Übersicht über benutzerdefinierte Module für Security Health Analytics

Diese Seite bietet eine Übersicht über die benutzerdefinierten Module von Security Health Analytics.

Mit benutzerdefinierten Modulen können Sie die Erkennungsfunktionen von Security Health Analytics erweitern. Dazu erstellen Sie benutzerdefinierte Detektoren, die die Google Cloud-Ressourcen und -Richtlinien scannen, die Sie mithilfe von Regeln definieren, die Sie zur Prüfung auf Sicherheitslücken, Fehlkonfigurationen oder Complianceverstöße festlegen.

Unabhängig davon, ob Sie die Konfiguration oder Definition eines benutzerdefinierten Moduls in der Google Cloud Console erstellen oder selbst codieren, werden die Ressourcen, die vom Detektor geprüft werden, die vom Detektor ausgewerteten Eigenschaften und die Informationen bestimmt, die der Detektor zurückgibt, wenn eine Sicherheitslücke oder Fehlkonfiguration erkannt wird.

Sie können benutzerdefinierte Module für jede Ressource oder jedes Asset erstellen, das von Security Command Center unterstützt wird.

Wenn Sie benutzerdefinierte Moduldefinitionen selbst codieren, verwenden Sie YAML- und CEL-Ausdrücke (Common Expression Language). Wenn Sie die Google Cloud Console zum Erstellen Ihrer benutzerdefinierten Module verwenden, wird der Großteil der Codierung für Sie erledigt, obwohl Sie die CEL-Ausdrücke selbst codieren müssen.

Ein Beispiel für die Definition benutzerdefinierter Module in einer YAML-Datei finden Sie unter Beispiel für die Definition eines benutzerdefinierten Moduls.

Benutzerdefinierte Module werden neben den integrierten Detektoren von Security Health Analytics sowohl in Echtzeit- als auch bei Batchscans ausgeführt. Im Echtzeitmodus werden Scans jedes Mal ausgelöst, wenn sich die Konfiguration eines Assets ändert. Scans im Batchmodus werden einmal täglich mit allen Detektoren für registrierte Organisationen oder Projekte ausgeführt.

Während eines Scans wird jeder benutzerdefinierte Detektor auf alle übereinstimmenden Assets in den einzelnen Organisationen, Ordnern oder Projekten angewendet, für die er aktiviert ist.

Ergebnisse von benutzerdefinierten Detektoren werden in Security Command Center geschrieben.

Hier finden Sie weitere Informationen:

Integrierte Detektoren und benutzerdefinierte Module im Vergleich

Mit benutzerdefinierten Modulen lassen sich Dinge erkennen, die Sie mit den integrierten Detektoren von Security Health Analytics nicht erkennen können. Die integrierten Detektoren unterstützen jedoch bestimmte Security Command Center-Funktionen, die benutzerdefinierte Module nicht unterstützen.

Unterstützte Funktionen

Benutzerdefinierte Module von Security Health Analytics werden von Angriffspfadsimulationen nicht unterstützt. Daher erhalten von benutzerdefinierten Modulen erzeugte Ergebnisse keine Angriffsrisikobewertungen oder Angriffspfade.

Erkennungslogik im Vergleich

Um ein Beispiel für die Möglichkeiten eines benutzerdefinierten Moduls zu erhalten, vergleichen Sie, was der integrierte Detektor PUBLIC_SQL_INSTANCE prüft, mit den Möglichkeiten eines benutzerdefinierten Moduls.

Der integrierte Detektor PUBLIC_SQL_INSTANCE prüft, ob das Attribut authorizedNetworks von Cloud SQL-Instanzen auf 0.0.0.0/0 festgelegt ist. Ist dies der Fall, gibt der Detektor ein Ergebnis aus, das besagt, dass die Cloud SQL-Instanz öffentlich zugänglich ist, da sie Verbindungen von allen IP-Adressen akzeptiert.

Mit einem benutzerdefinierten Modul können Sie eine komplexere Erkennungslogik implementieren, um Cloud SQL-Instanzen auf Folgendes zu prüfen:

IP-Adressen mit bestimmten Präfixen mithilfe von Platzhaltern
Der Wert des Attributs state, mit dem Sie Instanzen ignorieren können, wenn der Wert auf MAINTENANCE gesetzt ist, oder Ergebnisse auslösen, wenn der Wert ein anderer Wert ist.
Der Wert des Attributs region, mit dem Sie Ergebnisse nur für Instanzen mit öffentlichen IP-Adressen in bestimmten Regionen auslösen können.

Erforderliche IAM-Rollen und -Berechtigungen

IAM-Rollen bestimmen die Aktionen, die Sie mit benutzerdefinierten Security Health Analytics-Modulen ausführen können.

Wichtig:Am oder nach dem 22. Januar 2024 werden die Funktionen für benutzerdefinierte Module in der Google Cloud Console zu einer neuen zugrunde liegenden API migriert.

Wenn Ihr Unternehmen benutzerdefinierte IAM-Rollen zur strikten Steuerung des Zugriffs auf Google Cloud-Ressourcen verwendet, müssen Sie Ihren Sicherheitsadministrator bitten, Ihrer benutzerdefinierten Rolle vor dem Migrationsdatum je nach Ihren Zuständigkeiten die folgenden Berechtigungen hinzuzufügen:

Zum Ansehen oder Testen benutzerdefinierter Erkennungsmodule von Security Health Analytics benötigen Sie die folgenden Berechtigungen, die in der IAM-Rolle Betrachter von SHA-benutzerdefinierte Modulen für Security Center-Verwaltung (roles/securitycentermanagement.shaCustomModulesViewer) enthalten sind:
- securitycentermanagement.securityHealthAnalyticsCustomModules.list
- securitycentermanagement.securityHealthAnalyticsCustomModules.get
- securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list
- securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get
- securitycentermanagement.securityHealthAnalyticsCustomModules.simulate
- securitycentermanagement.securityHealthAnalyticsCustomModules.test
Zum Bearbeiten benutzerdefinierter Erkennungsmodule von Security Health Analytics benötigen Sie zusätzlich zu den vorherigen Berechtigungen auch die folgenden Berechtigungen, die in der IAM-Rolle Bearbeiter von SHA-benutzerdefinierte SHA-Benutzerdefinierte Module des Sicherheitscenters (securitycentermanagement.shaCustomModulesEditor) enthalten sind:
- securitycentermanagement.securityHealthAnalyticsCustomModules.create
- securitycentermanagement.securityHealthAnalyticsCustomModules.update
- securitycentermanagement.securityHealthAnalyticsCustomModules.delete

Wenn Ihr Unternehmen vordefinierte IAM-Rollen verwendet, müssen Sie nichts tun. Die neuen Berechtigungen sind bereits in den vordefinierten Rollen enthalten.

Die folgende Tabelle enthält eine Liste der Berechtigungen für benutzerdefinierte Module von Security Health Analytics und der vordefinierten IAM-Rollen, die diese enthalten. Diese Berechtigungen sind mindestens bis zum 22. Januar 2024 gültig. Danach sind die in der zweiten Tabelle aufgeführten Berechtigungen erforderlich.

Sie können die Google Cloud Console oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.

Berechtigungen vor dem 22. Januar 2024 erforderlich	Rollen
`securitycenter.securityhealthanalyticscustommodules.create securitycenter.securityhealthanalyticscustommodules.update securitycenter.securityhealthanalyticscustommodules.delete`	`roles/securitycenter.settingsEditor roles/securitycenter.admin`
`securitycenter.securityhealthanalyticscustommodules.get securitycenter.securityhealthanalyticscustommodules.list`	`roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin`
`securitycenter.securityhealthanalyticscustommodules.test`	`roles/securitycenter.securityHealthAnalyticsCustomModulesTester roles/securitycenter.adminViewer roles/securitycenter.adminEditor roles/securitycenter.admin`

Die folgende Tabelle enthält eine Liste der benutzerdefinierten Modulberechtigungen für Security Health Analytics, die ab dem 22. Januar 2024 erforderlich sind, sowie die vordefinierten IAM-Rollen, die sie enthalten.

Sie können die Google Cloud Console oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.

Berechtigungen, die ab dem 22. Januar 2024 erforderlich sind Rollen

securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin

securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin

Berechtigungen, die ab dem 22. Januar 2024 erforderlich sind	Rollen
securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test	`roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin`
`securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test`	`roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin`

Weitere Informationen zu IAM-Berechtigungen und -Rollen und deren Erteilung finden Sie unter IAM-Rolle über die Google Cloud Console gewähren.

Benutzerdefinierte Modulkontingente

Benutzerdefinierte Module von Security Health Analytics unterliegen Kontingentlimits.

Das Standardkontingentlimit zum Erstellen benutzerdefinierter Module beträgt 100. Sie können jedoch bei Bedarf eine Kontingenterhöhung anfordern.

API-Aufrufe an benutzerdefinierte Modulmethoden unterliegen ebenfalls Kontingentlimits. Die folgende Tabelle enthält die Standardkontingentlimits für API-Aufrufe von benutzerdefinierten Modulen.

API-Aufruftyp	Limit
CustomModules-Leseanfragen (Get, List)	1.000 API-Aufrufe pro Minute und Organisation
CustomModules-Schreibanfragen (Erstellen, Aktualisieren, Löschen)	60 API-Aufrufe pro Minute pro Organisation
CustomModules-Testanfragen	12 API-Aufrufe pro Minute pro Organisation

Senden Sie für Kontingenterhöhungen eine Anfrage in der Google Cloud Console auf der Seite Kontingente.

Weitere Informationen zu Security Command Center-Kontingenten finden Sie unter Kontingente und Limits.

Unterstützte Ressourcentypen

Address: compute.googleapis.com/Address
Alert Policy: monitoring.googleapis.com/AlertPolicy
AlloyDB for PostgreSQL: alloydb.googleapis.com/Backup; alloydb.googleapis.com/Cluster; alloydb.googleapis.com/Instance
Artifact Registry Repository: artifactregistry.googleapis.com/Repository
Autoscaler: compute.googleapis.com/Autoscaler
Backend Service: compute.googleapis.com/BackendService
BigQuery Table: bigquery.googleapis.com/Table
Bucket: storage.googleapis.com/Bucket
Cloud Function: cloudfunctions.googleapis.com/CloudFunction
Cloud Run: run.googleapis.com/DomainMapping; run.googleapis.com/Execution; run.googleapis.com/Job; run.googleapis.com/Revision; run.googleapis.com/Service
Cluster: container.googleapis.com/Cluster
Cluster Role: rbac.authorization.k8s.io/ClusterRole
Cluster Role Binding: rbac.authorization.k8s.io/ClusterRoleBinding
Commitment: compute.googleapis.com/Commitment
Composer Environment: composer.googleapis.com/Environment
Compute Project: compute.googleapis.com/Project; compute.googleapis.com/SecurityPolicy
CryptoKey: cloudkms.googleapis.com/CryptoKey
CryptoKey Version: cloudkms.googleapis.com/CryptoKeyVersion
Dataflow Job: dataflow.googleapis.com/Job
Dataproc Cluster: dataproc.googleapis.com/Cluster
Dataset: bigquery.googleapis.com/Dataset
Datastream Connection Profile: datastream.googleapis.com/ConnectionProfile
Datastream Private Connection: datastream.googleapis.com/PrivateConnection
Datastream Stream: datastream.googleapis.com/Stream
Disk: compute.googleapis.com/Disk
DNS Policy: dns.googleapis.com/Policy
File Instance: file.googleapis.com/Instance
Firewall: compute.googleapis.com/Firewall
Firewall Policy: compute.googleapis.com/FirewallPolicy
Folder: cloudresourcemanager.googleapis.com/Folder
Forwarding Rule: compute.googleapis.com/ForwardingRule
Global Forwarding Rule: compute.googleapis.com/GlobalForwardingRule
Health Check: compute.googleapis.com/HealthCheck
Hub: gkehub.googleapis.com/Feature; gkehub.googleapis.com/Membership
Image: compute.googleapis.com/Image
Instance: compute.googleapis.com/Instance
Instance Group: compute.googleapis.com/InstanceGroup
Instance Group Manager: compute.googleapis.com/InstanceGroupManagers
Interconnect Attachment: compute.googleapis.com/InterconnectAttachment
Keyring: cloudkms.googleapis.com/KeyRing
KMS Import Job: cloudkms.googleapis.com/ImportJob
Kubernetes Service: k8s.io/Service
Log Bucket: logging.googleapis.com/LogBucket
Log Metric: logging.googleapis.com/LogMetric
Log Sink: logging.googleapis.com/LogSink
Managed Zone: dns.googleapis.com/ManagedZone
Namespace: k8s.io/Namespace
Network: compute.googleapis.com/Network
Network Endpoint Group: compute.googleapis.com/NetworkEndpointGroup
Node: k8s.io/Node
Node Group: compute.googleapis.com/NodeGroup
Node Template: compute.googleapis.com/NodeTemplate
Nodepool: container.googleapis.com/NodePool
Organization: cloudresourcemanager.googleapis.com/Organization
Organization Policy Service v2: orgpolicy.googleapis.com/CustomConstraint; orgpolicy.googleapis.com/Policy
Packet Mirroring: compute.googleapis.com/PacketMirroring
Pod: k8s.io/Pod
Project: cloudresourcemanager.googleapis.com/Project
Pubsub Snapshot: pubsub.googleapis.com/Snapshot
Pubsub Subscription: pubsub.googleapis.com/Subscription
Pubsub Topic: pubsub.googleapis.com/Topic
Region Backend Service: compute.googleapis.com/RegionBackendService
Region Disk: compute.googleapis.com/RegionDisk
Reservation: compute.googleapis.com/Reservation
Resource Policy: compute.googleapis.com/ResourcePolicy
Router: compute.googleapis.com/Router
Role: rbac.authorization.k8s.io/Role
Role Binding: rbac.authorization.k8s.io/RoleBinding
Service Account Key: iam.googleapis.com/ServiceAccountKey
ServiceUsage Service: serviceusage.googleapis.com/Service
Snapshot: compute.googleapis.com/Snapshot
Spanner Database: spanner.googleapis.com/Database
Spanner Instance: spanner.googleapis.com/Instance
SQL Instance: sqladmin.googleapis.com/Instance
SSL Certificate: compute.googleapis.com/SslCertificate
SSL Policy: compute.googleapis.com/SslPolicy
Subnetwork: compute.googleapis.com/Subnetwork
Target HTTP Proxy: compute.googleapis.com/TargetHttpProxy
Target HTTPS Proxy: compute.googleapis.com/TargetHttpsProxy
Target Instance: compute.googleapis.com/TargetInstance
Target Pool: compute.googleapis.com/TargetPool
Target SSL Proxy: compute.googleapis.com/TargetSslProxy
Target VPN Gateway: compute.googleapis.com/TargetVpnGateway
URL Map: compute.googleapis.com/UrlMap
Vertex AI: aiplatform.googleapis.com/BatchPredictionJob; aiplatform.googleapis.com/CustomJob; aiplatform.googleapis.com/DataLabelingJob; aiplatform.googleapis.com/Dataset; aiplatform.googleapis.com/Endpoint; aiplatform.googleapis.com/HyperparameterTuningJob; aiplatform.googleapis.com/Model; aiplatform.googleapis.com/SpecialistPool; aiplatform.googleapis.com/TrainingPipeline
VPC Connector: vpcaccess.googleapis.com/Connector
VPN Gateway: compute.googleapis.com/VpnGateway
VPN Tunnel: compute.googleapis.com/VpnTunnel

Nächste Schritte

Informationen zur Verwendung benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module für Security Health Analytics verwenden.
Wie Sie benutzerdefinierte Moduldefinitionen selbst codieren, erfahren Sie unter Benutzerdefinierte Module für Security Health Analytics codieren.
Informationen zum Testen Ihrer benutzerdefinierten Module finden Sie unter Benutzerdefinierte Module für Security Health Analytics testen.