이 페이지에서는 Event Threat Detection용 커스텀 모듈을 만들고 관리하는 방법을 설명합니다.
시작하기 전에
이 섹션에서는 Event Threat Detection용 커스텀 모듈을 사용하기 위한 요구사항을 설명합니다.
Security Command Center 프리미엄 및 Event Threat Detection
Event Threat Detection 커스텀 모듈을 사용하려면 Event Threat Detection을 사용 설정해야 합니다. Event Threat Detection을 사용 설정하려면 기본 제공 서비스 사용 설정 또는 중지를 참조하세요.
IAM 역할
IAM 역할은 Event Threat Detection 커스텀 모듈로 수행할 수 있는 작업을 결정합니다.
다음 표에는 Event Threat Detection 커스텀 모듈 권한과 이 권한이 포함된 사전 정의된 IAM 역할의 목록이 나와 있습니다. 이러한 권한은 최소 2024년 1월 22일까지 유효합니다. 이 날짜 이후에는 두 번째 표에 나열된 권한이 필요합니다.
Google Cloud 콘솔 또는 Security Command Center API를 사용하여 조직, 폴더, 프로젝트 수준에서 이러한 역할을 적용할 수 있습니다.
2024년 1월 22일 이전에 필요한 권한 | 역할 |
---|---|
securitycenter.eventthreatdetectioncustommodules.create securitycenter.eventthreatdetectioncustommodules.update securitycenter.eventthreatdetectioncustommodules.delete |
roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycenter.eventthreatdetectioncustommodules.get securitycenter.eventthreatdetectioncustommodules.list |
roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin |
다음 표에는 2024년 1월 22일 이후에 필요한 Event Threat Detection 커스텀 모듈 권한과 이 권한이 포함된 사전 정의된 IAM 역할의 목록이 나와 있습니다.
Google Cloud 콘솔 또는 Security Command Center API를 사용하여 조직, 폴더, 프로젝트 수준에서 이러한 역할을 적용할 수 있습니다.
2024년 1월 22일 이후에 필요한 권한 | 역할 |
---|---|
securitycentermanagement.eventThreatDetectionCustomModules.create securitycentermanagement.eventThreatDetectionCustomModules.update securitycentermanagement.eventThreatDetectionCustomModules.delete |
roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycentermanagement.eventThreatDetectionCustomModules.list securitycentermanagement.eventThreatDetectionCustomModules.get securitycentermanagement.effectiveEventThreatDetectionCustomModules.list securitycentermanagement.effectiveEventThreatDetectionCustomModules.get securitycentermanagement.eventThreatDetectionCustomModules.validate |
roles/securitycentermanagement.etdCustomModulesViewer roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.adminViewer roles/securitycenter.admin |
Security Command Center에서 액세스 오류가 발생하면 관리자에게 지원을 요청하세요. Security Command Center를 활성화한 수준에 따라 다음 페이지 중 하나를 참조하세요.
필수 로그
조직, 폴더, 프로젝트에 관련 로그가 사용 설정되어 있는지 확인합니다. 각 커스텀 모듈 유형에 필요한 로그에 대한 자세한 내용은 커스텀 모듈 및 템플릿의 표를 참조하세요.
Google Cloud 외부 소스의 로그는 지원되지 않습니다.
커스텀 모듈 수준
이 문서에서는 커스텀 모듈이 생성된 수준을 설명하기 위해 다음 용어를 사용합니다.
- 상주 모듈
- 모듈이 현재 뷰 또는 범위에서 생성되었습니다. 예를 들어 Google Cloud 콘솔의 조직 뷰에서는 상주 모듈이 조직 수준에서 생성된 모듈입니다.
- 상속된 모듈
- 모듈이 상위 뷰 또는 범위에서 생성되었습니다. 예를 들어 조직 수준에서 생성된 모듈은 모든 폴더 또는 프로젝트 수준에서 상속된 모듈입니다.
- 하위 모듈
- 모듈이 하위 뷰 또는 범위에서 생성되었습니다. 예를 들어 폴더 또는 프로젝트 수준에서 생성된 모듈은 조직 수준에서 하위 모듈입니다.
커스텀 모듈 만들기
Google Cloud 콘솔을 통해 또는 JSON 템플릿을 수정하고 gcloud CLI를 통해 제출하여 Event Threat Detection 커스텀 모듈을 만들 수 있습니다. gcloud CLI를 사용하여 커스텀 모듈을 만들 계획인 경우에만 JSON 템플릿이 필요합니다.
지원되는 모듈 템플릿 목록은 커스텀 모듈 및 템플릿을 참고하세요.
템플릿 구조
템플릿은 커스텀 모듈이 로그에서 위협을 식별하기 위해 사용하는 파라미터를 정의합니다. 템플릿은 JSON으로 작성되며 Security Command Center에서 생성된 발견 항목과 구조가 유사합니다. gcloud CLI를 사용하여 커스텀 모듈을 만들 계획인 경우에만 JSON 템플릿을 구성해야 합니다.
각 템플릿에는 맞춤설정할 수 있는 필드가 포함되어 있습니다.
severity
: 이 유형의 발견 항목에 할당할 심각도 또는 위험 수준(LOW
,MEDIUM
,HIGH
또는CRITICAL
)입니다.description
: 커스텀 모듈에 대한 설명입니다.recommendation
: 커스텀 모듈에서 생성된 발견 항목을 해결하기 위한 권장 조치입니다.- 감지 파라미터: 로그를 평가하고 발견 항목을 트리거하는 데 사용되는 변수입니다. 감지 파라미터는 모듈마다 다르지만 다음 중 하나 이상을 포함합니다.
domains
: 감시할 웹 도메인ips
: 감시할 IP 주소permissions
: 감시할 권한regions
: 새 Compute Engine 인스턴스가 허용되는 리전roles
: 감시할 역할accounts
: 감시할 계정- 허용되는 Compute Engine 인스턴스 유형을 정의하는 매개변수(예:
series
,cpus
,ram_mb
) - 속성을 확인할 정규 표현식(예:
caller_pattern
및resource_pattern
)
다음 코드 샘플은 Configurable Bad IP
의 예시 JSON 템플릿입니다.
{
"metadata": {
"severity": "LOW",
"description": "Flagged by Cymbal as malicious",
"recommendation": "Contact the owner of the relevant project."
},
"ips": [
"192.0.2.1",
"192.0.2.0/24"
]
}
위 예에서 로그에 IP 주소 192.0.2.1
또는 192.0.2.0/24
에 연결된 리소스가 표시되면 커스텀 모듈은 심각도가 낮은 발견 항목을 생성합니다.
모듈 템플릿 수정
모듈을 만들려면 모듈 템플릿을 선택하고 수정합니다.
Google Cloud CLI를 사용하여 커스텀 모듈을 만들려면 이 작업을 수행해야 합니다.
Google Cloud 콘솔을 사용하여 커스텀 모듈을 만들려면 이 작업을 건너뜁니다. 화면에 표시된 옵션을 사용하여 템플릿 파라미터를 수정합니다.
- 커스텀 모듈 및 템플릿에서 템플릿을 선택합니다.
- 코드를 로컬 파일에 복사합니다.
- 로그 평가에 사용할 매개변수를 업데이트합니다.
- 파일을 JSON 파일로 저장합니다.
- JSON 파일을 사용하여 gcloud CLI를 통해 커스텀 모듈을 만듭니다.
커스텀 모듈 만들기
이 섹션에서는 Google Cloud 콘솔과 gcloud CLI를 통해 커스텀 모듈을 만드는 방법을 설명합니다. 각 Event Threat Detection 커스텀 모듈의 크기 한도는 6MB입니다.
커스텀 모듈을 만들려면 다음 단계를 수행합니다.
콘솔
- Event Threat Detection 서비스의 모듈을 봅니다. 사전 정의된 모듈과 커스텀 모듈이 목록에 표시됩니다.
- 모듈 만들기를 클릭합니다.
- 사용하려는 모듈 템플릿을 클릭합니다.
- 선택을 클릭합니다.
- 모듈 이름에 새 템플릿의 표시 이름을 입력합니다. 이름은 128자를 초과할 수 없으며 영숫자 문자와 밑줄만 포함해야 합니다(예:
example_custom_module
). - 요청된 파라미터 값을 선택하거나 추가합니다. 파라미터는 모듈마다 다릅니다. 예를 들어
Configurable allowed Compute Engine region
모듈 템플릿을 선택한 경우 하나 이상의 리전을 선택합니다. 또는 JSON 형식으로 목록을 제공합니다. - 다음을 클릭합니다.
- 심각도에서 새 커스텀 모듈이 생성한 발견 항목에 할당하려는 심각도 수준을 입력합니다.
- 설명에서 새 커스텀 모듈에 대한 설명을 입력합니다.
- 다음 단계에서 권장 조치를 일반 텍스트 형식으로 입력합니다. 추가한 단락 나누기는 무시됩니다.
- 만들기를 클릭합니다.
gcloud
커스텀 모듈 정의가 포함된 JSON 파일을 만듭니다. 커스텀 모듈 및 템플릿의 템플릿을 가이드로 사용합니다.
gcloud
명령어로 JSON 파일을 전송하여 커스텀 모듈을 만듭니다.
gcloud alpha scc custom-modules etd create \
--RESOURCE_FLAG=RESOURCE_ID \
--display-name="DISPLAY_NAME" \
--module-type="MODULE_TYPE" \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
다음을 바꿉니다.
- RESOURCE_FLAG: 커스텀 모듈을 만들 상위 리소스 범위로,
organization
,folder
또는project
중 하나입니다. - RESOURCE_ID: 상위 리소스의 리소스 ID로, 조직 ID, 폴더 ID 또는 프로젝트 ID입니다.
- DISPLAY_NAME: 새 템플릿의 표시 이름. 이름은 128자를 초과할 수 없으며 영숫자 문자와 밑줄만 포함해야 합니다.
- MODULE_TYPE: 만들려는 커스텀 모듈 유형(예:
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
) - PATH_TO_JSON_FILE: 모듈 템플릿을 기반으로 한 커스텀 모듈의 JSON 정의가 포함된 JSON 파일
커스텀 모듈이 생성되고 스캔을 시작합니다. 모듈을 삭제하려면 커스텀 모듈 삭제를 참조하세요.
커스텀 모듈의 카테고리 이름에는 모듈 유형의 발견 항목 카테고리와 개발자가 설정한 모듈 표시 이름이 포함됩니다. 예를 들어 커스텀 모듈의 카테고리 이름은 Unexpected Compute Engine Region: example_custom_module
일 수 있습니다.
Google Cloud 콘솔에서 밑줄은 공백으로 표시됩니다. 단, 쿼리에는 밑줄이 포함되어야 합니다.
할당량은 Event Threat Detection에 커스텀 모듈을 사용하는 데 적용됩니다.
감지 지연 시간
Event Threat Detection 및 기타 모든 기본 제공 Security Command Center 서비스의 감지 지연 시간은 스캔 지연 시간에 설명되어 있습니다.
발견 항목 검토
커스텀 모듈로 생성된 발견 항목은 Google Cloud 콘솔 또는 gcloud CLI를 사용하여 볼 수 있습니다.
콘솔
- Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.
- Google Cloud 프로젝트 또는 조직을 선택합니다.
- 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 Event Threat Detection 커스텀 모듈을 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
gcloud
gcloud CLI를 사용하여 발견 항목을 보려면 다음 단계를 따르세요.
- 터미널 창을 엽니다.
Event Threat Detection 커스텀 모듈의 소스 ID를 가져옵니다. 명령어는 Security Command Center를 조직 수준 또는 프로젝트 수준에서 활성화했는지에 따라 다릅니다.
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \ --source-display-name='Event Threat Detection Custom Modules'
다음을 바꿉니다.
RESOURCE_LEVEL
: Security Command Center 인스턴스의 활성화 수준으로,organizations
또는projects
입니다.RESOURCE_ID
: 조직 또는 프로젝트의 리소스 ID입니다.
다음과 유사한 결과가 출력됩니다.
SOURCE_ID
는 보안 소스의 서버 할당 ID입니다.canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID description: Provider used by Event Threat Detection Custom Modules displayName: Event Threat Detection Custom Modules name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
Event Threat Detection 커스텀 모듈의 모든 발견 항목을 나열하려면 이전 단계의 소스 ID로 다음 명령어를 실행하세요.
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
다음을 바꿉니다.
RESOURCE_LEVEL
: 발견 항목을 나열할 리소스 수준으로,organizations
,folders
또는projects
중 하나입니다.RESOURCE_ID
: 리소스의 ID로, 조직 ID, 폴더 ID 또는 프로젝트 ID입니다.SOURCE_ID
: Event Threat Detection 커스텀 모듈의 소스 ID입니다.
특정 커스텀 모듈의 발견 항목을 나열하려면 다음 명령어를 실행합니다.
MODULE="CUSTOM_MODULE_CATEGORY_NAME" FILTER="category=\"$MODULE\"" gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
다음을 바꿉니다.
CUSTOM_MODULE_CATEGORY_NAME
: 커스텀 모듈의 카테고리 이름입니다. 이 이름은 모듈 유형의 발견 항목 카테고리(커스텀 모듈 및 템플릿에 나와 있음)와 공백 대신 밑줄이 있는 모듈 표시 이름으로 구성됩니다. 예를 들어 커스텀 모듈의 카테고리 이름은Unexpected Compute Engine region: example_custom_module
일 수 있습니다.RESOURCE_LEVEL
: 발견 항목을 나열할 리소스 수준으로,organizations
,folders
또는projects
중 하나입니다.RESOURCE_ID
: 리소스의 ID로, 조직 ID, 폴더 ID 또는 프로젝트 ID입니다.SOURCE_ID
: Event Threat Detection 커스텀 모듈의 소스 ID입니다.
발견 항목 필터링에 대해 자세히 알아보려면 보안 발견 항목 나열을 참조하세요.
커스텀 모듈로 생성된 발견 항목을 Security Command Center의 모든 발견 항목처럼 관리할 수 있습니다. 자세한 내용은 다음을 참조하세요.
Event Threat Detection 커스텀 모듈 관리
이 섹션에서는 Event Threat Detection 커스텀 모듈을 보고, 나열하고, 업데이트하고, 삭제하는 방법을 설명합니다.
커스텀 모듈 보기 또는 나열
콘솔
- Event Threat Detection 서비스의 모듈을 봅니다. 사전 정의된 모듈과 커스텀 모듈이 목록에 표시됩니다.
- 선택사항: 커스텀 모듈만 보려면 필터 필드에 Type:Custom을 입력합니다.
결과에 다음이 포함됩니다.
- 모든 상주 Event Threat Detection 커스텀 모듈
- 상속된 모든 Event Threat Detection 커스텀 모듈. 예를 들어 프로젝트 보기에서는 해당 프로젝트의 상위 폴더와 조직에서 생성된 커스텀 모듈이 결과에 포함됩니다.
- 하위 리소스에서 생성된 모든 하위 Event Threat Detection 커스텀 모듈. 예를 들어 조직 보기에서는 해당 조직의 폴더와 프로젝트에서 생성된 커스텀 모듈이 결과에 포함됩니다.
gcloud
gcloud alpha scc custom-modules etd list \
--RESOURCE_FLAG=RESOURCE_ID
다음을 바꿉니다.
RESOURCE_FLAG
: 커스텀 모듈을 나열할 범위로,organization
,folder
또는project
중 하나입니다.RESOURCE_ID
: 리소스의 ID로, 조직 ID, 폴더 ID 또는 프로젝트 ID입니다.
결과에 다음이 포함됩니다.
- 모든 상주 Event Threat Detection 커스텀 모듈
- 상속된 모든 Event Threat Detection 커스텀 모듈. 예를 들어 프로젝트 수준에서 커스텀 모듈을 나열하면 해당 프로젝트의 상위 폴더와 조직에서 생성된 커스텀 모듈이 결과에 포함됩니다.
결과의 각 항목에는 모듈 이름, 상태, 속성이 포함됩니다. 속성은 모듈마다 다릅니다.
각 모듈의 이름에는 커스텀 모듈 ID가 포함됩니다. 이 페이지의 많은 gcloud
작업에는 커스텀 모듈 ID가 필요합니다.
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
커스텀 모듈 중지
콘솔
모듈 사용 설정 또는 중지를 참조하세요.
상속된 커스텀 모듈을 중지하면 변경사항은 현재 리소스 수준에만 적용됩니다. 상위 수준에 있는 원래 커스텀 모듈은 영향을 받지 않습니다. 예를 들어 프로젝트 수준에 있고 상위 폴더에서 상속된 커스텀 모듈을 중지하면 커스텀 모듈은 프로젝트 수준에서만 중지됩니다.
하위 커스텀 모듈을 중지할 수 없습니다. 예를 들어 조직 보기에서는 프로젝트 수준에서 생성된 커스텀 모듈을 중지할 수 없습니다.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="DISABLED"
다음을 바꿉니다.
CUSTOM_MODULE_ID
: Event Threat Detection 커스텀 모듈의 숫자 ID(예:1234567890
). 커스텀 모듈 목록을 볼 때 관련 커스텀 모듈의name
필드에서 숫자 ID를 가져올 수 있습니다.RESOURCE_FLAG
: 커스텀 모듈이 있는 상위 리소스의 범위로,organization
,folder
또는project
중 하나입니다.RESOURCE_ID
: 상위 리소스의 ID로, 조직 ID, 폴더 ID 또는 프로젝트 ID입니다.
커스텀 모듈 사용 설정
콘솔
모듈 사용 설정 또는 중지를 참조하세요.
상속된 커스텀 모듈을 사용 설정하면 변경사항은 현재 리소스 수준에만 적용됩니다. 상위 수준에 있는 원래 커스텀 모듈은 영향을 받지 않습니다. 예를 들어 프로젝트 수준에 있고 상위 폴더에서 상속된 커스텀 모듈을 사용 설정하면 커스텀 모듈은 프로젝트 수준에서만 사용 설정됩니다.
하위 커스텀 모듈을 사용 설정할 수 없습니다. 예를 들어 조직 보기에서는 프로젝트 수준에서 생성된 커스텀 모듈을 사용 설정할 수 없습니다.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED"
다음을 바꿉니다.
CUSTOM_MODULE_ID
: Event Threat Detection 커스텀 모듈의 숫자 ID(예:1234567890
). 커스텀 모듈 목록을 볼 때 관련 커스텀 모듈의name
필드에서 숫자 ID를 가져올 수 있습니다.RESOURCE_FLAG
: 커스텀 모듈이 있는 상위 리소스의 범위로,organization
,folder
또는project
중 하나입니다.RESOURCE_ID
: 상위 리소스의 ID로, 조직 ID, 폴더 ID 또는 프로젝트 ID입니다.
커스텀 모듈 정의 업데이트
이 섹션에서는 Google Cloud 콘솔과 gcloud CLI를 통해 커스텀 모듈을 업데이트하는 방법을 설명합니다. 각 Event Threat Detection 커스텀 모듈의 크기 한도는 6MB입니다.
커스텀 모듈의 모듈 유형을 업데이트할 수 없습니다.
커스텀 모듈을 업데이트하려면 다음 단계를 수행합니다.
콘솔
상주 커스텀 모듈만 수정할 수 있습니다. 예를 들어 조직 보기에서는 조직 수준에서 생성된 커스텀 모듈만 수정할 수 있습니다.
- Event Threat Detection 서비스의 모듈을 봅니다. 사전 정의된 모듈과 커스텀 모듈이 목록에 표시됩니다.
- 수정하려는 커스텀 모듈을 찾습니다.
- 해당 커스텀 모듈에서 > 수정을 클릭합니다. 작업
- 필요에 따라 커스텀 모듈을 수정합니다.
- 저장을 클릭합니다.
gcloud
모듈을 업데이트하려면 다음 명령어를 실행하고 업데이트된 모듈 템플릿 JSON을 포함합니다.
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
다음을 바꿉니다.
CUSTOM_MODULE_ID
: Event Threat Detection 커스텀 모듈의 숫자 ID(예:1234567890
). 커스텀 모듈 목록을 볼 때 관련 커스텀 모듈의name
필드에서 숫자 ID를 가져올 수 있습니다.RESOURCE_FLAG
: 커스텀 모듈이 있는 상위 리소스의 범위로,organization
,folder
또는project
중 하나입니다.RESOURCE_ID
: 상위 리소스의 ID로, 조직 ID, 폴더 ID 또는 프로젝트 ID입니다.PATH_TO_JSON_FILE
: 커스텀 모듈의 JSON 정의가 포함된 JSON 파일
단일 커스텀 모듈 상태 확인
콘솔
- Event Threat Detection 서비스의 모듈을 봅니다. 사전 정의된 모듈과 커스텀 모듈이 목록에 표시됩니다.
- 목록에서 커스텀 모듈을 찾습니다.
커스텀 모듈의 상태는 상태 열에 표시됩니다.
gcloud
gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
다음을 바꿉니다.
CUSTOM_MODULE_ID
: Event Threat Detection 커스텀 모듈의 숫자 ID(예:1234567890
). 커스텀 모듈 목록을 볼 때 관련 커스텀 모듈의name
필드에서 숫자 ID를 가져올 수 있습니다.RESOURCE_FLAG
: 커스텀 모듈이 있는 상위 리소스의 범위로,organization
,folder
또는project
중 하나입니다.RESOURCE_ID
: 상위 리소스의 ID로, 조직 ID, 폴더 ID 또는 프로젝트 ID입니다.
출력은 다음과 비슷하며 모듈 상태와 속성을 포함합니다. 속성은 모듈마다 다릅니다.
config: metadata: description: DESCRIPTION recommendation: RECOMMENDATION severity: SEVERITY regions: - region: REGION displayName: USER_SPECIFIED_DISPLAY_NAME enablementState: STATUS lastEditor: LAST_EDITOR name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID type: MODULE_TYPE updateTime: 'UPDATE_TIME'
커스텀 모듈 삭제
Event Threat Detection 커스텀 모듈을 삭제해도 생성된 발견 항목은 수정되지 않으며 Security Command Center에서 계속 사용할 수 있습니다. 반면 Security Health Analytics 커스텀 모듈을 삭제하면 생성된 발견 항목이 비활성으로 표시됩니다.
삭제된 커스텀 모듈은 복구할 수 없습니다.
콘솔
상속된 커스텀 모듈을 삭제할 수 없습니다. 예를 들어 프로젝트 보기에서는 폴더 또는 조직 수준에서 생성된 커스텀 모듈을 삭제할 수 없습니다.
Google Cloud 콘솔을 통해 커스텀 모듈을 삭제하려면 다음을 수행합니다.
- Event Threat Detection 서비스의 모듈을 봅니다. 사전 정의된 모듈과 커스텀 모듈이 목록에 표시됩니다.
- 삭제할 커스텀 모듈을 찾습니다.
- 해당 커스텀 모듈에서 > 삭제를 클릭합니다. 삭제를 확인하는 메시지가 표시됩니다. 작업
- 삭제를 클릭합니다.
gcloud
gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
다음을 바꿉니다.
CUSTOM_MODULE_ID
: Event Threat Detection 커스텀 모듈의 숫자 ID(예:1234567890
). 커스텀 모듈 목록을 볼 때 관련 커스텀 모듈의name
필드에서 숫자 ID를 가져올 수 있습니다.RESOURCE_FLAG
: 커스텀 모듈이 있는 상위 리소스의 범위로,organization
,folder
또는project
중 하나입니다.RESOURCE_ID
: 상위 리소스의 ID로, 조직 ID, 폴더 ID 또는 프로젝트 ID입니다.
커스텀 모듈 클론
커스텀 모듈을 클론하면 결과 커스텀 모듈이 보고 있는 리소스의 상주로 생성됩니다. 예를 들어 프로젝트가 조직에서 상속된 커스텀 모듈을 클론하면 새 커스텀 모듈은 프로젝트의 상주 모듈입니다.
하위 커스텀 모듈을 클론할 수 없습니다.
Google Cloud 콘솔을 통해 커스텀 모듈을 클론하려면 다음을 수행합니다.
- Event Threat Detection 서비스의 모듈을 봅니다. 사전 정의된 모듈과 커스텀 모듈이 목록에 표시됩니다.
- 클론할 커스텀 모듈을 찾습니다.
- 커스텀 모듈의 경우 > 클론을 클릭합니다. 작업
- 필요에 따라 커스텀 모듈을 수정합니다.
- 만들기를 클릭합니다.
다음 단계
- Event Threat Detection용 커스텀 모듈에 대해 자세히 알아보기