Ringkasan modul kustom untuk Security Health Analytics

Halaman ini menyediakan ringkasan modul kustom Security Health Analytics.

Dengan modul kustom, Anda dapat memperluas kemampuan deteksi Security Health Analytics dengan membuat detektor kustom yang memindai resource dan kebijakan Google Cloud yang Anda tentukan menggunakan aturan yang Anda tentukan untuk memeriksa kerentanan, kesalahan konfigurasi, atau pelanggaran kepatuhan.

Konfigurasi atau definisi modul kustom, baik yang Anda buat di Google Cloud Console atau membuat kodenya sendiri, menentukan resource yang diperiksa detektor, properti yang dievaluasi oleh detektor, dan informasi yang ditampilkan detektor saat kerentanan atau kesalahan konfigurasi terdeteksi.

Anda dapat membuat modul kustom untuk resource atau aset apa pun yang didukung Security Command Center.

Jika mengkodekan definisi modul kustom sendiri, Anda menggunakan ekspresi YAML dan Common Expression Language (CEL). Jika Anda menggunakan konsol Google Cloud untuk membuat modul kustom, sebagian besar coding akan dilakukan untuk Anda, meskipun Anda perlu membuat kode ekspresi CEL.

Untuk contoh definisi modul kustom dalam file YAML, lihat Contoh definisi modul kustom.

Modul kustom berjalan bersama detektor bawaan Security Health Analytics dalam pemindaian real-time dan secara batch. Dalam mode real-time, pemindaian dipicu setiap kali konfigurasi aset berubah. Pemindaian mode batch dijalankan dengan semua detektor untuk organisasi atau project terdaftar sekali sehari.

Selama pemindaian, setiap detektor kustom diterapkan ke semua aset yang cocok di setiap organisasi, folder, atau project tempat detektor tersebut diaktifkan.

Temuan dari detektor kustom ditulis ke Security Command Center.

Untuk informasi selengkapnya, lihat referensi berikut:

Membandingkan pendeteksi bawaan dan modul kustom

Anda dapat mendeteksi berbagai hal dengan modul kustom yang tidak dapat dideteksi dengan detektor Security Health Analytics bawaan; tetapi, detektor bawaan mendukung fitur Security Command Center tertentu yang tidak dapat dideteksi oleh modul kustom.

Dukungan fitur

Modul kustom Security Health Analytics tidak didukung oleh simulasi jalur serangan, sehingga temuan yang dihasilkan oleh modul kustom tidak mendapatkan skor eksposur serangan atau jalur serangan.

Membandingkan logika deteksi

Sebagai contoh beberapa hal yang dapat Anda lakukan dengan modul kustom, bandingkan hal yang diperiksa oleh detektor bawaan PUBLIC_SQL_INSTANCE dengan hal yang dapat Anda lakukan dengan modul kustom.

Detektor bawaan PUBLIC_SQL_INSTANCE memeriksa apakah properti authorizedNetworks instance Cloud SQL ditetapkan ke 0.0.0.0/0. Jika ya, detektor akan mengeluarkan temuan yang menyatakan bahwa instance Cloud SQL terbuka untuk publik, karena instance tersebut menerima koneksi dari semua alamat IP.

Dengan modul kustom, Anda dapat menerapkan logika deteksi yang lebih kompleks untuk memeriksa instance Cloud SQL untuk hal-hal seperti:

Alamat IP dengan awalan tertentu, menggunakan karakter pengganti.
Nilai properti state, yang dapat Anda gunakan untuk mengabaikan instance jika nilainya ditetapkan ke MAINTENANCE atau memicu temuan jika nilainya adalah hal lain.
Nilai properti region, yang dapat Anda gunakan untuk memicu temuan hanya untuk instance dengan alamat IP publik di region tertentu.

Peran dan izin IAM yang diperlukan

Peran IAM menentukan tindakan yang dapat Anda lakukan dengan modul kustom Security Health Analytics.

Penting: Pada atau setelah 22 Januari 2024, fungsi modul kustom di Konsol Google Cloud akan dimigrasikan ke API dasar yang baru.

Jika bisnis Anda menggunakan peran IAM khusus untuk kontrol akses yang ketat ke resource Google Cloud, agar dapat terus bekerja dengan modul khusus di Konsol Google Cloud setelah tanggal tersebut, Anda perlu meminta administrator keamanan untuk menambahkan izin berikut ke peran khusus Anda sebelum tanggal migrasi, yang sesuai dengan tanggung jawab Anda:

Untuk melihat atau menguji modul deteksi kustom Security Health Analytics, Anda memerlukan izin berikut, yang dimuat dalam peran IAM Security Center Management SHA Custom Modules Viewer (roles/securitycentermanagement.shaCustomModulesViewer):
- securitycentermanagement.securityHealthAnalyticsCustomModules.list
- securitycentermanagement.securityHealthAnalyticsCustomModules.get
- securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list
- securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get
- securitycentermanagement.securityHealthAnalyticsCustomModules.simulate
- securitycentermanagement.securityHealthAnalyticsCustomModules.test
Untuk mengedit modul deteksi kustom Security Health Analytics, selain izin sebelumnya, Anda juga memerlukan izin berikut, yang dimuat dalam peran IAM Security Center Management SHA Custom Modules Editor (securitycentermanagement.shaCustomModulesEditor):
- securitycentermanagement.securityHealthAnalyticsCustomModules.create
- securitycentermanagement.securityHealthAnalyticsCustomModules.update
- securitycentermanagement.securityHealthAnalyticsCustomModules.delete

Jika bisnis Anda menggunakan peran IAM yang telah ditetapkan, Anda tidak perlu melakukan apa pun. Izin baru ini sudah disertakan dalam peran yang telah ditetapkan.

Tabel berikut berisi daftar izin modul kustom Security Health Analytics dan peran IAM bawaan yang mencakupnya. Izin ini berlaku hingga setidaknya 22 Januari 2024. Setelah tanggal tersebut, izin yang tercantum dalam tabel kedua berikut akan diperlukan.

Anda dapat menggunakan konsol Google Cloud atau Security Command Center API untuk menerapkan peran ini di level organisasi, folder, atau project.

Izin diperlukan sebelum 22 Januari 2024	Peran
`securitycenter.securityhealthanalyticscustommodules.create securitycenter.securityhealthanalyticscustommodules.update securitycenter.securityhealthanalyticscustommodules.delete`	`roles/securitycenter.settingsEditor roles/securitycenter.admin`
`securitycenter.securityhealthanalyticscustommodules.get securitycenter.securityhealthanalyticscustommodules.list`	`roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin`
`securitycenter.securityhealthanalyticscustommodules.test`	`roles/securitycenter.securityHealthAnalyticsCustomModulesTester roles/securitycenter.adminViewer roles/securitycenter.adminEditor roles/securitycenter.admin`

Tabel berikut berisi daftar izin modul kustom Security Health Analytics yang akan diperlukan pada atau setelah 22 Januari 2024, serta peran IAM yang telah ditetapkan yang mencakupnya.

Anda dapat menggunakan konsol Google Cloud atau Security Command Center API untuk menerapkan peran ini di level organisasi, folder, atau project.

Izin diperlukan pada atau setelah 22 Januari 2024 Peran

securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin

securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin

Izin diperlukan pada atau setelah 22 Januari 2024	Peran
securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test	`roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin`
`securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test`	`roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin`

Untuk mengetahui informasi selengkapnya tentang izin dan peran IAM serta cara memberikannya, lihat Memberikan peran IAM dengan menggunakan Konsol Google Cloud.

Kuota modul kustom

Modul kustom Security Health Analytics memiliki batas kuota.

Batas kuota default untuk pembuatan modul kustom adalah 100, tetapi Anda dapat meminta penambahan kuota, jika perlu.

Panggilan API ke metode modul kustom juga tunduk pada batas kuota. Tabel berikut menunjukkan batas kuota default untuk panggilan API modul kustom.

Jenis Panggilan API	Limit
Permintaan Baca CustomModules (Get, List)	1.000 panggilan API per menit, per organisasi
Permintaan Tulis CustomModules (Membuat, Memperbarui, Menghapus)	60 panggilan API per menit, per organisasi
Permintaan Pengujian CustomModules	12 panggilan API per menit, per organisasi

Untuk meningkatkan kuota, kirimkan permintaan di Konsol Google Cloud di halaman Quotas.

Untuk mengetahui informasi selengkapnya tentang kuota Security Command Center, lihat Kuota dan batas.

Jenis resource yang didukung

Address: compute.googleapis.com/Address
Alert Policy: monitoring.googleapis.com/AlertPolicy
AlloyDB for PostgreSQL: alloydb.googleapis.com/Backup; alloydb.googleapis.com/Cluster; alloydb.googleapis.com/Instance
Artifact Registry Repository: artifactregistry.googleapis.com/Repository
Autoscaler: compute.googleapis.com/Autoscaler
Backend Service: compute.googleapis.com/BackendService
BigQuery Table: bigquery.googleapis.com/Table
Bucket: storage.googleapis.com/Bucket
Cloud Function: cloudfunctions.googleapis.com/CloudFunction
Cloud Run: run.googleapis.com/DomainMapping; run.googleapis.com/Execution; run.googleapis.com/Job; run.googleapis.com/Revision; run.googleapis.com/Service
Cluster: container.googleapis.com/Cluster
Cluster Role: rbac.authorization.k8s.io/ClusterRole
Cluster Role Binding: rbac.authorization.k8s.io/ClusterRoleBinding
Commitment: compute.googleapis.com/Commitment
Composer Environment: composer.googleapis.com/Environment
Compute Project: compute.googleapis.com/Project; compute.googleapis.com/SecurityPolicy
CryptoKey: cloudkms.googleapis.com/CryptoKey
CryptoKey Version: cloudkms.googleapis.com/CryptoKeyVersion
Dataflow Job: dataflow.googleapis.com/Job
Dataproc Cluster: dataproc.googleapis.com/Cluster
Dataset: bigquery.googleapis.com/Dataset
Datastream Connection Profile: datastream.googleapis.com/ConnectionProfile
Datastream Private Connection: datastream.googleapis.com/PrivateConnection
Datastream Stream: datastream.googleapis.com/Stream
Disk: compute.googleapis.com/Disk
DNS Policy: dns.googleapis.com/Policy
File Instance: file.googleapis.com/Instance
Firewall: compute.googleapis.com/Firewall
Firewall Policy: compute.googleapis.com/FirewallPolicy
Folder: cloudresourcemanager.googleapis.com/Folder
Forwarding Rule: compute.googleapis.com/ForwardingRule
Global Forwarding Rule: compute.googleapis.com/GlobalForwardingRule
Health Check: compute.googleapis.com/HealthCheck
Hub: gkehub.googleapis.com/Feature; gkehub.googleapis.com/Membership
Image: compute.googleapis.com/Image
Instance: compute.googleapis.com/Instance
Instance Group: compute.googleapis.com/InstanceGroup
Instance Group Manager: compute.googleapis.com/InstanceGroupManagers
Interconnect Attachment: compute.googleapis.com/InterconnectAttachment
Keyring: cloudkms.googleapis.com/KeyRing
KMS Import Job: cloudkms.googleapis.com/ImportJob
Kubernetes Service: k8s.io/Service
Log Bucket: logging.googleapis.com/LogBucket
Log Metric: logging.googleapis.com/LogMetric
Log Sink: logging.googleapis.com/LogSink
Managed Zone: dns.googleapis.com/ManagedZone
Namespace: k8s.io/Namespace
Network: compute.googleapis.com/Network
Network Endpoint Group: compute.googleapis.com/NetworkEndpointGroup
Node: k8s.io/Node
Node Group: compute.googleapis.com/NodeGroup
Node Template: compute.googleapis.com/NodeTemplate
Nodepool: container.googleapis.com/NodePool
Organization: cloudresourcemanager.googleapis.com/Organization
Organization Policy Service v2: orgpolicy.googleapis.com/CustomConstraint; orgpolicy.googleapis.com/Policy
Packet Mirroring: compute.googleapis.com/PacketMirroring
Pod: k8s.io/Pod
Project: cloudresourcemanager.googleapis.com/Project
Pubsub Snapshot: pubsub.googleapis.com/Snapshot
Pubsub Subscription: pubsub.googleapis.com/Subscription
Pubsub Topic: pubsub.googleapis.com/Topic
Region Backend Service: compute.googleapis.com/RegionBackendService
Region Disk: compute.googleapis.com/RegionDisk
Reservation: compute.googleapis.com/Reservation
Resource Policy: compute.googleapis.com/ResourcePolicy
Router: compute.googleapis.com/Router
Role: rbac.authorization.k8s.io/Role
Role Binding: rbac.authorization.k8s.io/RoleBinding
Service Account Key: iam.googleapis.com/ServiceAccountKey
ServiceUsage Service: serviceusage.googleapis.com/Service
Snapshot: compute.googleapis.com/Snapshot
Spanner Database: spanner.googleapis.com/Database
Spanner Instance: spanner.googleapis.com/Instance
SQL Instance: sqladmin.googleapis.com/Instance
SSL Certificate: compute.googleapis.com/SslCertificate
SSL Policy: compute.googleapis.com/SslPolicy
Subnetwork: compute.googleapis.com/Subnetwork
Target HTTP Proxy: compute.googleapis.com/TargetHttpProxy
Target HTTPS Proxy: compute.googleapis.com/TargetHttpsProxy
Target Instance: compute.googleapis.com/TargetInstance
Target Pool: compute.googleapis.com/TargetPool
Target SSL Proxy: compute.googleapis.com/TargetSslProxy
Target VPN Gateway: compute.googleapis.com/TargetVpnGateway
URL Map: compute.googleapis.com/UrlMap
Vertex AI: aiplatform.googleapis.com/BatchPredictionJob; aiplatform.googleapis.com/CustomJob; aiplatform.googleapis.com/DataLabelingJob; aiplatform.googleapis.com/Dataset; aiplatform.googleapis.com/Endpoint; aiplatform.googleapis.com/HyperparameterTuningJob; aiplatform.googleapis.com/Model; aiplatform.googleapis.com/SpecialistPool; aiplatform.googleapis.com/TrainingPipeline
VPC Connector: vpcaccess.googleapis.com/Connector
VPN Gateway: compute.googleapis.com/VpnGateway
VPN Tunnel: compute.googleapis.com/VpnTunnel

Langkah selanjutnya

Untuk bekerja dengan modul kustom, lihat Menggunakan modul kustom untuk Analisis Kondisi Keamanan.
Untuk membuat kode definisi modul kustom sendiri, lihat Modul kustom kode untuk Security Health Analytics.
Untuk menguji modul kustom, lihat Menguji modul kustom untuk Security Health Analytics.