Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dei moduli personalizzati per Security Health Analytics

Questa pagina fornisce una panoramica dei moduli personalizzati di Security Health Analytics. Per informazioni sui moduli integrati, vedi Rilevatori integrati di Security Health Analytics.

Con i moduli personalizzati, puoi estendere il rilevamento di Security Health Analytics mediante la creazione di rilevatori personalizzati che analizzano a risorse e criteri da te specificati utilizzando le regole che definisci verifica la presenza di vulnerabilità, configurazioni errate o violazioni della conformità.

La configurazione o la definizione di un modulo personalizzato, che tu lo crei nella console Google Cloud o lo codifichi autonomamente, determina le risorse che il rilevatore controlla, le proprietà che valuta e le informazioni che restituisce quando viene rilevata una vulnerabilità o una configurazione errata.

Puoi creare moduli personalizzati per qualsiasi risorsa o asset supportato da Security Command Center.

Se codifichi personalmente le definizioni di moduli personalizzati, puoi usare YAML ed espressioni CEL (Common Expression Language). Se utilizzi Console Google Cloud per creare moduli personalizzati, gran parte delle attività viene fatto automaticamente, sebbene sia necessario programmare le espressioni CEL.

Per un esempio di definizione di modulo personalizzato in un file YAML, vedi Esempio di definizione di modulo personalizzato.

I moduli personalizzati vengono eseguiti insieme ai rilevatori integrati di Security Health Analytics sia nelle analisi in tempo reale che in quelle batch. In modalità in tempo reale, le scansioni vengono attivati ogni volta che la configurazione di un asset viene modificata. Le ricerche in batch vengono eseguite con tutti i rilevatori per le organizzazioni o i progetti registrati una volta al giorno.

Durante una scansione, ogni rilevatore personalizzato viene applicato a tutti gli asset corrispondenti in ogni dell'organizzazione, della cartella o del progetto per cui è abilitato.

I risultati dei rilevatori personalizzati vengono scritti in Security Command Center.

Per ulteriori informazioni, consulta le seguenti risorse:

Confronto tra i rilevatori integrati e i moduli personalizzati

Con i moduli personalizzati puoi rilevare elementi che non riesci a rilevare con il rilevatori integrati di Security Health Analytics; mentre i rilevatori integrati supportano alcune funzionalità di Security Command Center al contrario dei moduli personalizzati.

Funzionalità supportate

I moduli personalizzati di Security Health Analytics non sono supportati dal percorso di attacco in modo che i risultati prodotti dai moduli personalizzati non punteggi di esposizione agli attacchi o percorsi di attacco.

Confronto della logica di rilevamento

Ecco un esempio di alcune delle cose che puoi fare con un modulo personalizzato, confronta le caratteristiche del rilevatore integrato PUBLIC_SQL_INSTANCE quello che puoi fare con un modulo personalizzato.

Il rilevatore integrato PUBLIC_SQL_INSTANCE controlla se la proprietà authorizedNetworks delle istanze Cloud SQL è impostata su 0.0.0.0/0. In questo caso, il rilevatore genera un rilevamento che indica che l'istanza Cloud SQL è aperta al pubblico perché accetta connessioni da tutti gli indirizzi IP.

Con un modulo personalizzato, puoi implementare rilevamenti più complessi logica per controllare le istanze Cloud SQL, ad esempio:

Indirizzi IP con prefissi specifici, utilizzando i caratteri jolly.
Il valore della proprietà state, che puoi utilizzare per ignorare le istanze se il valore è impostato su MAINTENANCE o per attivare i risultati se il valore è diverso.
Il valore della proprietà region, che puoi utilizzare per attivare i risultati solo per le istanze con indirizzi IP pubblici in regioni specifiche.

Ruoli e autorizzazioni IAM richiesti

I ruoli IAM determinano le azioni che puoi eseguire con i moduli personalizzati di Security Health Analytics.

Importante: a partire dal 22 gennaio 2024, la funzionalità dei moduli personalizzati nella console Google Cloud, eseguiranno la migrazione a una nuova API sottostante.

Se la tua azienda utilizza ruoli IAM personalizzati per un controllo rigoroso dell'accesso alle risorse Google Cloud, per continuare a lavorare con moduli personalizzati nella console Google Cloud dopo questa data, dovrai chiedere al team di aggiungere le seguenti autorizzazioni al ruolo personalizzato prima della data della migrazione, in base alle tue responsabilità:

Per visualizzare o testare i moduli di rilevamento personalizzati di Security Health Analytics, devi disporre di quanto segue che sono contenute nel ruolo IAM, Visualizzatore moduli personalizzati SHA gestione Security Center (roles/securitycentermanagement.shaCustomModulesViewer):
- securitycentermanagement.securityHealthAnalyticsCustomModules.list
- securitycentermanagement.securityHealthAnalyticsCustomModules.get
- securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list
- securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get
- securitycentermanagement.securityHealthAnalyticsCustomModules.simulate
- securitycentermanagement.securityHealthAnalyticsCustomModules.test
Per modificare i moduli di rilevamento personalizzati di Security Health Analytics, oltre ai autorizzazioni precedenti, è necessario anche le seguenti autorizzazioni, contenute nel ruolo IAM, Editor moduli personalizzati SHA gestione Security Center (securitycentermanagement.shaCustomModulesEditor):
- securitycentermanagement.securityHealthAnalyticsCustomModules.create
- securitycentermanagement.securityHealthAnalyticsCustomModules.update
- securitycentermanagement.securityHealthAnalyticsCustomModules.delete

Se la tua attività utilizza ruoli IAM predefiniti, non devi fare nulla. Le nuove autorizzazioni sono già incluse nei ruoli predefiniti.

La tabella seguente contiene un elenco del modulo personalizzato di Security Health Analytics autorizzazioni e ruoli IAM predefiniti che includono che li rappresentano. Queste autorizzazioni sono valide fino al 22 gennaio 2024. Dopo questa data, saranno richieste le autorizzazioni elencate nella seconda tabella di seguito.

Puoi utilizzare la console Google Cloud o l'API Security Command Center per presentare domanda di questi ruoli a livello di organizzazione, cartella o progetto.

Autorizzazioni richieste prima del 22 gennaio 2024	Ruoli
`securitycenter.securityhealthanalyticscustommodules.create securitycenter.securityhealthanalyticscustommodules.update securitycenter.securityhealthanalyticscustommodules.delete`	`roles/securitycenter.settingsEditor roles/securitycenter.admin`
`securitycenter.securityhealthanalyticscustommodules.get securitycenter.securityhealthanalyticscustommodules.list`	`roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin`
`securitycenter.securityhealthanalyticscustommodules.test`	`roles/securitycenter.securityHealthAnalyticsCustomModulesTester roles/securitycenter.adminViewer roles/securitycenter.adminEditor roles/securitycenter.admin`

La tabella seguente contiene un elenco delle autorizzazioni dei moduli personalizzati di Security Health Analytics che saranno richieste a partire dal 22 gennaio 2024, nonché i ruoli IAM predefiniti che le includono.

Puoi utilizzare la console Google Cloud o l'API Security Command Center per presentare domanda di questi ruoli a livello di organizzazione, cartella o progetto.

Autorizzazioni richieste a partire dal 22 gennaio 2024 Ruoli

securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin

securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin

Autorizzazioni richieste a partire dal 22 gennaio 2024	Ruoli
securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test	`roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin`
`securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test`	`roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin`

Per saperne di più sui ruoli e sulle autorizzazioni IAM e su come concederli, consulta Concedere un ruolo IAM utilizzando la console Google Cloud.

Quote per i moduli personalizzati

I moduli personalizzati di Security Health Analytics sono soggetti a limiti di quota.

Il limite di quota predefinito per la creazione di moduli personalizzati è 100, ma può richiedere un aumento della quota, se necessario.

Anche le chiamate API ai metodi dei moduli personalizzati sono soggette a limiti di quota. La la seguente tabella mostra i limiti di quota predefiniti per le chiamate API dei moduli personalizzati.

Tipo di chiamata API	Limite
Richieste di lettura di CustomModules (Get, List)	1000 chiamate API al minuto per organizzazione
Richieste di scrittura CustomModules (Crea, Aggiorna, Elimina)	60 chiamate API al minuto per organizzazione
Richieste di test di CustomModules	12 chiamate API al minuto per organizzazione

Per gli aumenti delle quote, invia una richiesta nella pagina Quote della console Google Cloud.

Per saperne di più sulle quote di Security Command Center, consulta Quote e limiti.

Tipi di risorse supportati

Address: compute.googleapis.com/Address
Alert Policy: monitoring.googleapis.com/AlertPolicy
AlloyDB for PostgreSQL: alloydb.googleapis.com/Backup; alloydb.googleapis.com/Cluster; alloydb.googleapis.com/Instance
Artifact Registry Repository: artifactregistry.googleapis.com/Repository
Autoscaler: compute.googleapis.com/Autoscaler
Backend Bucket: compute.googleapis.com/BackendBucket
Backend Service: compute.googleapis.com/BackendService
BigQuery Data Transfer Service: bigquerydatatransfer.googleapis.com/TransferConfig
BigQuery Table: bigquery.googleapis.com/Table
Bucket: storage.googleapis.com/Bucket
Cloud Data Fusion: datafusion.googleapis.com/Instance
Cloud Function: cloudfunctions.googleapis.com/CloudFunction
Cloud Run: run.googleapis.com/DomainMapping; run.googleapis.com/Execution; run.googleapis.com/Job; run.googleapis.com/Revision; run.googleapis.com/Service
Cluster: container.googleapis.com/Cluster
Cluster Role: rbac.authorization.k8s.io/ClusterRole
Cluster Role Binding: rbac.authorization.k8s.io/ClusterRoleBinding
Commitment: compute.googleapis.com/Commitment
Composer Environment: composer.googleapis.com/Environment
Compute Project: compute.googleapis.com/Project; compute.googleapis.com/SecurityPolicy
CryptoKey: cloudkms.googleapis.com/CryptoKey
CryptoKey Version: cloudkms.googleapis.com/CryptoKeyVersion
Dataflow Job: dataflow.googleapis.com/Job
Dataproc Cluster: dataproc.googleapis.com/Cluster
Dataset: bigquery.googleapis.com/Dataset
Datastream Connection Profile: datastream.googleapis.com/ConnectionProfile
Datastream Private Connection: datastream.googleapis.com/PrivateConnection
Datastream Stream: datastream.googleapis.com/Stream
Disk: compute.googleapis.com/Disk
DNS Policy: dns.googleapis.com/Policy
File Instance: file.googleapis.com/Instance
Firewall: compute.googleapis.com/Firewall
Firewall Policy: compute.googleapis.com/FirewallPolicy
Folder: cloudresourcemanager.googleapis.com/Folder
Forwarding Rule: compute.googleapis.com/ForwardingRule
Global Forwarding Rule: compute.googleapis.com/GlobalForwardingRule
Health Check: compute.googleapis.com/HealthCheck
Hub: gkehub.googleapis.com/Feature; gkehub.googleapis.com/Membership
Image: compute.googleapis.com/Image
Instance: compute.googleapis.com/Instance
Instance Group: compute.googleapis.com/InstanceGroup
Instance Group Manager: compute.googleapis.com/InstanceGroupManagers
Interconnect Attachment: compute.googleapis.com/InterconnectAttachment
Keyring: cloudkms.googleapis.com/KeyRing
KMS Import Job: cloudkms.googleapis.com/ImportJob
Kubernetes Service: k8s.io/Service
Log Bucket: logging.googleapis.com/LogBucket
Log Metric: logging.googleapis.com/LogMetric
Log Sink: logging.googleapis.com/LogSink
Managed Zone: dns.googleapis.com/ManagedZone
Namespace: k8s.io/Namespace
Network: compute.googleapis.com/Network
Network Endpoint Group: compute.googleapis.com/NetworkEndpointGroup
Node: k8s.io/Node
Node Group: compute.googleapis.com/NodeGroup
Node Template: compute.googleapis.com/NodeTemplate
Nodepool: container.googleapis.com/NodePool
Organization: cloudresourcemanager.googleapis.com/Organization
Organization Policy Service v2: orgpolicy.googleapis.com/CustomConstraint; orgpolicy.googleapis.com/Policy
Packet Mirroring: compute.googleapis.com/PacketMirroring
Pod: k8s.io/Pod
Project: cloudresourcemanager.googleapis.com/Project
Pubsub Snapshot: pubsub.googleapis.com/Snapshot
Pubsub Subscription: pubsub.googleapis.com/Subscription
Pubsub Topic: pubsub.googleapis.com/Topic
Region Backend Service: compute.googleapis.com/RegionBackendService
Region Disk: compute.googleapis.com/RegionDisk
Reservation: compute.googleapis.com/Reservation
Resource Policy: compute.googleapis.com/ResourcePolicy
Router: compute.googleapis.com/Router
Role: rbac.authorization.k8s.io/Role
Role Binding: rbac.authorization.k8s.io/RoleBinding
Secret Manager: secretmanager.googleapis.com/Secret
Service Account Key: iam.googleapis.com/ServiceAccountKey
ServiceUsage Service: serviceusage.googleapis.com/Service
Snapshot: compute.googleapis.com/Snapshot
Spanner Database: spanner.googleapis.com/Database
Spanner Instance: spanner.googleapis.com/Instance
SQL Instance: sqladmin.googleapis.com/Instance
SSL Certificate: compute.googleapis.com/SslCertificate
SSL Policy: compute.googleapis.com/SslPolicy
Subnetwork: compute.googleapis.com/Subnetwork
Target HTTP Proxy: compute.googleapis.com/TargetHttpProxy
Target HTTPS Proxy: compute.googleapis.com/TargetHttpsProxy
Target Instance: compute.googleapis.com/TargetInstance
Target Pool: compute.googleapis.com/TargetPool
Target SSL Proxy: compute.googleapis.com/TargetSslProxy
Target VPN Gateway: compute.googleapis.com/TargetVpnGateway
URL Map: compute.googleapis.com/UrlMap
Vertex AI: aiplatform.googleapis.com/BatchPredictionJob; aiplatform.googleapis.com/CustomJob; aiplatform.googleapis.com/Dataset; aiplatform.googleapis.com/Endpoint; aiplatform.googleapis.com/HyperparameterTuningJob; aiplatform.googleapis.com/Model; aiplatform.googleapis.com/SpecialistPool; aiplatform.googleapis.com/TrainingPipeline
VPC Connector: vpcaccess.googleapis.com/Connector
VPN Gateway: compute.googleapis.com/VpnGateway
VPN Tunnel: compute.googleapis.com/VpnTunnel

Passaggi successivi

Per utilizzare i moduli personalizzati, consulta Utilizzare i moduli personalizzati per Security Health Analytics.
Per codificare le definizioni dei moduli personalizzati, consulta Codificare i moduli personalizzati per Security Health Analytics.
Per testare i moduli personalizzati, vedi Testa i moduli personalizzati per Security Health Analytics.