Benutzerdefinierte Module für Event Threat Detection erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie benutzerdefinierte Module für Event Threat Detection erstellen und verwalten.

Hinweise

In diesem Abschnitt werden die Anforderungen für die Verwendung benutzerdefinierter Module für Event Threat Detection beschrieben.

Security Command Center Premium und Event Threat Detection

Damit Sie die benutzerdefinierten Event Threat Detection-Module verwenden können, muss Event Threat Detection aktiviert sein. Informationen zum Aktivieren von Event Threat Detection finden Sie unter Integrierten Dienst aktivieren oder deaktivieren.

IAM-Rollen

IAM-Rollen bestimmen die Aktionen, die Sie mit benutzerdefinierten Event Threat Detection-Modulen ausführen können.

Die folgende Tabelle enthält eine Liste der benutzerdefinierten Modulberechtigungen für Event Threat Detection und die vordefinierten IAM-Rollen, die sie enthalten. Diese Berechtigungen sind mindestens bis zum 22. Januar 2024 gültig. Danach sind die in der zweiten Tabelle aufgeführten Berechtigungen erforderlich.

Sie können die Google Cloud Console oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.

Berechtigungen vor dem 22. Januar 2024 erforderlich Rolle
securitycenter.eventthreatdetectioncustommodules.create
securitycenter.eventthreatdetectioncustommodules.update
securitycenter.eventthreatdetectioncustommodules.delete		 roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.eventthreatdetectioncustommodules.get
securitycenter.eventthreatdetectioncustommodules.list		 roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin

Die folgende Tabelle enthält eine Liste der benutzerdefinierten Modulberechtigungen für Event Threat Detection, die ab dem 22. Januar 2024 erforderlich sind, sowie die vordefinierten IAM-Rollen, die sie enthalten.

Sie können die Google Cloud Console oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.

Nach dem 22. Januar 2024 erforderliche Berechtigungen Rolle
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete		 roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate		 roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Wenn im Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator. Rufen Sie eine der folgenden Seiten auf, je nachdem, auf welcher Ebene Sie Security Command Center aktiviert haben:

Erforderliche Logs

Achten Sie darauf, dass die relevanten Logs für Ihre Organisation, Ordner und Projekte aktiviert sind. Informationen dazu, welche Logs für die einzelnen benutzerdefinierten Modultypen erforderlich sind, finden Sie in der Tabelle unter Benutzerdefinierte Module und Vorlagen.

Logs von Quellen außerhalb von Google Cloud werden nicht unterstützt.

Benutzerdefinierte Modulebenen

In diesem Dokument werden die folgenden Begriffe verwendet, um die Ebene zu beschreiben, auf der ein benutzerdefiniertes Modul erstellt wurde:

Wohnmodul
Das Modul wurde in der aktuellen Ansicht oder dem aktuellen Bereich erstellt. Wenn Sie sich beispielsweise in der Organisationsansicht der Google Cloud Console befinden, sind die Wohnmodule die Module, die auf Organisationsebene erstellt wurden.
Übernommenes Modul
Das Modul wurde in einer übergeordneten Ansicht oder einem übergeordneten Bereich erstellt. Beispielsweise ist ein auf Organisationsebene erstelltes Modul ein übernommenes Modul auf jeder Ordner- oder Projektebene.
Untergeordnetes Modul
Das Modul wurde in einer untergeordneten Ansicht oder in einem untergeordneten Bereich erstellt. Beispielsweise ist ein Modul, das auf Ordner- oder Projektebene erstellt wurde, ein untergeordnetes Modul auf Organisationsebene.

Benutzerdefinierte Module erstellen

Sie können benutzerdefinierte Module für Event Threat Detection über die Google Cloud Console erstellen oder eine JSON-Vorlage ändern und über die gcloud CLI senden. Sie benötigen nur dann JSON-Vorlagen, wenn Sie benutzerdefinierte Module über die gcloud CLI erstellen möchten.

Eine Liste der unterstützten Modulvorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.

Vorlagenstruktur

Vorlagen definieren die Parameter, mit denen benutzerdefinierte Module Bedrohungen in Ihren Logs identifizieren. Vorlagen werden in JSON geschrieben und haben eine ähnliche Struktur wie die von Security Command Center generierten Ergebnisse. Sie müssen nur dann eine JSON-Vorlage konfigurieren, wenn Sie die gcloud CLI zum Erstellen eines benutzerdefinierten Moduls verwenden möchten.

Jede Vorlage enthält anpassbare Felder:

  • severity: der Schweregrad oder das Risikoniveau, den Sie Ergebnissen dieses Typs, LOW, MEDIUM, HIGH oder CRITICAL zuweisen möchten.
  • description: die Beschreibung des benutzerdefinierten Moduls.
  • recommendation: empfohlene Maßnahmen zum Adressieren von Ergebnissen, die vom benutzerdefinierten Modul generiert wurden.
  • Erkennungsparameter: die Variablen zum Auswerten von Logs und Auslösen von Ergebnissen. Die Erkennungsparameter unterscheiden sich je nach Modul, umfassen aber einen oder mehrere der folgenden Parameter:
    • domains: zu beobachtende Webdomains
    • ips: IP-Adressen, nach denen gesucht werden soll
    • permissions: Berechtigungen, nach denen beobachtet werden soll
    • regions: Regionen, in denen neue Compute Engine-Instanzen zulässig sind
    • roles: Rollen, auf die gewartet werden soll
    • accounts: zu beobachtende Konten
    • Parameter, die die zulässigen Compute Engine-Instanztypen definieren, z. B. series, cpus und ram_mb.
    • Reguläre Ausdrücke, auf die Attribute geprüft werden sollen, z. B. caller_pattern und resource_pattern.

Das folgende Codebeispiel ist eine JSON-Vorlage für Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Im vorherigen Beispiel generiert das benutzerdefinierte Modul ein Ergebnis mit niedrigem Schweregrad, wenn Ihre Logs auf eine Ressource hinweisen, die mit der IP-Adresse 192.0.2.1 oder 192.0.2.0/24 verbunden ist.

Modulvorlage ändern

Um Module zu erstellen, wählen Sie eine Modulvorlage aus und ändern sie.

Wenn Sie die Google Cloud CLI zum Erstellen Ihres benutzerdefinierten Moduls verwenden möchten, müssen Sie diese Aufgabe ausführen.

Wenn Sie die Google Cloud Console zum Erstellen Ihres benutzerdefinierten Moduls verwenden möchten, überspringen Sie diese Aufgabe. Mit den Optionen auf dem Bildschirm ändern Sie die Parameter der Vorlage.

  1. Wählen Sie unter Benutzerdefinierte Module und Vorlagen eine Vorlage aus.
  2. Kopieren Sie den Code in eine lokale Datei.
  3. Aktualisieren Sie die Parameter, die Sie zum Auswerten der Logs verwenden möchten.
  4. Speichern Sie die Datei als JSON-Datei.
  5. Erstellen Sie ein benutzerdefiniertes Modul über die gcloud CLI mithilfe der JSON-Datei.

Benutzerdefiniertes Modul erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein benutzerdefiniertes Modul über die Google Cloud Console und die gcloud CLI erstellen. Jedes benutzerdefinierte Event Threat Detection-Modul hat eine Größenbeschränkung von 6 MB.

So erstellen Sie ein benutzerdefiniertes Modul:

Console

  1. Sehen Sie sich die Module des Dienstes Event Threat Detection an. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Klicken Sie auf Modul erstellen.
  3. Klicken Sie auf die Modulvorlage, die Sie verwenden möchten.
  4. Klicken Sie auf Auswählen.
  5. Geben Sie unter Modulname einen Anzeigenamen für die neue Vorlage ein. Der Name darf nicht länger als 128 Zeichen sein und darf nur alphanumerische Zeichen und Unterstriche enthalten, z. B. example_custom_module.
  6. Wählen Sie die angeforderten Parameterwerte aus oder fügen Sie sie hinzu. Die Parameter unterscheiden sich je nach Modul. Wenn Sie beispielsweise die Modulvorlage Configurable allowed Compute Engine region ausgewählt haben, wählen Sie eine oder mehrere Regionen aus. Alternativ können Sie die Liste im JSON-Format bereitstellen.
  7. Klicken Sie auf Next (Weiter).
  8. Geben Sie unter Schweregrad die Wichtigkeitsstufe ein, die Sie den vom neuen benutzerdefinierten Modul generierten Ergebnissen zuweisen möchten.
  9. Geben Sie unter Beschreibung eine Beschreibung für das neue benutzerdefinierte Modul ein.
  10. Geben Sie unter Nächste Schritte die empfohlenen Maßnahmen im Nur-Text-Format ein. Absatzumbrüche, die Sie hinzufügen, werden ignoriert.
  11. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie eine JSON-Datei, die die Definition des benutzerdefinierten Moduls enthält. Orientieren Sie sich dabei an den Vorlagen unter Benutzerdefinierte Module und Vorlagen.

  2. Erstellen Sie das benutzerdefinierte Modul. Senden Sie dazu die JSON-Datei in einem gcloud-Befehl:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ersetzen Sie Folgendes:

  • RESOURCE_FLAG: Bereich der übergeordneten Ressource, in der das benutzerdefinierte Modul erstellt wird; entweder organization, folder oder project.
  • RESOURCE_ID: die Ressourcen-ID der übergeordneten Ressource, also die Organisations-ID, Ordner-ID oder Projekt-ID.
  • DISPLAY_NAME: ein Anzeigename für die neue Vorlage. Der Name darf nicht länger als 128 Zeichen sein und darf nur alphanumerische Zeichen und Unterstriche enthalten.
  • MODULE_TYPE: der Typ des benutzerdefinierten Moduls, den Sie erstellen möchten, z. B. CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
  • PATH_TO_JSON_FILE: Die JSON-Datei, die die JSON-Definition des benutzerdefinierten Moduls basierend auf der Modulvorlage enthält.

Ihr benutzerdefiniertes Modul wird erstellt und beginnt mit dem Scannen. Informationen zum Löschen eines Moduls finden Sie unter Benutzerdefiniertes Modul löschen.

Der Kategoriename des benutzerdefinierten Moduls enthält die Ergebniskategorie des Modultyps und den von Ihnen festgelegten Anzeigenamen des Moduls. Der Kategoriename eines benutzerdefinierten Moduls kann beispielsweise Unexpected Compute Engine Region: example_custom_module sein. In der Google Cloud Console werden Unterstriche als Leerzeichen angezeigt. In Ihren Abfragen müssen Sie jedoch Unterstriche verwenden.

Kontingente regeln die Nutzung benutzerdefinierter Module für Event Threat Detection.

Latenz bei der Erkennung

Die Erkennungslatenz für Event Threat Detection und alle anderen integrierten Security Command Center-Dienste wird unter Scanlatenz beschrieben.

Ergebnisse prüfen

Von benutzerdefinierten Modulen generierte Ergebnisse können in der Google Cloud Console oder über die gcloud CLI aufgerufen werden.

Console

So rufen Sie die Ergebnisse in der Google Cloud Console auf:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zu Ergebnissen

  2. Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus.

  3. Scrollen Sie im Bereich Schnellfilter nach unten zu Anzeigename der Quelle und wählen Sie Benutzerdefinierte Module für Event Threat Detection aus.

    Der Bereich Ergebnisse der Ergebnisabfrage enthält Ergebnisse für den ausgewählten Quelltyp.

  4. Wenn Sie Details zu einem bestimmten Ergebnis in der Tabelle ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses.

gcloud

So rufen Sie Ergebnisse über die gcloud CLI auf:

  1. Öffnen Sie ein Terminalfenster.

  2. Rufen Sie die Quell-ID für benutzerdefinierte Module für Event Threat Detection ab. Der Befehl hängt davon ab, ob Sie Security Command Center auf Organisations- oder Projektebene aktiviert haben:

    gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'

    Ersetzen Sie Folgendes:

    • RESOURCE_LEVEL: die Aktivierungsstufe Ihrer Security Command Center-Instanz; entweder organizations oder projects
    • RESOURCE_ID: die Ressourcen-ID Ihrer Organisation oder Ihres Projekts.

    Die Ausgabe sollte so aussehen. SOURCE_ID ist eine vom Server zugewiesene ID für Sicherheitsquellen.

    canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID

  3. Führen Sie den folgenden Befehl mit der Quell-ID aus dem vorherigen Schritt aus, um alle Ergebnisse für die benutzerdefinierten Event Threat Detection-Module aufzulisten:

    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID

    Ersetzen Sie Folgendes:

    • RESOURCE_LEVEL: die Ressourcenebene, auf der Sie Ergebnisse auflisten möchten; entweder organizations, folders oder projects.
    • RESOURCE_ID: die ID der Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.
    • SOURCE_ID: die Quell-ID für benutzerdefinierte Module von Event Threat Detection.

  4. Führen Sie den folgenden Befehl aus, um die Ergebnisse für ein bestimmtes benutzerdefiniertes Modul aufzulisten:

    MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"

    Ersetzen Sie Folgendes:

    • CUSTOM_MODULE_CATEGORY_NAME: der Kategoriename des benutzerdefinierten Moduls. Dieser Name setzt sich aus der Ergebniskategorie des Modultyps (wie unter Benutzerdefinierte Module und Vorlagen aufgeführt) und dem Anzeigenamen des Moduls mit Unterstrichen anstelle von Leerzeichen zusammen. Der Kategoriename eines benutzerdefinierten Moduls kann beispielsweise Unexpected Compute Engine region: example_custom_module sein.
    • RESOURCE_LEVEL: die Ressourcenebene, auf der Sie Ergebnisse auflisten möchten; entweder organizations, folders oder projects.
    • RESOURCE_ID: die ID der Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.
    • SOURCE_ID: die Quell-ID Ihrer benutzerdefinierten Event Threat Detection-Module.

Weitere Informationen zum Filtern von Ergebnissen finden Sie unter Sicherheitsergebnisse auflisten.

Von benutzerdefinierten Modulen generierte Ergebnisse können wie alle Ergebnisse im Security Command Center verwaltet werden. Hier finden Sie weitere Informationen:

Benutzerdefinierte Module für Event Threat Detection verwalten

In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Event Threat Detection-Module ansehen, auflisten, aktualisieren und löschen.

Benutzerdefinierte Module ansehen oder auflisten

Console

  1. Sehen Sie sich die Module des Dienstes Event Threat Detection an. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Optional: Wenn Sie nur die benutzerdefinierten Module anzeigen lassen möchten, geben Sie im Feld Filter den Wert Type:Custom ein.

Die Ergebnisse umfassen Folgendes:

  • Alle benutzerdefinierten Event Threat Detection-Module für private Zwecke.
  • Alle übernommenen benutzerdefinierten Event Threat Detection-Module. Wenn Sie sich beispielsweise in der Projektansicht befinden, sind die benutzerdefinierten Module in den Ergebnissen enthalten, die in den übergeordneten Ordnern und der Organisation dieses Projekts erstellt wurden.
  • Alle nachfolgenden benutzerdefinierten Event Threat Detection-Module, die in untergeordneten Ressourcen erstellt wurden. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, sind die benutzerdefinierten Module in den Ergebnissen enthalten, die in Ordnern und Projekten unter dieser Organisation erstellt wurden.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • RESOURCE_FLAG: Bereich, in dem Sie benutzerdefinierte Module auflisten möchten: organization, folder oder project.
  • RESOURCE_ID: die ID der Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.

Die Ergebnisse umfassen Folgendes:

  • Alle benutzerdefinierten Event Threat Detection-Module für private Zwecke.
  • Alle übernommenen benutzerdefinierten Event Threat Detection-Module. Wenn Sie beispielsweise benutzerdefinierte Module auf Projektebene auflisten, werden die benutzerdefinierten Module in die Ergebnisse aufgenommen, die in den übergeordneten Ordnern und der Organisation dieses Projekts erstellt wurden.

Jedes Ergebnis in den Ergebnissen enthält den Namen, den Status und die Eigenschaften des Moduls. Die Attribute unterscheiden sich bei jedem Modul.

Der Name jedes Moduls enthält seine benutzerdefinierte Modul-ID. Für viele gcloud-Vorgänge auf dieser Seite ist die benutzerdefinierte Modul-ID erforderlich.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Benutzerdefiniertes Modul deaktivieren

Console

Siehe Modul aktivieren oder deaktivieren.

Wenn Sie ein übernommenes benutzerdefiniertes Modul deaktivieren, werden Ihre Änderungen nur auf die aktuelle Ressourcenebene angewendet. Das ursprüngliche benutzerdefinierte Modul auf der übergeordneten Ebene ist davon nicht betroffen. Wenn Sie sich beispielsweise auf Projektebene befinden und ein benutzerdefiniertes Modul deaktivieren, das vom übergeordneten Ordner übernommen wurde, wird das benutzerdefinierte Modul nur auf Projektebene deaktiviert.

Ein untergeordnetes benutzerdefiniertes Modul kann nicht deaktiviert werden. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie kein benutzerdefiniertes Modul deaktivieren, das auf Projektebene erstellt wurde.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Event Threat Detection-Moduls, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet; entweder organization, folder oder project.
  • RESOURCE_ID: die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.

Benutzerdefiniertes Modul aktivieren

Console

Siehe Modul aktivieren oder deaktivieren.

Wenn Sie ein übernommenes benutzerdefiniertes Modul aktivieren, werden Ihre Änderungen nur auf die aktuelle Ressourcenebene angewendet. Das ursprüngliche benutzerdefinierte Modul auf der übergeordneten Ebene ist davon nicht betroffen. Wenn Sie sich beispielsweise auf Projektebene befinden und ein benutzerdefiniertes Modul aktivieren, das vom übergeordneten Ordner übernommen wurde, wird das benutzerdefinierte Modul nur auf Projektebene aktiviert.

Ein untergeordnetes benutzerdefiniertes Modul kann nicht aktiviert werden. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie kein benutzerdefiniertes Modul aktivieren, das auf Projektebene erstellt wurde.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Event Threat Detection-Moduls, z. B. 1234567890. Sie finden die numerische ID aus dem Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet; entweder organization, folder oder project.
  • RESOURCE_ID: die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.

Definition eines benutzerdefinierten Moduls aktualisieren

In diesem Abschnitt wird beschrieben, wie Sie ein benutzerdefiniertes Modul über die Google Cloud Console und die gcloud CLI aktualisieren. Jedes benutzerdefinierte Event Threat Detection-Modul hat eine Größenbeschränkung von 6 MB.

Der Modultyp eines benutzerdefinierten Moduls kann nicht aktualisiert werden.

So aktualisieren Sie ein benutzerdefiniertes Modul:

Console

Du kannst nur benutzerdefinierte Module für Privatwohnungen bearbeiten. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie nur die benutzerdefinierten Module bearbeiten, die auf Organisationsebene erstellt wurden.

  1. Sehen Sie sich die Module des Dienstes Event Threat Detection an. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suche das benutzerdefinierte Modul, das du bearbeiten möchtest.
  3. Klicken Sie für das benutzerdefinierte Modul auf Aktionen > Bearbeiten.
  4. Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie zum Aktualisieren eines Moduls den folgenden Befehl aus und fügen Sie die aktualisierte Modulvorlage JSON ein:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Event Threat Detection-Moduls, z. B. 1234567890. Sie finden die numerische ID aus dem Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet; entweder organization, folder oder project.
  • RESOURCE_ID: die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.
  • PATH_TO_JSON_FILE: Die JSON-Datei mit der JSON-Definition des benutzerdefinierten Moduls.

Status eines einzelnen benutzerdefinierten Moduls prüfen

Console

  1. Sehen Sie sich die Module des Dienstes Event Threat Detection an. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie in der Liste nach dem benutzerdefinierten Modul.

Der Status des benutzerdefinierten Moduls wird in der Spalte Status angezeigt.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Event Threat Detection-Moduls, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet; entweder organization, folder oder project.
  • RESOURCE_ID: die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.

Die Ausgabe sieht in etwa wie folgt aus und enthält den Status und die Eigenschaften des Moduls. Die Attribute unterscheiden sich bei jedem Modul.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Benutzerdefiniertes Modul löschen

Wenn Sie ein benutzerdefiniertes Event Threat Detection-Modul löschen, werden die generierten Ergebnisse nicht geändert und bleiben in Security Command Center verfügbar. Wenn Sie dagegen ein benutzerdefiniertes Security Health Analytics-Modul löschen, werden die zugehörigen Ergebnisse als inaktiv markiert.

Ein gelöschtes benutzerdefiniertes Modul kann nicht wiederhergestellt werden.

Console

Sie können keine übernommenen benutzerdefinierten Module löschen. Wenn Sie sich beispielsweise in der Projektansicht befinden, können Sie keine benutzerdefinierten Module löschen, die auf Ordner- oder Organisationsebene erstellt wurden.

So löschen Sie ein benutzerdefiniertes Modul über die Google Cloud Console:

  1. Sehen Sie sich die Module des Dienstes Event Threat Detection an. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suche das benutzerdefinierte Modul, das du löschen möchtest.
  3. Klicken Sie für das benutzerdefinierte Modul auf Aktionen > Löschen. Es wird eine Meldung angezeigt, in der Sie aufgefordert werden, das Löschen zu bestätigen.
  4. Klicken Sie auf Löschen.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Event Threat Detection-Moduls, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet; entweder organization, folder oder project.
  • RESOURCE_ID: die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.

Benutzerdefiniertes Modul klonen

Wenn Sie ein benutzerdefiniertes Modul klonen, wird das resultierende benutzerdefinierte Modul als resident der Ressource erstellt, die Sie sich ansehen. Wenn Sie beispielsweise ein benutzerdefiniertes Modul klonen, das Ihr Projekt von der Organisation übernommen hat, ist das neue benutzerdefinierte Modul ein lokales Modul im Projekt.

Ein untergeordnetes benutzerdefiniertes Modul kann nicht geklont werden.

So klonen Sie ein benutzerdefiniertes Modul über die Google Cloud Console:

  1. Sehen Sie sich die Module des Event Threat Detection-Dienstes an. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie das benutzerdefinierte Modul, das Sie klonen möchten.
  3. Klicken Sie für das benutzerdefinierte Modul auf Aktionen > Klonen.
  4. Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
  5. Klicken Sie auf Erstellen.

Nächste Schritte