Ringkasan modul kustom untuk Event Threat Detection

Halaman ini menyediakan ringkasan modul kustom untuk Event Threat Detection.

Anda dapat mengonfigurasi modul, yang juga dikenal sebagai detektor, untuk memproses streaming Cloud Logging dan mendeteksi ancaman berdasarkan parameter yang Anda tentukan. Fitur ini memperluas kemampuan pemantauan Event Threat Detection dan memungkinkan Anda menambahkan modul dengan parameter deteksi Anda sendiri, panduan perbaikan, dan penetapan tingkat keparahan untuk konfigurasi yang mungkin tidak didukung oleh detektor bawaan.

Modul kustom berguna jika Anda memerlukan modul dengan aturan deteksi yang memenuhi kebutuhan unik organisasi Anda. Misalnya, Anda dapat menambahkan modul kustom yang membuat temuan jika entri log menunjukkan bahwa resource terhubung ke alamat IP tertentu atau dibuat di wilayah yang dibatasi.

Cara kerja modul kustom untuk Event Threat Detection

Modul kustom adalah grup tertentu dari detektor Event Threat Detection yang dapat dikonfigurasi dengan parameter deteksi Anda sendiri. Anda dapat membuat modul kustom Event Threat Detection melalui Google Cloud Console. Atau, Anda dapat membuatnya dengan mengupdate template modul kustom dan mengirim modul kustom ke Security Command Center melalui Google Cloud CLI. Untuk mengetahui informasi tentang template yang tersedia, lihat Modul dan template kustom.

Template modul kustom ditulis dalam JSON dan memungkinkan Anda menentukan parameter deteksi yang mengontrol peristiwa dalam entri log yang harus memicu temuan. Misalnya, detektor Malware: Bad IP bawaan memeriksa Log Aliran Pribadi Cloud Virtual untuk menemukan bukti koneksi ke alamat IP yang mencurigakan. Namun, Anda dapat mengaktifkan dan mengubah modul kustom Configurable Bad IP dengan daftar alamat IP mencurigakan yang Anda pertahankan. Jika log Anda menunjukkan koneksi ke salah satu alamat IP yang Anda berikan, temuan akan dibuat dan ditulis ke Security Command Center.

Template modul juga memungkinkan Anda menentukan tingkat keparahan ancaman dan memberikan langkah-langkah perbaikan kustom untuk membantu tim keamanan Anda memperbaiki masalah.

Dengan modul kustom, Anda memiliki lebih banyak kontrol atas cara Event Threat Detection mendeteksi ancaman dan melaporkan temuan. Modul kustom mencakup parameter yang Anda sediakan, tetapi tetap menggunakan logika deteksi dan kecerdasan ancaman eksklusif Event Threat Detection, termasuk pencocokan indikator tripwire. Anda dapat menerapkan berbagai model ancaman yang disesuaikan dengan persyaratan unik organisasi Anda.

Modul kustom Event Threat Detection berjalan bersama detektor bawaan. Modul yang diaktifkan berjalan dalam mode real-time, yang memicu pemindaian setiap kali log baru dibuat.

Modul dan template kustom

Tabel berikut berisi daftar jenis modul kustom yang didukung, deskripsi, log yang diperlukan, dan template modul JSON.

Anda memerlukan template modul JSON ini jika ingin menggunakan gcloud CLI untuk membuat atau mengupdate modul kustom. Untuk melihat template, klik ikon luaskan di samping namanya. Untuk informasi tentang menggunakan modul kustom, lihat Mengonfigurasi dan mengelola modul kustom.

Kategori temuan	Jenis modul	Jenis sumber log	Deskripsi
IP buruk yang dapat dikonfigurasi	`CONFIGURABLE_BAD_IP`	Log aliran traffic VPC Log Aturan Firewall	Mendeteksi koneksi ke alamat IP yang ditentukan
Template: IP buruk yang dapat dikonfigurasi { "metadata": { "severity": "`SEVERITY`", "description": "`DESCRIPTION`", "recommendation": "`RECOMMENDATION`" }, "ips": [ "`IP_ADDRESS_1`", "`IP_ADDRESS_2`" ] } Ganti kode berikut: `SEVERITY`: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah `LOW`, `MEDIUM`, `HIGH`, dan `CRITICAL`. `DESCRIPTION`: Deskripsi ancaman yang dideteksi modul kustom. Deskripsi ini digunakan untuk mengisi properti `explanation` pada setiap temuan yang dihasilkan oleh modul ini. `RECOMMENDATION`: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan oleh tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti `nextSteps` dari setiap temuan yang dihasilkan oleh modul ini. `IP_ADDRESS_1`: Alamat IPv4 atau IPv6 atau blok CIDR yang dapat dirutekan secara publik—misalnya, `192.0.2.1` atau `192.0.2.0/24`. `IP_ADDRESS_2`: Opsional. Alamat IPv4 atau IPv6 atau blok CIDR yang dapat dirutekan secara publik—misalnya, `192.0.2.1` atau `192.0.2.0/24`.
Domain buruk yang dapat dikonfigurasi	`CONFIGURABLE_BAD_DOMAIN`	Log Cloud DNS	Mendeteksi koneksi ke nama domain yang ditentukan
Template: Domain buruk yang dapat dikonfigurasi { "metadata": { "severity": "`SEVERITY`", "description": "`DESCRIPTION`", "recommendation": "`RECOMMENDATION`" }, "domains": [ "`DOMAIN_1`","`DOMAIN_2`" ] } Ganti kode berikut: `SEVERITY`: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah `LOW`, `MEDIUM`, `HIGH`, dan `CRITICAL`. `DESCRIPTION`: Deskripsi ancaman yang dideteksi modul kustom. Deskripsi ini digunakan untuk mengisi properti `explanation` pada setiap temuan yang dihasilkan oleh modul ini. `RECOMMENDATION`: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan oleh tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti `nextSteps` dari setiap temuan yang dihasilkan oleh modul ini. `DOMAIN_1`: Nama domain yang harus diperhatikan—misalnya, `example.com`. Nilai `localhost` tidak diizinkan. Nama domain Unicode dan Punycode dinormalkan. Misalnya, 例子.example dan xn--fsqu00a.example setara. `DOMAIN_2`: Opsional. Nama domain yang harus diperhatikan —misalnya, `example.com`. Nilai `localhost` tidak diizinkan. Nama domain Unicode dan Punycode dinormalkan. Misalnya, 例子.example dan xn--fsqu00a.example setara.
Jenis instance Compute Engine yang tidak terduga	`CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE`	Cloud Audit Logs: Log Aktivitas Admin (wajib) Log Akses Data (opsional)	Mendeteksi pembuatan instance Compute Engine yang tidak cocok dengan jenis atau konfigurasi instance yang ditentukan.
Template: Jenis instance Compute Engine yang tidak diharapkan { "metadata": { "severity": "`SEVERITY`", "description": "`DESCRIPTION`", "recommendation": "`RECOMMENDATION`" }, "instances": [ { "series": "`SERIES`", "cpus": { "minimum": `MINIMUM_NUMBER_OF_CPUS`, "maximum": `MAXIMUM_NUMBER_OF_CPUS` }, "ram_mb": { "minimum": `MINIMUM_RAM_SIZE`, "maximum": `MAXIMUM_RAM_SIZE` }, "gpus": { "minimum": `MINIMUM_NUMBER_OF_GPUS`, "maximum": `MAXIMUM_NUMBER_OF_GPUS` }, "projects": [ "`PROJECT_ID_1`", "`PROJECT_ID_2`" ], "regions": [ "`REGION_1`", "`REGION_2`" ] }, { "series": " ... ", ... "regions": [ ... ] } ] } Ganti kode berikut: `SEVERITY`: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah `LOW`, `MEDIUM`, `HIGH`, dan `CRITICAL`. `DESCRIPTION`: Deskripsi ancaman yang dideteksi modul kustom. Deskripsi ini digunakan untuk mengisi properti `explanation` pada setiap temuan yang dihasilkan oleh modul ini. `RECOMMENDATION`: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan oleh tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti `nextSteps` dari setiap temuan yang dihasilkan oleh modul ini. `SERIES`: Opsional. Rangkaian mesin Compute Engine—misalnya, `C2`. Jika kosong, modul akan mengizinkan semua deret. Untuk mengetahui informasi selengkapnya, lihat Panduan perbandingan dan resource kelompok mesin. `MINIMUM_NUMBER_OF_CPUS`: Opsional. Jumlah minimum CPU yang diizinkan. Jika tidak ada, berarti tidak ada nilai minimum. Tidak boleh negatif. `MAXIMUM_NUMBER_OF_CPUS`: Opsional. Jumlah CPU maksimum yang diizinkan. Jika tidak ada, tidak ada batas maksimum. Harus lebih besar dari atau sama dengan `minimum` dan kurang dari atau sama dengan 1.000. `MINIMUM_RAM_SIZE`: Opsional. Ukuran RAM minimum yang diizinkan, dalam megabyte. Jika tidak ada, berarti tidak ada nilai minimum. `MAXIMUM_RAM_SIZE`: Opsional. Ukuran RAM maksimum yang diizinkan, dalam megabyte. Jika tidak ada, berarti tidak ada jumlah maksimum. Harus lebih besar dari atau sama dengan `minimum` dan kurang dari atau sama dengan 10.000.000. `MINIMUM_NUMBER_OF_GPUS`: Opsional. Jumlah minimum GPU yang diizinkan. Jika tidak ada, berarti tidak ada nilai minimum. Tidak boleh negatif. `MAXIMUM_NUMBER_OF_GPUS`: Opsional. Jumlah GPU maksimum yang diizinkan. Jika tidak ada, tidak ada batas maksimum. Harus lebih besar dari atau sama dengan `minimum` dan kurang dari atau sama dengan 100. `PROJECT_ID_1`: Opsional. ID project tempat Anda ingin menerapkan modul ini—misalnya, `projects/example-project`. Jika kosong atau tidak disetel, modul akan diterapkan ke instance yang dibuat di semua project dalam cakupan saat ini. `PROJECT_ID_2`: Opsional. ID project tempat Anda ingin menerapkan modul ini—misalnya, `projects/example-project`. `REGION_1`: Opsional. Region tempat Anda ingin menerapkan modul ini—misalnya, `us-central1`. Jika kosong atau tidak disetel, modul akan diterapkan ke instance yang dibuat di semua region. `REGION_2`: Opsional. Region tempat Anda ingin menerapkan modul ini—misalnya, `us-central1`.
Gambar sumber Compute Engine yang tidak terduga	`CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE`	Cloud Audit Logs: Log Aktivitas Admin (wajib) Log Akses Data (opsional)	Mendeteksi pembuatan instance Compute Engine dengan gambar atau kelompok gambar yang tidak cocok dengan daftar yang ditentukan
Template: Gambar sumber Compute Engine yang tidak terduga { "metadata": { "severity": "`SEVERITY`", "description": "`DESCRIPTION`", "recommendation": "`RECOMMENDATION`" }, "patterns": [ { "pattern": "`PATTERN_1`", "name": "`NAME_1`" }, { "pattern": "`PATTERN_2`", "name": "`NAME_2`" } ] } Ganti kode berikut: `SEVERITY`: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah `LOW`, `MEDIUM`, `HIGH`, dan `CRITICAL`. `DESCRIPTION`: Deskripsi ancaman yang dideteksi modul kustom. Deskripsi ini digunakan untuk mengisi properti `explanation` pada setiap temuan yang dihasilkan oleh modul ini. `RECOMMENDATION`: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan oleh tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti `nextSteps` dari setiap temuan yang dihasilkan oleh modul ini. `PATTERN_1`: Ekspresi reguler RE2 untuk memeriksa gambar—misalnya, `debian-image-1`. Jika gambar digunakan untuk membuat instance Compute Engine dan nama image tersebut tidak cocok dengan ekspresi reguler yang ditentukan, sebuah temuan akan dikeluarkan. `NAME_1`: Nama deskriptif untuk pola ini—misalnya, `first-image`. `PATTERN_2`: Opsional. Ekspresi reguler RE2 lain untuk memeriksa gambar—misalnya, `debian-image-2`. `NAME_2`: Opsional. Nama deskriptif untuk pola kedua—misalnya, `second-image`.
Region Compute Engine yang tidak terduga	`CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION`	Cloud Audit Logs: Log Aktivitas Admin (wajib) Log Akses Data (opsional)	Mendeteksi pembuatan instance Compute Engine di region yang tidak ada dalam daftar yang ditentukan
Template: Region Compute Engine yang tidak terduga { "metadata": { "severity": "`SEVERITY`", "description": "`DESCRIPTION`", "recommendation": "`RECOMMENDATION`" }, "regions": [ { "region": "`REGION_1`" }, { "region": "`REGION_2`" } ] } Ganti kode berikut: `SEVERITY`: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah `LOW`, `MEDIUM`, `HIGH`, dan `CRITICAL`. `DESCRIPTION`: Deskripsi ancaman yang dideteksi modul kustom. Deskripsi ini digunakan untuk mengisi properti `explanation` pada setiap temuan yang dihasilkan oleh modul ini. `RECOMMENDATION`: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan oleh tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti `nextSteps` dari setiap temuan yang dihasilkan oleh modul ini. `REGION_1`: Nama wilayah yang akan diizinkan—misalnya, `us-west1`. Jika instance Compute Engine dibuat di region yang tidak ditentukan dalam daftar, Event Threat Detection akan mengeluarkan temuan. `REGION_2`: Opsional. Nama wilayah yang akan diizinkan—misalnya, `us-central1`. Jika instance Compute Engine dibuat di region yang tidak ditentukan dalam daftar, Deteksi Ancaman Peristiwa akan mengeluarkan temuan.
Akun akses darurat digunakan	`CONFIGURABLE_BREAKGLASS_ACCOUNT_USED`	Cloud Audit Logs: Log Aktivitas Admin (wajib) Log Akses Data (opsional)	Mendeteksi penggunaan akun akses darurat (breakkaca)
Template: Akun akses darurat digunakan { "metadata": { "severity": "`SEVERITY`", "description": "`DESCRIPTION`", "recommendation": "`RECOMMENDATION`" }, "accounts": [ "`BREAKGLASS_ACCOUNT_1`", "`BREAKGLASS_ACCOUNT_2`" ] } Ganti kode berikut: `SEVERITY`: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah `LOW`, `MEDIUM`, `HIGH`, dan `CRITICAL`. `DESCRIPTION`: Deskripsi ancaman yang dideteksi modul kustom. Deskripsi ini digunakan untuk mengisi properti `explanation` pada setiap temuan yang dihasilkan oleh modul ini. `RECOMMENDATION`: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan oleh tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti `nextSteps` dari setiap temuan yang dihasilkan oleh modul ini. `BREAKGLASS_ACCOUNT_1`: Akun akses darurat yang harus diperhatikan—misalnya, `test@example.com`. Temuan dibuat jika akun ini digunakan untuk tindakan yang dicatat dalam entri Cloud Audit Logs. `BREAKGLASS_ACCOUNT_2`: Opsional. Akun akses darurat yang harus diperhatikan—misalnya, `test@example.com`. Temuan dibuat jika akun ini digunakan untuk tindakan yang dicatat dalam entri Cloud Audit Logs.
Pemberian peran yang tidak diharapkan	`CONFIGURABLE_UNEXPECTED_ROLE_GRANT`	Cloud Audit Logs: Log Aktivitas Admin (wajib) Log Akses Data (opsional)	Mendeteksi saat peran tertentu diberikan kepada pengguna
Template: Pemberian peran yang tidak diharapkan { "metadata": { "severity": "`SEVERITY`", "description": "`DESCRIPTION`", "recommendation": "`RECOMMENDATION`" }, "roles": ["`ROLE_1`", "`ROLE_2`"] } Ganti kode berikut: `SEVERITY`: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah `LOW`, `MEDIUM`, `HIGH`, dan `CRITICAL`. `DESCRIPTION`: Deskripsi ancaman yang dideteksi modul kustom. Deskripsi ini digunakan untuk mengisi properti `explanation` pada setiap temuan yang dihasilkan oleh modul ini. `RECOMMENDATION`: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan oleh tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti `nextSteps` dari setiap temuan yang dihasilkan oleh modul ini. `ROLE_1`: Peran IAM yang harus diperhatikan —misalnya, `roles/owner`. Temuan akan dibuat jika peran ini diberikan. `ROLE_2`: Opsional. Peran IAM yang harus diperhatikan—misalnya, `roles/editor`. Temuan akan dibuat jika peran ini diberikan.
Peran khusus dengan izin yang dilarang	`CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION`	Cloud Audit Logs: Log Aktivitas Admin (wajib) Log Akses Data (opsional)	Mendeteksi saat peran khusus dengan izin IAM yang ditentukan diberikan ke akun utama.
Template: Peran khusus dengan izin terlarang { "metadata": { "severity": "`SEVERITY`", "description": "`DESCRIPTION`", "recommendation": "`RECOMMENDATION`" }, "permissions": [ "`PERMISSION_1`", "`PERMISSION_2`" ] } Ganti kode berikut: `SEVERITY`: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah `LOW`, `MEDIUM`, `HIGH`, dan `CRITICAL`. `DESCRIPTION`: Deskripsi ancaman yang dideteksi modul kustom. Deskripsi ini digunakan untuk mengisi properti `explanation` pada setiap temuan yang dihasilkan oleh modul ini. `RECOMMENDATION`: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan oleh tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti `nextSteps` dari setiap temuan yang dihasilkan oleh modul ini. `PERMISSION_1`: Izin IAM untuk dipantau—misalnya, `storage.buckets.list`. Event Threat Detection mengeluarkan temuan apakah peran IAM kustom yang berisi izin ini diberikan ke akun utama. `PERMISSION_2`: Opsional. Izin IAM untuk memantau—misalnya, `storage.buckets.get`. Event Threat Detection memberikan temuan apakah peran IAM kustom yang berisi izin ini diberikan ke akun utama.
Panggilan Cloud API Tak Terduga	`CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL`	Cloud Audit Logs: Log Aktivitas Admin (wajib) Log Akses Data (opsional)	Mendeteksi saat akun utama yang ditentukan memanggil metode yang ditentukan terhadap resource yang ditentukan. Temuan hanya dihasilkan jika semua ekspresi reguler dicocokkan dalam satu entri log.
Template: Panggilan Cloud API Tak Terduga { "metadata": { "severity": "`SEVERITY`", "description": "`DESCRIPTION`", "recommendation": "`RECOMMENDATION`" }, "caller_pattern": "`CALLER_PATTERN`", "method_pattern": "`METHOD_PATTERN`", "resource_pattern": "`RESOURCE_PATTERN`" } Ganti kode berikut: `SEVERITY`: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah `LOW`, `MEDIUM`, `HIGH`, dan `CRITICAL`. `DESCRIPTION`: Deskripsi ancaman yang dideteksi modul kustom. Deskripsi ini digunakan untuk mengisi properti `explanation` pada setiap temuan yang dihasilkan oleh modul ini. `RECOMMENDATION`: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan oleh tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti `nextSteps` dari setiap temuan yang dihasilkan oleh modul ini. `CALLER_PATTERN`: Ekspresi reguler RE2 untuk memeriksa akun utama. Misalnya, `.*` cocok dengan akun utama apa pun. `METHOD_PATTERN`: Ekspresi reguler RE2 untuk memeriksa metode—misalnya, `^cloudsql\\.instances\\.export$`. `RESOURCE_PATTERN`: Ekspresi reguler RE2 untuk memeriksa resource—misalnya, `example-project`.

Harga dan kuota

Fitur ini tersedia tanpa biaya untuk pelanggan Security Command Center Premium.

Modul kustom Event Threat Detection tunduk pada batas kuota.

Batas kuota default untuk pembuatan modul kustom adalah 200.

Panggilan API ke metode modul kustom juga tunduk pada batas kuota. Tabel berikut menunjukkan batas kuota default untuk panggilan API modul kustom.

Jenis panggilan API	Limit
{i>Get<i}, {i>List<i}	1.000 panggilan API per menit, per organisasi
Membuat, Memperbarui, Menghapus	60 panggilan API per menit, per organisasi

Batas ukuran modul

Setiap modul kustom Event Threat Detection memiliki batas ukuran 6 MB.

Batas kapasitas

Batas kapasitas berikut berlaku:

30 temuan per modul kustom per jam.
200 temuan modul kustom per resource induk (organisasi atau project) per jam. Setiap temuan diperhitungkan untuk organisasi atau project, bergantung pada level tempat modul kustom sumber dibuat.

Batas ini tidak dapat ditingkatkan.

Langkah selanjutnya

Pelajari cara membuat dan mengelola modul kustom.