Questa pagina è stata tradotta dall'API Cloud Translation.

Creare e gestire moduli personalizzati per Event Threat Detection

Questa pagina spiega come creare e gestire moduli personalizzati per Event Threat Detection.

Prima di iniziare

In questa sezione vengono descritti i requisiti per l'utilizzo dei moduli personalizzati per Event Threat Detection.

Security Command Center Premium ed Event Threat Detection

Per utilizzare i moduli personalizzati di Event Threat Detection, è necessario abilitare Event Threat Detection. A abilitare Event Threat Detection, consulta Attivare o disattivare un servizio integrato.

Ruoli IAM

I ruoli IAM determinano le azioni che puoi eseguire con i moduli personalizzati di Event Threat Detection.

Importante: a partire dal 22 gennaio 2024, la funzionalità dei moduli personalizzati nella console Google Cloud, eseguiranno la migrazione a una nuova API sottostante.

Se la tua azienda utilizza ruoli IAM personalizzati per un controllo rigoroso dell'accesso alle risorse Google Cloud, per continuare a lavorare con moduli personalizzati nella console Google Cloud dopo questa data, dovrai chiedere al team di aggiungere le seguenti autorizzazioni al ruolo personalizzato prima della data della migrazione, in base alle tue responsabilità:

Per visualizzare o testare i moduli di rilevamento personalizzati di Event Threat Detection, devi disporre delle seguenti autorizzazioni, contenute nel ruolo IAM Security Center Management ETD Custom Modules Viewer (securitycentermanagement.etdCustomModulesViewer):
- securitycentermanagement.eventThreatDetectionCustomModules.list
- securitycentermanagement.eventThreatDetectionCustomModules.get
- securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
- securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
- securitycentermanagement.eventThreatDetectionCustomModules.validate
Per modificare i moduli di rilevamento personalizzati di Event Threat Detection, oltre al autorizzazioni precedenti, è necessario anche le seguenti autorizzazioni, contenute nel ruolo IAM, Editor moduli ETD personalizzati gestione Centro sicurezza (securitycentermanagement.etdCustomModulesEditor):
- securitycentermanagement.eventThreatDetectionCustomModules.create
- securitycentermanagement.eventThreatDetectionCustomModules.update
- securitycentermanagement.eventThreatDetectionCustomModules.delete

Se la tua azienda utilizza ruoli IAM predefiniti, non è necessario fare qualsiasi cosa. Le nuove autorizzazioni sono già incluse nei ruoli predefiniti.

La tabella seguente contiene un elenco delle autorizzazioni dei moduli personalizzati di Event Threat Detection e i ruoli IAM predefiniti che le includono. Queste autorizzazioni sono valide almeno fino al 22 gennaio 2024. Dopo il giorno in quella data, le autorizzazioni elencate nella seconda tabella .

Puoi utilizzare la console Google Cloud o l'API Security Command Center per applicare questi ruoli a livello di organizzazione, cartella o progetto.

Autorizzazioni richieste prima del 22 gennaio 2024	Ruolo
`securitycenter.eventthreatdetectioncustommodules.create` `securitycenter.eventthreatdetectioncustommodules.update` `securitycenter.eventthreatdetectioncustommodules.delete`	`roles/securitycenter.settingsEditor` `roles/securitycenter.admin`
`securitycenter.eventthreatdetectioncustommodules.get` `securitycenter.eventthreatdetectioncustommodules.list`	`roles/securitycenter.settingsViewer` `roles/securitycenter.adminViewer` `roles/securitycenter.admin`

La tabella seguente contiene un elenco delle autorizzazioni per i moduli personalizzati di Event Threat Detection obbligatorie a partire dal 22 gennaio 2024, nonché i ruoli IAM predefiniti che le includono.

Puoi utilizzare la console Google Cloud o l'API Security Command Center per applicare questi ruoli a livello di organizzazione, cartella o progetto.

Autorizzazioni richieste dopo il 22 gennaio 2024	Ruolo
`securitycentermanagement.eventThreatDetectionCustomModules.create` `securitycentermanagement.eventThreatDetectionCustomModules.update` `securitycentermanagement.eventThreatDetectionCustomModules.delete`	`roles/securitycentermanagement.etdCustomModulesEditor` `roles/securitycenter.settingsEditor` `roles/securitycenter.admin`
`securitycentermanagement.eventThreatDetectionCustomModules.list` `securitycentermanagement.eventThreatDetectionCustomModules.get` `securitycentermanagement.effectiveEventThreatDetectionCustomModules.list` `securitycentermanagement.effectiveEventThreatDetectionCustomModules.get` `securitycentermanagement.eventThreatDetectionCustomModules.validate`	`roles/securitycentermanagement.etdCustomModulesViewer` `roles/securitycentermanagement.etdCustomModulesEditor` `roles/securitycenter.adminViewer` `roles/securitycenter.admin`

Se si verificano errori di accesso in Security Command Center, chiedi assistenza al tuo amministratore. Leggi uno dei le pagine seguenti a seconda del livello al quale hai eseguito l'attivazione Security Command Center:

Log obbligatori

Assicurati che i log pertinenti siano attivati per l'organizzazione, le cartelle e progetti. Per informazioni su quali log sono richiesti da ogni tipo di modulo, consulta la tabella in Moduli personalizzati e modelli.

I log provenienti da origini esterne a Google Cloud non sono supportati.

Livelli di moduli personalizzati

In questo documento vengono utilizzati i termini riportati di seguito per descrivere il livello a cui un utente è stato creato:

Modulo residenziale: Il modulo è stato creato nella visualizzazione o nell'ambito corrente. Ad esempio, la vista dell'organizzazione della console Google Cloud, i moduli residenziali sono i moduli creati a livello di organizzazione.
Modulo ereditato: Il modulo è stato creato in una visualizzazione o in un ambito principale. Ad esempio, un modulo creato a livello di organizzazione è un modulo ereditato a qualsiasi livello di cartella o progetto.
Modulo discendente: Il modulo è stato creato in un ambito o in una vista secondaria. Ad esempio, un modulo creato a livello di cartella o progetto è un modulo discendente a livello di organizzazione.

Crea moduli personalizzati

Puoi creare moduli personalizzati di Event Threat Detection tramite la console Google Cloud o modificando un modello JSON e inviandolo tramite la CLI gcloud. Ti servono modelli JSON solo se prevedi di farlo per utilizzare gcloud CLI per creare moduli personalizzati.

Per un elenco dei modelli di modulo supportati, consulta Modelli e moduli personalizzati.

Struttura del modello

I modelli definiscono i parametri utilizzati dai moduli personalizzati per identificare le minacce nei log. I modelli sono scritti in JSON e hanno una struttura simile generati da Security Command Center. Devi configurare un modello JSON solo se prevedi di utilizzare gcloud CLI per creare un modulo personalizzato.

Ogni modello contiene campi personalizzabili:

severity: la gravità o il livello di rischio che vuoi assegnare ai risultati di questa type, LOW, MEDIUM, HIGH o CRITICAL.
description: la descrizione del modulo personalizzato.
recommendation: azioni consigliate per risolvere i risultati generati dal modulo personalizzato.
Parametri di rilevamento: le variabili utilizzate per valutare i log e attivare i risultati. I parametri di rilevamento variano per ogni modulo, ma includono uno o scopri come:
- domains: domini web da monitorare
- ips: indirizzi IP da monitorare
- permissions: autorizzazioni da controllare
- regions: regioni in cui sono consentite nuove istanze Compute Engine
- roles: ruoli da tenere d'occhio
- accounts: account da controllare
- Parametri che definiscono i tipi di istanza Compute Engine consentiti, ad esempio series, cpus e ram_mb.
- Espressioni regolari da utilizzare per controllare le proprietà, ad esempio caller_pattern e resource_pattern.

Il seguente esempio di codice è un modello JSON di esempio per Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Nell'esempio precedente, il modulo personalizzato genera un risultato di bassa gravità se i log indicano una risorsa collegata all'indirizzo IP 192.0.2.1 o 192.0.2.0/24.

Modificare un modello di modulo

Per creare i moduli, scegli un modello di modulo e modificalo.

Se prevedi di utilizzare Google Cloud CLI per creare il tuo modulo personalizzato, devi eseguire questa operazione.

Se prevedi di utilizzare la console Google Cloud per creare il tuo modulo personalizzato, salta questa attività. Utilizzerai le opzioni sullo schermo per modificare parametri del modello.

Scegli un modello da Modelli e moduli personalizzati.
Copia il codice in un file locale.
Aggiorna i parametri che vuoi utilizzare per valutare i log.
Salva il file come file JSON.
Crea un modulo personalizzato mediante gcloud CLI utilizzando il comando JSON.

Crea un modulo personalizzato

Questa sezione descrive come creare un modulo personalizzato tramite la console Google Cloud e il client gcloud. Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensione di 6 MB.

Per creare un modulo personalizzato:

Console

Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzate in un elenco.
Fai clic su Crea modulo.
Fai clic sul modello di modulo che vuoi utilizzare.
Fai clic su Seleziona.
In Nome modulo, inserisci un nome visualizzato per il nuovo modello. Il nome non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici e trattini bassi, ad esempio example_custom_module.
Seleziona o aggiungi i valori parametro richiesti. I parametri sono diversi per ogni modulo. Ad esempio, se hai selezionato il modello di modulo Configurable allowed Compute Engine region, seleziona una o più regioni. In alternativa, fornisci l'elenco in formato JSON.
Fai clic su Avanti.
In Gravità, inserisci il livello di gravità da assegnare ai risultati generati dal nuovo modulo personalizzato.
In Descrizione, inserisci una descrizione per il nuovo modulo personalizzato.
In Passaggi successivi, inserisci le azioni consigliate in formato di testo normale. Eventuali interruzioni di paragrafo che aggiungi vengono ignorate.
Fai clic su Crea.

gcloud

Crea un file JSON contenente la definizione del modulo personalizzato. Utilizza i modelli in Modelli e moduli personalizzati come guida.
Crea il modulo personalizzato inviando il file JSON in un comando gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Sostituisci quanto segue:

RESOURCE_FLAG: l'ambito della risorsa padre in cui l'elemento ; uno tra organization, folder o project.
RESOURCE_ID: l'ID risorsa della risorsa padre; ovvero ID organizzazione, ID cartella o ID progetto.
DISPLAY_NAME: un nome visualizzato per il nuovo modello. Il nome non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici caratteri e trattini bassi.
MODULE_TYPE: il tipo di modulo personalizzato che vuoi creare, ad esempio CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
PATH_TO_JSON_FILE: il file JSON contenente la definizione JSON del modulo personalizzato in base al modello del modulo.

Il modulo personalizzato viene creato e inizia la scansione. Per eliminare un modulo, vedi Eliminare un modulo personalizzato.

Il nome della categoria del modulo personalizzato contiene la categoria di risultati del tipo di modulo e il nome visualizzato del modulo impostato. Ad esempio, il nome della categoria di un modulo personalizzato può essere Unexpected Compute Engine Region: example_custom_module. Nella console Google Cloud, i trattini bassi vengono visualizzati come spazi. Tuttavia, per le query, devi includere i trattini bassi.

Quote gestire l'uso dei moduli personalizzati per Event Threat Detection.

Latenza del rilevamento

La latenza di rilevamento per Event Threat Detection e tutti gli altri strumenti I servizi di Security Command Center sono descritti in Scansione per minimizzare la latenza.

Esamina i risultati

I risultati generati dai moduli personalizzati possono essere visualizzati nella console Google Cloud o mediante gcloud CLI.

Console

Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Vai a Risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Moduli personalizzati per il rilevamento delle minacce basate su eventi. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
(Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

gcloud

Per utilizzare gcloud CLI per visualizzare i risultati, segui questi passaggi:

Apri una finestra del terminale.
Recupera l'ID origine per i moduli personalizzati di Event Threat Detection. Il comando dipende dall'attivazione o meno di Security Command Center nell'organizzazione a livello di progetto o di progetto:
```
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'
```
Sostituisci quanto segue:
- RESOURCE_LEVEL: il livello di attivazione di Istanza Security Command Center; uno tra organizations o projects.
- RESOURCE_ID: l'ID risorsa della tua organizzazione o del tuo progetto.
L'output è simile al seguente. SOURCE_ID è un assegnato dal server per le origini di sicurezza.
```
canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
```
Per elencare tutti i risultati per Event Threat Detection personalizzato moduli, esegui questo comando con l'ID origine della precedente passaggio:
```
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
```
Sostituisci quanto segue:
- RESOURCE_LEVEL: il livello della risorsa in cui voglio elencare i risultati; uno tra organizations, folders o projects.
- RESOURCE_ID: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
- SOURCE_ID: l'ID origine per i moduli personalizzati di Event Threat Detection.
Per elencare i risultati per un modulo personalizzato specifico, esegui questo comando:
```
MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
```
Sostituisci quanto segue:
- CUSTOM_MODULE_CATEGORY_NAME: il nome della categoria di il modulo personalizzato. Questo nome è composto dalla categoria di risultati del tipo di modulo (come elencato in Modelli e moduli personalizzati) e dal nome visualizzato del modulo con i trattini bassi al posto degli spazi. Per Ad esempio, il nome della categoria di un modulo personalizzato può essere Unexpected Compute Engine region: example_custom_module.
- RESOURCE_LEVEL: il livello della risorsa in cui voglio elencare i risultati; uno tra organizations, folders o projects.
- RESOURCE_ID: l'ID della risorsa; ovvero ID organizzazione, ID cartella o ID progetto.
- SOURCE_ID: l'ID origine dei moduli personalizzati di Event Threat Detection.

Per scoprire di più su come filtrare i risultati, consulta Risultati relativi alla sicurezza.

I risultati generati dai moduli personalizzati possono essere gestiti come tutti i risultati in Security Command Center. Per ulteriori informazioni, consulta le seguenti risorse:

Gestire i moduli personalizzati di Event Threat Detection

Questa sezione descrive come visualizzare, elencare, aggiornare ed eliminare Event Threat Detection moduli personalizzati.

Visualizza o elenca moduli personalizzati

Console

Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzate in un elenco.
(Facoltativo) Per visualizzare solo i moduli personalizzati, inserisci Tipo:Personalizzato nel campo Filtro.

I risultati includono:

Tutti i moduli personalizzati di Event Threat Detection residenziali.
Tutti i moduli personalizzati di Event Threat Detection ereditati. Ad esempio, se ti trovi nella visualizzazione progetto, i moduli personalizzati creati l'organizzazione e le cartelle principali del progetto sono incluse nei risultati.
Tutti i moduli personalizzati discendenti Event Threat Detection creati nelle risorse figlio. Ad esempio, se ti trovi nella visualizzazione Organizzazione, i moduli personalizzati sono stati creati nelle cartelle e i progetti all'interno di questa organizzazione sono inclusi i risultati.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Sostituisci quanto segue:

RESOURCE_FLAG: l'ambito in cui vuoi elencare i moduli personalizzati; uno tra organization, folder o project.
RESOURCE_ID: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

I risultati includono:

Tutti i moduli personalizzati di Event Threat Detection residenziali.
Tutti i moduli personalizzati di Event Threat Detection ereditati. Ad esempio, quando elenchi i moduli personalizzati a livello di progetto, i moduli personalizzati creati nelle cartelle principali e nell'organizzazione del progetto sono inclusi nei risultati.

Ogni elemento nei risultati include il nome, lo stato e proprietà. Le proprietà variano per ogni modulo.

Il nome di ogni modulo contiene il relativo ID modulo personalizzato. Molte operazioni gcloud in questa pagina richiedono l'ID modulo personalizzato.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Disattivare un modulo personalizzato

Console

Consulta Attivare o disattivare un modulo.

Quando disattivi un modulo personalizzato ereditato, le modifiche vengono applicate solo al livello di risorsa corrente. Il modulo personalizzato originale che si trova nell'elemento principale questo livello non viene influenzato. Ad esempio, se ti trovi a livello di progetto disattiverà un modulo personalizzato ereditato dalla cartella principale, è disabilitato solo a livello di progetto.

Non puoi disattivare un modulo personalizzato secondario. Ad esempio, se ti trovi nella vista dell'organizzazione, non puoi disattivare un modulo personalizzato creato a livello di progetto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Sostituisci quanto segue:

CUSTOM_MODULE_ID: l'ID numerico del Modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi recuperare l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
RESOURCE_FLAG: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno tra organization, folder o project.
RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

Attivare un modulo personalizzato

Console

Consulta Attivare o disattivare un modulo.

Quando attivi un modulo personalizzato ereditato, le modifiche vengono applicate solo al livello di risorsa corrente. Il modulo personalizzato originale che si trova nell'elemento principale questo livello non viene influenzato. Ad esempio, se sei a livello di progetto e attivi un modulo personalizzato ereditato dalla cartella principale, il modulo personalizzato viene attivato solo a livello di progetto.

Non puoi attivare un modulo personalizzato secondario. Ad esempio, se sei nella vista dell'organizzazione, non puoi attivare un modulo personalizzato creato a livello di progetto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Sostituisci quanto segue:

CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi ottenere l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
RESOURCE_FLAG: l'ambito della risorsa padre in cui si trova il modulo personalizzato; uno tra organization, folder o project.
RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

Aggiorna la definizione di un modulo personalizzato

Questa sezione descrive come aggiornare un modulo personalizzato tramite console Google Cloud e tramite gcloud CLI. Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensione di 6 MB.

Non puoi aggiornare il tipo di modulo di un modulo personalizzato.

Per aggiornare un modulo personalizzato, segui questi passaggi:

Console

Puoi modificare solo i moduli personalizzati residenziali. Ad esempio, se ti trovi nella organizzazione, puoi modificare solo i moduli personalizzati creati a livello di organizzazione.

Visualizza il moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzate in un elenco.
Trova il modulo personalizzato che vuoi modificare.
Per il modulo personalizzato, fai clic su Azioni > Modifica.
Modifica il modulo personalizzato in base alle tue esigenze.
Fai clic su Salva.

gcloud

Per aggiornare un modulo, esegui il seguente comando e includi il modello JSON del modulo aggiornato:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Sostituisci quanto segue:

CUSTOM_MODULE_ID: l'ID numerico di Event Threat Detection modulo personalizzato, ad esempio 1234567890. Puoi ottenere l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco di moduli personalizzati.
RESOURCE_FLAG: l'ambito della risorsa padre in cui si trova il modulo personalizzato; uno tra organization, folder o project.
RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
PATH_TO_JSON_FILE: il file JSON contenente la definizione JSON del modulo personalizzato.

Controllare lo stato di un singolo modulo personalizzato

Console

Visualizza il moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
Trova il modulo personalizzato nell'elenco.

Lo stato del modulo personalizzato è visualizzato nella colonna Stato.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Sostituisci quanto segue:

CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi recuperare l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
RESOURCE_FLAG: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno tra organization, folder o project.
RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

L'output è simile al seguente e include lo stato e le proprietà del modulo. Le proprietà sono diverse per ogni modulo.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Elimina un modulo personalizzato

Quando elimini un modulo personalizzato di Event Threat Detection, i risultati che ha generate non vengono modificate e rimangono disponibili in Security Command Center. Nella quando elimini un account Security Health Analytics personalizzato modulo, i risultati generati sono contrassegnati come non attivi.

Non puoi recuperare un modulo personalizzato eliminato.

Console

Non puoi eliminare i moduli personalizzati ereditati. Ad esempio, se ti trovi nella visualizzazione progetto, non puoi eliminare i moduli personalizzati che sono stati creati a livello di cartella o organizzazione.

Per eliminare un modulo personalizzato tramite la console Google Cloud, segui questi passaggi:

Visualizza il moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzate in un elenco.
Individua il modulo personalizzato che desideri eliminare.
Per il modulo personalizzato, fai clic su Azioni > Elimina. Viene visualizzato un messaggio che ti chiede di confermare l'eliminazione.
Fai clic su Elimina.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Sostituisci quanto segue:

CUSTOM_MODULE_ID: l'ID numerico del Modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi recuperare l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
RESOURCE_FLAG: l'ambito della risorsa padre in cui si trova il modulo personalizzato; uno tra organization, folder o project.
RESOURCE_ID: l'ID della risorsa padre; cioè l'ID organizzazione, l'ID cartella o l'ID progetto.

Clona un modulo personalizzato

Quando cloni un modulo personalizzato, il modulo personalizzato risultante viene creato come che risiede nella risorsa che stai visualizzando. Ad esempio, se cloni un modulo personalizzato ereditato dal progetto dall'organizzazione, il nuovo modulo personalizzato è un modulo residenziale nel progetto.

Non puoi clonare un modulo personalizzato discendente.

Per clonare un modulo personalizzato tramite la console Google Cloud, segui questi passaggi:

Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
Individua il modulo personalizzato che vuoi clonare.
Per il modulo personalizzato, fai clic su Azioni > Clona.
Modifica il modulo personalizzato in base alle esigenze.
Fai clic su Crea.

Passaggi successivi

Scopri di più su moduli personalizzati per Event Threat Detection.