Diese Seite bietet eine Übersicht über benutzerdefinierte Module für Event Threat Detection.
Sie können Module, auch Detektoren genannt, zur Verarbeitung
Cloud Logging-Stream und
Bedrohungen anhand der von Ihnen angegebenen Parameter erkennen. Diese Funktion erweitert die
Monitoring-Funktionen von Event Threat Detection können Sie Module zu Ihrem
eigene Erkennungsparameter, Abhilfemaßnahmen
und Schweregradangaben für
Konfigurationen, die die integrierten Detektoren
möglicherweise nicht unterstützen.
Benutzerdefinierte Module sind nützlich, wenn Sie Module mit Erkennungsregeln benötigen, die den
Ihrer Organisation zu erfüllen. Sie können beispielsweise ein benutzerdefiniertes Modul hinzufügen,
Erstellt Ergebnisse, wenn Logeinträge zeigen, dass eine Ressource mit einer bestimmten IP-Adresse verbunden ist
oder die in einer eingeschränkten Region erstellt wurde.
So funktionieren benutzerdefinierte Module für Event Threat Detection
Benutzerdefinierte Module sind eine ausgewählte Gruppe
von Event Threat Detection-Detektoren,
mit eigenen Erkennungsparametern konfigurieren. Sie können ein
Benutzerdefiniertes Event Threat Detection-Modul über die Google Cloud Console Alternativ können Sie
können Sie eines erstellen, indem Sie eine benutzerdefinierte Modulvorlage aktualisieren und
Das benutzerdefinierte Modul wird über die Google Cloud CLI an Security Command Center gesendet. Für
Informationen zu verfügbaren Vorlagen finden Sie unter Benutzerdefinierte Module und
Vorlagen.
Benutzerdefinierte Modulvorlagen werden in JSON geschrieben und ermöglichen es Ihnen, die Erkennung zu definieren
Parameter, die steuern, welche Ereignisse in Logeinträgen Ergebnisse auslösen sollen. Für
prüft der integrierte Malware: Bad IP
-Detektor
Virtual Private Cloud-Flusslogs zum Nachweis von Verbindungen zu einer bekannten verdächtigen IP-Adresse
Adressen. Sie können das benutzerdefinierte Feld Configurable Bad IP
jedoch aktivieren und ändern.
enthält eine Liste verdächtiger IP-Adressen, die Sie verwalten. Wenn Ihre Logs
eine Verbindung zu einer der von Ihnen angegebenen IP-Adressen
darstellen, ist ein Ergebnis
generiert und in Security Command Center geschrieben.
Mit Modulvorlagen können Sie auch den Schweregrad von Bedrohungen definieren
Abhilfemaßnahmen, mit denen Ihre Sicherheitsteams Probleme beheben können.
Mit benutzerdefinierten Modulen haben Sie mehr Kontrolle darüber, wie Event Threat Detection erkennt
Bedrohungen und meldet Ergebnisse. Benutzerdefinierte Module
enthalten Ihre Parameter,
aber trotzdem die proprietäre Erkennungslogik von Event Threat Detection und die
z. B. den Abgleich von Fahrtrichtungsindikatoren. Sie können eine breit gefasste
und auf die individuellen Anforderungen Ihres Unternehmens zugeschnitten.
Benutzerdefinierte Event Threat Detection-Module werden zusammen mit den integrierten Detektoren ausgeführt. Aktiviert
Module werden im Echtzeitmodus ausgeführt, wodurch Scans ausgelöst werden, wenn neue Logs
erstellt.
Benutzerdefinierte Module und Vorlagen
Die folgende Tabelle enthält eine Liste der unterstützten benutzerdefinierten Modultypen,
Beschreibungen, erforderlichen Logs und JSON-Modulvorlagen.
Sie benötigen diese JSON-Modulvorlagen, wenn Sie die
gcloud CLI verwenden, um benutzerdefinierte Module zu erstellen oder zu aktualisieren. So rufen Sie eine Vorlage auf:
Klicken Sie neben dem Namen auf das Symbol zum Maximieren add_circle . Weitere Informationen
Weitere Informationen zur Verwendung benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module konfigurieren und verwalten
Module.
Ergebniskategorie |
Modultyp |
Logquelltypen |
Beschreibung |
Konfigurierbare fehlerhafte IP-Adresse |
CONFIGURABLE_BAD_IP |
VPC-Flusslogs
Logs zu Firewallregeln
|
Erkennt eine Verbindung zu einer angegebenen IP-Adresse |
Vorlage: Konfigurierbare fehlerhafte IP-Adresse
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"ips": [
"IP_ADDRESS_1",
"IP_ADDRESS_2"
]
}
Ersetzen Sie Folgendes:
SEVERITY : Der Schweregrad der Ergebnisse
die in diesem Modul produziert wurden. Gültige Werte sind LOW ,
MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die
vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet,
explanation -Eigenschaft jedes von diesem generierten Ergebniss generiert
-Modul.
RECOMMENDATION : Eine Erklärung zu
die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben
Problem. Mit dieser Erklärung wird nextSteps gefüllt
jedes von diesem Modul generierten Ergebnisses.
IP_ADDRESS_1 : Eine öffentlich routbare IPv4- oder IPv6-Adresse
oder CIDR-Block, nach dem gesucht werden soll, z. B.
192.0.2.1 oder 192.0.2.0/24 .
IP_ADDRESS_2 : Optional. Eine öffentlich weiterleitbare
IPv4- oder IPv6-Adresse oder CIDR-Block, nach dem gesucht werden soll, z. B.
192.0.2.1 oder 192.0.2.0/24 .
|
Konfigurierbare fehlerhafte Domain |
CONFIGURABLE_BAD_DOMAIN
|
Cloud DNS-Logs
|
Erkennt eine Verbindung zu einem angegebenen Domainnamen |
Vorlage: Konfigurierbare fehlerhafte Domain
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"domains": [
"DOMAIN_1","DOMAIN_2"
]
}
Ersetzen Sie Folgendes:
SEVERITY : Der Schweregrad der Ergebnisse
die in diesem Modul produziert wurden. Gültige Werte sind LOW ,
MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die
vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet,
explanation -Eigenschaft jedes von diesem generierten Ergebniss generiert
-Modul.
RECOMMENDATION : Eine Erklärung zu
die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben
Problem. Mit dieser Erklärung wird nextSteps gefüllt
jedes von diesem Modul generierten Ergebnisses.
DOMAIN_1 : Ein Domainname, auf den überwacht werden soll –
Beispiel: example.com . Ein Wert von localhost ist
nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Für
Beispiel: 例子.example und xn--fsqu00a.example sind gleichwertig.
DOMAIN_2 : Optional. Ein Domainname, der beobachtet werden soll
z. B. example.com . Wert von
localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen
werden normalisiert. Zum Beispiel sind 例子.example und xn--fsqu00a.example.
Äquivalent zu vergleichen.
|
Unerwarteter Compute Engine-Instanztyp |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE
|
Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen. |
Vorlage: Unerwarteter Compute Engine-Instanztyp
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"instances": [
{
"series": "SERIES",
"cpus": {
"minimum": MINIMUM_NUMBER_OF_CPUS,
"maximum": MAXIMUM_NUMBER_OF_CPUS
},
"ram_mb": {
"minimum": MINIMUM_RAM_SIZE,
"maximum": MAXIMUM_RAM_SIZE
},
"gpus": {
"minimum": MINIMUM_NUMBER_OF_GPUS,
"maximum": MAXIMUM_NUMBER_OF_GPUS
},
"projects": [
"PROJECT_ID_1",
"PROJECT_ID_2"
],
"regions": [
"REGION_1",
"REGION_2"
]
},
{
"series": " ... ",
...
"regions": [ ... ]
}
]
}
Ersetzen Sie Folgendes:
SEVERITY : Der Schweregrad der Ergebnisse
die in diesem Modul produziert wurden. Gültige Werte sind LOW ,
MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die
vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet,
explanation -Eigenschaft jedes von diesem generierten Ergebniss generiert
-Modul.
RECOMMENDATION : Eine Erklärung zu
die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben
Problem. Mit dieser Erklärung wird nextSteps gefüllt
jedes von diesem Modul generierten Ergebnisses.
SERIES : Optional. Compute Engine
Maschinenserie, z. B. C2 . Wenn das Modul leer ist,
alle Reihen zulässt. Weitere Informationen finden Sie unter Ressourcen und Vergleich zu Maschinenfamilien.
.
MINIMUM_NUMBER_OF_CPUS : Optional. Das Minimum
Anzahl der zulässigen CPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl.
Darf nicht negativ sein.
MAXIMUM_NUMBER_OF_CPUS : Optional. Das Maximum
Anzahl der zulässigen CPUs. Wenn nicht vorhanden, gibt es kein Maximum.
Muss größer oder gleich minimum und kleiner als oder sein
gleich 1.000.
MINIMUM_RAM_SIZE : Optional. Mindestanforderung RAM
die zulässige Größe in Megabyte. Falls nicht vorhanden, ist keine
Minimum
MAXIMUM_RAM_SIZE : Optional. Maximaler RAM
die zulässige Größe in Megabyte. Falls nicht vorhanden, ist keine
maximal. Muss größer oder gleich minimum und kleiner sein
als oder gleich 10.000.000 ist.
MINIMUM_NUMBER_OF_GPUS : Optional. Das Minimum
die zulässige Anzahl von GPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl.
Darf nicht negativ sein.
MAXIMUM_NUMBER_OF_GPUS : Optional. Das Maximum
die zulässige Anzahl von GPUs. Wenn nicht vorhanden, gibt es kein Maximum. Muss
größer oder gleich minimum und kleiner oder gleich
100.
PROJECT_ID_1 : Optional. Die ID eines Projekts,
in der Sie dieses Modul anwenden möchten, z. B.
projects/example-project Wenn das Modul leer oder nicht konfiguriert ist,
wird auf Instanzen angewendet, die in allen Projekten im aktuellen Bereich erstellt wurden.
PROJECT_ID_2 : Optional. Die ID eines Projekts,
in der Sie dieses Modul anwenden möchten, z. B.
projects/example-project
REGION_1 : Optional. Eine Region, auf die Sie dies anwenden möchten
Modul, z. B. us-central1 . Wenn das Feld leer oder nicht konfiguriert ist,
-Modul wird auf Instanzen angewendet, die in allen Regionen erstellt wurden.
REGION_2 : Optional. Eine Region, in der Sie
dieses Modul anwenden, z. B. us-central1 .
|
Unerwartetes Compute Engine-Quell-Image |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE |
Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder
Image-Familie, die keiner angegebenen Liste entspricht |
Vorlage: Unerwartetes Compute Engine-Quell-Image
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"patterns": [
{
"pattern": "PATTERN_1",
"name": "NAME_1"
},
{
"pattern": "PATTERN_2",
"name": "NAME_2"
}
]
}
Ersetzen Sie Folgendes:
SEVERITY : Der Schweregrad der Ergebnisse
die in diesem Modul produziert wurden. Gültige Werte sind LOW ,
MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die
vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet,
explanation -Eigenschaft jedes von diesem generierten Ergebniss generiert
-Modul.
RECOMMENDATION : Eine Erklärung zu
die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben
Problem. Mit dieser Erklärung wird nextSteps gefüllt
jedes von diesem Modul generierten Ergebnisses.
PATTERN_1 : Ein RE2
regulärer Ausdruck verwendet werden, um Images zu vergleichen, z. B.
debian-image-1 . Wenn ein Image zum Erstellen einer Compute Engine-Instanz verwendet wird und der Name dieses Images mit keinem der
der angegebenen regulären Ausdrücke wird ein Ergebnis ausgegeben.
NAME_1 : Ein beschreibender Name
Muster, z. B. first-image .
PATTERN_2 : Optional. Ein weiterer regulärer RE2-Ausdruck
Bilder mit vergleichen, z. B. debian-image-2 .
NAME_2 : Optional. Ein aussagekräftiger Name für die
zweites Muster, z. B. second-image .
|
Unerwartete Compute Engine-Region |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION |
Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die sich nicht in
einer bestimmten Liste |
Vorlage: Unerwartete Compute Engine-Region
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"regions": [
{
"region": "REGION_1"
},
{
"region": "REGION_2"
}
]
}
Ersetzen Sie Folgendes:
SEVERITY : Der Schweregrad der Ergebnisse
die in diesem Modul produziert wurden. Gültige Werte sind LOW ,
MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die
vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet,
explanation -Eigenschaft jedes von diesem generierten Ergebniss generiert
-Modul.
RECOMMENDATION : Eine Erklärung zu
die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben
Problem. Mit dieser Erklärung wird nextSteps gefüllt
jedes von diesem Modul generierten Ergebnisses.
REGION_1 : Der Name einer Region, die zugelassen werden soll – für
Beispiel: us-west1 . Wenn eine Compute Engine-Instanz
die in einer Region erstellt wurden, die nicht in der Liste Event Threat Detection aufgeführt ist.
ein Ergebnis.
REGION_2 : Optional. Der Name einer Region, für die
erlauben, z. B. us-central1 . Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt Event Threat Detection ein Ergebnis aus.
|
Break-Glass-Konto verwendet |
CONFIGURABLE_BREAKGLASS_ACCOUNT_USED |
Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass-Konto) |
Vorlage: Break-Glass-Konto verwendet
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"accounts": [
"BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
]
}
Ersetzen Sie Folgendes:
SEVERITY : Der Schweregrad der Ergebnisse
die in diesem Modul produziert wurden. Gültige Werte sind LOW ,
MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die
vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet,
explanation -Eigenschaft jedes von diesem generierten Ergebniss generiert
-Modul.
RECOMMENDATION : Eine Erklärung zu
die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben
Problem. Mit dieser Erklärung wird nextSteps gefüllt
jedes von diesem Modul generierten Ergebnisses.
BREAKGLASS_ACCOUNT_1 : Break-Glass-Konto für
achten, z. B. test@example.com . Ein Ergebnis ist
generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem
Eintrag in Cloud-Audit-Logs.
BREAKGLASS_ACCOUNT_2 : Optional. Break-Glass
Konto, auf das überwacht werden soll, z. B. test@example.com . A
Ergebnis wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in
einen Eintrag in Cloud-Audit-Logs.
|
Unerwartete Rollenzuweisung |
CONFIGURABLE_UNEXPECTED_ROLE_GRANT |
Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird |
Vorlage: Unerwartete Rollenzuweisung
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"roles": ["ROLE_1", "ROLE_2"]
}
Ersetzen Sie Folgendes:
SEVERITY : Der Schweregrad der Ergebnisse
die in diesem Modul produziert wurden. Gültige Werte sind LOW ,
MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die
vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet,
explanation -Eigenschaft jedes von diesem generierten Ergebniss generiert
-Modul.
RECOMMENDATION : Eine Erklärung zu
die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben
Problem. Mit dieser Erklärung wird nextSteps gefüllt
jedes von diesem Modul generierten Ergebnisses.
ROLE_1 : Eine zu beobachtende IAM-Rolle
z. B. roles/owner . Ein Ergebnis wird generiert, wenn
diese Rolle gewährt wird.
ROLE_2 : Optional. Eine IAM-Rolle für
achten, z. B. roles/editor . Ein Ergebnis wird generiert
wenn diese Rolle gewährt wird.
|
Benutzerdefinierte Rolle mit unzulässiger Berechtigung |
CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION |
Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich) Datenzugriffslogs (optional) |
Erkennt, wenn eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen erstellt oder aktualisiert wird. |
Vorlage: Benutzerdefinierte Rolle mit unzulässiger Berechtigung
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"permissions": [
"PERMISSION_1",
"PERMISSION_2"
]
}
Ersetzen Sie Folgendes:
SEVERITY : Der Schweregrad der Ergebnisse
die in diesem Modul produziert wurden. Gültige Werte sind LOW ,
MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die
vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet,
explanation -Eigenschaft jedes von diesem generierten Ergebniss generiert
-Modul.
RECOMMENDATION : Eine Erklärung zu
die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben
Problem. Mit dieser Erklärung wird nextSteps gefüllt
jedes von diesem Modul generierten Ergebnisses.
PERMISSION_1 : Eine IAM-Berechtigung für
achten, z. B. storage.buckets.list .
Event Threat Detection gibt ein Ergebnis aus, wenn eine benutzerdefinierte IAM-Rolle
mit dieser Berechtigung einem Hauptkonto gewährt wird.
PERMISSION_2 : Optional. Ein IAM
z. B. die Berechtigung,
storage.buckets.get Event Threat Detection gibt eine
Ermitteln, ob eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung
die einem Hauptkonto zugewiesen wurden.
|
Unerwarteter Cloud API-Aufruf |
CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL
|
Cloud-Audit-Logs:
Administratoraktivitätslogs (erforderlich)
Datenzugriffslogs
(optional) |
Erkennt, wenn ein angegebenes Hauptkonto eine angegebene Methode für ein
angegebene Ressource. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke
in einem einzelnen Logeintrag abgeglichen. |
Vorlage: Unerwarteter Cloud API-Aufruf
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"caller_pattern": "CALLER_PATTERN",
"method_pattern": "METHOD_PATTERN",
"resource_pattern": "RESOURCE_PATTERN"
}
Ersetzen Sie Folgendes:
SEVERITY : Der Schweregrad der Ergebnisse
die in diesem Modul produziert wurden. Gültige Werte sind LOW ,
MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die
vom benutzerdefinierten Modul erkannt. Diese Beschreibung wird verwendet,
explanation -Eigenschaft jedes von diesem generierten Ergebniss generiert
-Modul.
RECOMMENDATION : Eine Erklärung zu
die empfohlenen Schritte, die Sicherheitsteams ergreifen können, um das erkannte Problem zu beheben
Problem. Mit dieser Erklärung wird nextSteps gefüllt
jedes von diesem Modul generierten Ergebnisses.
CALLER_PATTERN : Ein RE2
regulärer Ausdruck, auf die Hauptkonten geprüft werden sollen. Beispiel:
.* entspricht jedem Hauptkonto.
METHOD_PATTERN : ein regulärer RE2-Typ
Ausdruck für den Abgleich von Methoden, z. B.
^cloudsql\\.instances\\.export$ .
RESOURCE_PATTERN : ein regulärer RE2-Typ
Ausdruck, um Ressourcen zu prüfen. Beispiel:
example-project .
|
Preise und Kontingente
Diese Funktion ist für Security Command Center Premium kostenlos
Kunden zu gewinnen.
Benutzerdefinierte Event Threat Detection-Module unterliegen Kontingentlimits.
Das standardmäßige Kontingentlimit für die Erstellung von benutzerdefinierten Modulen beträgt 200.
API-Aufrufe an benutzerdefinierte Modulmethoden unterliegen ebenfalls Kontingentlimits. Die
Die folgende Tabelle zeigt die standardmäßigen Kontingentlimits für API-Aufrufe von benutzerdefinierten Modulen.
API-Aufruftyp |
Limit |
Get, List |
1.000 API-Aufrufe pro Minute und Organisation |
Erstellen, aktualisieren, löschen |
60 API-Aufrufe pro Minute pro Organisation |
Beschränkungen der Modulgröße
Jedes benutzerdefinierte Event Threat Detection-Modul hat ein
Größenbeschränkung von 6 MB.
Ratenlimits
Es gelten die folgenden Ratenbegrenzungen:
- 30 Ergebnisse pro benutzerdefiniertem Modul und Stunde.
- 200 Ergebnisse für benutzerdefinierte Module pro übergeordnete Ressource (Organisation oder Projekt)
pro Stunde. Jedes Ergebnis zählt entweder
Projekt erstellen, je nachdem, auf welcher Ebene das benutzerdefinierte Quellmodul erstellt wurde.
Diese Limits können nicht erhöht werden.
Nächste Schritte