Membuat dan mengelola modul kustom untuk Event Threat Detection

Halaman ini menjelaskan cara membuat dan mengelola modul kustom untuk Event Threat Detection.

Sebelum memulai

Bagian ini menjelaskan persyaratan untuk menggunakan modul kustom untuk Event Threat Detection.

Security Command Center Premium dan Deteksi Ancaman Peristiwa

Untuk menggunakan modul kustom Event Threat Detection, Event Threat Detection harus diaktifkan. Untuk mengaktifkan Event Threat Detection, lihat Mengaktifkan atau menonaktifkan layanan bawaan.

Peran IAM

Peran IAM menentukan tindakan yang dapat Anda lakukan dengan modul kustom Event Threat Detection.

Tabel berikut berisi daftar izin modul kustom Event Threat Detection dan peran IAM standar yang menyertakannya. Izin ini berlaku hingga setidaknya 22 Januari 2024. Setelah tanggal tersebut, izin yang tercantum dalam tabel kedua berikut akan diperlukan.

Anda dapat menggunakan konsol Google Cloud atau Security Command Center API untuk menerapkan peran ini di tingkat organisasi, folder, atau project.

Izin yang diperlukan sebelum 22 Januari 2024 Peran
securitycenter.eventthreatdetectioncustommodules.create
securitycenter.eventthreatdetectioncustommodules.update
securitycenter.eventthreatdetectioncustommodules.delete		 roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.eventthreatdetectioncustommodules.get
securitycenter.eventthreatdetectioncustommodules.list		 roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin

Tabel berikut berisi daftar izin modul kustom Event Threat Detection yang akan diperlukan pada atau setelah 22 Januari 2024, serta peran IAM standar yang menyertakannya.

Anda dapat menggunakan konsol Google Cloud atau Security Command Center API untuk menerapkan peran ini di tingkat organisasi, folder, atau project.

Izin yang diperlukan setelah 22 Januari 2024 Peran
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete		 roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate		 roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Jika Anda mengalami error akses di Security Command Center, minta bantuan administrator Anda. Lihat salah satu halaman berikut, bergantung pada level tempat Anda mengaktifkan Security Command Center:

Log yang diperlukan

Pastikan log yang relevan diaktifkan untuk organisasi, folder, dan project Anda. Untuk mengetahui informasi tentang log yang diperlukan oleh setiap jenis modul kustom, lihat tabel di Template dan modul kustom.

Log dari sumber di luar Google Cloud tidak didukung.

Tingkat modul kustom

Dokumen ini menggunakan istilah berikut untuk menjelaskan tingkat pembuatan modul kustom:

Modul perumahan
Modul dibuat pada tampilan atau cakupan saat ini. Misalnya, jika Anda berada di tampilan organisasi di konsol Google Cloud, modul perumahan adalah modul yang dibuat di tingkat organisasi.
Modul turunan
Modul dibuat di tampilan atau cakupan induk. Misalnya, modul yang dibuat di level organisasi adalah modul yang diwarisi di level folder atau project mana pun.
Modul turunan
Modul dibuat di tampilan atau cakupan turunan. Misalnya, modul yang dibuat di level folder atau project adalah modul turunan di level organisasi.

Membuat modul kustom

Anda dapat membuat modul kustom Event Threat Detection melalui Konsol Google Cloud atau dengan mengubah template JSON dan mengirimkannya melalui gcloud CLI. Anda memerlukan template JSON hanya jika berencana menggunakan gcloud CLI untuk membuat modul kustom.

Untuk mengetahui daftar template modul yang didukung, lihat Modul dan template kustom.

Struktur template

Template menentukan parameter yang digunakan modul kustom untuk mengidentifikasi ancaman dalam log Anda. Template ditulis dalam JSON dan memiliki struktur yang mirip dengan temuan yang dihasilkan oleh Security Command Center. Anda hanya perlu mengonfigurasi template JSON jika berencana menggunakan gcloud CLI untuk membuat modul kustom.

Setiap template berisi kolom yang dapat disesuaikan:

  • severity: tingkat keparahan atau risiko yang ingin Anda tetapkan ke temuan jenis ini, LOW, MEDIUM, HIGH, atau CRITICAL.
  • description: deskripsi modul kustom.
  • recommendation: tindakan yang direkomendasikan untuk mengatasi temuan yang dihasilkan oleh modul kustom.
  • Parameter deteksi: variabel yang digunakan untuk mengevaluasi log dan memicu temuan. Parameter deteksi berbeda untuk setiap modul, tetapi mencakup satu atau beberapa hal berikut:
    • domains: domain web yang akan dipantau
    • ips: Alamat IP yang akan dipantau
    • permissions: izin yang akan dipantau
    • regions: region tempat instance Compute Engine baru diizinkan
    • roles: peran yang akan dipantau
    • accounts: akun yang akan dipantau
    • Parameter yang menentukan jenis instance Compute Engine yang diizinkan—misalnya, series, cpus, dan ram_mb.
    • Ekspresi reguler untuk memeriksa properti—misalnya, caller_pattern dan resource_pattern.

Contoh kode berikut adalah contoh template JSON untuk Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Pada contoh sebelumnya, modul kustom menghasilkan temuan tingkat keparahan rendah jika log Anda menunjukkan resource yang terhubung ke alamat IP 192.0.2.1 atau 192.0.2.0/24.

Mengubah template modul

Untuk membuat modul, Anda memilih template modul dan mengubahnya.

Jika berencana menggunakan Google Cloud CLI untuk membuat modul kustom, Anda harus melakukan tugas ini.

Jika Anda berencana menggunakan konsol Google Cloud untuk membuat modul kustom, lewati tugas ini. Anda akan menggunakan opsi yang ditampilkan di layar untuk mengubah parameter template.

  1. Pilih template dari Modul dan template kustom.
  2. Salin kode ke file lokal.
  3. Perbarui parameter yang ingin Anda gunakan untuk mengevaluasi log.
  4. Simpan file sebagai file JSON.
  5. Buat modul kustom melalui gcloud CLI menggunakan file JSON.

Membuat modul kustom

Bagian ini menjelaskan cara membuat modul kustom melalui konsol Google Cloud dan melalui gcloud CLI. Setiap modul kustom Event Threat Detection memiliki batas ukuran 6 MB.

Untuk membuat modul kustom, ikuti langkah-langkah berikut:

Konsol

  1. Lihat modul layanan Event Threat Detection. Modul standar dan kustom akan muncul dalam daftar.
  2. Klik Create module.
  3. Klik template modul yang ingin Anda gunakan.
  4. Klik Pilih.
  5. Untuk Module name, masukkan nama tampilan untuk template baru. Nama tidak boleh melebihi 128 karakter dan hanya boleh berisi karakter alfanumerik dan garis bawah—misalnya, example_custom_module.
  6. Pilih atau tambahkan nilai parameter yang diminta. Parameternya berbeda untuk setiap modul. Misalnya, jika memilih template modul Configurable allowed Compute Engine region, Anda akan memilih satu atau beberapa region. Atau, berikan daftar dalam format JSON.
  7. Klik Berikutnya.
  8. Untuk Keparahan, masukkan tingkat keparahan yang ingin Anda tetapkan ke temuan yang dihasilkan oleh modul kustom baru.
  9. Untuk Deskripsi, masukkan deskripsi untuk modul kustom baru.
  10. Untuk Langkah berikutnya, masukkan tindakan yang disarankan dalam format teks biasa. Setiap jeda paragraf yang Anda tambahkan akan diabaikan.
  11. Klik Create.

gcloud

  1. Buat file JSON yang berisi definisi modul kustom. Gunakan template di Modul dan template kustom sebagai panduan Anda.

  2. Buat modul kustom dengan mengirimkan file JSON dalam perintah gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ganti kode berikut:

  • RESOURCE_FLAG: cakupan resource induk tempat modul kustom akan dibuat; salah satu dari organization, folder, atau project.
  • RESOURCE_ID: ID resource resource induk; yaitu, ID organisasi, ID folder, atau ID project.
  • DISPLAY_NAME: nama tampilan untuk template baru. Nama tidak boleh melebihi 128 karakter dan hanya boleh berisi karakter alfanumerik dan garis bawah.
  • MODULE_TYPE: jenis modul kustom yang ingin Anda buat—misalnya, CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
  • PATH_TO_JSON_FILE: file JSON yang berisi definisi JSON modul kustom berdasarkan template modul.

Modul kustom Anda dibuat dan mulai memindai. Untuk menghapus modul, lihat Menghapus modul kustom.

Nama kategori modul kustom berisi kategori penemuan jenis modul dan nama tampilan modul yang Anda tetapkan. Misalnya, nama kategori modul kustom dapat berupa Unexpected Compute Engine Region: example_custom_module. Di konsol Google Cloud, garis bawah ditampilkan sebagai spasi. Namun, dalam kueri, Anda harus menyertakan garis bawah.

Kuota mengatur penggunaan modul kustom untuk Event Threat Detection.

Latensi deteksi

Latensi deteksi untuk Event Threat Detection dan semua layanan Security Command Center bawaan lainnya dijelaskan dalam Latensi pindai.

Meninjau temuan

Temuan yang dihasilkan oleh modul kustom dapat dilihat di konsol Google Cloud atau menggunakan gcloud CLI.

Konsol

  1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih Event Threat Detection Custom Modules. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

gcloud

Untuk menggunakan gcloud CLI guna melihat temuan, lakukan langkah berikut:

  1. Buka jendela terminal.

  2. Mendapatkan ID sumber untuk modul kustom Event Threat Detection. Perintah ini bergantung pada apakah Anda mengaktifkan Security Command Center di level organisasi atau level project:

    gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'

    Ganti kode berikut:

    • RESOURCE_LEVEL: level aktivasi instance Security Command Center Anda; salah satu dari organizations atau projects.
    • RESOURCE_ID: ID resource organisasi atau project Anda.

    Outputnya akan terlihat seperti berikut. SOURCE_ID adalah ID yang ditetapkan server untuk sumber keamanan.

    canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID

  3. Untuk menampilkan semua temuan untuk modul kustom Event Threat Detection, jalankan perintah berikut dengan ID sumber dari langkah sebelumnya:

    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID

    Ganti kode berikut:

    • RESOURCE_LEVEL: tingkat resource tempat Anda ingin mencantumkan temuan; salah satu dari organizations, folders, atau projects.
    • RESOURCE_ID: ID resource; yaitu, ID organisasi, ID folder, atau ID project.
    • SOURCE_ID: ID sumber untuk modul kustom Event Threat Detection.

  4. Untuk mencantumkan temuan untuk modul kustom tertentu, jalankan perintah berikut:

    MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"

    Ganti kode berikut:

    • CUSTOM_MODULE_CATEGORY_NAME: nama kategori modul kustom. Nama ini terdiri dari kategori temuan jenis modul (seperti yang tercantum dalam Modul dan template kustom) dan nama tampilan modul dengan garis bawah, bukan spasi. Misalnya, nama kategori modul kustom dapat berupa Unexpected Compute Engine region: example_custom_module.
    • RESOURCE_LEVEL: tingkat resource tempat Anda ingin mencantumkan temuan; salah satu dari organizations, folders, atau projects.
    • RESOURCE_ID: ID resource; yaitu, ID organisasi, ID folder, atau ID project.
    • SOURCE_ID: ID sumber modul kustom Event Threat Detection Anda.

Untuk mempelajari lebih lanjut cara memfilter temuan, lihat Mencantumkan temuan keamanan.

Temuan yang dihasilkan oleh modul kustom dapat dikelola seperti semua temuan di Security Command Center. Untuk informasi selengkapnya, lihat referensi berikut:

Mengelola modul kustom Event Threat Detection

Bagian ini menjelaskan cara melihat, mencantumkan, mengupdate, dan menghapus modul kustom Event Threat Detection.

Melihat atau mencantumkan modul kustom

Konsol

  1. Lihat modul layanan Event Threat Detection. Modul standar dan kustom akan muncul dalam daftar.
  2. Opsional: Untuk hanya melihat modul kustom, di kolom Filter, masukkan Type:Custom.

Hasilnya mencakup hal berikut:

  • Semua modul kustom Event Threat Detection untuk rumah.
  • Semua modul kustom Event Threat Detection yang diwarisi. Misalnya, jika Anda berada di tampilan project, modul kustom yang dibuat di folder induk dan organisasi project tersebut akan disertakan dalam hasil.
  • Semua modul kustom Event Threat Detection turunan yang dibuat di resource turunan. Misalnya, jika Anda berada di tampilan organisasi, modul kustom yang dibuat di folder dan project dalam organisasi tersebut akan disertakan dalam hasil.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Ganti kode berikut:

  • RESOURCE_FLAG: cakupan tempat Anda ingin mencantumkan modul kustom; salah satu dari organization, folder, atau project.
  • RESOURCE_ID: ID resource; yaitu, ID organisasi, ID folder, atau ID project.

Hasilnya mencakup hal berikut:

  • Semua modul kustom Event Threat Detection untuk rumah.
  • Semua modul kustom Event Threat Detection yang diwarisi. Misalnya, saat Anda mencantumkan modul kustom di level project, modul kustom yang dibuat di folder induk dan organisasi project tersebut akan disertakan dalam hasil.

Setiap item dalam hasil menyertakan nama, status, dan properti modul. Properti berbeda untuk setiap modul.

Nama setiap modul berisi ID modul kustomnya. Banyak operasi gcloud di halaman ini memerlukan ID modul kustom.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Menonaktifkan modul kustom

Konsol

Lihat Mengaktifkan atau menonaktifkan modul.

Saat Anda menonaktifkan modul kustom yang diwarisi, perubahan Anda hanya diterapkan ke level resource saat ini. Modul kustom asli yang berada di tingkat induk tidak akan terpengaruh. Misalnya, jika Anda berada di tingkat project, dan Anda menonaktifkan modul kustom yang diwarisi dari folder induk, modul kustom hanya dinonaktifkan di tingkat project.

Anda tidak dapat menonaktifkan modul kustom turunan. Misalnya, jika berada di tampilan organisasi, Anda tidak dapat menonaktifkan modul kustom yang dibuat di level project.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Ganti kode berikut:

  • CUSTOM_MODULE_ID: ID numerik modul kustom Event Threat Detection—misalnya, 1234567890. Anda dapat mendapatkan ID numerik dari kolom name modul kustom yang relevan saat melihat daftar modul kustom.
  • RESOURCE_FLAG: cakupan resource induk tempat modul kustom berada; salah satu dari organization, folder, atau project.
  • RESOURCE_ID: ID resource induk; yaitu, ID organisasi, ID folder, atau ID project.

Mengaktifkan modul kustom

Konsol

Lihat Mengaktifkan atau menonaktifkan modul.

Saat Anda mengaktifkan modul kustom yang diwarisi, perubahan Anda hanya diterapkan ke level resource saat ini. Modul kustom asli yang berada di tingkat induk tidak akan terpengaruh. Misalnya, jika Anda berada di tingkat project, dan Anda mengaktifkan modul kustom yang diwarisi dari folder induk, modul kustom hanya diaktifkan di tingkat project.

Anda tidak dapat mengaktifkan modul kustom turunan. Misalnya, jika berada di tampilan organisasi, Anda tidak dapat mengaktifkan modul kustom yang dibuat di level project.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Ganti kode berikut:

  • CUSTOM_MODULE_ID: ID numerik modul kustom Event Threat Detection—misalnya, 1234567890. Anda bisa mendapatkan ID numerik dari kolom name modul kustom yang relevan saat melihat daftar modul kustom.
  • RESOURCE_FLAG: cakupan resource induk tempat modul kustom berada; salah satu dari organization, folder, atau project.
  • RESOURCE_ID: ID resource induk; yaitu, ID organisasi, ID folder, atau ID project.

Memperbarui definisi modul kustom

Bagian ini menjelaskan cara mengupdate modul kustom melalui konsol Google Cloud dan melalui gcloud CLI. Setiap modul kustom Event Threat Detection memiliki batas ukuran 6 MB.

Anda tidak dapat memperbarui jenis modul dari modul kustom.

Untuk memperbarui modul kustom, ikuti langkah-langkah berikut:

Konsol

Anda hanya dapat mengedit modul kustom perumahan. Misalnya, jika Anda berada di tampilan organisasi, Anda hanya dapat mengedit modul kustom yang dibuat di tingkat organisasi.

  1. Lihat modul layanan Event Threat Detection. Modul standar dan kustom akan muncul dalam daftar.
  2. Temukan modul kustom yang ingin diedit.
  3. Untuk modul kustom tersebut, klik Tindakan > Edit.
  4. Edit modul kustom sesuai kebutuhan.
  5. Klik Simpan.

gcloud

Untuk mengupdate modul, jalankan perintah berikut dan sertakan JSON template modul yang telah diupdate:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ganti kode berikut:

  • CUSTOM_MODULE_ID: ID numerik modul kustom Event Threat Detection—misalnya, 1234567890. Anda bisa mendapatkan ID numerik dari kolom name modul kustom yang relevan saat melihat daftar modul kustom.
  • RESOURCE_FLAG: cakupan resource induk tempat modul kustom berada; salah satu dari organization, folder, atau project.
  • RESOURCE_ID: ID resource induk; yaitu, ID organisasi, ID folder, atau ID project.
  • PATH_TO_JSON_FILE: file JSON yang berisi definisi JSON modul kustom.

Memeriksa status satu modul kustom

Konsol

  1. Lihat modul layanan Event Threat Detection. Modul standar dan kustom akan muncul dalam daftar.
  2. Temukan modul kustom dari daftar.

Status modul kustom ditampilkan di kolom Status.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Ganti kode berikut:

  • CUSTOM_MODULE_ID: ID numerik modul kustom Event Threat Detection—misalnya, 1234567890. Anda dapat mendapatkan ID numerik dari kolom name modul kustom yang relevan saat melihat daftar modul kustom.
  • RESOURCE_FLAG: cakupan resource induk tempat modul kustom berada; salah satu dari organization, folder, atau project.
  • RESOURCE_ID: ID resource induk; yaitu, ID organisasi, ID folder, atau ID project.

Outputnya akan terlihat seperti berikut dan menyertakan status dan properti modul. Properti berbeda untuk setiap modul.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Menghapus modul kustom

Saat Anda menghapus modul kustom Event Threat Detection, temuan yang dihasilkannya tidak akan diubah dan tetap tersedia di Security Command Center. Sebaliknya, saat Anda menghapus modul kustom Security Health Analytics, temuan yang dihasilkannya akan ditandai sebagai tidak aktif.

Anda tidak dapat memulihkan modul kustom yang dihapus.

Konsol

Anda tidak dapat menghapus modul kustom yang diwarisi. Misalnya, jika berada di tampilan project, Anda tidak dapat menghapus modul kustom yang dibuat di level folder atau organisasi.

Untuk menghapus modul kustom melalui konsol Google Cloud, lakukan hal berikut:

  1. Lihat modul layanan Event Threat Detection. Modul standar dan kustom akan muncul dalam daftar.
  2. Temukan modul kustom yang ingin Anda hapus.
  3. Untuk modul kustom tersebut, klik Tindakan > Hapus. Pesan akan muncul untuk meminta Anda mengonfirmasi penghapusan.
  4. Klik Hapus.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Ganti kode berikut:

  • CUSTOM_MODULE_ID: ID numerik modul kustom Event Threat Detection—misalnya, 1234567890. Anda dapat mendapatkan ID numerik dari kolom name modul kustom yang relevan saat melihat daftar modul kustom.
  • RESOURCE_FLAG: cakupan resource induk tempat modul kustom berada; salah satu dari organization, folder, atau project.
  • RESOURCE_ID: ID resource induk; yaitu, ID organisasi, ID folder, atau ID project.

Meng-clone modul kustom

Saat Anda meng-clone modul kustom, modul kustom yang dihasilkan akan dibuat sebagai penduduk resource yang Anda lihat. Misalnya, jika Anda meng-clone modul kustom yang diwarisi project dari organisasi, modul kustom baru adalah modul perumahan dalam project.

Anda tidak dapat meng-clone modul kustom turunan.

Untuk meng-clone modul kustom melalui konsol Google Cloud, lakukan hal berikut:

  1. Lihat modul layanan Event Threat Detection. Modul standar dan kustom akan muncul dalam daftar.
  2. Temukan modul kustom yang ingin Anda clone.
  3. Untuk modul kustom tersebut, klik Actions > Clone.
  4. Edit modul kustom sesuai kebutuhan.
  5. Klik Create.

Langkah selanjutnya