En esta página, se proporciona una descripción general de los módulos personalizados de Security Health Analytics.
Con los módulos personalizados, puedes extender las capacidades de detección de Security Health Analytics mediante la creación de detectores personalizados que analicen los recursos y las políticas de Google Cloud que especificas mediante reglas que definas para verificar si hay vulnerabilidades, parámetros de configuración incorrectos o incumplimientos.
La configuración o definición de un módulo personalizado, ya sea que lo crees en la consola de Google Cloud o lo codifiques tú mismo, determina los recursos que el detector verifica, las propiedades que evalúa y la información que muestra el detector cuando se detecta una vulnerabilidad o una configuración incorrecta.
Puedes crear módulos personalizados para cualquier recurso o recurso que admita Security Command Center.
Si codificas definiciones de módulos personalizadas por tu cuenta, usas expresiones YAML y Common Expression Language (CEL). Si usas la consola de Google Cloud para crear tus módulos personalizados, la mayor parte del código se realizará por ti, aunque sí debes codificar las expresiones en CEL.
Para ver un ejemplo de la definición de un módulo personalizado en un archivo YAML, consulta Ejemplo de definición de un módulo personalizado.
Los módulos personalizados se ejecutan junto con los detectores integrados de Security Health Analytics en los análisis en tiempo real y por lotes. En el modo en tiempo real, los análisis se activan cada vez que cambia la configuración de un elemento. Los análisis en modo por lotes se ejecutan con todos los detectores de las organizaciones o proyectos inscritos una vez al día.
Durante un análisis, cada detector personalizado se aplica a todos los elementos coincidentes en cada organización, carpeta o proyecto para el que está habilitado.
Los resultados de los detectores personalizados se escriben en Security Command Center.
Para obtener más información, consulta lo siguiente:
- Cómo crear módulos personalizados
- Tipos de análisis de Security Health Analytics
- Tipos de recursos admitidos
- YAML
- Introducción a CEL
Comparación de los detectores integrados y los módulos personalizados
Puedes detectar aspectos con módulos personalizados que no puedes detectar con los detectores integrados de Security Health Analytics. Sin embargo, los detectores integrados admiten ciertas funciones de Security Command Center que los módulos personalizados no admiten.
Compatibilidad de características
Los módulos personalizados de las estadísticas del estado de seguridad no son compatibles con las simulaciones de rutas de ataque, por lo que los resultados que producen estos módulos no obtienen puntuaciones de exposición a ataques ni rutas de ataque.
Comparación de la lógica de detección
Como ejemplo de algunas de las acciones que puedes realizar con un módulo personalizado, compara lo que el detector integrado PUBLIC_SQL_INSTANCE
verifica con lo que puedes hacer con un módulo personalizado.
El detector integrado PUBLIC_SQL_INSTANCE
verifica si la propiedad authorizedNetworks
de las instancias de Cloud SQL está configurada como 0.0.0.0/0
. Si es así, el detector emite un resultado que indica que la instancia de Cloud SQL está abierta al público porque acepta conexiones de todas las direcciones IP.
Con un módulo personalizado, puedes implementar una lógica de detección más compleja para verificar las instancias de Cloud SQL en busca de lo siguiente:
- Direcciones IP con prefijos específicos mediante comodines.
- El valor de la propiedad
state
, que puedes usar para ignorar instancias si el valor se establece enMAINTENANCE
o activar resultados si el valor es otro. - El valor de la propiedad
region
, que puedes usar para activar resultados solo para instancias con direcciones IP públicas en regiones específicas.
Permisos y roles de IAM obligatorios
Los roles de IAM determinan las acciones que puedes realizar con los módulos personalizados de Security Health Analytics.
En la siguiente tabla, se muestra una lista de los permisos del módulo personalizado de Security Health Analytics y los roles de IAM predefinidos que los incluyen. Estos permisos son válidos hasta el 22 de enero de 2024 como mínimo. Después de esa fecha, se requerirán los permisos que se enumeran en la segunda tabla siguiente.
Puedes usar la consola de Google Cloud o la API de Security Command Center para aplicar estos roles a nivel de organización, carpeta o proyecto.
Los permisos se requieren antes del 22 de enero de 2024 | Roles |
---|---|
securitycenter.securityhealthanalyticscustommodules.create |
roles/securitycenter.settingsEditor |
securitycenter.securityhealthanalyticscustommodules.get |
roles/securitycenter.settingsViewer |
securitycenter.securityhealthanalyticscustommodules.test |
roles/securitycenter.securityHealthAnalyticsCustomModulesTester |
En la siguiente tabla, se incluye una lista de los permisos de los módulos personalizados de Security Health Analytics que se requerirán a partir del 22 de enero de 2024, así como los roles de IAM predefinidos que los incluyen.
Puedes usar la consola de Google Cloud o la API de Security Command Center para aplicar estos roles a nivel de organización, carpeta o proyecto.
Los permisos se requieren a partir del 22 de enero de 2024 | Roles |
---|---|
securitycentermanagement.securityHealthAnalyticsCustomModules.create
|
roles/securitycentermanagement.shaCustomModulesEditor |
securitycentermanagement.securityHealthAnalyticsCustomModules.list
|
roles/securitycentermanagement.shaCustomModulesViewer
|
Para obtener más información sobre los permisos y roles de IAM y cómo otorgarlos, consulta Cómo otorgar un rol de IAM con la consola de Google Cloud.
Cuotas de módulos personalizadas
Los módulos personalizados de Security Health Analytics están sujetos a límites de cuota.
El límite de cuota predeterminado para la creación de módulos personalizados es de 100, pero puedes solicitar un aumento de cuota, si es necesario.
Las llamadas a la API para métodos de módulos personalizados también están sujetas a límites de cuota. En la siguiente tabla, se muestran los límites de cuota predeterminados para las llamadas a la API de módulos personalizados.
Tipo de llamada a la API | Límite |
---|---|
Solicitudes de lectura de CustomModules (Get, List) | 1,000 llamadas a la API por minuto y por organización |
Solicitudes de escritura de CustomModules (Crear, actualizar y borrar) | 60 llamadas a la API por minuto y por organización |
Solicitudes de prueba de CustomModules | 12 llamadas a la API por minuto y por organización |
Para aumentar las cuotas, envía una solicitud en la página Cuotas de la consola de Google Cloud.
Para obtener más información sobre las cuotas de Security Command Center, consulta Cuotas y límites.
Tipos de recursos admitidos
Address
-
compute.googleapis.com/Address
Alert Policy
monitoring.googleapis.com/AlertPolicy
AlloyDB for PostgreSQL
-
alloydb.googleapis.com/Backup
-
alloydb.googleapis.com/Cluster
-
alloydb.googleapis.com/Instance
Artifact Registry Repository
-
artifactregistry.googleapis.com/Repository
Autoscaler
-
compute.googleapis.com/Autoscaler
Backend Service
-
compute.googleapis.com/BackendService
BigQuery Table
bigquery.googleapis.com/Table
Bucket
-
storage.googleapis.com/Bucket
Cloud Function
-
cloudfunctions.googleapis.com/CloudFunction
Cloud Run
-
run.googleapis.com/DomainMapping
-
run.googleapis.com/Execution
-
run.googleapis.com/Job
-
run.googleapis.com/Revision
-
run.googleapis.com/Service
Cluster
-
container.googleapis.com/Cluster
Cluster Role
-
rbac.authorization.k8s.io/ClusterRole
Cluster Role Binding
-
rbac.authorization.k8s.io/ClusterRoleBinding
Commitment
-
compute.googleapis.com/Commitment
Composer Environment
-
composer.googleapis.com/Environment
Compute Project
-
compute.googleapis.com/Project
-
compute.googleapis.com/SecurityPolicy
CryptoKey
-
cloudkms.googleapis.com/CryptoKey
CryptoKey Version
-
cloudkms.googleapis.com/CryptoKeyVersion
Dataflow Job
-
dataflow.googleapis.com/Job
Dataproc Cluster
-
dataproc.googleapis.com/Cluster
Dataset
-
bigquery.googleapis.com/Dataset
Datastream Connection Profile
datastream.googleapis.com/ConnectionProfile
Datastream Private Connection
datastream.googleapis.com/PrivateConnection
Datastream Stream
datastream.googleapis.com/Stream
Disk
-
compute.googleapis.com/Disk
DNS Policy
-
dns.googleapis.com/Policy
File Instance
-
file.googleapis.com/Instance
Firewall
-
compute.googleapis.com/Firewall
Firewall Policy
-
compute.googleapis.com/FirewallPolicy
Folder
-
cloudresourcemanager.googleapis.com/Folder
Forwarding Rule
-
compute.googleapis.com/ForwardingRule
Global Forwarding Rule
-
compute.googleapis.com/GlobalForwardingRule
Health Check
-
compute.googleapis.com/HealthCheck
Hub
-
gkehub.googleapis.com/Feature
-
gkehub.googleapis.com/Membership
Image
-
compute.googleapis.com/Image
Instance
-
compute.googleapis.com/Instance
Instance Group
-
compute.googleapis.com/InstanceGroup
Instance Group Manager
-
compute.googleapis.com/InstanceGroupManagers
Interconnect Attachment
-
compute.googleapis.com/InterconnectAttachment
Keyring
-
cloudkms.googleapis.com/KeyRing
KMS Import Job
-
cloudkms.googleapis.com/ImportJob
Kubernetes Service
-
k8s.io/Service
Log Bucket
-
logging.googleapis.com/LogBucket
Log Metric
-
logging.googleapis.com/LogMetric
Log Sink
-
logging.googleapis.com/LogSink
Managed Zone
-
dns.googleapis.com/ManagedZone
Namespace
-
k8s.io/Namespace
Network
-
compute.googleapis.com/Network
Network Endpoint Group
-
compute.googleapis.com/NetworkEndpointGroup
Node
-
k8s.io/Node
Node Group
-
compute.googleapis.com/NodeGroup
Node Template
-
compute.googleapis.com/NodeTemplate
Nodepool
container.googleapis.com/NodePool
Organization
-
cloudresourcemanager.googleapis.com/Organization
Organization Policy Service v2
-
orgpolicy.googleapis.com/CustomConstraint
-
orgpolicy.googleapis.com/Policy
Packet Mirroring
-
compute.googleapis.com/PacketMirroring
Pod
-
k8s.io/Pod
Project
-
cloudresourcemanager.googleapis.com/Project
Pubsub Snapshot
-
pubsub.googleapis.com/Snapshot
Pubsub Subscription
-
pubsub.googleapis.com/Subscription
Pubsub Topic
-
pubsub.googleapis.com/Topic
Region Backend Service
-
compute.googleapis.com/RegionBackendService
Region Disk
-
compute.googleapis.com/RegionDisk
Reservation
-
compute.googleapis.com/Reservation
Resource Policy
-
compute.googleapis.com/ResourcePolicy
Router
-
compute.googleapis.com/Router
Role
-
rbac.authorization.k8s.io/Role
Role Binding
-
rbac.authorization.k8s.io/RoleBinding
Service Account Key
-
iam.googleapis.com/ServiceAccountKey
ServiceUsage Service
-
serviceusage.googleapis.com/Service
Snapshot
-
compute.googleapis.com/Snapshot
Spanner Database
-
spanner.googleapis.com/Database
Spanner Instance
-
spanner.googleapis.com/Instance
SQL Instance
-
sqladmin.googleapis.com/Instance
SSL Certificate
-
compute.googleapis.com/SslCertificate
SSL Policy
-
compute.googleapis.com/SslPolicy
Subnetwork
-
compute.googleapis.com/Subnetwork
Target HTTP Proxy
-
compute.googleapis.com/TargetHttpProxy
Target HTTPS Proxy
-
compute.googleapis.com/TargetHttpsProxy
Target Instance
-
compute.googleapis.com/TargetInstance
Target Pool
-
compute.googleapis.com/TargetPool
Target SSL Proxy
-
compute.googleapis.com/TargetSslProxy
Target VPN Gateway
-
compute.googleapis.com/TargetVpnGateway
URL Map
-
compute.googleapis.com/UrlMap
Vertex AI
-
aiplatform.googleapis.com/BatchPredictionJob
-
aiplatform.googleapis.com/CustomJob
-
aiplatform.googleapis.com/DataLabelingJob
-
aiplatform.googleapis.com/Dataset
-
aiplatform.googleapis.com/Endpoint
-
aiplatform.googleapis.com/HyperparameterTuningJob
-
aiplatform.googleapis.com/Model
-
aiplatform.googleapis.com/SpecialistPool
-
aiplatform.googleapis.com/TrainingPipeline
VPC Connector
-
vpcaccess.googleapis.com/Connector
VPN Gateway
-
compute.googleapis.com/VpnGateway
VPN Tunnel
-
compute.googleapis.com/VpnTunnel
¿Qué sigue?
- Para trabajar con módulos personalizados, consulta Usa módulos personalizados para las estadísticas del estado de la seguridad.
- Para codificar las definiciones de módulos personalizadas por tu cuenta, consulta Cómo codificar módulos personalizados para Security Health Analytics.
- Para probar los módulos personalizados, consulta Cómo probar módulos personalizados para las estadísticas del estado de seguridad.