet eine Übersicht über benutzerdefinierte Module für Event Threat Detection.

Sie können Module, auch Detektoren genannt, zur Verarbeitung Cloud Logging-Stream und Bedrohungen anhand der von Ihnen angegebenen Parameter erkennen. Diese Funktion erweitert die Monitoringfunktionen von Event Threat Detection und ermöglicht das Hinzufügen von Modulen mit Ihren eigenen Erkennungsparametern, Richtlinien zur Korrektur und Schweregradkennzeichnungen für Konfigurationen, die von den integrierten Detektoren möglicherweise nicht unterstützt werden.

Benutzerdefinierte Module sind nützlich, wenn Sie Module mit Erkennungsregeln benötigen, die den Ihrer Organisation zu erfüllen. Sie können beispielsweise ein benutzerdefiniertes Modul hinzufügen, Erstellt Ergebnisse, wenn Logeinträge zeigen, dass eine Ressource mit einer bestimmten IP-Adresse verbunden ist oder die in einer eingeschränkten Region erstellt wurde.

So funktionieren benutzerdefinierte Module für Event Threat Detection

Benutzerdefinierte Module sind eine ausgewählte Gruppe von Event Threat Detection-Detektoren, die Sie mit Ihren eigenen Erkennungsparametern konfigurieren können. Sie können ein benutzerdefiniertes Modul für die Ereignisbedrohungserkennung über die Google Cloud Console erstellen. Alternativ können Sie können Sie eines erstellen, indem Sie eine benutzerdefinierte Modulvorlage aktualisieren und Das benutzerdefinierte Modul wird über die Google Cloud CLI an Security Command Center gesendet. Informationen zu verfügbaren Vorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.

Vorlagen für benutzerdefinierte Module sind in JSON geschrieben und ermöglichen die Definition von Erkennungsparametern, mit denen gesteuert wird, welche Ereignisse in Logeinträgen Ergebnisse auslösen sollen. So prüft der integrierte Malware: Bad IP-Detektor beispielsweise Virtual Private Cloud-Flusslogs auf Verbindungen zu bekannten verdächtigen IP-Adressen. Sie können das benutzerdefinierte Modul Configurable Bad IP jedoch mit einer Liste verdächtiger IP-Adressen aktivieren und ändern, die Sie verwalten. Wenn Ihre Logs auf eine Verbindung zu einer der von Ihnen angegebenen IP-Adressen hinweisen, generiert und in Security Command Center geschrieben.

Mithilfe von Modulvorlagen können Sie auch die Schwere von Bedrohungen definieren und benutzerdefinierte Maßnahmen zur Behebung von Problemen angeben, damit Ihre Sicherheitsteams Probleme beheben können.

Mit benutzerdefinierten Modulen haben Sie mehr Kontrolle darüber, wie Event Threat Detection Bedrohungen erkennt und Ergebnisse meldet. Benutzerdefinierte Module enthalten Ihre angegebenen Parameter, nutzen aber weiterhin die Erkennungslogik und Threat Intelligence von Event Threat Detection, einschließlich Tripwire-Indikator-Abgleich. Sie können eine breit gefasste und auf die individuellen Anforderungen Ihres Unternehmens zugeschnitten.

Benutzerdefinierte Module für Event Threat Detection werden neben den integrierten Detektoren ausgeführt. Aktiviert Module werden im Echtzeitmodus ausgeführt, wodurch Scans ausgelöst werden, wenn neue Logs erstellt.

Benutzerdefinierte Module und Vorlagen

Die folgende Tabelle enthält eine Liste der unterstützten benutzerdefinierten Modultypen, Beschreibungen, erforderlichen Logs und JSON-Modulvorlagen.

Sie benötigen diese JSON-Modulvorlagen, wenn Sie die gcloud CLI verwenden, um benutzerdefinierte Module zu erstellen oder zu aktualisieren. Wenn Sie eine Vorlage aufrufen möchten, klicken Sie neben dem Namen auf das Maximieren-Symbol . Informationen zur Verwendung benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module konfigurieren und verwalten.

Ergebniskategorie Modultyp Logquelltypen Beschreibung
Konfigurierbare fehlerhafte IP-Adresse CONFIGURABLE_BAD_IP VPC-Flusslogs
Firewallregel-Logs 		Erkennt eine Verbindung zu einer angegebenen IP-Adresse
Vorlage: Konfigurierbare fehlerhafte IP-Adresse
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die Property explanation jedes durch dieses Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • IP_ADDRESS_1: Eine öffentlich routbare IPv4- oder IPv6-Adresse oder ein zu beobachtender CIDR-Block, z. B. 192.0.2.1 oder 192.0.2.0/24.
  • IP_ADDRESS_2: Optional. Eine öffentlich routbare IPv4- oder IPv6-Adresse oder ein CIDR-Block, auf den geachtet werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24.
Konfigurierbare fehlerhafte Domain CONFIGURABLE_BAD_DOMAIN Cloud DNS-Logs Erkennt eine Verbindung zu einem angegebenen Domainnamen
Vorlage: Konfigurierbare fehlerhafte Domain
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die Property explanation jedes durch dieses Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • DOMAIN_1: Ein Domainname, auf den überwacht werden soll – Beispiel: example.com. Ein Wert von localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Für Beispiel: 例子.example und xn--fsqu00a.example sind gleichwertig.
  • DOMAIN_2: Optional. Ein Domainname, der beobachtet werden soll z. B. example.com. Wert von localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Beispiel: beispiel.beispiel und xn--fsqu00a.beispiel sind äquivalent.
Unerwarteter Compute Engine-Instanztyp CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen.
Vorlage: Unerwarteter Compute Engine-Instanztyp
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die Property explanation jedes durch dieses Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • SERIES: Optional. Compute Engine Maschinenserie, z. B. C2. Wenn das Modul leer ist, alle Reihen zulässt. Weitere Informationen finden Sie im Leitfaden zu Ressourcen und Vergleichen für Maschinenfamilien.
  • MINIMUM_NUMBER_OF_CPUS: Optional. Die Mindestanzahl der zulässigen CPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_CPUS: Optional. Das Maximum Anzahl der zulässigen CPUs. Wenn das Attribut nicht vorhanden ist, gibt es keine maximale Anzahl. Muss größer oder gleich minimum und kleiner als oder sein gleich 1.000.
  • MINIMUM_RAM_SIZE: Optional. Mindestanforderung RAM die zulässige Größe in Megabyte. Falls nicht vorhanden, ist keine Minimum
  • MAXIMUM_RAM_SIZE: Optional. Die maximal zulässige RAM-Größe in Megabyte. Wenn das Attribut nicht vorhanden ist, gibt es keine maximale Anzahl. Muss größer oder gleich minimum und kleiner sein als oder gleich 10.000.000 ist.
  • MINIMUM_NUMBER_OF_GPUS: Optional. Das Minimum die zulässige Anzahl von GPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_GPUS: Optional. Das Maximum die zulässige Anzahl von GPUs. Wenn das Attribut nicht vorhanden ist, gibt es keine maximale Anzahl. Muss größer oder gleich minimum und kleiner oder gleich 100.
  • PROJECT_ID_1: Optional. Die ID eines Projekts, in der Sie dieses Modul anwenden möchten, z. B. projects/example-project Wenn das Modul leer oder nicht konfiguriert ist, wird auf Instanzen angewendet, die in allen Projekten im aktuellen Bereich erstellt wurden.
  • PROJECT_ID_2: Optional. Die ID eines Projekts, in der Sie dieses Modul anwenden möchten, z. B. projects/example-project
  • REGION_1: Optional. Eine Region, in der Sie dieses Modul anwenden möchten, z. B. us-central1. Wenn das Feld leer ist oder nicht konfiguriert ist, wird das Modul auf Instanzen angewendet, die in allen Regionen erstellt wurden.
  • REGION_2: Optional. Eine Region, in der Sie dieses Modul anwenden, z. B. us-central1.
Unerwartetes Compute Engine-Quell-Image CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder einer Image-Familie, die bzw. das nicht einer angegebenen Liste entspricht
Vorlage: Unerwartetes Compute Engine-Quell-Image
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die Property explanation jedes durch dieses Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wurde.
  • PATTERN_1: Ein RE2-regulärer Ausdruck, anhand dessen Bilder überprüft werden sollen, z. B. debian-image-1. Wenn ein Image zum Erstellen einer Compute Engine-Instanz verwendet wird und der Name dieses Images keinem der angegebenen regulären Ausdrücke entspricht, wird eine Meldung ausgegeben.
  • NAME_1: Ein beschreibender Name Muster, z. B. first-image.
  • PATTERN_2: Optional. Ein weiterer RE2-regulärer Ausdruck, mit dem Bilder überprüft werden sollen, z. B. debian-image-2.
  • NAME_2: Optional. Ein aussagekräftiger Name für die zweites Muster, z. B. second-image.
Unerwartete Compute Engine-Region CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die nicht in einer angegebenen Liste enthalten ist
Vorlage: Unerwartete Compute Engine-Region
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die Property explanation jedes durch dieses Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • REGION_1: Der Name einer Region, die zulässig sein soll, z. B. us-west1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt die Ereignisbedrohungserkennung eine Meldung aus.
  • REGION_2: Optional. Der Name einer zulässigen Region, z. B. us-central1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt die Ereignisbedrohungserkennung eine Meldung aus.
Break-Glass-Konto verwendet CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass)
Vorlage: Verwendetes Break-Glass-Konto
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die Property explanation jedes durch dieses Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • BREAKGLASS_ACCOUNT_1: Break-Glass-Konto für achten, z. B. test@example.com. Eine Meldung wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logeintrag aufgezeichnet wird.
  • BREAKGLASS_ACCOUNT_2: Optional. Ein Break-Glass-Konto, das beobachtet werden soll, z. B. test@example.com. Ein Hinweis wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logeintrag aufgezeichnet wird.
Unerwartete Rollenzuweisung CONFIGURABLE_UNEXPECTED_ROLE_GRANT Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird
Vorlage: Unerwartete Rollenzuweisung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die Property explanation jedes durch dieses Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • ROLE_1: Eine zu beobachtende IAM-Rolle z. B. roles/owner. Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
  • ROLE_2: Optional. Eine IAM-Rolle, auf die Sie achten möchten, z. B. roles/editor. Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
Benutzerdefinierte Rolle mit unzulässiger Berechtigung CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt, wenn eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen erstellt oder aktualisiert wird.
Vorlage: Benutzerdefinierte Rolle mit unzulässiger Berechtigung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die Property explanation jedes durch dieses Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • PERMISSION_1: Eine IAM-Berechtigung, auf die geachtet werden soll, z. B. storage.buckets.list. Event Threat Detection gibt ein Ergebnis aus, wenn eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung einem Hauptkonto gewährt wird.
  • PERMISSION_2: Optional. Eine IAM-Berechtigung, auf die Sie achten möchten, z. B. storage.buckets.get. Die Ereignis-Bedrohungserkennung gibt eine Meldung aus, wenn einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung gewährt wird.
Unerwarteter Cloud API-Aufruf CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs (optional)		 Erkennt, wenn ein bestimmter Nutzer eine bestimmte Methode für eine bestimmte Ressource aufruft. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzelnen Logeintrag abgeglichen.
Vorlage: Unerwarteter Cloud API-Aufruf
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die Property explanation jedes durch dieses Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erklärung zu die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben Problem. Mit dieser Erklärung wird nextSteps gefüllt jedes von diesem Modul generierten Ergebnisses.
  • CALLER_PATTERN: Ein RE2 regulärer Ausdruck, auf die Hauptkonten geprüft werden sollen. Beispielsweise entspricht .* jedem Hauptkonto.
  • METHOD_PATTERN: ein regulärer RE2-Typ Ausdruck für den Abgleich von Methoden, z. B. ^cloudsql\\.instances\\.export$.
  • RESOURCE_PATTERN: ein regulärer RE2-Typ Ausdruck, um Ressourcen zu prüfen. Beispiel: example-project.

Preise und Kontingente

Diese Funktion ist für Security Command Center Premium kostenlos Kunden zu gewinnen.

Benutzerdefinierte Event Threat Detection-Module unterliegen Kontingentlimits.

Das standardmäßige Kontingentlimit für die Erstellung von benutzerdefinierten Modulen beträgt 200.

Für API-Aufrufe von benutzerdefinierten Modulmethoden gelten ebenfalls Kontingentlimits. In der folgenden Tabelle sind die Standardkontingentlimits für API-Aufrufe von benutzerdefinierten Modulen aufgeführt.

API-Aufruftyp Limit
Get, List 1.000 API-Aufrufe pro Minute pro Organisation
Erstellen, aktualisieren, löschen 60 API-Aufrufe pro Minute pro Organisation

Beschränkungen für Modulgrößen

Jedes benutzerdefinierte Event Threat Detection-Modul hat ein Größenbeschränkung von 6 MB.

Ratenlimits

Es gelten die folgenden Ratenbegrenzungen:

  • 30 Ergebnisse pro benutzerdefiniertem Modul pro Stunde.
  • 200 Ergebnisse pro benutzerdefiniertem Modul und übergeordneter Ressource (Organisation oder Projekt) pro Stunde. Jedes Ergebnis wird entweder für eine Organisation oder ein Projekt gezählt, je nachdem, auf welcher Ebene das benutzerdefinierte Quellmodul erstellt wurde.

Diese Limits können nicht erhöht werden.

Nächste Schritte