Ringkasan modul kustom untuk Event Threat Detection

Halaman ini memberikan ringkasan modul kustom untuk Event Threat Detection.

Anda dapat mengonfigurasi modul, yang juga dikenal sebagai detektor, untuk memproses aliran Cloud Logging dan mendeteksi ancaman berdasarkan parameter yang Anda tentukan. Fitur ini memperluas kemampuan pemantauan Event Threat Detection dan memungkinkan Anda menambahkan modul dengan parameter deteksi, panduan perbaikan, dan penetapan tingkat keparahan Anda sendiri untuk konfigurasi yang mungkin tidak didukung oleh detektor bawaan.

Modul kustom berguna jika Anda memerlukan modul dengan aturan deteksi yang memenuhi kebutuhan unik organisasi Anda. Misalnya, Anda dapat menambahkan modul kustom yang membuat temuan jika entri log menunjukkan bahwa resource terhubung ke alamat IP tertentu atau dibuat di wilayah yang dibatasi.

Cara kerja modul kustom untuk Event Threat Detection

Modul kustom adalah grup tertentu dari detektor Event Threat Detection yang dapat Anda konfigurasikan dengan parameter deteksi Anda sendiri. Anda dapat membuat modul kustom Event Threat Detection melalui konsol Google Cloud. Atau, Anda dapat membuatnya dengan memperbarui template modul kustom dan mengirim modul kustom ke Security Command Center melalui Google Cloud CLI. Untuk mengetahui informasi tentang template yang tersedia, lihat Modul dan template kustom.

Template modul kustom ditulis dalam JSON dan memungkinkan Anda menentukan parameter deteksi yang mengontrol peristiwa dalam entri log yang akan memicu temuan. Misalnya, detektor Malware: Bad IP bawaan memeriksa Log Aliran Virtual Private Cloud untuk menemukan bukti koneksi ke alamat IP yang dikenal mencurigakan. Namun, Anda dapat mengaktifkan dan mengubah modul kustom Configurable Bad IP dengan daftar alamat IP yang mencurigakan yang Anda kelola. Jika log Anda menunjukkan koneksi ke salah satu alamat IP yang Anda berikan, temuan akan dibuat dan ditulis ke Security Command Center.

Template modul juga memungkinkan Anda menentukan tingkat keparahan ancaman dan memberikan langkah-langkah perbaikan kustom untuk membantu tim keamanan memperbaiki masalah.

Dengan modul kustom, Anda memiliki kontrol lebih terhadap cara Event Threat Detection mendeteksi ancaman dan melaporkan temuan. Modul kustom menyertakan parameter yang Anda berikan, tetapi tetap menggunakan logika deteksi dan intelijen ancaman eksklusif Event Threat Detection, termasuk pencocokan indikator tripwire. Anda dapat menerapkan kumpulan model ancaman yang luas yang disesuaikan dengan persyaratan unik organisasi Anda.

Modul kustom Event Threat Detection berjalan bersama dengan pendeteksi bawaan. Modul yang diaktifkan berjalan dalam mode real-time, yang memicu pemindaian setiap kali log baru dibuat.

Modul dan template kustom

Tabel berikut berisi daftar jenis modul kustom, deskripsi, log yang diperlukan, dan template modul JSON yang didukung.

Anda memerlukan template modul JSON ini jika ingin menggunakan gcloud CLI untuk membuat atau memperbarui modul kustom. Untuk melihat template, klik ikon luaskan di samping namanya. Untuk informasi tentang penggunaan modul kustom, lihat Mengonfigurasi dan mengelola modul kustom.

Menemukan kategori Jenis modul Jenis sumber log Deskripsi
IP buruk yang dapat dikonfigurasi CONFIGURABLE_BAD_IP Log aliran VPC
Log Aturan Firewall 		Mendeteksi koneksi ke alamat IP yang ditentukan
Template: IP buruk yang dapat dikonfigurasi
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • IP_ADDRESS_1: Alamat IPv4 atau IPv6 yang dapat dirutekan secara publik atau blok CIDR yang akan dipantau—misalnya, 192.0.2.1 atau 192.0.2.0/24.
  • IP_ADDRESS_2: Opsional. Alamat IPv4 atau IPv6 atau blok CIDR yang dapat dirutekan secara publik untuk dipantau—misalnya, 192.0.2.1 atau 192.0.2.0/24.
Domain buruk yang dapat dikonfigurasi CONFIGURABLE_BAD_DOMAIN Log Cloud DNS Mendeteksi koneksi ke nama domain yang ditentukan
Template: Domain buruk yang dapat dikonfigurasi
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • DOMAIN_1: Nama domain yang akan dipantau—misalnya, example.com. Nilai localhost tidak diizinkan. Nama domain Unicode dan Punycode dinormalisasi. Misalnya, 例子.example dan xn--fsqu00a.example setara.
  • DOMAIN_2: Opsional. Nama domain yang akan dipantau—misalnya, example.com. Nilai localhost tidak diizinkan. Nama domain Unicode dan Punycode dinormalisasi. Misalnya, 例子.example dan xn--fsqu00a.example setara.
Jenis instance Compute Engine yang tidak terduga CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud Audit Logs:
Log Aktivitas Admin 		Mendeteksi pembuatan instance Compute Engine yang tidak cocok dengan jenis atau konfigurasi instance yang ditentukan.
Template: Jenis instance Compute Engine yang tidak terduga
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • SERIES: Opsional. Seri mesin Compute Engine—misalnya, C2. Jika kosong, modul akan mengizinkan semua seri. Untuk informasi selengkapnya, lihat Panduan perbandingan dan resource beberapa tipe mesin.
  • MINIMUM_NUMBER_OF_CPUS: Opsional. Jumlah minimum CPU yang diizinkan. Jika tidak ada, tidak ada batas minimum. Tidak boleh negatif.
  • MAXIMUM_NUMBER_OF_CPUS: Opsional. Jumlah maksimum CPU yang diizinkan. Jika tidak ada, tidak ada batas maksimum. Harus lebih besar dari atau sama dengan minimum dan kurang dari atau sama dengan 1.000.
  • MINIMUM_RAM_SIZE: Opsional. Ukuran RAM minimum yang diizinkan, dalam megabyte. Jika tidak ada, tidak ada batas minimum.
  • MAXIMUM_RAM_SIZE: Opsional. Ukuran RAM maksimum yang diizinkan, dalam megabyte. Jika tidak ada, tidak ada batas maksimum. Harus lebih besar dari atau sama dengan minimum dan kurang dari atau sama dengan 10.000.000.
  • MINIMUM_NUMBER_OF_GPUS: Opsional. Jumlah minimum GPU yang diizinkan. Jika tidak ada, tidak ada batas minimum. Tidak boleh negatif.
  • MAXIMUM_NUMBER_OF_GPUS: Opsional. Jumlah maksimum GPU yang diizinkan. Jika tidak ada, tidak ada batas maksimum. Harus lebih besar dari atau sama dengan minimum dan kurang dari atau sama dengan 100.
  • PROJECT_ID_1: Opsional. ID project yang ingin Anda terapkan modul ini—misalnya, projects/example-project. Jika kosong atau tidak ditetapkan, modul akan diterapkan ke instance yang dibuat di semua project dalam cakupan saat ini.
  • PROJECT_ID_2: Opsional. ID project yang ingin Anda terapkan modul ini—misalnya, projects/example-project.
  • REGION_1: Opsional. Region tempat Anda ingin menerapkan modul ini—misalnya, us-central1. Jika kosong atau tidak ditetapkan, modul akan diterapkan ke instance yang dibuat di semua region.
  • REGION_2: Opsional. Region tempat Anda ingin menerapkan modul ini—misalnya, us-central1.
Image sumber Compute Engine yang tidak terduga CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud Audit Logs:
Log Aktivitas Admin 		Mendeteksi pembuatan instance Compute Engine dengan image atau kelompok image yang tidak cocok dengan daftar yang ditentukan
Template: Image sumber Compute Engine yang tidak terduga
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • PATTERN_1: Ekspresi reguler RE2 untuk memeriksa gambar—misalnya, debian-image-1. Jika image digunakan untuk membuat instance Compute Engine dan nama image tersebut tidak cocok dengan salah satu ekspresi reguler yang ditentukan, temuan akan dikeluarkan.
  • NAME_1: Nama deskriptif untuk pola ini—misalnya, first-image.
  • PATTERN_2: Opsional. Ekspresi reguler RE2 lain untuk memeriksa gambar—misalnya, debian-image-2.
  • NAME_2: Opsional. Nama deskriptif untuk pola kedua—misalnya, second-image.
Region Compute Engine yang tidak terduga CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Cloud Audit Logs:
Log Aktivitas Admin 		Mendeteksi pembuatan instance Compute Engine di region yang tidak ada dalam daftar yang ditentukan
Template: Region Compute Engine yang tidak terduga
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • REGION_1: Nama region yang diizinkan—misalnya, us-west1. Jika instance Compute Engine dibuat di region yang tidak ditentukan dalam daftar, Event Threat Detection akan mengeluarkan temuan.
  • REGION_2: Opsional. Nama region yang akan diizinkan—misalnya, us-central1. Jika instance Compute Engine dibuat di region yang tidak ditentukan dalam daftar, Event Threat Detection akan mengeluarkan temuan.
Akun akses darurat yang digunakan CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Cloud Audit Logs:
Log Aktivitas Admin
Log Akses Data (opsional)		 Mendeteksi penggunaan akun akses darurat (breakglass)
Template: Akun breakglass yang digunakan
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • BREAKGLASS_ACCOUNT_1: Akun breakglass yang harus dipantau—misalnya, test@example.com. Temuan akan dibuat jika akun ini digunakan untuk tindakan yang dicatat dalam entri Cloud Audit Logs.
  • BREAKGLASS_ACCOUNT_2: Opsional. Akun breakglass yang akan dipantau—misalnya, test@example.com. Temuan akan dihasilkan jika akun ini digunakan untuk tindakan yang dicatat dalam entri Cloud Audit Logs.
Pemberian peran yang tidak terduga CONFIGURABLE_UNEXPECTED_ROLE_GRANT Cloud Audit Logs:
Log Aktivitas Admin 		Mendeteksi saat peran tertentu diberikan kepada pengguna
Template: Pemberian peran yang tidak terduga
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • ROLE_1: Peran IAM yang akan dipantau, misalnya, roles/owner. Temuan akan dihasilkan jika peran ini diberikan.
  • ROLE_2: Opsional. Peran IAM yang akan dipantau—misalnya, roles/editor. Temuan akan dihasilkan jika peran ini diberikan.
Peran khusus dengan izin yang dilarang CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Cloud Audit Logs:
Log Aktivitas Admin 		Mendeteksi saat peran kustom dengan salah satu izin IAM yang ditentukan dibuat atau diperbarui.
Template: Peran kustom dengan izin yang dilarang
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • PERMISSION_1: Izin IAM yang akan dipantau—misalnya, storage.buckets.list. Event Threat Detection akan mengeluarkan temuan jika peran IAM kustom yang berisi izin ini diberikan kepada akun utama.
  • PERMISSION_2: Opsional. Izin IAM yang akan dipantau—misalnya, storage.buckets.get. Event Threat Detection akan mengeluarkan temuan jika peran IAM kustom yang berisi izin ini diberikan kepada akun utama.
Panggilan Cloud API yang Tidak Terduga CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Cloud Audit Logs:
Log Aktivitas Admin
Log Akses Data (opsional)		 Mendeteksi saat akun utama yang ditentukan memanggil metode yang ditentukan terhadap resource yang ditentukan. Temuan hanya dibuat jika semua ekspresi reguler cocok dalam satu entri log.
Template: Panggilan Cloud API yang Tidak Terduga
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • CALLER_PATTERN: Ekspresi reguler RE2 untuk memeriksa akun utama. Misalnya, .* cocok dengan akun utama apa pun.
  • METHOD_PATTERN: Ekspresi reguler RE2 untuk memeriksa metode—misalnya, ^cloudsql\\.instances\\.export$.
  • RESOURCE_PATTERN: Ekspresi reguler RE2 untuk memeriksa resource—misalnya, example-project.

Harga dan kuota

Fitur ini tidak dikenai biaya untuk pelanggan Security Command Center Premium.

Modul kustom Event Threat Detection tunduk pada batas kuota.

Batas kuota default untuk pembuatan modul kustom adalah 200.

Panggilan API ke metode modul kustom juga tunduk pada batas kuota. Tabel berikut menunjukkan batas kuota default untuk panggilan API modul kustom.

Jenis panggilan API Batas
Get, List 1.000 panggilan API per menit, per organisasi
Membuat, Memperbarui, Menghapus 60 panggilan API per menit, per organisasi

Batas ukuran modul

Setiap modul kustom Event Threat Detection memiliki batas ukuran 6 MB.

Batas kapasitas

Batas kapasitas berikut berlaku:

  • 30 temuan per modul kustom per jam.
  • 200 temuan modul kustom per resource induk (organisasi atau project) per jam. Setiap temuan dihitung untuk organisasi atau project, bergantung pada level tempat modul kustom sumber dibuat.

Batas ini tidak dapat ditingkatkan.

Langkah selanjutnya