Créer et gérer des modules personnalisés pour Event Threat Detection

Cette page explique comment créer et gérer des modules personnalisés pour Event Threat Detection.

Avant de commencer

Cette section décrit les exigences liées à l'utilisation de modules personnalisés pour Event Threat Detection.

Security Command Center Premium et Event Threat Detection

Pour que vous puissiez utiliser les modules personnalisés d'Event Threat Detection, Event Threat Detection doit être activé. Pour activer Event Threat Detection, consultez la page Activer ou désactiver un service intégré.

Rôles IAM

Les rôles IAM déterminent les actions que vous pouvez effectuer avec les modules personnalisés d'Event Threat Detection.

Important:À compter du 22 janvier 2024, la fonctionnalité de module personnalisé de la console Google Cloud migrera vers une nouvelle API sous-jacente.

Si votre entreprise utilise des rôles IAM personnalisés pour un contrôle strict de l'accès aux ressources Google Cloud, vous devrez demander à votre administrateur de sécurité d'ajouter les autorisations suivantes à votre rôle personnalisé avant la date de migration, selon vos responsabilités pour pouvoir continuer à utiliser les modules personnalisés de la console Google Cloud après cette date:

Pour afficher ou tester les modules de détection personnalisés d'Event Threat Detection, vous devez disposer des autorisations suivantes, qui sont incluses dans le rôle IAM Lecteur de modules personnalisés ETD pour la gestion du centre de sécurité (securitycentermanagement.etdCustomModulesViewer) :
- securitycentermanagement.eventThreatDetectionCustomModules.list
- securitycentermanagement.eventThreatDetectionCustomModules.get
- securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
- securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
- securitycentermanagement.eventThreatDetectionCustomModules.validate
Pour modifier les modules de détection personnalisés d'Event Threat Detection, en plus des autorisations précédentes, vous devez également disposer des autorisations suivantes, qui sont comprises dans le rôle IAM Éditeur de modules ETD personnalisés pour la gestion du centre de sécurité (securitycentermanagement.etdCustomModulesEditor) :
- securitycentermanagement.eventThreatDetectionCustomModules.create
- securitycentermanagement.eventThreatDetectionCustomModules.update
- securitycentermanagement.eventThreatDetectionCustomModules.delete

Si votre entreprise utilise des rôles IAM prédéfinis, aucune action n'est requise de votre part. Les nouvelles autorisations sont déjà incluses dans les rôles prédéfinis.

Le tableau suivant contient une liste des autorisations du module personnalisé Event Threat Detection et des rôles IAM prédéfinis qui les incluent. Ces autorisations sont valides au moins jusqu'au 22 janvier 2024. Après cette date, les autorisations répertoriées dans le deuxième tableau suivant seront requises.

Vous pouvez utiliser la console Google Cloud ou l'API Security Command Center pour appliquer ces rôles au niveau de l'organisation, d'un dossier ou d'un projet.

Autorisations requises avant le 22 janvier 2024	Rôle
`securitycenter.eventthreatdetectioncustommodules.create` `securitycenter.eventthreatdetectioncustommodules.update` `securitycenter.eventthreatdetectioncustommodules.delete`	`roles/securitycenter.settingsEditor` `roles/securitycenter.admin`
`securitycenter.eventthreatdetectioncustommodules.get` `securitycenter.eventthreatdetectioncustommodules.list`	`roles/securitycenter.settingsViewer` `roles/securitycenter.adminViewer` `roles/securitycenter.admin`

Le tableau suivant contient une liste des autorisations du module personnalisé Event Threat Detection qui seront requises à compter du 22 janvier 2024, ainsi que les rôles IAM prédéfinis qui les incluent.

Vous pouvez utiliser la console Google Cloud ou l'API Security Command Center pour appliquer ces rôles au niveau de l'organisation, d'un dossier ou d'un projet.

Autorisations requises après le 22 janvier 2024	Rôle
`securitycentermanagement.eventThreatDetectionCustomModules.create` `securitycentermanagement.eventThreatDetectionCustomModules.update` `securitycentermanagement.eventThreatDetectionCustomModules.delete`	`roles/securitycentermanagement.etdCustomModulesEditor` `roles/securitycenter.settingsEditor` `roles/securitycenter.admin`
`securitycentermanagement.eventThreatDetectionCustomModules.list` `securitycentermanagement.eventThreatDetectionCustomModules.get` `securitycentermanagement.effectiveEventThreatDetectionCustomModules.list` `securitycentermanagement.effectiveEventThreatDetectionCustomModules.get` `securitycentermanagement.eventThreatDetectionCustomModules.validate`	`roles/securitycentermanagement.etdCustomModulesViewer` `roles/securitycentermanagement.etdCustomModulesEditor` `roles/securitycenter.adminViewer` `roles/securitycenter.admin`

Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur. Consultez l'une des pages suivantes en fonction du niveau auquel vous avez activé Security Command Center:

Journaux requis

Assurez-vous que les journaux pertinents sont activés pour votre organisation, vos dossiers et vos projets. Pour en savoir plus sur les journaux requis par chaque type de module personnalisé, consultez le tableau dans Modules et modèles personnalisés.

Les journaux provenant de sources externes à Google Cloud ne sont pas acceptés.

Niveaux de module personnalisés

Ce document utilise les termes suivants pour décrire le niveau auquel un module personnalisé a été créé:

Module résidentiel: Le module a été créé dans la vue ou le champ d'application actuel. Par exemple, dans la vue "Organisation" de la console Google Cloud, les modules résidentiels sont ceux qui ont été créés au niveau de l'organisation.
Module hérité: Le module a été créé dans une vue ou un champ d'application parent. Par exemple, un module créé au niveau de l'organisation est un module hérité à n'importe quel niveau d'un dossier ou d'un projet.
Module descendant: Le module a été créé dans une vue ou un niveau d'accès enfant. Par exemple, un module créé au niveau d'un dossier ou d'un projet est un module descendant au niveau de l'organisation.

Créer des modules personnalisés

Vous pouvez créer des modules personnalisés Event Threat Detection via la console Google Cloud ou en modifiant un modèle JSON et en l'envoyant via la gcloud CLI. Vous n'avez besoin de modèles JSON que si vous prévoyez d'utiliser la gcloud CLI pour créer des modules personnalisés.

Pour obtenir la liste des modèles de module compatibles, consultez la section Modèles et modèles personnalisés.

Structure du modèle

Les modèles définissent les paramètres utilisés par les modules personnalisés pour identifier les menaces dans vos journaux. Les modèles sont écrits au format JSON et leur structure est semblable aux résultats générés par Security Command Center. Vous ne devez configurer un modèle JSON que si vous prévoyez d'utiliser la gcloud CLI pour créer un module personnalisé.

Chaque modèle contient des champs personnalisables:

severity: niveau de gravité ou de risque que vous souhaitez attribuer aux résultats de ce type (LOW, MEDIUM, HIGH ou CRITICAL).
description: description du module personnalisé.
recommendation: actions recommandées pour traiter les résultats générés par le module personnalisé.
Paramètres de détection: variables utilisées pour évaluer les journaux et déclencher les résultats. Les paramètres de détection diffèrent pour chaque module, mais ils incluent un ou plusieurs des éléments suivants :
- domains: domaines Web à surveiller
- ips: adresses IP à surveiller
- permissions: autorisations de surveillance
- regions: régions dans lesquelles les nouvelles instances Compute Engine sont autorisées
- roles: rôles à surveiller
- accounts: comptes à surveiller
- Paramètres qui définissent les types d'instances Compute Engine autorisés (par exemple, series, cpus et ram_mb).
- Expressions régulières pour vérifier les propriétés, par exemple caller_pattern et resource_pattern.

L'exemple de code suivant est un exemple de modèle JSON pour Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Dans l'exemple précédent, le module personnalisé génère un résultat de faible gravité si vos journaux indiquent une ressource connectée à l'adresse IP 192.0.2.1 ou 192.0.2.0/24.

Modifier un modèle de module

Pour créer des modules, vous devez choisir un modèle de module et le modifier.

Si vous prévoyez d'utiliser la Google Cloud CLI pour créer votre module personnalisé, vous devez effectuer cette tâche.

Si vous prévoyez d'utiliser la console Google Cloud pour créer votre module personnalisé, ignorez cette tâche. Vous utiliserez les options présentées à l'écran pour modifier les paramètres du modèle.

Choisissez un modèle dans la section Modules et modèles personnalisés.
Copiez le code dans un fichier local.
Mettez à jour les paramètres que vous souhaitez utiliser pour évaluer les journaux.
Enregistrez le fichier au format JSON.
Créez un module personnalisé via la gcloud CLI à l'aide du fichier JSON.

Créer un module personnalisé

Cette section explique comment créer un module personnalisé via la console Google Cloud et gcloud CLI. La taille de chaque module personnalisé d'Event Threat Detection est de 6 Mo.

Pour créer un module personnalisé, procédez comme suit:

Console

Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
Cliquez sur Create module (Créer un module).
Cliquez sur le modèle de module que vous souhaitez utiliser.
Cliquez sur Sélectionner.
Dans Nom du module, saisissez un nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques et des traits de soulignement (par exemple, example_custom_module).
Sélectionnez ou ajoutez les valeurs de paramètre demandées. Les paramètres diffèrent pour chaque module. Par exemple, si vous avez sélectionné le modèle de module Configurable allowed Compute Engine region, vous sélectionnez une ou plusieurs régions. Vous pouvez également fournir la liste au format JSON.
Cliquez sur Suivant.
Pour le champ Gravité, saisissez le niveau de gravité que vous souhaitez attribuer aux résultats générés par le nouveau module personnalisé.
Dans Description, saisissez la description du nouveau module personnalisé.
Dans Étapes suivantes, saisissez les actions recommandées au format texte brut. Tous les sauts de paragraphe que vous ajoutez sont ignorés.
Cliquez sur Créer.

gcloud

Créez un fichier JSON contenant la définition du module personnalisé. Utilisez les modèles de la section Modules et modèles personnalisés comme guide.
Créez le module personnalisé en envoyant le fichier JSON dans une commande gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Remplacez les éléments suivants :

RESOURCE_FLAG: champ d'application de la ressource parente où le module personnalisé sera créé (organization, folder ou project).
RESOURCE_ID: ID de ressource de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.
DISPLAY_NAME: nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques et des traits de soulignement.
MODULE_TYPE: type de module personnalisé que vous souhaitez créer (par exemple, CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION)
PATH_TO_JSON_FILE: fichier JSON contenant la définition JSON du module personnalisé basée sur le modèle de module.

Votre module personnalisé est créé et l'analyse commence. Pour supprimer un module, consultez la section Supprimer un module personnalisé.

Le nom de la catégorie du module personnalisé contient la catégorie de recherche du type de module et le nom à afficher du module que vous avez défini. Par exemple, le nom de catégorie d'un module personnalisé peut être Unexpected Compute Engine Region: example_custom_module. Dans la console Google Cloud, les traits de soulignement sont affichés sous forme d'espaces. Toutefois, dans vos requêtes, vous devez inclure les traits de soulignement.

Les quotas régissent votre utilisation des modules personnalisés pour Event Threat Detection.

Latence de détection

La latence de détection pour Event Threat Detection et tous les autres services intégrés à Security Command Center sont décrites dans la section Latence de l'analyse.

Examiner les résultats

Vous pouvez afficher les résultats générés par des modules personnalisés dans la console Google Cloud ou à l'aide de gcloud CLI.

Console

Pour afficher les résultats dans la console Google Cloud, procédez comme suit:

Accédez à la page Résultats de Security Command Center dans la console Google Cloud.

Accéder
Sélectionnez votre organisation, votre dossier ou votre projet.
Dans le panneau Filtres rapides, faites défiler la page jusqu'à Nom à afficher de la source, puis sélectionnez Modules personnalisés Event Threat Detection.

Remarque :Si vous ne voyez pas de modules personnalisés Event Threat Detection, il est possible que les résultats ne soient pas encore générés.

Le panneau Résultats de la requête de résultats contient les résultats pour le type de source que vous avez sélectionné.
Pour afficher les détails d'un résultat spécifique de la table, cliquez sur son nom sous Catégorie.

gcloud

Pour afficher les résultats à l'aide de la gcloud CLI, procédez comme suit:

Ouvrez une fenêtre de terminal.
Obtenez l'ID source des modules personnalisés d'Event Threat Detection. La commande varie selon que vous avez activé Security Command Center au niveau de l'organisation ou du projet:
```
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'
```
Remplacez les éléments suivants :
- RESOURCE_LEVEL: niveau d'activation de votre instance Security Command Center (organizations ou projects).
- RESOURCE_ID: ID de ressource de votre organisation ou de votre projet.
La sortie se présente comme suit : SOURCE_ID est un ID attribué par le serveur pour les sources de sécurité.
```
canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
```
Pour répertorier tous les résultats des modules personnalisés d'Event Threat Detection, exécutez la commande suivante avec l'ID source de l'étape précédente:
```
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
```
Remplacez les éléments suivants :
- RESOURCE_LEVEL: niveau de ressource dans lequel vous souhaitez répertorier les résultats (organizations, folders ou projects).
- RESOURCE_ID: ID de la ressource, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.
- SOURCE_ID: ID de la source des modules personnalisés d'Event Threat Detection.
Pour lister les résultats d'un module personnalisé spécifique, exécutez la commande suivante :
```
MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
```
Remplacez les éléments suivants :
- CUSTOM_MODULE_CATEGORY_NAME: nom de la catégorie du module personnalisé. Ce nom est composé de la catégorie de résultat du type de module (comme indiqué dans la section Modules et modèles personnalisés) et du nom à afficher du module avec des traits de soulignement au lieu d'espaces. Par exemple, le nom de catégorie d'un module personnalisé peut être Unexpected Compute Engine region: example_custom_module.
- RESOURCE_LEVEL: niveau de ressource dans lequel vous souhaitez répertorier les résultats (organizations, folders ou projects).
- RESOURCE_ID: ID de la ressource, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.
- SOURCE_ID: ID de la source de vos modules personnalisés Event Threat Detection.

Pour en savoir plus sur le filtrage des résultats, consultez la page Lister les résultats de sécurité.

Les résultats générés par les modules personnalisés peuvent être gérés comme tous les résultats dans Security Command Center. Pour en savoir plus, consultez les ressources suivantes :

Gérer les modules personnalisés d'Event Threat Detection

Cette section explique comment afficher, répertorier, mettre à jour et supprimer les modules personnalisés d'Event Threat Detection.

Afficher ou répertorier des modules personnalisés

Console

Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
Facultatif: Pour n'afficher que les modules personnalisés, saisissez Type:Custom dans le champ Filtre.

Les résultats sont les suivants:

Tous les modules personnalisés Event Threat Detection résidentiels.
Tous les modules personnalisés Event Threat Detection hérités. Par exemple, si vous êtes dans la vue du projet, les modules personnalisés créés dans les dossiers et l'organisation parents de ce projet sont inclus dans les résultats.
Tous les modules personnalisés Event Threat Detection descendants créés dans les ressources enfants. Par exemple, si vous êtes dans la vue "Organisation", les modules personnalisés créés dans des dossiers et des projets sous cette organisation sont inclus dans les résultats.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Remplacez les éléments suivants :

RESOURCE_FLAG: champ d'application dans lequel vous souhaitez répertorier les modules personnalisés (organization, folder ou project).
RESOURCE_ID: ID de la ressource, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.

Les résultats sont les suivants:

Tous les modules personnalisés Event Threat Detection résidentiels.
Tous les modules personnalisés Event Threat Detection hérités. Par exemple, lorsque vous répertoriez des modules personnalisés au niveau du projet, les modules personnalisés créés dans les dossiers et l'organisation parents de ce projet sont inclus dans les résultats.

Chaque élément des résultats inclut le nom, l'état et les propriétés du module. Les propriétés diffèrent pour chaque module.

Le nom de chaque module contient son ID de module personnalisé. De nombreuses opérations gcloud sur cette page nécessitent l'ID de module personnalisé.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Désactiver un module personnalisé

Console

Consultez Activer ou désactiver un module.

Lorsque vous désactivez un module personnalisé hérité, vos modifications ne sont appliquées qu'à votre niveau de ressource actuel. Le module personnalisé d'origine situé au niveau parent n'est pas affecté. Par exemple, si vous êtes au niveau du projet et que vous désactivez un module personnalisé hérité du dossier parent, le module personnalisé n'est désactivé qu'au niveau du projet.

Vous ne pouvez pas désactiver un module personnalisé descendant. Par exemple, si vous vous trouvez dans la vue "Organisation", vous ne pouvez pas désactiver un module personnalisé créé au niveau du projet.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Remplacez les éléments suivants :

CUSTOM_MODULE_ID: ID numérique du module personnalisé d'Event Threat Detection (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique à partir du champ name du module personnalisé approprié lorsque vous affichez la liste des modules personnalisés.
RESOURCE_FLAG: champ d'application de la ressource parente où se trouve le module personnalisé (organization, folder ou project).
RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.

Activer un module personnalisé

Console

Consultez Activer ou désactiver un module.

Lorsque vous activez un module personnalisé hérité, vos modifications ne sont appliquées qu'à votre niveau de ressource actuel. Le module personnalisé d'origine situé au niveau parent n'est pas affecté. Par exemple, si vous êtes au niveau du projet et que vous activez un module personnalisé hérité du dossier parent, le module personnalisé n'est activé qu'au niveau du projet.

Vous ne pouvez pas activer un module personnalisé descendant. Par exemple, si vous vous trouvez dans la vue "Organisation", vous ne pouvez pas activer un module personnalisé créé au niveau du projet.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Remplacez les éléments suivants :

CUSTOM_MODULE_ID: ID numérique du module personnalisé d'Event Threat Detection (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique à partir du champ name du module personnalisé approprié lorsque vous affichez la liste des modules personnalisés.
RESOURCE_FLAG: champ d'application de la ressource parente où se trouve le module personnalisé (organization, folder ou project).
RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.

Mettre à jour la définition d'un module personnalisé

Cette section explique comment mettre à jour un module personnalisé via la console Google Cloud et gcloud CLI. La taille de chaque module personnalisé d'Event Threat Detection est de 6 Mo.

Vous ne pouvez pas mettre à jour le type d'un module personnalisé.

Pour mettre à jour un module personnalisé, procédez comme suit:

Console

Vous ne pouvez modifier que les modules résidentiels personnalisés. Par exemple, dans la vue "Organisation", vous ne pouvez modifier que les modules personnalisés créés au niveau de l'organisation.

Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
Recherchez le module personnalisé que vous souhaitez modifier.
Pour ce module personnalisé, cliquez sur Actions > Modifier.
Modifiez le module personnalisé selon vos besoins.
Cliquez sur Enregistrer.

gcloud

Pour mettre à jour un module, exécutez la commande suivante et incluez le fichier JSON du modèle de module mis à jour:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Remplacez les éléments suivants :

CUSTOM_MODULE_ID: ID numérique du module personnalisé d'Event Threat Detection (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique à partir du champ name du module personnalisé approprié lorsque vous affichez la liste des modules personnalisés.
RESOURCE_FLAG: champ d'application de la ressource parente où se trouve le module personnalisé (organization, folder ou project).
RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.
PATH_TO_JSON_FILE: fichier JSON contenant la définition JSON du module personnalisé.

Vérifier l'état d'un module personnalisé unique

Console

Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
Recherchez le module personnalisé dans la liste.

L'état du module personnalisé s'affiche dans la colonne État.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Remplacez les éléments suivants :

CUSTOM_MODULE_ID: ID numérique du module personnalisé d'Event Threat Detection (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique à partir du champ name du module personnalisé approprié lorsque vous affichez la liste des modules personnalisés.
RESOURCE_FLAG: champ d'application de la ressource parente où se trouve le module personnalisé (organization, folder ou project).
RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.

Le résultat ressemble à ce qui suit et inclut l'état et les propriétés du module. Les propriétés diffèrent pour chaque module.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Supprimer un module personnalisé

Lorsque vous supprimez un module personnalisé d'Event Threat Detection, les résultats qu'il a générés ne sont pas modifiés et restent disponibles dans Security Command Center. En revanche, lorsque vous supprimez un module personnalisé d'analyse de l'état de sécurité, ses résultats générés sont marqués comme inactifs.

Vous ne pouvez pas récupérer un module personnalisé supprimé.

Console

Vous ne pouvez pas supprimer les modules personnalisés hérités. Par exemple, si vous êtes dans la vue du projet, vous ne pouvez pas supprimer les modules personnalisés créés au niveau du dossier ou de l'organisation.

Pour supprimer un module personnalisé via la console Google Cloud, procédez comme suit:

Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
Recherchez le module personnalisé que vous souhaitez supprimer.
Pour ce module personnalisé, cliquez sur Actions > Supprimer. Un message s'affiche pour vous inviter à confirmer la suppression.
Cliquez sur Supprimer.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Remplacez les éléments suivants :

CUSTOM_MODULE_ID: ID numérique du module personnalisé d'Event Threat Detection (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique à partir du champ name du module personnalisé approprié lorsque vous affichez la liste des modules personnalisés.
RESOURCE_FLAG: champ d'application de la ressource parente où se trouve le module personnalisé (organization, folder ou project).
RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.

Cloner un module personnalisé

Lorsque vous clonez un module personnalisé, le module personnalisé obtenu est créé en tant que résident de la ressource que vous consultez. Par exemple, si vous clonez un module personnalisé dont votre projet a hérité de l'organisation, le nouveau module personnalisé est un module résidentiel du projet.

Vous ne pouvez pas cloner un module personnalisé descendant.

Pour cloner un module personnalisé via la console Google Cloud, procédez comme suit:

Consultez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
Recherchez le module personnalisé que vous souhaitez cloner.
Pour ce module personnalisé, cliquez sur Actions > Clone (Cloner).
Modifiez le module personnalisé selon vos besoins.
Cliquez sur Créer.

Étapes suivantes

Apprenez-en davantage sur les modules personnalisés pour Event Threat Detection.