Esta página foi traduzida pela API Cloud Translation.

Criar e gerenciar módulos personalizados do Event Threat Detection

Nesta página, explicamos como criar e gerenciar módulos personalizados do Event Threat Detection.

Antes de começar

Esta seção descreve os requisitos para o uso de módulos personalizados do Event Threat Detection.

Security Command Center Premium e Event Threat Detection

Para usar módulos personalizados do Event Threat Detection, ele precisa estar ativado. Para ativar a detecção de ameaças a eventos, consulte Ativar ou desativar um serviço integrado.

Papéis IAM

Os papéis do IAM determinam as ações que você pode realizar com os módulos personalizados de detecção de ameaças a eventos.

Importante:a partir de 22 de janeiro de 2024, a funcionalidade do módulo personalizado no console do Google Cloud vão migrar para uma nova API.

Se a sua empresa usa papéis personalizados do IAM para controlar rigorosamente o acesso aos recursos do Google Cloud, para continuar trabalhando com módulos personalizados no console do Google Cloud após essa data, peça ao administrador de segurança para adicionar as seguintes permissões ao seu papel personalizado antes da data de migração, conforme apropriado para suas responsabilidades:

Para acessar ou testar módulos de detecção personalizados do Event Threat Detection, você precisa do seguinte: que estão contidas nos papéis do IAM Leitor de módulos personalizados ETD de gerenciamento da Central de segurança (securitycentermanagement.etdCustomModulesViewer):
- securitycentermanagement.eventThreatDetectionCustomModules.list
- securitycentermanagement.eventThreatDetectionCustomModules.get
- securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
- securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
- securitycentermanagement.eventThreatDetectionCustomModules.validate
Para editar módulos de detecção personalizados da Detecção de ameaças a eventos, além das as permissões anteriores, também é necessário as seguintes permissões, que estão contidas no papel do IAM Editor de módulos personalizados ETD de gerenciamento da Central de segurança (securitycentermanagement.etdCustomModulesEditor):
- securitycentermanagement.eventThreatDetectionCustomModules.create
- securitycentermanagement.eventThreatDetectionCustomModules.update
- securitycentermanagement.eventThreatDetectionCustomModules.delete

Se a sua empresa usa funções predefinidas do IAM, não é necessário fazer nada. As novas permissões já estão incluídas nos papéis predefinidos.

A tabela a seguir contém uma lista de módulos personalizados de detecção de ameaças a eventos as permissões e os papéis predefinidos do IAM que incluem para resolvê-los com rapidez. Essas permissões são válidas até pelo menos 22 de janeiro de 2024. Depois dessa data, as permissões listadas na segunda tabela a seguir serão necessárias.

É possível usar o console do Google Cloud ou a API Security Command Center para aplicar esses papéis no nível da organização, da pasta ou do projeto.

Permissões necessárias antes de 22 de janeiro de 2024	Papel
`securitycenter.eventthreatdetectioncustommodules.create` `securitycenter.eventthreatdetectioncustommodules.update` `securitycenter.eventthreatdetectioncustommodules.delete`	`roles/securitycenter.settingsEditor` `roles/securitycenter.admin`
`securitycenter.eventthreatdetectioncustommodules.get` `securitycenter.eventthreatdetectioncustommodules.list`	`roles/securitycenter.settingsViewer` `roles/securitycenter.adminViewer` `roles/securitycenter.admin`

A tabela a seguir contém uma lista de permissões personalizadas do módulo do Event Threat Detection que serão necessárias a partir de 22 de janeiro de 2024, bem como os papéis predefinidos do IAM que as incluem.

É possível usar o console do Google Cloud ou a API Security Command Center para aplicar esses papéis no nível da organização, da pasta ou do projeto.

Permissões necessárias após 22 de janeiro de 2024	Papel
`securitycentermanagement.eventThreatDetectionCustomModules.create` `securitycentermanagement.eventThreatDetectionCustomModules.update` `securitycentermanagement.eventThreatDetectionCustomModules.delete`	`roles/securitycentermanagement.etdCustomModulesEditor` `roles/securitycenter.settingsEditor` `roles/securitycenter.admin`
`securitycentermanagement.eventThreatDetectionCustomModules.list` `securitycentermanagement.eventThreatDetectionCustomModules.get` `securitycentermanagement.effectiveEventThreatDetectionCustomModules.list` `securitycentermanagement.effectiveEventThreatDetectionCustomModules.get` `securitycentermanagement.eventThreatDetectionCustomModules.validate`	`roles/securitycentermanagement.etdCustomModulesViewer` `roles/securitycentermanagement.etdCustomModulesEditor` `roles/securitycenter.adminViewer` `roles/securitycenter.admin`

Se você encontrar erros de acesso no Security Command Center, peça ajuda ao administrador. Veja um dos páginas seguintes, dependendo do nível em que você ativou o Security Command Center:

Registros obrigatórios

Verifique se os registros relevantes estão ativados para sua organização, pastas e projetos. Para mais informações sobre quais registros são obrigatórios a cada tipo de módulo personalizado, consulte a tabela em Módulos personalizados e modelos.

Não é possível usar registros de fontes fora do Google Cloud.

Níveis de módulo personalizados

Este documento usa os seguintes termos para descrever o nível em que um módulo personalizado foi criado:

Módulo residencial: O módulo foi criado na visualização ou no escopo atual. Por exemplo, se você estiver a visualização de organização do console do Google Cloud, os módulos residenciais são os módulos criados no nível da organização.
Módulo herdado: O módulo foi criado em uma visualização ou escopo pai. Por exemplo, um módulo criado no nível da organização é um módulo herdado em qualquer pasta ou projeto nível.
Módulo descendente: O módulo foi criado em uma visualização filha ou em um escopo. Por exemplo, um módulo criado no nível da pasta ou do projeto, é um módulo descendente no nível da organização.

Criar módulos personalizados

É possível criar módulos personalizados do Event Threat Detection pelo console do Google Cloud ou modificando um modelo JSON e enviando-o via gcloud CLI. Você só precisa de modelos JSON quando planeja usar a gcloud CLI para criar módulos personalizados.

Para ver uma lista de modelos de módulo compatíveis, consulte Módulos personalizados e modelos.

Estrutura do modelo

Os modelos definem os parâmetros que os módulos personalizados usam para identificar ameaças nos seus registros. Os modelos são escritos em JSON e têm estrutura semelhante às descobertas geradas pelo Security Command Center. Você precisa configurar um modelo JSON apenas quando planeja usar a gcloud CLI para criar um módulo personalizado.

Cada modelo contém campos personalizáveis:

severity: a gravidade ou o nível de risco que você quer atribuir às descobertas desse tipo, LOW, MEDIUM, HIGH ou CRITICAL.
description: a descrição do módulo personalizado.
recommendation: ações recomendadas para abordar descobertas geradas pelo módulo personalizado.
Parâmetros de detecção: as variáveis usadas para avaliar os registros e acionar as descobertas. Os parâmetros de detecção são diferentes para cada módulo, mas incluem um ou mais de um dos campos a seguir:
- domains: domínios da Web que serão monitorados
- ips: endereços IP que serão monitorados
- permissions: permissões que serão monitoradas
- regions: regiões em que novas instâncias do Compute Engine serão permitidas
- roles: papéis que serão monitorados
- accounts: contas que serão monitoradas
- Parâmetros que definem os tipos de instância permitidos do Compute Engine, por exemplo, series, cpus e ram_mb.
- Expressões regulares para verificar propriedades, por exemplo, caller_pattern e resource_pattern.

O exemplo de código a seguir é um modelo de exemplo para Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

No exemplo anterior, o módulo personalizado gera uma descoberta de baixa gravidade quando os registros indicam um recurso conectado ao endereço IP 192.0.2.1 ou 192.0.2.0/24.

Modificar um modelo de módulo

Para criar módulos, escolha e modifique um modelo de módulo.

Se você planeja usar a Google Cloud CLI para criar o módulo personalizado, é necessário executar esta tarefa.

Se você planeja usar o console do Google Cloud para criar o módulo personalizado, pule esta tarefa. Você usará as opções apresentadas na tela para modificar os parâmetros do modelo.

Escolha um modelo em Módulos personalizados e modelos.
Copie o código para um arquivo local.
Atualize os parâmetros que você quer usar para avaliar os registros.
Salve o arquivo como JSON.
Crie um módulo personalizado pela gcloud CLI usando o arquivo JSON.

Criar um módulo personalizado

Nesta seção, descrevemos como criar um módulo personalizado usando o console do Google Cloud e a CLI gcloud. Cada módulo personalizado de detecção de ameaças a eventos tem um limite de tamanho de 6 MB.

Para criar um módulo personalizado, siga estas etapas:

Console

Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
Clique em Criar módulo.
Clique no modelo do módulo que você quer usar.
Clique em Selecionar.
Em Nome do módulo, insira um nome de exibição para o novo modelo. O nome não pode ter mais de 128 caracteres e precisa conter apenas caracteres alfanuméricos e sublinhados, por exemplo, example_custom_module.
Selecione ou adicione os valores de parâmetro solicitados. Os parâmetros são diferentes para cada módulo. Por exemplo, se você selecionou o modelo de módulo Configurable allowed Compute Engine region, selecione uma ou mais regiões. Se preferir, forneça a lista no formato JSON.
Clique em Next.
Em Gravidade, insira o nível de gravidade que você quer atribuir às descobertas geradas pelo novo módulo personalizado.
Em Descrição, insira uma descrição para o novo módulo personalizado.
Em Próximas etapas, insira as ações recomendadas em formato de texto simples. Todas as quebras de parágrafo que você adicionar serão ignoradas.
Clique em Criar.

gcloud

Crie um arquivo JSON que contenha a definição do módulo personalizado. Use os modelos em Módulos personalizados e modelos como guia.
Crie o módulo personalizado enviando o arquivo JSON em um comando gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Substitua:

RESOURCE_FLAG: o escopo do recurso pai em que o será criado. um de organization, folder ou project.
RESOURCE_ID: o ID do recurso pai. ou seja, ID da organização, da pasta ou do ID do projeto.
DISPLAY_NAME: um nome de exibição para o novo modelo. O nome não pode ter mais de 128 caracteres e precisa conter apenas caracteres alfanuméricos e sublinhados.
MODULE_TYPE: o tipo de módulo personalizado que você quer criar, por exemplo, CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
PATH_TO_JSON_FILE: o arquivo JSON que contém a definição em JSON do módulo personalizado com base no modelo de módulo.

O módulo personalizado é criado e começa a fazer a verificação. Para excluir um módulo, consulte Excluir um módulo personalizado.

O nome da categoria do módulo personalizado contém a categoria de descoberta do módulo tipo e o nome de exibição do módulo que você definiu. Por exemplo, o nome da categoria módulo personalizado pode ser Unexpected Compute Engine Region: example_custom_module. No console do Google Cloud, os sublinhados são exibidos como espaços. No entanto, você precisa incluir os sublinhados nas suas consultas.

As cotas regem o uso de módulos personalizados do Event Threat Detection.

Detecção de latência

A latência de detecção do Event Threat Detection e de todos os outros serviços integrados do Security Command Center está descrita em Latência de verificação.

Analisar resultados

As descobertas geradas por módulos personalizados podem ser visualizadas no console do Google Cloud ou usando a gcloud CLI.

Console

No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Acesse Descobertas
Selecione a organização ou o projeto do Google Cloud.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Módulos personalizados do Event Threat Detection. Os resultados da consulta de descobertas são atualizados para mostrar descobertas desta fonte.
Para conferir os detalhes de uma descoberta específica, clique no nome dela em Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponíveis, as etapas que você pode executar para remediar a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique em a guia JSON.

gcloud

Para ver as descobertas usando a gcloud CLI, realize estas ações:

Abra uma janela de terminal.
Encontre o ID de origem dos módulos personalizados do Event Threat Detection. O comando depende de você ter ativado o Security Command Center na organização ou do projeto:
```
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'
```
Substitua:
- RESOURCE_LEVEL: o nível de ativação do instância do Security Command Center; organizations ou projects.
- RESOURCE_ID: o ID do recurso da sua organização ou projeto.
A saída será assim: SOURCE_ID é um ID atribuído pelo servidor para fontes de segurança.
```
canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
```
Para listar todas as descobertas de módulos personalizados do Event Threat Detection, execute o seguinte comando com o ID de origem da etapa anterior:
```
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
```
Substitua:
- RESOURCE_LEVEL: o nível do recurso em que você quer listar as descobertas, organizations, folders ou projects.
- RESOURCE_ID: o ID do recurso. ou seja, ID da organização, da pasta ou do ID do projeto.
- SOURCE_ID: o ID de origem para a Detecção de ameaças a eventos módulos personalizados.
Para listar as descobertas de um módulo personalizado específico, execute o seguinte comando:
```
MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
```
Substitua:
- CUSTOM_MODULE_CATEGORY_NAME: o nome da categoria de no módulo personalizado. Esse nome é composto pela categoria de descoberta do tipo de módulo (listada em Módulos e modelos personalizados) e pelo nome de exibição do módulo com sublinhados em vez de espaços. Por exemplo, o nome da categoria de um módulo personalizado pode ser Unexpected Compute Engine region: example_custom_module.
- RESOURCE_LEVEL: o nível do recurso em que você quer listar as descobertas, organizations, folders ou projects.
- RESOURCE_ID: o ID do recurso. ou seja, ID da organização, da pasta ou do ID do projeto.
- SOURCE_ID: o ID da origem do Módulos personalizados de detecção de ameaças a eventos.

Para saber mais sobre como filtrar descobertas, consulte Como listar descobertas de segurança.

As descobertas geradas por módulos personalizados podem ser gerenciadas como todas as descobertas no Security Command Center. Para ver mais informações, consulte os seguintes tópicos:

Gerenciar módulos personalizados do Event Threat Detection

Nesta seção, descrevemos como ver, listar, atualizar e excluir módulos personalizados do Event Threat Detection.

Ver ou listar módulos personalizados

Console

Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
Opcional: para ver apenas os módulos personalizados, no campo Filtro, insira Type:Custom.

Os resultados incluem o seguinte:

Todos os módulos personalizados do Event Threat Detection residencial.
Todos os módulos personalizados de detecção de ameaças a eventos herdados. Por exemplo, se você estiver na visualização do projeto, os módulos personalizados criados nas pastas e na organização mãe desse projeto serão incluídos nos resultados.
Todos os módulos personalizados do Event Threat Detection criados em recursos filhos. Por exemplo, na visualização de organização, os módulos personalizados que criados em pastas e projetos dessa organização estão incluídos os resultados.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Substitua:

RESOURCE_FLAG: o escopo em que você quer listar módulos personalizados; um de organization, folder ou project.
RESOURCE_ID: o ID do recurso. ou seja, ID da organização, da pasta ou do ID do projeto.

Os resultados incluem o seguinte:

Todos os módulos personalizados do Event Threat Detection residencial.
Todos os módulos personalizados de detecção de ameaças a eventos herdados. Por exemplo, quando você lista módulos personalizados no nível do projeto, os módulos personalizados criados nas pastas e na organização pai desse projeto são incluídos nos resultados.

Cada item nos resultados inclui o nome, o status e as properties do módulo. As properties são diferentes para cada módulo.

O nome de cada módulo contém o respectivo ID do módulo personalizado. Muitas operações gcloud nesta página requerem o ID do módulo personalizado.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Desativar um módulo personalizado

Console

Consulte Ativar ou desativar um módulo.

Quando você desativa um módulo personalizado herdado, as alterações são aplicadas somente a no nível de recursos atual. O módulo personalizado original que reside no nível pai não é afetado. Por exemplo, se você estiver no nível do projeto e desativar um módulo personalizado que foi herdado da pasta pai, o módulo personalizado será desativado apenas no nível do projeto.

Não é possível desativar um módulo personalizado descendente. Por exemplo, se você estiver no visualização de organização, não é possível desativar um módulo personalizado que foi criado no para envolvidos no projeto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Substitua:

CUSTOM_MODULE_ID: o ID numérico do módulo personalizado do Event Threat Detection (por exemplo, 1234567890). Você pode acessar o ID numérico do campo name do módulo personalizado relevante; quando você visualiza a lista de módulos personalizados.
RESOURCE_FLAG: o escopo do recurso pai em que o módulo personalizado está armazenado, um dos seguintes: organization, folder ou project.
RESOURCE_ID: o ID do recurso pai, ou seja, o ID da organização, da pasta ou do projeto.

Ativar um módulo personalizado

Console

Consulte Ativar ou desativar um módulo.

Quando você ativa um módulo personalizado herdado, as mudanças são aplicadas apenas ao nível de recurso atual. O módulo personalizado original que reside no nível pai não é afetado. Por exemplo, se você estiver no nível do projeto e ativar um módulo personalizado que foi herdado da pasta pai, o módulo personalizado só será ativado no nível do projeto.

Não é possível ativar um módulo personalizado descendente. Por exemplo, se você estiver na visualização da organização, não será possível ativar um módulo personalizado criado no nível do projeto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Substitua:

CUSTOM_MODULE_ID: o ID numérico do módulo personalizado do Event Threat Detection (por exemplo, 1234567890). É possível encontrar o ID numérico no campo name do módulo personalizado relevante ao visualizar a lista de módulos personalizados.
RESOURCE_FLAG: o escopo do recurso pai onde reside o módulo personalizado. organization, folder ou project.
RESOURCE_ID: o ID do recurso pai, ou seja, o ID da organização, da pasta ou do projeto.

Atualizar a definição de um módulo personalizado

Nesta seção, descrevemos como atualizar um módulo personalizado usando o console do Google Cloud e a CLI gcloud. Cada módulo personalizado de detecção de ameaças a eventos tem um limite de tamanho de 6 MB.

Não é possível atualizar o tipo de um módulo personalizado.

Para atualizar um módulo personalizado, siga estas etapas:

Console

Você pode editar apenas módulos residenciais personalizados. Por exemplo, se você estiver no você poderá editar apenas os módulos personalizados que foram criados na no nível da organização.

Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
Localize o módulo personalizado que você quer editar.
Para esse módulo personalizado, clique em Ações > Editar.
Edite o módulo personalizado conforme necessário.
Clique em Save.

gcloud

Para atualizar um módulo, execute o seguinte comando e inclua o JSON atualizado do modelo de módulo:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Substitua:

CUSTOM_MODULE_ID: o ID numérico do módulo personalizado do Event Threat Detection (por exemplo, 1234567890). É possível encontrar o ID numérico no campo name do módulo personalizado relevante ao visualizar a lista de módulos personalizados.
RESOURCE_FLAG: o escopo do recurso pai em que o módulo personalizado está armazenado, um dos seguintes: organization, folder ou project.
RESOURCE_ID: o ID do recurso pai. ou seja, o ID da organização, da pasta ou do ID do projeto.
PATH_TO_JSON_FILE: o arquivo JSON que contém a definição em JSON do módulo personalizado.

Verificar o status de um único módulo personalizado

Console

Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
Encontre o módulo personalizado na lista.

O status do módulo personalizado é mostrado na coluna Status.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Substitua:

CUSTOM_MODULE_ID: o ID numérico do módulo personalizado do Event Threat Detection (por exemplo, 1234567890). É possível encontrar o ID numérico no campo name do módulo personalizado relevante ao acessar a lista de módulos personalizados.
RESOURCE_FLAG: o escopo do recurso pai em que o módulo personalizado está armazenado, um dos seguintes: organization, folder ou project.
RESOURCE_ID: o ID do recurso pai, ou seja, o ID da organização, da pasta ou do projeto.

A saída é semelhante a esta e contém o status e as properties do módulo. As properties são diferentes para cada módulo.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Excluir um módulo personalizado

Quando você exclui um módulo personalizado do Event Threat Detection, as descobertas que ele gerou não são modificadas e continuam disponíveis no Security Command Center. Em contrapartida, quando você exclui um módulo personalizado da Análise de integridade da segurança, as descobertas geradas são marcadas como inativas.

Não é possível recuperar um módulo personalizado excluído.

Console

Não é possível excluir módulos personalizados herdados. Por exemplo, se você estiver na visualização do projeto, não será possível excluir módulos personalizados criados no nível da pasta ou da organização.

Para excluir um módulo personalizado usando o console do Google Cloud, faça o seguintes:

Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
Localize o módulo personalizado que você quer excluir.
Para esse módulo personalizado, clique em Ações > Excluir. Uma mensagem será exibida solicitando para confirmar a exclusão.
Clique em Excluir.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Substitua:

CUSTOM_MODULE_ID: o ID numérico do módulo personalizado do Event Threat Detection (por exemplo, 1234567890). É possível encontrar o ID numérico no campo name do módulo personalizado relevante ao acessar a lista de módulos personalizados.
RESOURCE_FLAG: o escopo do recurso pai onde reside o módulo personalizado. organization, folder ou project.
RESOURCE_ID: o ID do recurso pai. ou seja, o ID da organização, da pasta ou do ID do projeto.

Clonar um módulo personalizado

Quando você clona um módulo personalizado, o módulo personalizado resultante é criado como um residente do recurso que você está visualizando. Por exemplo, se você clonar um módulo personalizado que seu projeto herdou da organização, o O novo módulo personalizado é um módulo residencial no projeto.

Não é possível clonar um módulo personalizado descendente.

Para clonar um módulo personalizado usando o console do Google Cloud, faça o seguinte:

Acessar os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
Encontre o módulo personalizado que você quer clonar.
Para esse módulo personalizado, clique em Ações > Clonar.
Edite o módulo personalizado conforme necessário.
Clique em Criar.

A seguir

Saiba mais sobre módulos personalizados para detecção de ameaças a eventos.