Se usó la API de Cloud Translation para traducir esta página.

Crea y administra módulos personalizados para Event Threat Detection

En esta página, se explica cómo crear y administrar módulos personalizados para Event Threat Detection.

Antes de comenzar

En esta sección, se describen los requisitos para usar módulos personalizados para Event Threat Detection.

Security Command Center Premium y Event Threat Detection

Para usar los módulos personalizados de Event Threat Detection, esta función debe estar habilitada. Para habilitar Event Threat Detection, consulta Habilita o inhabilita un servicio integrado.

Funciones de IAM

Los roles de IAM determinan las acciones que puedes realizar con los módulos personalizados de Event Threat Detection.

Importante: A partir del 22 de enero de 2024, la funcionalidad del módulo personalizado en la consola de Google Cloud migrará a una nueva API subyacente.

Si tu empresa usa roles de IAM personalizados para ejercer un control estricto del acceso a los recursos de Google Cloud, para seguir trabajando con módulos personalizados en la consola de Google Cloud después de esa fecha, debes pedirle a tu administrador de seguridad que agregue los siguientes permisos a tu rol personalizado antes de la fecha de migración, según corresponda a tus responsabilidades:

Para ver o probar los módulos de detección personalizados de Event Threat Detection, necesitas los siguientes permisos, que se incluyen en el rol de IAM Visualizador de módulos personalizados de ETD para administración de Security Center (securitycentermanagement.etdCustomModulesViewer):
- securitycentermanagement.eventThreatDetectionCustomModules.list
- securitycentermanagement.eventThreatDetectionCustomModules.get
- securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
- securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
- securitycentermanagement.eventThreatDetectionCustomModules.validate
Para editar los módulos de detección personalizados de Event Threat Detection, además de los permisos anteriores, también necesitas los siguientes permisos, que se incluyen en el rol de IAM Editor de módulos ETD personalizados para administración de Security Center (securitycentermanagement.etdCustomModulesEditor):
- securitycentermanagement.eventThreatDetectionCustomModules.create
- securitycentermanagement.eventThreatDetectionCustomModules.update
- securitycentermanagement.eventThreatDetectionCustomModules.delete

Si tu empresa utiliza roles de IAM predefinidos, no es necesario que realices ninguna acción. Los permisos nuevos ya se incluyen en los roles predefinidos.

En la siguiente tabla, se incluye una lista de los permisos del módulo personalizado de Event Threat Detection y los roles de IAM predefinidos que los incluyen. Estos permisos son válidos hasta, al menos, el 22 de enero de 2024. Después de esa fecha, se requerirán los permisos que se indican en la segunda tabla siguiente.

Puedes usar la consola de Google Cloud o la API de Security Command Center para aplicar estos roles a nivel de la organización, la carpeta o el proyecto.

Permisos necesarios antes del 22 de enero de 2024	Rol
`securitycenter.eventthreatdetectioncustommodules.create` `securitycenter.eventthreatdetectioncustommodules.update` `securitycenter.eventthreatdetectioncustommodules.delete`	`roles/securitycenter.settingsEditor` `roles/securitycenter.admin`
`securitycenter.eventthreatdetectioncustommodules.get` `securitycenter.eventthreatdetectioncustommodules.list`	`roles/securitycenter.settingsViewer` `roles/securitycenter.adminViewer` `roles/securitycenter.admin`

En la siguiente tabla, se incluye una lista de los permisos del módulo personalizado de Event Threat Detection que se requerirán a partir del 22 de enero de 2024, así como los roles de IAM predefinidos que los incluyen.

Puedes usar la consola de Google Cloud o la API de Security Command Center para aplicar estos roles a nivel de la organización, la carpeta o el proyecto.

Permisos necesarios después del 22 de enero de 2024	Rol
`securitycentermanagement.eventThreatDetectionCustomModules.create` `securitycentermanagement.eventThreatDetectionCustomModules.update` `securitycentermanagement.eventThreatDetectionCustomModules.delete`	`roles/securitycentermanagement.etdCustomModulesEditor` `roles/securitycenter.settingsEditor` `roles/securitycenter.admin`
`securitycentermanagement.eventThreatDetectionCustomModules.list` `securitycentermanagement.eventThreatDetectionCustomModules.get` `securitycentermanagement.effectiveEventThreatDetectionCustomModules.list` `securitycentermanagement.effectiveEventThreatDetectionCustomModules.get` `securitycentermanagement.eventThreatDetectionCustomModules.validate`	`roles/securitycentermanagement.etdCustomModulesViewer` `roles/securitycentermanagement.etdCustomModulesEditor` `roles/securitycenter.adminViewer` `roles/securitycenter.admin`

Si te encuentras con errores de acceso en Security Command Center, pídele asistencia al administrador. Consulta una de las siguientes páginas según el nivel en el que hayas activado Security Command Center:

Registros obligatorios

Asegúrate de que los registros relevantes estén activados para tu organización, carpetas y proyectos. Para obtener información sobre qué registros requiere cada tipo de módulo personalizado, consulta la tabla en Módulos y plantillas personalizados.

No se admiten registros de fuentes externas a Google Cloud.

Niveles de módulos personalizados

En este documento, se usan los siguientes términos para describir el nivel en el que se creó un módulo personalizado:

Módulo residencial: El módulo se creó en la vista o el alcance actuales. Por ejemplo, si estás en la vista de la organización de la consola de Google Cloud, los módulos residenciales son los que se crearon a nivel de la organización.
Módulo heredado: El módulo se creó en una vista o un alcance superior. Por ejemplo, un módulo creado a nivel de la organización es un módulo heredado en cualquier nivel de carpeta o proyecto.
Módulo descendiente: El módulo se creó en una vista o un alcance secundarios. Por ejemplo, un módulo creado a nivel de una carpeta o un proyecto es un módulo secundario a nivel de la organización.

Crea módulos personalizados

Puedes crear módulos personalizados de Detección de amenazas de eventos a través de la consola de Google Cloud o modificando una plantilla JSON y enviándola a través de gcloud CLI. Solo necesitas plantillas JSON si planeas usar gcloud CLI para crear módulos personalizados.

Para obtener una lista de las plantillas de módulos compatibles, consulta Módulos y plantillas personalizados.

Estructura de la plantilla

Las plantillas definen los parámetros que usan los módulos personalizados para identificar amenazas en tus registros. Las plantillas se escriben en JSON y tienen una estructura similar a los resultados que genera Security Command Center. Solo debes configurar una plantilla JSON si planeas usar gcloud CLI para crear un módulo personalizado.

Cada plantilla contiene campos personalizables:

severity: Es el nivel de gravedad o riesgo que deseas asignar a los hallazgos de este tipo, LOW, MEDIUM, HIGH o CRITICAL.
description: Es la descripción del módulo personalizado.
recommendation: Acciones recomendadas para abordar los hallazgos generados por el módulo personalizado.
Parámetros de detección: Son las variables que se usan para evaluar los registros y activar los hallazgos. Los parámetros de detección difieren para cada módulo, pero incluyen uno o más de los siguientes:
- domains: Dominios web que se deben supervisar
- ips: Direcciones IP que se deben supervisar
- permissions: Permisos a los que se debe prestar atención
- regions: regiones en las que se permiten instancias nuevas de Compute Engine
- roles: roles a tener en cuenta
- accounts: Cuentas que se deben supervisar
- Parámetros que definen los tipos de instancias de Compute Engine permitidos, por ejemplo, series, cpus y ram_mb.
- Expresiones regulares para verificar propiedades, por ejemplo, caller_pattern y resource_pattern.

En la siguiente muestra de código, se muestra una plantilla JSON de ejemplo para Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

En el ejemplo anterior, el módulo personalizado genera un hallazgo de gravedad baja si tus registros indican un recurso conectado a la dirección IP 192.0.2.1 o 192.0.2.0/24.

Modifica una plantilla de módulo

Para crear módulos, elige una plantilla de módulo y modifícala.

Si planeas usar Google Cloud CLI para crear tu módulo personalizado, debes realizar esta tarea.

Si planeas usar la consola de Google Cloud para crear tu módulo personalizado, omite esta tarea. Usarás las opciones que se presentan en la pantalla para modificar los parámetros de la plantilla.

Elige una plantilla de Módulos y plantillas personalizados.
Copia el código en un archivo local.
Actualiza los parámetros que deseas usar para evaluar tus registros.
Guarda el archivo como un archivo JSON.
Crea un módulo personalizado a través de gcloud CLI con el archivo JSON.

Crea un módulo personalizado

En esta sección, se describe cómo crear un módulo personalizado a través de la consola de Google Cloud y de gcloud CLI. Cada módulo personalizado de Event Threat Detection tiene un límite de tamaño de 6 MB.

Para crear un módulo personalizado, sigue estos pasos:

Console

Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.
Haz clic en Crear módulo.
Haz clic en la plantilla de módulo que deseas usar.
Haz clic en Seleccionar.
En Nombre del módulo, ingresa un nombre visible para la plantilla nueva. El nombre no debe superar los 128 caracteres y debe contener solo caracteres alfanuméricos y guiones bajos, por ejemplo, example_custom_module.
Selecciona o agrega los valores de los parámetros solicitados. Los parámetros difieren para cada módulo. Por ejemplo, si seleccionaste la plantilla de módulo Configurable allowed Compute Engine region, debes seleccionar una o más regiones. Como alternativa, proporciona la lista en formato JSON.
Haz clic en Siguiente.
En Gravedad, ingresa el nivel de gravedad que deseas asignar a los hallazgos que genera el nuevo módulo personalizado.
En Descripción, ingresa una descripción para el nuevo módulo personalizado.
En Próximos pasos, ingresa las acciones recomendadas en formato de texto sin formato. Se ignorarán los saltos de párrafo que agregues.
Haz clic en Crear.

gcloud

Crea un archivo JSON que contenga la definición del módulo personalizado. Usa las plantillas de Módulos y plantillas personalizados como guía.
Para crear el módulo personalizado, envía el archivo JSON en un comando gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Reemplaza lo siguiente:

RESOURCE_FLAG: Es el permiso del recurso superior en el que se creará el módulo personalizado, uno de organization, folder o project.
RESOURCE_ID: El ID del recurso superior, es decir, el ID de la organización, el ID de la carpeta o el ID del proyecto
DISPLAY_NAME: Es un nombre visible para la plantilla nueva. El nombre no debe exceder los 128 caracteres y debe contener solo caracteres alfanuméricos y guiones bajos.
MODULE_TYPE: El tipo de módulo personalizado que deseas crear, por ejemplo, CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
PATH_TO_JSON_FILE: Es el archivo JSON que contiene la definición en JSON del módulo personalizado según la plantilla del módulo.

Se creará tu módulo personalizado y comenzará a analizar. Para borrar un módulo, consulta Borra un módulo personalizado.

El nombre de la categoría del módulo personalizado contiene la categoría de hallazgo del tipo de módulo y el nombre visible del módulo que configuraste. Por ejemplo, el nombre de la categoría de un módulo personalizado puede ser Unexpected Compute Engine Region: example_custom_module. En la consola de Google Cloud, los guiones bajos se muestran como espacios. Sin embargo, en tus consultas, debes incluir los guiones bajos.

Las cuotas rigen el uso de los módulos personalizados para Event Threat Detection.

Latencia de detección

La latencia de detección de Event Threat Detection y todos los demás servicios integrados de Security Command Center se describen en Latencia de análisis.

Revisa los resultados

Los resultados generados por los módulos personalizados se pueden ver en la consola de Google Cloud o con gcloud CLI.

Console

En la consola de Google Cloud, ve a la página Resultados de Security Command Center.
Ir a hallazgos
Selecciona tu organización o proyecto de Google Cloud.
En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Módulos personalizados de detección de amenazas en eventos. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

gcloud

Para usar gcloud CLI y ver los resultados, haz lo siguiente:

Abre una ventana de terminal.
Obtén el ID de origen para los módulos personalizados de Event Threat Detection. El comando depende de si activaste Security Command Center a nivel de la organización o del proyecto:
```
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'
```
Reemplaza lo siguiente:
- RESOURCE_LEVEL: Es el nivel de activación de tu instancia de Security Command Center, uno de organizations o projects.
- RESOURCE_ID: El ID de recurso de tu organización o proyecto.
La salida se ve de la siguiente manera: SOURCE_ID es un ID asignado por el servidor para las fuentes de seguridad.
```
canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
```
Para enumerar todos los resultados de los módulos personalizados de la Detección de amenazas de eventos, ejecuta el siguiente comando con el ID de la fuente del paso anterior:
```
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
```
Reemplaza lo siguiente:
- RESOURCE_LEVEL: Es el nivel de recurso en el que deseas enumerar los resultados. Puede ser organizations, folders o projects.
- RESOURCE_ID: El ID del recurso, es decir, el ID de la organización, el ID de la carpeta o el ID del proyecto.
- SOURCE_ID: Es el ID de origen de los módulos personalizados de Event Threat Detection.
Para enumerar los resultados de un módulo personalizado específico, ejecuta el siguiente comando:
```
MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
```
Reemplaza lo siguiente:
- CUSTOM_MODULE_CATEGORY_NAME: Es el nombre de la categoría del módulo personalizado. Este nombre se compone de la categoría de hallazgo del tipo de módulo (como se indica en Módulos y plantillas personalizados) y el nombre visible del módulo con guiones bajos en lugar de espacios. Por ejemplo, el nombre de la categoría de un módulo personalizado puede ser Unexpected Compute Engine region: example_custom_module.
- RESOURCE_LEVEL: Es el nivel de recurso en el que deseas enumerar los resultados. Puede ser organizations, folders o projects.
- RESOURCE_ID: El ID del recurso, es decir, el ID de la organización, el ID de la carpeta o el ID del proyecto.
- SOURCE_ID: Es el ID de origen de tus módulos personalizados de Event Threat Detection.

Si deseas obtener más información para filtrar los resultados, consulta Mostrar una lista de hallazgos de seguridad.

Los resultados que generan los módulos personalizados se pueden administrar como todos los resultados de Security Command Center. Para obtener más información, consulta lo siguiente:

Administra los módulos personalizados de Event Threat Detection

En esta sección, se describe cómo ver, enumerar, actualizar y borrar los módulos personalizados de Event Threat Detection.

Cómo ver o enumerar módulos personalizados

Console

Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.
Opcional: Para ver solo los módulos personalizados, en el campo Filtro, ingresa Tipo:Personalizado.

Los resultados incluyen lo siguiente:

Todos los módulos personalizados de Event Threat Detection para uso residencial
Todos los módulos personalizados heredados de Event Threat Detection Por ejemplo, si estás en la vista del proyecto, los módulos personalizados creados en las carpetas y la organización superiores de ese proyecto se incluyen en los resultados.
Todos los módulos personalizados de Event Threat Detection descendientes creados en recursos secundarios Por ejemplo, si estás en la vista de la organización, los módulos personalizados que se crearon en carpetas y proyectos de esa organización se incluyen en los resultados.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Reemplaza lo siguiente:

RESOURCE_FLAG: Es el permiso en el que deseas enumerar los módulos personalizados, uno de organization, folder o project.
RESOURCE_ID: El ID del recurso, es decir, el ID de la organización, el ID de la carpeta o el ID del proyecto.

Los resultados incluyen lo siguiente:

Todos los módulos personalizados de Event Threat Detection para uso residencial
Todos los módulos personalizados heredados de Event Threat Detection Por ejemplo, cuando enumeras módulos personalizados a nivel del proyecto, los módulos personalizados que se crean en las carpetas y la organización superiores de ese proyecto se incluyen en los resultados.

Cada elemento de los resultados incluye el nombre, el estado y las propiedades del módulo. Las propiedades difieren para cada módulo.

El nombre de cada módulo contiene su ID de módulo personalizado. Muchas operaciones de gcloud en esta página requieren el ID del módulo personalizado.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Inhabilita un módulo personalizado

Console

Consulta Habilita o inhabilita un módulo.

Cuando inhabilitas un módulo personalizado heredado, los cambios solo se aplican al nivel de recursos actual. El módulo personalizado original que reside en el nivel superior no se ve afectado. Por ejemplo, si estás a nivel del proyecto y inhabilitas un módulo personalizado que se heredó de la carpeta superior, el módulo personalizado solo se inhabilita a nivel del proyecto.

No puedes inhabilitar un módulo personalizado secundario. Por ejemplo, si estás en la vista de organización, no puedes inhabilitar un módulo personalizado que se creó a nivel del proyecto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Reemplaza lo siguiente:

CUSTOM_MODULE_ID: Es el ID numérico del módulo personalizado de Event Threat Detection, por ejemplo, 1234567890. Puedes obtener el ID numérico del campo name del módulo personalizado relevante cuando consultas la lista de módulos personalizados.
RESOURCE_FLAG: Es el permiso del recurso superior en el que reside el módulo personalizado, uno de organization, folder o project.
RESOURCE_ID: El ID del recurso superior, es decir, el ID de la organización, el ID de la carpeta o el ID del proyecto

Habilita un módulo personalizado

Console

Consulta Habilita o inhabilita un módulo.

Cuando habilitas un módulo personalizado heredado, los cambios solo se aplican a tu nivel de recurso actual. El módulo personalizado original que reside en el nivel superior no se ve afectado. Por ejemplo, si estás a nivel del proyecto y habilitas un módulo personalizado que se heredó de la carpeta superior, el módulo personalizado solo se habilita a nivel del proyecto.

No puedes habilitar un módulo personalizado secundario. Por ejemplo, si estás en la vista de la organización, no puedes habilitar un módulo personalizado que se creó a nivel del proyecto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Reemplaza lo siguiente:

CUSTOM_MODULE_ID: Es el ID numérico del módulo personalizado de Event Threat Detection, por ejemplo, 1234567890. Puedes obtener el ID numérico del campo name del módulo personalizado relevante cuando ves la lista de módulos personalizados.
RESOURCE_FLAG: Es el permiso del recurso superior en el que reside el módulo personalizado, uno de organization, folder o project.
RESOURCE_ID: El ID del recurso superior, es decir, el ID de la organización, el ID de la carpeta o el ID del proyecto

Actualiza la definición de un módulo personalizado

En esta sección, se describe cómo actualizar un módulo personalizado a través de la consola de Google Cloud y de gcloud CLI. Cada módulo personalizado de Event Threat Detection tiene un límite de tamaño de 6 MB.

No puedes actualizar el tipo de módulo de un módulo personalizado.

Para actualizar un módulo personalizado, sigue estos pasos:

Console

Solo puedes editar módulos personalizados residenciales. Por ejemplo, si estás en la vista de la organización, solo puedes editar los módulos personalizados que se crearon a nivel de la organización.

Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.
Busca el módulo personalizado que quieres editar.
En ese módulo personalizado, haz clic en Acciones > Editar.
Edita el módulo personalizado según sea necesario.
Haz clic en Guardar.

gcloud

Para actualizar un módulo, ejecuta el siguiente comando y, luego, incluye la plantilla de módulo actualizada en formato JSON:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Reemplaza lo siguiente:

CUSTOM_MODULE_ID: Es el ID numérico del módulo personalizado de Event Threat Detection, por ejemplo, 1234567890. Puedes obtener el ID numérico del campo name del módulo personalizado relevante cuando ves la lista de módulos personalizados.
RESOURCE_FLAG: Es el permiso del recurso superior en el que reside el módulo personalizado, uno de organization, folder o project.
RESOURCE_ID: El ID del recurso superior, es decir, el ID de la organización, el ID de la carpeta o el ID del proyecto
PATH_TO_JSON_FILE: Es el archivo JSON que contiene la definición en JSON del módulo personalizado.

Verifica el estado de un solo módulo personalizado

Console

Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.
Busca el módulo personalizado en la lista.

El estado del módulo personalizado se muestra en la columna Estado.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Reemplaza lo siguiente:

CUSTOM_MODULE_ID: Es el ID numérico del módulo personalizado de Event Threat Detection, por ejemplo, 1234567890. Puedes obtener el ID numérico del campo name del módulo personalizado relevante cuando consultas la lista de módulos personalizados.
RESOURCE_FLAG: Es el permiso del recurso superior en el que reside el módulo personalizado, uno de organization, folder o project.
RESOURCE_ID: El ID del recurso superior, es decir, el ID de la organización, el ID de la carpeta o el ID del proyecto

El resultado se ve de la siguiente manera y, además, incluye el estado y las propiedades del módulo. Las propiedades difieren para cada módulo.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Cómo borrar un módulo personalizado

Cuando borras un módulo personalizado de Event Threat Detection, los resultados que generó no se modifican y siguen disponibles en Security Command Center. En cambio, cuando borras un módulo personalizado de Security Health Analytics, los resultados generados se marcan como inactivos.

No puedes recuperar un módulo personalizado borrado.

Console

No puedes borrar los módulos personalizados heredados. Por ejemplo, si estás en la vista de proyecto, no puedes borrar los módulos personalizados que se crearon a nivel de la carpeta o la organización.

Para borrar un módulo personalizado a través de la consola de Google Cloud, haz lo siguiente:

Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.
Busca el módulo personalizado que quieres borrar.
En ese módulo personalizado, haz clic en Acciones > Borrar. Aparecerá un mensaje para confirmar la eliminación.
Haz clic en Borrar.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Reemplaza lo siguiente:

CUSTOM_MODULE_ID: Es el ID numérico del módulo personalizado de Event Threat Detection, por ejemplo, 1234567890. Puedes obtener el ID numérico del campo name del módulo personalizado relevante cuando consultas la lista de módulos personalizados.
RESOURCE_FLAG: Es el permiso del recurso superior en el que reside el módulo personalizado, uno de organization, folder o project.
RESOURCE_ID: El ID del recurso superior, es decir, el ID de la organización, el ID de la carpeta o el ID del proyecto

Cómo clonar un módulo personalizado

Cuando clonas un módulo personalizado, el módulo personalizado resultante se crea como residente del recurso que estás viendo. Por ejemplo, si clonas un módulo personalizado que tu proyecto heredó de la organización, el nuevo módulo personalizado es un módulo residencial en el proyecto.

No puedes clonar un módulo personalizado secundario.

Para clonar un módulo personalizado a través de la consola de Google Cloud, haz lo siguiente:

Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.
Busca el módulo personalizado que deseas clonar.
Para ese módulo personalizado, haz clic en Acciones > Clonar.
Edita el módulo personalizado según sea necesario.
Haz clic en Crear.

¿Qué sigue?

Obtén más información sobre los módulos personalizados para Event Threat Detection.