Panoramica dei moduli personalizzati per Event Threat Detection

Questa pagina fornisce una panoramica dei moduli personalizzati per Event Threat Detection.

Puoi configurare i moduli, noti anche come rilevatori, per l'elaborazione Cloud Logging e rilevare le minacce in base ai parametri specificati. Questa funzionalità estende le funzionalità di monitoraggio di Event Threat Detection e consente di aggiungere moduli parametri di rilevamento, linee guida per la correzione e designazioni di gravità per configurazioni che i rilevatori integrati potrebbero non supportare.

I moduli personalizzati sono utili se hai bisogno di moduli con regole di rilevamento che soddisfino le esigenze specifiche della tua organizzazione. Ad esempio, puoi aggiungere un modulo personalizzato crea risultati se le voci di log indicano che una risorsa è connessa a un IP specifico indirizzi IP o è creato in una regione con limitazioni.

Come funzionano i moduli personalizzati per Event Threat Detection

I moduli personalizzati sono un gruppo selezionato di rilevatori di Event Threat Detection che puoi configurarli con i tuoi parametri di rilevamento. Puoi creare un modulo personalizzato di Event Threat Detection tramite la console Google Cloud. In alternativa, puoi crearne uno aggiornando un modello di modulo personalizzato e inviandolo a Security Command Center tramite l'interfaccia a riga di comando Google Cloud. Per informazioni sui modelli disponibili, consulta Modelli e moduli personalizzati.

I modelli di moduli personalizzati sono scritti in JSON e ti consentono di definire i parametri di rilevamento che controllano quali eventi nelle voci di log devono attivare i risultati. Per esempio, il rilevatore Malware: Bad IP integrato controlla Log di flusso Virtual Private Cloud per la ricerca di prove di connessioni a IP sospetti noti indirizzi IP esterni. Tuttavia, puoi attivare e modificare la personalizzazione Configurable Bad IP con un elenco degli indirizzi IP sospetti che gestisci. Se i log indicano una connessione a uno degli indirizzi IP forniti, viene generato e scritto un risultato in Security Command Center.

I modelli di modulo consentono inoltre di definire la gravità delle minacce e forniscono misure correttive per aiutare i team di sicurezza a risolvere i problemi.

Con i moduli personalizzati, hai un maggiore controllo su come Event Threat Detection rileva minacce e segnala i risultati. I moduli personalizzati includono i parametri che hai fornito, ma utilizzano comunque la logica di rilevamento e le minacce proprietarie di Event Threat Detection intelligente, inclusa la corrispondenza degli indicatori di cavo. Puoi implementare un'ampia un insieme di modelli di minacce su misura per le esigenze specifiche della tua azienda.

I moduli personalizzati di Event Threat Detection vengono eseguiti insieme ai rilevatori integrati. Attivato i moduli vengono eseguiti in tempo reale, che attiva le scansioni ogni volta che vengono è stato creato.

Modelli e moduli personalizzati

La tabella seguente contiene un elenco dei tipi di moduli personalizzati supportati: descrizioni, log richiesti e modelli di moduli JSON.

Questi modelli di modulo JSON sono necessari se vuoi utilizzare gcloud CLI per creare o aggiornare i moduli personalizzati. Per visualizzare un modello, fai clic sull'icona di espansione accanto al nome. Per informazioni sull'utilizzo dei moduli personalizzati, vedere Configurare e gestire moduli.

Categoria risultati Module type Tipi di sorgente log Descrizione
IP non valido configurabile CONFIGURABLE_BAD_IP Log di flusso VPC
Log delle regole firewall 		Rileva la connessione a un indirizzo IP specificato
Modello: IP non valido configurabile
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Sostituisci quanto segue:

  • SEVERITY: la gravità dei risultati da produrre da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia rilevata dal modulo personalizzato. Questa descrizione viene utilizzata per compilare la proprietà explanation di ogni risultato generato da questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare la proprietà nextSteps di ogni risultato generato da questo modulo.
  • IP_ADDRESS_1: un indirizzo IPv4 o IPv6 o un blocco CIDR indirizzabile pubblicamente da monitorare, ad esempio 192.0.2.1 o 192.0.2.0/24.
  • IP_ADDRESS_2: facoltativo. Un indirizzo IPv4 o IPv6 o un blocco CIDR indirizzabile pubblicamente da monitorare, ad esempio 192.0.2.1 o 192.0.2.0/24.
Dominio non valido configurabile CONFIGURABLE_BAD_DOMAIN Log di Cloud DNS Rileva la connessione a un nome di dominio specificato
Modello: dominio non valido configurabile
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Sostituisci quanto segue:

  • SEVERITY: la gravità dei risultati da produrre da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia rilevata dal modulo personalizzato. Questa descrizione viene utilizzata per compilare la proprietà explanation di ogni risultato generato da questo modulo.
  • RECOMMENDATION: una spiegazione dei passaggi consigliati che i team di sicurezza possono eseguire per risolvere il problema rilevato. Questa spiegazione viene utilizzata per compilare la proprietà nextSteps di ogni risultato generato da questo modulo.
  • DOMAIN_1: un nome di dominio da controllare, per ad esempio example.com. Il valore localhost è non è consentito. I nomi di dominio Unicode e Punycode sono normalizzati. Ad esempio, 例子.example e xn--fsqu00a.example sono equivalenti.
  • DOMAIN_2: facoltativo. Un nome di dominio da guardare per, ad esempio example.com. Un valore di localhost non è consentito. Nomi di dominio Unicode e Punycode vengono normalizzati. Ad esempio, 例子.example e xn--fsqu00a.example sono equivalenti.
Tipo di istanza Compute Engine imprevisto CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio)
Log degli accessi ai dati (facoltativo)		 Rileva la creazione di istanze Compute Engine che non corrispondono al tipo di istanza o alla configurazione specificata.
Modello: tipo di istanza Compute Engine imprevisto
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Sostituisci quanto segue:

  • SEVERITY: la gravità dei risultati da produrre da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia rilevata dal modulo personalizzato. Questa descrizione viene utilizzata per compilare la proprietà explanation di ogni risultato generato da questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare la proprietà nextSteps di ogni risultato generato da questo modulo.
  • SERIES: facoltativo. Compute Engine di macchine virtuali, ad esempio C2. Se è vuoto, il modulo consente tutte le serie. Per saperne di più, consulta Risorse e confronto delle famiglie di macchine .
  • MINIMUM_NUMBER_OF_CPUS: facoltativo. Il minimo di CPU da consentire. Se non è presente, non è previsto un limite minimo. Non deve essere negativo.
  • MAXIMUM_NUMBER_OF_CPUS: facoltativo. Il numero massimo di CPU da consentire. Se non è presente, non esiste un limite massimo. Deve essere maggiore o uguale a minimum e minore o uguale a 1000.
  • MINIMUM_RAM_SIZE: facoltativo. La dimensione minima della RAM da consentire, in megabyte. Se non è presente, non è previsto un valore minimo.
  • MAXIMUM_RAM_SIZE: facoltativo. La RAM massima dimensioni consentite, in megabyte. Se non è presente, non è previsto un valore massimo. Deve essere maggiore o uguale a minimum e minore o uguale a 10.000.000.
  • MINIMUM_NUMBER_OF_GPUS: facoltativo. Il minimo il numero di GPU consentito. Se non è presente, non è previsto un limite minimo. Non deve essere un valore negativo.
  • MAXIMUM_NUMBER_OF_GPUS: facoltativo. Il valore massimo il numero di GPU consentito. Se non è presente, non è previsto un limite massimo. Deve essere superiore o uguale a minimum e minore o uguale a 100.
  • PROJECT_ID_1: facoltativo. L'ID di un progetto a cui vuoi applicare questo modulo, ad esempio projects/example-project. Se è vuoto o non impostato, il modulo viene applicato alle istanze create in tutti i progetti nell'ambito corrente.
  • PROJECT_ID_2: facoltativo. L'ID di un progetto a cui vuoi applicare questo modulo, ad esempio projects/example-project.
  • REGION_1: facoltativo. Una regione in cui vuoi applicare questo modulo, ad esempio us-central1. Se è vuoto o non impostato, il modulo viene applicato alle istanze create in tutte le regioni.
  • REGION_2: facoltativo. Una regione in cui vuoi e applica questo modulo, ad esempio us-central1.
Immagine di origine Compute Engine imprevista CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Audit log di Cloud:
Log attività amministratore (obbligatorio)
Log accesso ai dati (facoltativo)		 Rileva la creazione di un'istanza Compute Engine con un'immagine o una famiglia di immagini che non corrisponde a un elenco specificato
Modello: immagine di origine Compute Engine imprevista
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Sostituisci quanto segue:

  • SEVERITY: la gravità dei risultati da produrre da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia rilevata dal modulo personalizzato. Questa descrizione viene utilizzata per compilare la proprietà explanation di ogni risultato generato da questo modulo.
  • RECOMMENDATION: una spiegazione dei passaggi consigliati che i team di sicurezza possono eseguire per risolvere il problema rilevato. Questa spiegazione viene utilizzata per compilare la proprietà nextSteps di ogni risultato generato da questo modulo.
  • PATTERN_1: un'espressione regolare RE2 da confrontare con le immagini, ad esempio debian-image-1. Se viene utilizzata un'immagine per creare un'istanza Compute Engine e il nome dell'immagine non corrisponde a nessuna delle espressioni regolari specificate, viene emesso un rilevamento.
  • NAME_1: un nome descrittivo ad esempio first-image.
  • PATTERN_2: facoltativo. Un'altra espressione regolare RE2 con cui controllare le immagini, ad esempio debian-image-2.
  • NAME_2: facoltativo. Un nome descrittivo per il secondo pattern, ad esempio second-image.
Regione Compute Engine imprevista CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio)
Log degli accessi ai dati (facoltativo)		 Rileva la creazione di un'istanza Compute Engine in una regione che non si trova un elenco specificato
Modello: regione Compute Engine imprevista
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Sostituisci quanto segue:

  • SEVERITY: la gravità dei risultati da produrre da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia rilevata dal modulo personalizzato. Questa descrizione viene utilizzata per compilare la proprietà explanation di ogni risultato generato da questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • REGION_1: il nome di una regione da consentire, ad esempio us-west1. Se un'istanza Compute Engine creato in una regione non specificata nell'elenco, Event Threat Detection emette un risultato.
  • REGION_2: facoltativo. Il nome di una regione da consentire, ad esempio us-central1. Se viene creata un'istanza Compute Engine in una regione non specificata nell'elenco, Rilevamento minacce da eventi genera un rilevamento.
Account deployment di emergenza utilizzato CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Audit log di Cloud:
Log attività amministratore (obbligatorio)
Log accesso ai dati (facoltativo)		 Rileva l'utilizzo di un account di accesso di emergenza (deployment di emergenza)
Modello: Account deployment di emergenza utilizzato
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Sostituisci quanto segue:

  • SEVERITY: la gravità dei risultati da produrre da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia rilevata dal modulo personalizzato. Questa descrizione viene utilizzata per compilare la proprietà explanation di ogni risultato generato da questo modulo.
  • RECOMMENDATION: una spiegazione dei passaggi consigliati che i team di sicurezza possono eseguire per risolvere il problema rilevato. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • BREAKGLASS_ACCOUNT_1: un account di emergenza da monitorare, ad esempio test@example.com. Viene generato un esito se questo account viene utilizzato per un'azione registrata in una voce di Cloud Audit Logs.
  • BREAKGLASS_ACCOUNT_2: facoltativo. Un deployment di emergenza account da controllare, ad esempio test@example.com. Viene generato un esito se questo account viene utilizzato per un'azione registrata in una voce di Cloud Audit Logs.
Concessione del ruolo imprevista CONFIGURABLE_UNEXPECTED_ROLE_GRANT Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio)
Log degli accessi ai dati (facoltativo)		 Rileva quando un ruolo specificato viene concesso a un utente
Modello: Concessione del ruolo imprevista
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Sostituisci quanto segue:

  • SEVERITY: la gravità dei risultati da produrre da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia rilevata dal modulo personalizzato. Questa descrizione viene utilizzata per compilare la proprietà explanation di ogni risultato generato da questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • ROLE_1: un ruolo IAM da tenere d'occhio ad esempio roles/owner. Viene generato un risultato se questo ruolo viene concesso.
  • ROLE_2: facoltativo. Un ruolo IAM da monitorare, ad esempio roles/editor. Viene generato un risultato se questo ruolo viene concesso.
Ruolo personalizzato con autorizzazione vietata CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Audit log di Cloud:
Log attività amministratore (obbligatorio)
Log accesso ai dati (facoltativo)		 Rileva quando viene creato o aggiornato un ruolo personalizzato con una qualsiasi delle autorizzazioni IAM specificate.
Modello: ruolo personalizzato con autorizzazione vietata
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Sostituisci quanto segue:

  • SEVERITY: la gravità dei risultati da produrre da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia rilevata dal modulo personalizzato. Questa descrizione viene utilizzata per compilare la proprietà explanation di ogni risultato generato da questo modulo.
  • RECOMMENDATION: una spiegazione di i passaggi consigliati che i team di sicurezza possono adottare per risolvere problema. Questa spiegazione viene utilizzata per compilare nextSteps di ogni risultato generato da questo modulo.
  • PERMISSION_1: un'autorizzazione IAM da monitorare, ad esempio storage.buckets.list. Event Threat Detection genera un risultato se un ruolo IAM personalizzato contenente questa autorizzazione è concessa a un'entità.
  • PERMISSION_2: facoltativo. Un account IAM l'autorizzazione a controllare, ad esempio storage.buckets.get. Event Threat Detection emette un rilevare se un ruolo IAM personalizzato contenente questa autorizzazione a un'entità.
Chiamata API Cloud imprevista CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Audit log di Cloud:
Log attività amministrazione (obbligatorio)
Log accesso ai dati (facoltativo)		 Rileva quando un'entità specificata chiama un metodo specificato per una risorsa specificata. Un risultato viene generato solo se tutte le espressioni regolari corrispondono a una singola voce di log.
Modello: Chiamata API Cloud imprevista
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Sostituisci quanto segue:

  • SEVERITY: la gravità dei risultati da produrre da questo modulo. I valori validi sono LOW, MEDIUM, HIGH e CRITICAL.
  • DESCRIPTION: una descrizione della minaccia rilevata dal modulo personalizzato. Questa descrizione viene utilizzata per compilare la proprietà explanation di ogni risultato generato da questo modulo.
  • RECOMMENDATION: una spiegazione dei passaggi consigliati che i team di sicurezza possono eseguire per risolvere il problema rilevato. Questa spiegazione viene utilizzata per compilare la proprietà nextSteps di ogni risultato generato da questo modulo.
  • CALLER_PATTERN: un RE2 un'espressione regolare con cui verificare le entità. Ad esempio, .* corrisponde a qualsiasi entità.
  • METHOD_PATTERN: un'espressione regolare RE2 con cui verificare i metodi, ad esempio ^cloudsql\\.instances\\.export$.
  • RESOURCE_PATTERN: una normale RE2 un'espressione di controllo per controllare le risorse, ad esempio example-project.

Prezzi e quote

Questa funzionalità è senza costi aggiuntivi per Security Command Center Premium clienti.

I moduli personalizzati di Event Threat Detection sono soggetti a limiti di quota.

Il limite di quota predefinito per la creazione di moduli personalizzati è 200.

Anche le chiamate API ai metodi dei moduli personalizzati sono soggette a limiti di quota. La tabella seguente mostra i limiti di quota predefiniti per le chiamate all'API del modulo personalizzato.

Tipo di chiamata API Limite
Get, List 1000 chiamate API al minuto per organizzazione
Crea, aggiorna, elimina 60 chiamate API al minuto per organizzazione

Limiti di dimensione dei moduli

Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensione di 6 MB.

Limiti di frequenza

Si applicano i seguenti limiti di frequenza:

  • 30 risultati per modulo personalizzato all'ora.
  • 200 risultati di moduli personalizzati per risorsa padre (organizzazione o progetto) all'ora. Ogni risultato viene conteggiato ai fini di un'organizzazione progetto, a seconda del livello in cui è stato creato il modulo personalizzato di origine.

Questi limiti non possono essere aumentati.

Passaggi successivi