Halaman ini memberikan ringkasan modul kustom untuk Event Threat Detection.
Anda dapat mengonfigurasi modul, yang juga dikenal sebagai detektor, untuk memproses
aliran Cloud Logging dan
mendeteksi ancaman berdasarkan parameter yang Anda tentukan. Fitur ini memperluas
kemampuan pemantauan Event Threat Detection dan memungkinkan Anda menambahkan modul dengan
parameter deteksi, panduan perbaikan, dan penetapan tingkat keparahan Anda sendiri untuk
konfigurasi yang mungkin tidak didukung oleh detektor bawaan.
Modul kustom berguna jika Anda memerlukan modul dengan aturan deteksi yang memenuhi
kebutuhan unik organisasi Anda. Misalnya, Anda dapat menambahkan modul kustom yang membuat temuan jika entri log menunjukkan bahwa resource terhubung ke alamat IP tertentu atau dibuat di wilayah yang dibatasi.
Cara kerja modul kustom untuk Event Threat Detection
Modul kustom adalah grup tertentu dari detektor Event Threat Detection yang dapat Anda konfigurasikan dengan parameter deteksi Anda sendiri. Anda dapat membuat modul kustom Event Threat Detection melalui konsol Google Cloud. Atau,
Anda dapat membuatnya dengan memperbarui template modul kustom dan
mengirim modul kustom ke Security Command Center melalui Google Cloud CLI. Untuk
mengetahui informasi tentang template yang tersedia, lihat Modul dan template kustom.
Template modul kustom ditulis dalam JSON dan memungkinkan Anda menentukan parameter
deteksi yang mengontrol peristiwa dalam entri log yang akan memicu temuan. Misalnya, detektor Malware: Bad IP
bawaan memeriksa
Log Aliran Virtual Private Cloud untuk menemukan bukti koneksi ke alamat IP
yang dikenal mencurigakan. Namun, Anda dapat mengaktifkan dan mengubah modul kustom Configurable Bad IP
dengan daftar alamat IP yang mencurigakan yang Anda kelola. Jika log Anda
menunjukkan koneksi ke salah satu alamat IP yang Anda berikan, temuan akan
dibuat dan ditulis ke Security Command Center.
Template modul juga memungkinkan Anda menentukan tingkat keparahan ancaman dan memberikan langkah-langkah perbaikan kustom untuk membantu tim keamanan memperbaiki masalah.
Dengan modul kustom, Anda memiliki kontrol lebih terhadap cara Event Threat Detection mendeteksi
ancaman dan melaporkan temuan. Modul kustom menyertakan parameter yang Anda berikan, tetapi tetap menggunakan logika deteksi dan intelijen ancaman eksklusif Event Threat Detection, termasuk pencocokan indikator tripwire. Anda dapat menerapkan kumpulan
model ancaman yang luas yang disesuaikan dengan persyaratan unik organisasi Anda.
Modul kustom Event Threat Detection berjalan bersama dengan pendeteksi bawaan. Modul yang diaktifkan
berjalan dalam mode real-time, yang memicu pemindaian setiap kali log baru
dibuat.
Modul dan template kustom
Tabel berikut berisi daftar jenis modul kustom,
deskripsi, log yang diperlukan, dan template modul JSON yang didukung.
Anda memerlukan template modul JSON ini jika ingin menggunakan gcloud CLI untuk membuat atau memperbarui modul kustom. Untuk melihat template,
klik ikon luaskan add_circle di samping namanya. Untuk informasi tentang penggunaan modul kustom, lihat Mengonfigurasi dan mengelola modul kustom.
Menemukan kategori |
Jenis modul |
Jenis sumber log |
Deskripsi |
IP buruk yang dapat dikonfigurasi |
CONFIGURABLE_BAD_IP |
Log aliran VPC
Log Aturan Firewall
|
Mendeteksi koneksi ke alamat IP yang ditentukan |
Template: IP buruk yang dapat dikonfigurasi
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"ips": [
"IP_ADDRESS_1",
"IP_ADDRESS_2"
]
}
Ganti kode berikut:
SEVERITY : Tingkat keparahan temuan yang akan
dihasilkan oleh modul ini. Nilai yang valid adalah LOW ,
MEDIUM , HIGH , dan CRITICAL .
DESCRIPTION : Deskripsi ancaman yang
terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
RECOMMENDATION : Penjelasan
langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah
yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps
dari setiap temuan yang dihasilkan oleh modul ini.
IP_ADDRESS_1 : Alamat IPv4 atau IPv6 yang dapat dirutekan secara publik atau blok CIDR yang akan dipantau—misalnya, 192.0.2.1 atau 192.0.2.0/24 .
IP_ADDRESS_2 : Opsional. Alamat IPv4 atau IPv6 atau blok CIDR yang dapat dirutekan secara publik untuk dipantau—misalnya,
192.0.2.1 atau 192.0.2.0/24 .
|
Domain buruk yang dapat dikonfigurasi |
CONFIGURABLE_BAD_DOMAIN
|
Log Cloud DNS
|
Mendeteksi koneksi ke nama domain yang ditentukan |
Template: Domain buruk yang dapat dikonfigurasi
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"domains": [
"DOMAIN_1","DOMAIN_2"
]
}
Ganti kode berikut:
SEVERITY : Tingkat keparahan temuan yang akan
dihasilkan oleh modul ini. Nilai yang valid adalah LOW ,
MEDIUM , HIGH , dan CRITICAL .
DESCRIPTION : Deskripsi ancaman yang
terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
RECOMMENDATION : Penjelasan
langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah
yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps
dari setiap temuan yang dihasilkan oleh modul ini.
DOMAIN_1 : Nama domain yang akan dipantau—misalnya, example.com . Nilai localhost tidak
diizinkan. Nama domain Unicode dan Punycode dinormalisasi. Misalnya, 例子.example dan xn--fsqu00a.example setara.
DOMAIN_2 : Opsional. Nama domain yang akan dipantau—misalnya, example.com . Nilai
localhost tidak diizinkan. Nama domain Unicode dan Punycode
dinormalisasi. Misalnya, 例子.example dan xn--fsqu00a.example setara.
|
Jenis instance Compute Engine yang tidak terduga |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE
|
Cloud Audit Logs:
Log Aktivitas Admin |
Mendeteksi pembuatan instance Compute Engine yang tidak cocok dengan jenis atau konfigurasi instance yang ditentukan. |
Template: Jenis instance Compute Engine yang tidak terduga
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"instances": [
{
"series": "SERIES",
"cpus": {
"minimum": MINIMUM_NUMBER_OF_CPUS,
"maximum": MAXIMUM_NUMBER_OF_CPUS
},
"ram_mb": {
"minimum": MINIMUM_RAM_SIZE,
"maximum": MAXIMUM_RAM_SIZE
},
"gpus": {
"minimum": MINIMUM_NUMBER_OF_GPUS,
"maximum": MAXIMUM_NUMBER_OF_GPUS
},
"projects": [
"PROJECT_ID_1",
"PROJECT_ID_2"
],
"regions": [
"REGION_1",
"REGION_2"
]
},
{
"series": " ... ",
...
"regions": [ ... ]
}
]
}
Ganti kode berikut:
SEVERITY : Tingkat keparahan temuan yang akan
dihasilkan oleh modul ini. Nilai yang valid adalah LOW ,
MEDIUM , HIGH , dan CRITICAL .
DESCRIPTION : Deskripsi ancaman yang
terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
RECOMMENDATION : Penjelasan
langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah
yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps
dari setiap temuan yang dihasilkan oleh modul ini.
SERIES : Opsional. Seri mesin Compute Engine—misalnya, C2 . Jika kosong, modul
akan mengizinkan semua seri. Untuk informasi selengkapnya, lihat Panduan perbandingan dan resource
beberapa tipe mesin.
MINIMUM_NUMBER_OF_CPUS : Opsional. Jumlah minimum CPU yang diizinkan. Jika tidak ada, tidak ada batas minimum.
Tidak boleh negatif.
MAXIMUM_NUMBER_OF_CPUS : Opsional. Jumlah maksimum CPU yang diizinkan. Jika tidak ada, tidak ada batas maksimum.
Harus lebih besar dari atau sama dengan minimum dan kurang dari atau
sama dengan 1.000.
MINIMUM_RAM_SIZE : Opsional. Ukuran RAM minimum
yang diizinkan, dalam megabyte. Jika tidak ada, tidak ada
batas minimum.
MAXIMUM_RAM_SIZE : Opsional. Ukuran RAM maksimum
yang diizinkan, dalam megabyte. Jika tidak ada, tidak ada
batas maksimum. Harus lebih besar dari atau sama dengan minimum dan kurang
dari atau sama dengan 10.000.000.
MINIMUM_NUMBER_OF_GPUS : Opsional. Jumlah minimum GPU yang diizinkan. Jika tidak ada, tidak ada batas minimum.
Tidak boleh negatif.
MAXIMUM_NUMBER_OF_GPUS : Opsional. Jumlah maksimum GPU yang diizinkan. Jika tidak ada, tidak ada batas maksimum. Harus
lebih besar dari atau sama dengan minimum dan kurang dari atau sama dengan
100.
PROJECT_ID_1 : Opsional. ID project yang ingin Anda terapkan modul ini—misalnya, projects/example-project . Jika kosong atau tidak ditetapkan, modul akan diterapkan ke instance yang dibuat di semua project dalam cakupan saat ini.
PROJECT_ID_2 : Opsional. ID project yang ingin Anda terapkan modul ini—misalnya, projects/example-project .
REGION_1 : Opsional. Region tempat Anda ingin menerapkan modul ini—misalnya, us-central1 . Jika kosong atau tidak ditetapkan, modul akan diterapkan ke instance yang dibuat di semua region.
REGION_2 : Opsional. Region tempat Anda ingin menerapkan modul ini—misalnya, us-central1 .
|
Image sumber Compute Engine yang tidak terduga |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE |
Cloud Audit Logs:
Log Aktivitas Admin |
Mendeteksi pembuatan instance Compute Engine dengan image atau
kelompok image yang tidak cocok dengan daftar yang ditentukan |
Template: Image sumber Compute Engine yang tidak terduga
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"patterns": [
{
"pattern": "PATTERN_1",
"name": "NAME_1"
},
{
"pattern": "PATTERN_2",
"name": "NAME_2"
}
]
}
Ganti kode berikut:
SEVERITY : Tingkat keparahan temuan yang akan
dihasilkan oleh modul ini. Nilai yang valid adalah LOW ,
MEDIUM , HIGH , dan CRITICAL .
DESCRIPTION : Deskripsi ancaman yang
terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
RECOMMENDATION : Penjelasan
langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah
yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps
dari setiap temuan yang dihasilkan oleh modul ini.
PATTERN_1 : Ekspresi reguler RE2
untuk memeriksa gambar—misalnya,
debian-image-1 . Jika image digunakan untuk membuat instance Compute Engine dan nama image tersebut tidak cocok dengan salah satu ekspresi reguler yang ditentukan, temuan akan dikeluarkan.
NAME_1 : Nama deskriptif untuk pola ini—misalnya, first-image .
PATTERN_2 : Opsional. Ekspresi reguler RE2 lain untuk memeriksa gambar—misalnya, debian-image-2 .
NAME_2 : Opsional. Nama deskriptif untuk
pola kedua—misalnya, second-image .
|
Region Compute Engine yang tidak terduga |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION |
Cloud Audit Logs:
Log Aktivitas Admin |
Mendeteksi pembuatan instance Compute Engine di region yang tidak ada dalam daftar yang ditentukan |
Template: Region Compute Engine yang tidak terduga
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"regions": [
{
"region": "REGION_1"
},
{
"region": "REGION_2"
}
]
}
Ganti kode berikut:
SEVERITY : Tingkat keparahan temuan yang akan
dihasilkan oleh modul ini. Nilai yang valid adalah LOW ,
MEDIUM , HIGH , dan CRITICAL .
DESCRIPTION : Deskripsi ancaman yang
terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
RECOMMENDATION : Penjelasan
langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah
yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps
dari setiap temuan yang dihasilkan oleh modul ini.
REGION_1 : Nama region yang diizinkan—misalnya, us-west1 . Jika instance Compute Engine
dibuat di region yang tidak ditentukan dalam daftar, Event Threat Detection
akan mengeluarkan temuan.
REGION_2 : Opsional. Nama region yang akan
diizinkan—misalnya, us-central1 . Jika instance Compute Engine dibuat di region yang tidak ditentukan dalam daftar, Event Threat Detection akan mengeluarkan temuan.
|
Akun akses darurat yang digunakan |
CONFIGURABLE_BREAKGLASS_ACCOUNT_USED |
Cloud Audit Logs:
Log Aktivitas Admin Log Akses Data (opsional) |
Mendeteksi penggunaan akun akses darurat (breakglass) |
Template: Akun breakglass yang digunakan
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"accounts": [
"BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
]
}
Ganti kode berikut:
SEVERITY : Tingkat keparahan temuan yang akan
dihasilkan oleh modul ini. Nilai yang valid adalah LOW ,
MEDIUM , HIGH , dan CRITICAL .
DESCRIPTION : Deskripsi ancaman yang
terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
RECOMMENDATION : Penjelasan
langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah
yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps
dari setiap temuan yang dihasilkan oleh modul ini.
BREAKGLASS_ACCOUNT_1 : Akun breakglass yang harus
dipantau—misalnya, test@example.com . Temuan akan
dibuat jika akun ini digunakan untuk tindakan yang dicatat dalam
entri Cloud Audit Logs.
BREAKGLASS_ACCOUNT_2 : Opsional. Akun breakglass
yang akan dipantau—misalnya, test@example.com . Temuan akan dihasilkan jika akun ini digunakan untuk tindakan yang dicatat dalam entri Cloud Audit Logs.
|
Pemberian peran yang tidak terduga |
CONFIGURABLE_UNEXPECTED_ROLE_GRANT |
Cloud Audit Logs:
Log Aktivitas Admin |
Mendeteksi saat peran tertentu diberikan kepada pengguna |
Template: Pemberian peran yang tidak terduga
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"roles": ["ROLE_1", "ROLE_2"]
}
Ganti kode berikut:
SEVERITY : Tingkat keparahan temuan yang akan
dihasilkan oleh modul ini. Nilai yang valid adalah LOW ,
MEDIUM , HIGH , dan CRITICAL .
DESCRIPTION : Deskripsi ancaman yang
terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
RECOMMENDATION : Penjelasan
langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah
yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps
dari setiap temuan yang dihasilkan oleh modul ini.
ROLE_1 : Peran IAM yang akan dipantau, misalnya, roles/owner . Temuan akan dibuat jika peran ini diberikan.
ROLE_2 : Opsional. Peran IAM yang akan
dipantau—misalnya, roles/editor . Temuan akan dihasilkan
jika peran ini diberikan.
|
Peran khusus dengan izin yang dilarang |
CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION |
Cloud Audit Logs:
Log Aktivitas Admin |
Mendeteksi saat peran kustom dengan salah satu izin IAM yang ditentukan dibuat atau diperbarui. |
Template: Peran kustom dengan izin yang dilarang
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"permissions": [
"PERMISSION_1",
"PERMISSION_2"
]
}
Ganti kode berikut:
SEVERITY : Tingkat keparahan temuan yang akan
dihasilkan oleh modul ini. Nilai yang valid adalah LOW ,
MEDIUM , HIGH , dan CRITICAL .
DESCRIPTION : Deskripsi ancaman yang
terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
RECOMMENDATION : Penjelasan
langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah
yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps
dari setiap temuan yang dihasilkan oleh modul ini.
PERMISSION_1 : Izin IAM yang akan
dipantau—misalnya, storage.buckets.list .
Event Threat Detection akan mengeluarkan temuan jika peran IAM kustom yang berisi izin ini diberikan kepada akun utama.
PERMISSION_2 : Opsional. Izin IAM
yang akan dipantau—misalnya,
storage.buckets.get . Event Threat Detection akan memberikan
temuan jika peran IAM kustom yang berisi izin ini
diberikan kepada akun utama.
|
Panggilan Cloud API yang Tidak Terduga |
CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL
|
Cloud Audit Logs:
Log Aktivitas Admin
Log Akses Data
(opsional) |
Mendeteksi saat akun utama yang ditentukan memanggil metode yang ditentukan terhadap
resource yang ditentukan. Temuan hanya dihasilkan jika semua ekspresi reguler cocok dalam satu entri log. |
Template: Panggilan Cloud API yang Tidak Terduga
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"caller_pattern": "CALLER_PATTERN",
"method_pattern": "METHOD_PATTERN",
"resource_pattern": "RESOURCE_PATTERN"
}
Ganti kode berikut:
SEVERITY : Tingkat keparahan temuan yang akan
dihasilkan oleh modul ini. Nilai yang valid adalah LOW ,
MEDIUM , HIGH , dan CRITICAL .
DESCRIPTION : Deskripsi ancaman yang
terdeteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
RECOMMENDATION : Penjelasan
langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah
yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps
dari setiap temuan yang dihasilkan oleh modul ini.
CALLER_PATTERN : Ekspresi reguler RE2 untuk memeriksa akun utama. Misalnya,
.* cocok dengan akun utama apa pun.
METHOD_PATTERN : Ekspresi reguler
RE2 untuk memeriksa metode—misalnya,
^cloudsql\\.instances\\.export$ .
RESOURCE_PATTERN : Ekspresi reguler RE2 untuk memeriksa resource—misalnya,
example-project .
|
Harga dan kuota
Fitur ini tidak dikenai biaya untuk pelanggan Security Command Center Premium.
Modul kustom Event Threat Detection tunduk pada batas kuota.
Batas kuota default untuk pembuatan modul kustom adalah 200.
Panggilan API ke metode modul kustom juga tunduk pada batas kuota. Tabel
berikut menunjukkan batas kuota default untuk panggilan API modul kustom.
Jenis panggilan API |
Batas |
Get, List |
1.000 panggilan API per menit, per organisasi |
Membuat, Memperbarui, Menghapus |
60 panggilan API per menit, per organisasi |
Batas ukuran modul
Setiap modul kustom Event Threat Detection memiliki batas ukuran 6 MB.
Batas kapasitas
Batas kapasitas berikut berlaku:
- 30 temuan per modul kustom per jam.
- 200 temuan modul kustom per resource induk (organisasi atau project)
per jam. Setiap temuan dihitung untuk organisasi atau
project, bergantung pada level tempat modul kustom sumber dibuat.
Batas ini tidak dapat ditingkatkan.
Langkah selanjutnya