Benutzerdefinierte Module für Event Threat Detection erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie benutzerdefinierte Module für Event Threat Detection erstellen und verwalten.

Hinweise

In diesem Abschnitt werden die Anforderungen für die Verwendung benutzerdefinierter Module für Event Threat Detection beschrieben.

Security Command Center Premium und Event Threat Detection

Wenn Sie benutzerdefinierte Module für Event Threat Detection verwenden möchten, muss Event Threat Detection aktiviert sein. Weitere Informationen zum Aktivieren von Event Threat Detection finden Sie unter Einen integrierten Dienst aktivieren oder deaktivieren.

IAM-Rollen

IAM-Rollen bestimmen die Aktionen, die Sie mit benutzerdefinierten Modulen für Event Threat Detection ausführen können.

Die folgende Tabelle enthält eine Liste der Berechtigungen für benutzerdefinierte Module von Event Threat Detection und die vordefinierten IAM-Rollen, die diese enthalten. Diese Berechtigungen sind mindestens bis zum 22. Januar 2024 gültig. Danach sind die in der zweiten Tabelle aufgeführten Berechtigungen erforderlich.

Sie können die Google Cloud Console oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.

Vor dem 22. Januar 2024 erforderliche Berechtigungen Rolle
securitycenter.eventthreatdetectioncustommodules.create
securitycenter.eventthreatdetectioncustommodules.update
securitycenter.eventthreatdetectioncustommodules.delete		 roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.eventthreatdetectioncustommodules.get
securitycenter.eventthreatdetectioncustommodules.list		 roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin

Die folgende Tabelle enthält eine Liste der Berechtigungen für benutzerdefinierte Module von Event Threat Detection, die ab dem 22. Januar 2024 erforderlich sind, sowie die vordefinierten IAM-Rollen, die diese Berechtigungen enthalten.

Sie können die Google Cloud Console oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.

Erforderliche Berechtigungen nach dem 22. Januar 2024 Rolle
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete		 roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate		 roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Wenn im Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator. Je nachdem, auf welcher Ebene Sie Security Command Center aktiviert haben, rufen Sie eine der folgenden Seiten auf:

Erforderliche Protokolle

Prüfen Sie, ob die relevanten Protokolle für Ihre Organisation, Ordner und Projekte aktiviert sind. Informationen dazu, welche Protokolle für die einzelnen benutzerdefinierten Modultypen erforderlich sind, finden Sie in der Tabelle unter Benutzerdefinierte Module und Vorlagen.

Protokolle von Quellen außerhalb von Google Cloud werden nicht unterstützt.

Benutzerdefinierte Modulebenen

In diesem Dokument werden die folgenden Begriffe verwendet, um die Ebene zu beschreiben, auf der ein benutzerdefiniertes Modul erstellt wurde:

Modul „Wohngebäude“
Das Modul wurde in der aktuellen Ansicht oder im aktuellen Umfang erstellt. Wenn Sie sich beispielsweise in der Organisationsansicht der Google Cloud Console befinden, sind die Unterkünfte die Module, die auf Organisationsebene erstellt wurden.
Übernommenes Modul
Das Modul wurde in einer übergeordneten Ansicht oder einem übergeordneten Bereich erstellt. Ein auf Organisationsebene erstelltes Modul ist beispielsweise ein übernommenes Modul auf jeder Ordner- oder Projektebene.
Abgeleitetes Modul
Das Modul wurde in einer untergeordneten Ansicht oder einem untergeordneten Bereich erstellt. Ein auf Ordner- oder Projektebene erstelltes Modul ist beispielsweise ein untergeordnetes Modul auf Organisationsebene.

Benutzerdefinierte Module erstellen

Sie können benutzerdefinierte Module für die Ereignisbedrohungserkennung über die Google Cloud Console oder durch Ändern einer JSON-Vorlage und Einreichen über die gcloud CLI erstellen. Sie benötigen JSON-Vorlagen nur, wenn Sie benutzerdefinierte Module mit der gcloud CLI erstellen möchten.

Eine Liste der unterstützten Modulvorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.

Vorlagenstruktur

Vorlagen definieren die Parameter, mit denen benutzerdefinierte Module Bedrohungen in Ihren Protokollen erkennen. Vorlagen sind in JSON geschrieben und ähneln in ihrer Struktur den von Security Command Center generierten Ergebnissen. Sie müssen nur dann eine JSON-Vorlage konfigurieren, wenn Sie ein benutzerdefiniertes Modul mit der gcloud CLI erstellen möchten.

Jede Vorlage enthält anpassbare Felder:

  • severity: die Schwere oder Risikostufe, die Ergebnissen dieses Typs zugewiesen werden soll, LOW, MEDIUM, HIGH oder CRITICAL.
  • description: die Beschreibung des benutzerdefinierten Moduls.
  • recommendation: Empfohlene Maßnahmen zur Behebung von Problemen, die vom benutzerdefinierten Modul ermittelt wurden.
  • Erkennungsparameter: Variablen, mit denen Protokolle ausgewertet und Ergebnisse ausgelöst werden. Die Erkennungsparameter unterscheiden sich je nach Modul, umfassen aber mindestens einen der folgenden:
    • domains: Webdomains, die beobachtet werden sollen
    • ips: IP-Adressen, die beobachtet werden sollen
    • permissions: Berechtigungen, auf die Sie achten sollten
    • regions: Regionen, in denen neue Compute Engine-Instanzen zulässig sind
    • roles: Rollen, die Sie im Auge behalten sollten
    • accounts: Konten, die beobachtet werden sollen
    • Parameter, die die zulässigen Compute Engine-Instanztypen definieren, z. B. series, cpus und ram_mb.
    • Reguläre Ausdrücke, mit denen Eigenschaften abgeglichen werden sollen, z. B. caller_pattern und resource_pattern.

Das folgende Codebeispiel ist eine Beispiel-JSON-Vorlage für Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Im vorherigen Beispiel generiert das benutzerdefinierte Modul eine Meldung mit niedriger Priorität, wenn Ihre Protokolle eine Ressource anzeigen, die mit der IP-Adresse 192.0.2.1 oder 192.0.2.0/24 verbunden ist.

Modulvorlage ändern

Wenn Sie Module erstellen möchten, wählen Sie eine Modulvorlage aus und ändern Sie sie.

Wenn Sie das benutzerdefinierte Modul mit der Google Cloud CLI erstellen möchten, müssen Sie diese Aufgabe ausführen.

Wenn Sie das benutzerdefinierte Modul mit der Google Cloud Console erstellen möchten, überspringen Sie diese Aufgabe. Mit den Optionen auf dem Bildschirm können Sie die Parameter der Vorlage ändern.

  1. Wählen Sie unter Benutzerdefinierte Module und Vorlagen eine Vorlage aus.
  2. Kopieren Sie den Code in eine lokale Datei.
  3. Aktualisieren Sie die Parameter, die Sie zur Auswertung Ihrer Protokolle verwenden möchten.
  4. Speichern Sie die Datei als JSON-Datei.
  5. Erstellen Sie mithilfe der JSON-Datei ein benutzerdefiniertes Modul über die gcloud CLI.

Benutzerdefiniertes Modul erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein benutzerdefiniertes Modul über die Google Cloud Console und die gcloud CLI erstellen. Die Größe jedes benutzerdefinierten Event Threat Detection-Moduls ist auf 6 MB begrenzt.

So erstellen Sie ein benutzerdefiniertes Modul:

Console

  1. Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Klicken Sie auf Modul erstellen.
  3. Klicken Sie auf die gewünschte Modulvorlage.
  4. Klicken Sie auf Auswählen.
  5. Geben Sie unter Modulname einen Anzeigenamen für die neue Vorlage ein. Der Name darf 128 Zeichen nicht überschreiten und nur alphanumerische Zeichen und Unterstriche enthalten, z. B. example_custom_module.
  6. Wählen Sie die angeforderten Parameterwerte aus oder fügen Sie sie hinzu. Die Parameter unterscheiden sich je nach Modul. Wenn Sie beispielsweise die Configurable allowed Compute Engine region-Modulvorlage ausgewählt haben, wählen Sie eine oder mehrere Regionen aus. Alternativ können Sie die Liste im JSON-Format angeben.
  7. Klicken Sie auf Weiter.
  8. Geben Sie unter Schweregrad den Schweregrad ein, den Sie den Ergebnissen zuweisen möchten, die vom neuen benutzerdefinierten Modul generiert werden.
  9. Geben Sie unter Beschreibung eine Beschreibung für das neue benutzerdefinierte Modul ein.
  10. Geben Sie unter Nächste Schritte die empfohlenen Maßnahmen im Klartext ein. Von Ihnen hinzugefügte Absatztrennungen werden ignoriert.
  11. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie eine JSON-Datei mit der Definition des benutzerdefinierten Moduls. Orientieren Sie sich an den Vorlagen unter Benutzerdefinierte Module und Vorlagen.

  2. Erstellen Sie das benutzerdefinierte Modul, indem Sie die JSON-Datei in einem gcloud-Befehl senden:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ersetzen Sie Folgendes:

  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der das benutzerdefinierte Modul erstellt wird. Dies kann einer der folgenden Werte sein: organization, folder oder project.
  • RESOURCE_ID: die Ressourcen-ID der übergeordneten Ressource, also die Organisations-ID, Ordner-ID oder Projekt-ID.
  • DISPLAY_NAME: Ein Anzeigename für die neue Vorlage. Der Name darf maximal 128 Zeichen lang sein und nur alphanumerische Zeichen und Unterstriche enthalten.
  • MODULE_TYPE: der Typ des benutzerdefinierten Moduls, das Sie erstellen möchten, z. B. CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
  • PATH_TO_JSON_FILE: die JSON-Datei mit der JSON-Definition des benutzerdefinierten Moduls, die auf der Modulvorlage basiert.

Ihr benutzerdefiniertes Modul wird erstellt und der Scan beginnt. Informationen zum Löschen eines Moduls finden Sie unter Benutzerdefiniertes Modul löschen.

Der Kategorienamen des benutzerdefinierten Moduls enthält die Ergebniskategorie des Modultyps und den von Ihnen festgelegten Anzeigenamen des Moduls. Der Kategoriename eines benutzerdefinierten Moduls kann beispielsweise Unexpected Compute Engine Region: example_custom_module sein. In der Google Cloud Console werden Unterstriche als Leerzeichen angezeigt. In Ihren Abfragen müssen Sie jedoch Unterstriche verwenden.

Kontingente steuern die Nutzung benutzerdefinierter Module für Event Threat Detection.

Erkennungslatenz

Die Erkennungslatenz für Event Threat Detection und alle anderen integrierten Security Command Center-Dienste wird unter Scan-Latenz beschrieben.

Ergebnisse prüfen

Von benutzerdefinierten Modulen generierte Ergebnisse können in der Google Cloud Console oder mithilfe der gcloud CLI angezeigt werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Benutzerdefinierte Module für die Ereignisbedrohungserkennung aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

gcloud

So rufen Sie mit der gcloud CLI Ergebnisse auf:

  1. Öffnen Sie ein Terminalfenster.

  2. Quell-ID für benutzerdefinierte Module für Event Threat Detection abrufen Der Befehl hängt davon ab, ob Sie Security Command Center auf Organisations- oder Projektebene aktiviert haben:

    gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'

    Ersetzen Sie Folgendes:

    • RESOURCE_LEVEL: die Aktivierungsstufe Ihrer Security Command Center-Instanz (organizations oder projects)
    • RESOURCE_ID: die Ressourcen-ID Ihrer Organisation oder Ihres Projekts.

    Die Ausgabe sollte so aussehen. SOURCE_ID ist eine vom Server zugewiesene ID für Sicherheitsquellen.

    canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID

  3. Führen Sie den folgenden Befehl mit der Quellen-ID aus dem vorherigen Schritt aus, um alle Ergebnisse für benutzerdefinierte Module zur Ereignisbedrohungserkennung aufzulisten:

    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID

    Ersetzen Sie Folgendes:

    • RESOURCE_LEVEL: Die Ressourcenebene, auf der Sie die Ergebnisse auflisten möchten. Mögliche Werte sind organizations, folders oder projects.
    • RESOURCE_ID: die ID der Ressource, also die Organisations-ID, Ordner-ID oder Projekt-ID.
    • SOURCE_ID: Die Quell-ID für benutzerdefinierte Module von Event Threat Detection.

  4. Führen Sie den folgenden Befehl aus, um die Ergebnisse für ein bestimmtes benutzerdefiniertes Modul aufzulisten:

    MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"

    Ersetzen Sie Folgendes:

    • CUSTOM_MODULE_CATEGORY_NAME: Der Name der Kategorie des benutzerdefinierten Moduls. Dieser Name besteht aus der Ergebniskategorie des Modultyps (wie unter Benutzerdefinierte Module und Vorlagen aufgeführt) und dem Anzeigenamen des Moduls mit Unterstrichen anstelle von Leerzeichen. Der Kategoriename eines benutzerdefinierten Moduls kann beispielsweise Unexpected Compute Engine region: example_custom_module sein.
    • RESOURCE_LEVEL: Die Ressourcenebene, auf der Sie die Ergebnisse auflisten möchten. Mögliche Werte sind organizations, folders oder projects.
    • RESOURCE_ID: die ID der Ressource, also die Organisations-ID, Ordner-ID oder Projekt-ID.
    • SOURCE_ID: die Quell-ID Ihrer benutzerdefinierten Module für die Ereignisbedrohungserkennung.

Weitere Informationen zum Filtern von Ergebnissen finden Sie unter Sicherheitsergebnisse auflisten.

Von benutzerdefinierten Modulen generierte Ergebnisse können wie alle Ergebnisse im Security Command Center verwaltet werden. Hier finden Sie weitere Informationen:

Benutzerdefinierte Module für Event Threat Detection verwalten

In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Module für Event Threat Detection aufrufen, auflisten, aktualisieren und löschen.

Benutzerdefinierte Module aufrufen oder auflisten

Console

  1. Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Optional: Wenn Sie nur die benutzerdefinierten Module sehen möchten, geben Sie im Feld Filter Typ:Benutzerdefiniert ein.

Die Ergebnisse enthalten Folgendes:

  • Alle benutzerdefinierten Module für Event Threat Detection für Privathaushalte
  • Alle übernommenen benutzerdefinierten Event Threat Detection-Module. Wenn Sie sich beispielsweise in der Projektansicht befinden, sind die benutzerdefinierten Module, die in den übergeordneten Ordnern und der Organisation dieses Projekts erstellt wurden, in den Ergebnissen enthalten.
  • Alle untergeordneten benutzerdefinierten Event Threat Detection-Module, die in untergeordneten Ressourcen erstellt wurden. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, sind die benutzerdefinierten Module, die in Ordnern und Projekten unter dieser Organisation erstellt wurden, in den Ergebnissen enthalten.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • RESOURCE_FLAG: Der Bereich, in dem Sie benutzerdefinierte Module auflisten möchten. Mögliche Werte sind organization, folder oder project.
  • RESOURCE_ID: die ID der Ressource, also die Organisations-ID, Ordner-ID oder Projekt-ID.

Die Ergebnisse enthalten Folgendes:

  • Alle benutzerdefinierten Module für Event Threat Detection für Privathaushalte
  • Alle übernommenen benutzerdefinierten Event Threat Detection-Module. Wenn Sie beispielsweise benutzerdefinierte Module auf Projektebene auflisten, werden die benutzerdefinierten Module, die in den übergeordneten Ordnern und der Organisation dieses Projekts erstellt wurden, in den Ergebnissen berücksichtigt.

Jedes Element in den Ergebnissen enthält den Namen, den Status und die Eigenschaften des Moduls. Die Eigenschaften unterscheiden sich je nach Modul.

Der Name jedes Moduls enthält die ID des benutzerdefinierten Moduls. Für viele gcloud-Vorgänge auf dieser Seite ist die benutzerdefinierte Modul-ID erforderlich.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Benutzerdefiniertes Modul deaktivieren

Console

Weitere Informationen finden Sie unter Module aktivieren oder deaktivieren.

Wenn Sie ein übernommenes benutzerdefiniertes Modul deaktivieren, werden Ihre Änderungen nur auf die aktuelle Ressourcenebene angewendet. Das ursprüngliche benutzerdefinierte Modul auf übergeordneter Ebene ist davon nicht betroffen. Wenn Sie beispielsweise auf Projektebene ein benutzerdefiniertes Modul deaktivieren, das vom übergeordneten Ordner übernommen wurde, wird es nur auf Projektebene deaktiviert.

Untergeordnete benutzerdefinierte Module können nicht deaktiviert werden. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie ein benutzerdefiniertes Modul, das auf Projektebene erstellt wurde, nicht deaktivieren.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls in der Liste der benutzerdefinierten Module.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein: organization, folder oder project.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.

Benutzerdefiniertes Modul aktivieren

Console

Weitere Informationen finden Sie unter Module aktivieren oder deaktivieren.

Wenn Sie ein übernommenes benutzerdefiniertes Modul aktivieren, werden Ihre Änderungen nur auf die aktuelle Ressourcenebene angewendet. Das ursprüngliche benutzerdefinierte Modul auf übergeordneter Ebene ist davon nicht betroffen. Wenn Sie beispielsweise auf Projektebene ein benutzerdefiniertes Modul aktivieren, das vom übergeordneten Ordner übernommen wurde, ist das benutzerdefinierte Modul nur auf Projektebene aktiviert.

Sie können kein untergeordnetes benutzerdefiniertes Modul aktivieren. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie kein benutzerdefiniertes Modul aktivieren, das auf Projektebene erstellt wurde.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie sich die Liste der benutzerdefinierten Module ansehen.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein: organization, folder oder project.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.

Definition eines benutzerdefinierten Moduls aktualisieren

In diesem Abschnitt wird beschrieben, wie Sie ein benutzerdefiniertes Modul über die Google Cloud Console und die gcloud CLI aktualisieren. Die Größe jedes benutzerdefinierten Event Threat Detection-Moduls ist auf 6 MB begrenzt.

Der Modultyp eines benutzerdefinierten Moduls kann nicht aktualisiert werden.

So aktualisieren Sie ein benutzerdefiniertes Modul:

Console

Sie können nur benutzerdefinierte Module für Wohngebäude bearbeiten. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie nur die benutzerdefinierten Module bearbeiten, die auf Organisationsebene erstellt wurden.

  1. Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie das benutzerdefinierte Modul, das Sie bearbeiten möchten.
  3. Klicken Sie für dieses benutzerdefinierte Modul auf Aktionen > Bearbeiten.
  4. Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie zum Aktualisieren eines Moduls den folgenden Befehl aus und geben Sie die aktualisierte JSON-Datei für die Modulvorlage an:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie sich die Liste der benutzerdefinierten Module ansehen.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein: organization, folder oder project.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.
  • PATH_TO_JSON_FILE: die JSON-Datei mit der JSON-Definition des benutzerdefinierten Moduls

Status eines einzelnen benutzerdefinierten Moduls prüfen

Console

  1. Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie in der Liste nach dem benutzerdefinierten Modul.

Der Status des benutzerdefinierten Moduls wird in der Spalte Status angezeigt.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls in der Liste der benutzerdefinierten Module.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein: organization, folder oder project.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.

Die Ausgabe sollte in etwa so aussehen und den Status und die Eigenschaften des Moduls enthalten. Die Eigenschaften unterscheiden sich je nach Modul.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Benutzerdefiniertes Modul löschen

Wenn Sie ein benutzerdefiniertes Event Threat Detection-Modul löschen, werden die generierten Ergebnisse nicht geändert und sind weiterhin im Security Command Center verfügbar. Wenn Sie dagegen ein benutzerdefiniertes Security Health Analytics-Modul löschen, werden die generierten Ergebnisse als inaktiv markiert.

Ein gelöschtes benutzerdefiniertes Modul kann nicht wiederhergestellt werden.

Console

Übernommene benutzerdefinierte Module können nicht gelöscht werden. Wenn Sie sich beispielsweise in der Projektansicht befinden, können Sie keine benutzerdefinierten Module löschen, die auf Ordner- oder Organisationsebene erstellt wurden.

So löschen Sie ein benutzerdefiniertes Modul über die Google Cloud Console:

  1. Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie das benutzerdefinierte Modul, das Sie löschen möchten.
  3. Klicken Sie für dieses benutzerdefinierte Modul auf Aktionen > Löschen. Sie werden aufgefordert, den Löschvorgang zu bestätigen.
  4. Klicken Sie auf Löschen.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls in der Liste der benutzerdefinierten Module.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein: organization, folder oder project.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.

Benutzerdefiniertes Modul klonen

Wenn Sie ein benutzerdefiniertes Modul klonen, wird das resultierende benutzerdefinierte Modul in der aktuell angezeigten Ressource erstellt. Wenn Sie beispielsweise ein benutzerdefiniertes Modul klonen, das Ihr Projekt von der Organisation übernommen hat, ist das neue benutzerdefinierte Modul ein Wohngebäudemodul im Projekt.

Sie können ein untergeordnetes benutzerdefiniertes Modul nicht klonen.

So klonen Sie ein benutzerdefiniertes Modul über die Google Cloud Console:

  1. Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie das benutzerdefinierte Modul, das Sie klonen möchten.
  3. Klicken Sie für dieses benutzerdefinierte Modul auf Aktionen > Klonen.
  4. Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
  5. Klicken Sie auf Erstellen.

Nächste Schritte