Creare e gestire moduli personalizzati per Event Threat Detection

Questa pagina spiega come creare e gestire moduli personalizzati per Event Threat Detection.

Prima di iniziare

Questa sezione descrive i requisiti per l'utilizzo dei moduli personalizzati per Event Threat Detection.

Security Command Center Premium ed Event Threat Detection

Per utilizzare i moduli personalizzati di Event Threat Detection, questa funzionalità deve essere attivata. Per attivare Event Threat Detection, consulta Attivare o disattivare un servizio integrato.

Ruoli IAM

I ruoli IAM determinano le azioni che puoi eseguire con i moduli personalizzati di Event Threat Detection.

La tabella seguente contiene un elenco delle autorizzazioni dei moduli personalizzati di Event Threat Detection e i ruoli IAM predefiniti che le includono. Queste autorizzazioni sono valide fino al 22 gennaio 2024. Dopo questa data, saranno richieste le autorizzazioni elencate nella seconda tabella di seguito.

Puoi utilizzare la console Google Cloud o l'API Security Command Center per applicare questi ruoli a livello di organizzazione, cartella o progetto.

Autorizzazioni richieste prima del 22 gennaio 2024 Ruolo
securitycenter.eventthreatdetectioncustommodules.create
securitycenter.eventthreatdetectioncustommodules.update
securitycenter.eventthreatdetectioncustommodules.delete
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.eventthreatdetectioncustommodules.get
securitycenter.eventthreatdetectioncustommodules.list
roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin

La tabella seguente contiene un elenco delle autorizzazioni per i moduli personalizzati di Event Threat Detection obbligatorie a partire dal 22 gennaio 2024, nonché i ruoli IAM predefiniti che le includono.

Puoi utilizzare la console Google Cloud o l'API Security Command Center per applicare questi ruoli a livello di organizzazione, cartella o progetto.

Autorizzazioni richieste dopo il 22 gennaio 2024 Ruolo
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate
roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Se riscontri errori di accesso in Security Command Center, chiedi assistenza all'amministratore. Consulta una delle seguenti pagine a seconda del livello in cui hai attivato Security Command Center:

Log richiesti

Assicurati che i log pertinenti siano attivi per la tua organizzazione, le tue cartelle e i tuoi progetti. Per informazioni sui log richiesti da ciascun tipo di modulo personalizzato, consulta la tabella in Modelli e moduli personalizzati.

I log provenienti da origini esterne a Google Cloud non sono supportati.

Livelli dei moduli personalizzati

Questo documento utilizza i seguenti termini per descrivere il livello a cui è stato creato un modulo personalizzato:

Modulo Residenziale
Il modulo è stato creato nella visualizzazione o nell'ambito corrente. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione della console Google Cloud, i moduli residenziali sono quelli creati a livello di organizzazione.
Modulo ereditato
Il modulo è stato creato in una visualizzazione o in un ambito principale. Ad esempio, un modulo creato a livello di organizzazione è un modulo ereditato a qualsiasi livello di cartella o progetto.
Modulo discendente
Il modulo è stato creato in una visualizzazione o in un ambito secondario. Ad esempio, un modulo creato a livello di cartella o progetto è un modulo discendente a livello di organizzazione.

Creare moduli personalizzati

Puoi creare moduli personalizzati di Event Threat Detection tramite la console Google Cloud o modificando un modello JSON e inviandolo tramite la gcloud CLI. I modelli JSON sono necessari solo se prevedi di utilizzare gcloud CLI per creare moduli personalizzati.

Per un elenco dei modelli di modulo supportati, consulta Modelli e moduli personalizzati.

Struttura del modello

I modelli definiscono i parametri utilizzati dai moduli personalizzati per identificare le minacce nei log. I modelli sono scritti in JSON e hanno una struttura simile ai risultati generati da Security Command Center. Devi configurare un modello JSON solo se prevedi di utilizzare gcloud CLI per creare un modulo personalizzato.

Ogni modello contiene campi personalizzabili:

  • severity: il livello di gravità o rischio che vuoi assegnare ai risultati di questo tipo, LOW, MEDIUM, HIGH o CRITICAL.
  • description: la descrizione del modulo personalizzato.
  • recommendation: azioni consigliate per risolvere i risultati generati dal modulo personalizzato.
  • Parametri di rilevamento: le variabili utilizzate per valutare i log e attivare i risultati. I parametri di rilevamento variano per ogni modulo, ma includono uno o più dei seguenti elementi:
    • domains: domini web da monitorare
    • ips: indirizzi IP da monitorare
    • permissions: autorizzazioni da controllare
    • regions: regioni in cui sono consentite nuove istanze Compute Engine
    • roles: ruoli da tenere d'occhio
    • accounts: account da tenere d'occhio
    • Parametri che definiscono i tipi di istanza Compute Engine consentiti, ad esempio series, cpus e ram_mb.
    • Espressioni regolari in base alle quali verificare le proprietà, ad esempio caller_pattern e resource_pattern.

Il seguente esempio di codice è un modello JSON di esempio per Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Nell'esempio precedente, il modulo personalizzato genera un risultato di bassa gravità se i log indicano una risorsa collegata all'indirizzo IP 192.0.2.1 o 192.0.2.0/24.

Modificare un modello di modulo

Per creare i moduli, scegli un modello di modulo e modificalo.

Se prevedi di utilizzare Google Cloud CLI per creare il tuo modulo personalizzato, devi eseguire questa operazione.

Se prevedi di utilizzare la console Google Cloud per creare il tuo modulo personalizzato, salta questa attività. Utilizza le opzioni mostrate sullo schermo per modificare i parametri del modello.

  1. Scegli un modello da Modelli e moduli personalizzati.
  2. Copia il codice in un file locale.
  3. Aggiorna i parametri che vuoi utilizzare per valutare i log.
  4. Salva il file come file JSON.
  5. Crea un modulo personalizzato tramite gcloud CLI utilizzando il file JSON.

Creare un modulo personalizzato

Questa sezione descrive come creare un modulo personalizzato tramite la console Google Cloud e la gcloud CLI. Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensione di 6 MB.

Per creare un modulo personalizzato:

Console

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Fai clic su Crea modulo.
  3. Fai clic sul modello di modulo che vuoi utilizzare.
  4. Fai clic su Seleziona.
  5. In Nome modulo, inserisci un nome visualizzato per il nuovo modello. Il nome non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici e trattini bassi, ad esempio example_custom_module.
  6. Seleziona o aggiungi i valori dei parametri richiesti. I parametri sono diversi per ogni modulo. Ad esempio, se hai selezionato il modello di modulo Configurable allowed Compute Engine region, seleziona una o più regioni. In alternativa, fornisci l'elenco in formato JSON.
  7. Fai clic su Avanti.
  8. In Gravità, inserisci il livello di gravità da assegnare ai risultati generati dal nuovo modulo personalizzato.
  9. In Descrizione, inserisci una descrizione per il nuovo modulo personalizzato.
  10. In Passaggi successivi, inserisci le azioni consigliate in formato di testo normale. Eventuali interruzioni di paragrafo aggiunte vengono ignorate.
  11. Fai clic su Crea.

gcloud

  1. Crea un file JSON contenente la definizione del modulo personalizzato. Utilizza i modelli in Modelli e moduli personalizzati come guida.

  2. Crea il modulo personalizzato inviando il file JSON in un comando gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Sostituisci quanto segue:

  • RESOURCE_FLAG: l'ambito della risorsa principale in cui verrà creato il modulo personalizzato; uno tra organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
  • DISPLAY_NAME: un nome visualizzato per il nuovo modello. Il nome non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici e trattini bassi.
  • MODULE_TYPE: il tipo di modulo personalizzato che vuoi creare, ad esempio CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
  • PATH_TO_JSON_FILE: il file JSON contenente la definizione JSON del modulo personalizzato in base al modello del modulo.

Il modulo personalizzato viene creato e inizia la scansione. Per eliminare un modulo, vedi Eliminare un modulo personalizzato.

Il nome della categoria del modulo personalizzato contiene la categoria di risultati del tipo di modulo e il nome visualizzato del modulo impostato. Ad esempio, il nome della categoria di un modulo personalizzato può essere Unexpected Compute Engine Region: example_custom_module. Nella console Google Cloud, i trattini bassi vengono visualizzati come spazi. Tuttavia, nelle query devi includere i trattini bassi.

Le quote regolano l'utilizzo dei moduli personalizzati per Event Threat Detection.

Latenza del rilevamento

La latenza di rilevamento di Event Threat Detection e di tutti gli altri servizi di Security Command Center integrati è descritta in Latenza di scansione.

Esamina i risultati

I risultati generati dai moduli personalizzati possono essere visualizzati nella console Google Cloud o utilizzando la gcloud CLI.

Console

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Moduli personalizzati per il rilevamento delle minacce basate sugli eventi. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

gcloud

Per utilizzare gcloud CLI per visualizzare i risultati, segui questi passaggi:

  1. Apri una finestra del terminale.
  2. Recupera l'ID origine per i moduli personalizzati di Event Threat Detection. Il comando dipende dal fatto che tu abbia attivato Security Command Center a livello di organizzazione o di progetto:

    gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
        --source-display-name='Event Threat Detection Custom Modules'
    

    Sostituisci quanto segue:

    • RESOURCE_LEVEL: il livello di attivazione dell'istanza Security Command Center; uno dei valori organizations o projects.
    • RESOURCE_ID: l'ID risorsa della tua organizzazione o del tuo progetto.

    L'output è simile al seguente. SOURCE_ID è un ID assegnato dal server per le origini di sicurezza.

    canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
    description: Provider used by Event Threat Detection Custom Modules
    displayName: Event Threat Detection Custom Modules
    name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
  3. Per elencare tutti i risultati per i moduli personalizzati di Event Threat Detection, esegui il seguente comando con l'ID origine del passaggio precedente:

    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
    

    Sostituisci quanto segue:

    • RESOURCE_LEVEL: il livello della risorsa in cui vuoi elencare i risultati; uno dei valori organizations, folders o projects.
    • RESOURCE_ID: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
    • SOURCE_ID: l'ID origine per i moduli personalizzati di Event Threat Detection.
  4. Per elencare i risultati per un modulo personalizzato specifico, esegui il seguente comando:

    MODULE="CUSTOM_MODULE_CATEGORY_NAME"
    FILTER="category=\"$MODULE\""
    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
    

    Sostituisci quanto segue:

    • CUSTOM_MODULE_CATEGORY_NAME: il nome della categoria del modulo personalizzato. Questo nome è composto dalla categoria di risultati del tipo di modulo (come elencato in Modelli e moduli personalizzati) e dal nome visualizzato del modulo con i trattini bassi al posto degli spazi. Ad esempio, il nome della categoria di un modulo personalizzato può essere Unexpected Compute Engine region: example_custom_module.
    • RESOURCE_LEVEL: il livello della risorsa in cui vuoi elencare i risultati; uno dei valori organizations, folders o projects.
    • RESOURCE_ID: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
    • SOURCE_ID: l'ID origine dei moduli personalizzati di Event Threat Detection.

Per scoprire di più su come filtrare i risultati, consulta Risultati relativi alla sicurezza delle schede.

I risultati generati dai moduli personalizzati possono essere gestiti come tutti i risultati in Security Command Center. Per ulteriori informazioni, consulta le seguenti risorse:

Gestire i moduli personalizzati di Event Threat Detection

Questa sezione descrive come visualizzare, elencare, aggiornare ed eliminare i moduli personalizzati di Event Threat Detection.

Visualizzare o elencare i moduli personalizzati

Console

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. (Facoltativo) Per visualizzare solo i moduli personalizzati, inserisci Tipo:Personalizzato nel campo Filtro.

I risultati includono:

  • Tutti i moduli personalizzati di Event Threat Detection per le case.
  • Tutti i moduli personalizzati di Event Threat Detection ereditati. Ad esempio, se sei nella visualizzazione del progetto, i moduli personalizzati creati nelle cartelle e nell'organizzazione principali del progetto sono inclusi nei risultati.
  • Tutti i moduli personalizzati di Event Threat Detection discendenti creati nelle risorse secondarie. Ad esempio, se sei nella visualizzazione dell'organizzazione, i moduli personalizzati che sono stati creati nelle cartelle e nei progetti di quell'organizzazione sono inclusi nei risultati.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Sostituisci quanto segue:

  • RESOURCE_FLAG: l'ambito in cui vuoi elencare i moduli personalizzati; uno dei valori organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

I risultati includono:

  • Tutti i moduli personalizzati di Event Threat Detection per le case.
  • Tutti i moduli personalizzati di Event Threat Detection ereditati. Ad esempio, quando elenchi i moduli personalizzati a livello di progetto, i moduli personalizzati creati nelle cartelle principali e nell'organizzazione del progetto sono inclusi nei risultati.

Ogni elemento nei risultati include il nome, lo stato e le proprietà del modulo. Le proprietà sono diverse per ogni modulo.

Il nome di ogni modulo contiene il relativo ID modulo personalizzato. Molte operazioni gcloud in questa pagina richiedono l'ID modulo personalizzato.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Disattivare un modulo personalizzato

Console

Consulta Attivare o disattivare un modulo.

Quando disattivi un modulo personalizzato ereditato, le modifiche vengono applicate solo al livello di risorsa corrente. Il modulo personalizzato originale al livello di genitore non è interessato. Ad esempio, se sei a livello di progetto e disattivi un modulo personalizzato ereditato dalla cartella principale, il modulo personalizzato viene disattivato solo a livello di progetto.

Non puoi disattivare un modulo personalizzato secondario. Ad esempio, se sei nella visualizzazione dell'organizzazione, non puoi disattivare un modulo personalizzato creato a livello di progetto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi recuperare l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno dei valori organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

Attivare un modulo personalizzato

Console

Consulta Attivare o disattivare un modulo.

Quando attivi un modulo personalizzato ereditato, le modifiche vengono applicate solo al livello di risorsa corrente. Il modulo personalizzato originale al livello di genitore non è interessato. Ad esempio, se sei a livello di progetto e attivi un modulo personalizzato ereditato dalla cartella principale, il modulo personalizzato viene attivato solo a livello di progetto.

Non puoi attivare un modulo personalizzato secondario. Ad esempio, se sei nella visualizzazione dell'organizzazione, non puoi attivare un modulo personalizzato creato a livello di progetto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi ottenere l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno dei valori organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

Aggiornare la definizione di un modulo personalizzato

Questa sezione descrive come aggiornare un modulo personalizzato tramite la console Google Cloud e l'interfaccia alla gcloud CLI. Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensione di 6 MB.

Non puoi aggiornare il tipo di un modulo personalizzato.

Per aggiornare un modulo personalizzato:

Console

Puoi modificare solo i moduli personalizzati residenziali. Ad esempio, se sei nella vista dell'organizzazione, puoi modificare solo i moduli personalizzati creati a livello di organizzazione.

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Trova il modulo personalizzato che vuoi modificare.
  3. Per il modulo personalizzato, fai clic su Azioni > Modifica.
  4. Modifica il modulo personalizzato in base alle esigenze.
  5. Fai clic su Salva.

gcloud

Per aggiornare un modulo, esegui il seguente comando e includi il modello JSON del modulo aggiornato:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi ottenere l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno dei valori organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
  • PATH_TO_JSON_FILE: il file JSON contenente la definizione JSON del modulo personalizzato.

Controllare lo stato di un singolo modulo personalizzato

Console

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Individua il modulo personalizzato nell'elenco.

Lo stato del modulo personalizzato è visualizzato nella colonna Stato.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi recuperare l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno dei valori organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

L'output è simile al seguente e include lo stato e le proprietà del modulo. Le proprietà sono diverse per ogni modulo.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Eliminare un modulo personalizzato

Quando elimini un modulo personalizzato di Event Threat Detection, i risultati generati non vengono modificati e rimangono disponibili in Security Command Center. Al contrario, quando elimini un modulo personalizzato Security Health Analytics, i risultati generati vengono contrassegnati come inattivi.

Non puoi recuperare un modulo personalizzato eliminato.

Console

Non puoi eliminare i moduli personalizzati ereditati. Ad esempio, se sei nella visualizzazione del progetto, non puoi eliminare i moduli personalizzati creati a livello di cartella o organizzazione.

Per eliminare un modulo personalizzato tramite la console Google Cloud, segui questi passaggi:

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Trova il modulo personalizzato che vuoi eliminare.
  3. Per il modulo personalizzato, fai clic su Azioni > Elimina. Viene visualizzato un messaggio che ti chiede di confermare l'eliminazione.
  4. Fai clic su Elimina.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi recuperare l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno dei valori organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

Clonare un modulo personalizzato

Quando cloni un modulo personalizzato, il modulo personalizzato risultante viene creato come residente della risorsa che stai visualizzando. Ad esempio, se cloni un modulo personalizzato ereditato dal progetto dall'organizzazione, il nuovo modulo personalizzato è un modulo residenziale nel progetto.

Non puoi clonare un modulo personalizzato secondario.

Per clonare un modulo personalizzato tramite la console Google Cloud:

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Individua il modulo personalizzato che vuoi clonare.
  3. Per il modulo personalizzato, fai clic su Azioni > Clona.
  4. Modifica il modulo personalizzato in base alle esigenze.
  5. Fai clic su Crea.

Passaggi successivi