Benutzerdefinierte Module für Event Threat Detection erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie benutzerdefinierte Module für Event Threat Detection erstellen und verwalten.

Hinweis

In diesem Abschnitt werden die Anforderungen für die Verwendung benutzerdefinierter Module für Event Threat Detection beschrieben.

Security Command Center Premium und Event Threat Detection

Wenn Sie benutzerdefinierte Module für Event Threat Detection verwenden möchten, muss Event Threat Detection aktiviert sein. Weitere Informationen zum Aktivieren von Event Threat Detection finden Sie unter Einen integrierten Dienst aktivieren oder deaktivieren.

IAM-Rollen

IAM-Rollen bestimmen die Aktionen, die Sie mit benutzerdefinierten Modulen für Event Threat Detection ausführen können.

Die folgende Tabelle enthält eine Liste der Berechtigungen für benutzerdefinierte Module von Event Threat Detection und die vordefinierten IAM-Rollen, die diese enthalten. Diese Berechtigungen sind mindestens bis zum 22. Januar 2024 gültig. Nachher die in der zweiten Tabelle aufgeführten Berechtigungen erforderlich.

Sie können die Google Cloud Console oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.

Berechtigungen, die vor dem 22. Januar 2024 erforderlich sind Rolle
securitycenter.eventthreatdetectioncustommodules.create
securitycenter.eventthreatdetectioncustommodules.update
securitycenter.eventthreatdetectioncustommodules.delete		 roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.eventthreatdetectioncustommodules.get
securitycenter.eventthreatdetectioncustommodules.list		 roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin

Die folgende Tabelle enthält eine Liste der benutzerdefinierten Event Threat Detection-Module Berechtigungen, die ab dem 22. Januar 2024 erforderlich sind, sowie die vordefinierten IAM-Rollen, in denen sie enthalten sind.

Sie können die Google Cloud Console oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.

Erforderliche Berechtigungen nach dem 22. Januar 2024 Rolle
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete		 roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate		 roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Wenn im Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator. Je nachdem, auf welcher Ebene Sie Security Command Center aktiviert haben, rufen Sie eine der folgenden Seiten auf:

Erforderliche Logs

Achten Sie darauf, dass die relevanten Logs für Ihre Organisation, Ordner, und Projekte. Informationen darüber, welche Logs für jeden benutzerdefinierten finden Sie in der Tabelle Benutzerdefinierte Module Vorlagen.

Logs von Quellen außerhalb von Google Cloud werden nicht unterstützt.

Benutzerdefinierte Modulebenen

In diesem Dokument werden die folgenden Begriffe verwendet, um die Ebene zu beschreiben, auf der ein benutzerdefiniertes Modul erstellt wurde:

Wohnmodul
Das Modul wurde in der aktuellen Ansicht oder im aktuellen Umfang erstellt. Wenn Sie sich beispielsweise die Organisationsansicht der Google Cloud Console, die Module sind die Module, die auf Organisationsebene erstellt wurden.
Übernommenes Modul
Das Modul wurde in einer übergeordneten Ansicht oder einem übergeordneten Bereich erstellt. So kann z. B. ein Modul die auf Organisationsebene erstellt wurden, ist ein übernommenes Modul eines beliebigen Ordners oder Projekts. an.
Abgeleitetes Modul
Das Modul wurde in einer untergeordneten Ansicht oder einem untergeordneten Bereich erstellt. So hat z. B. ein Modul, auf Ordner- oder Projektebene ist ein untergeordnetes Modul auf Organisationsebene.

Benutzerdefinierte Module erstellen

Sie können benutzerdefinierte Event Threat Detection-Module über die Google Cloud Console oder durch Ändern und Einreichen einer JSON-Vorlage über die gcloud CLI. Sie benötigen JSON-Vorlagen nur, wenn Sie benutzerdefinierte Module mit der gcloud CLI erstellen möchten.

Eine Liste der unterstützten Modulvorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen:

Vorlagenstruktur

Vorlagen definieren die Parameter, mit denen benutzerdefinierte Module Bedrohungen in Ihren Protokollen erkennen. Vorlagen sind in JSON geschrieben und haben eine ähnliche Struktur wie die von Security Command Center generierte Ergebnisse. Sie müssen eine JSON-Vorlage konfigurieren wenn Sie die gcloud CLI verwenden möchten, um ein benutzerdefiniertes Modul zu erstellen.

Jede Vorlage enthält anpassbare Felder:

  • severity: die Schwere oder Risikostufe, die Ergebnissen dieses Typs zugewiesen werden soll, LOW, MEDIUM, HIGH oder CRITICAL.
  • description: die Beschreibung des benutzerdefinierten Moduls.
  • recommendation: Empfohlene Maßnahmen zur Behebung von Problemen, die vom benutzerdefinierten Modul ermittelt wurden.
  • Erkennungsparameter: Variablen, mit denen Protokolle ausgewertet und Ergebnisse ausgelöst werden. Die Erkennungsparameter unterscheiden sich für jedes Modul, enthalten aber ein oder mehrere weitere die folgenden:
    • domains: zu überwachende Webdomains
    • ips: IP-Adressen, die beobachtet werden sollen
    • permissions: Berechtigungen, auf die Sie achten sollten
    • regions: Regionen, in denen neue Compute Engine-Instanzen zulässig sind
    • roles: Rollen, die Sie im Auge behalten sollten
    • accounts: Konten, die beobachtet werden sollen
    • Parameter, die die zulässigen Compute Engine-Instanztypen definieren, z. B. series, cpus und ram_mb.
    • Reguläre Ausdrücke, auf die Attribute geprüft werden sollen, z. B. caller_pattern und resource_pattern.

Das folgende Codebeispiel ist eine Beispiel-JSON-Vorlage für Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Im vorherigen Beispiel generiert das benutzerdefinierte Modul eine Meldung mit niedriger Priorität, wenn Ihre Protokolle eine Ressource anzeigen, die mit der IP-Adresse 192.0.2.1 oder 192.0.2.0/24 verbunden ist.

Modulvorlage ändern

Um Module zu erstellen, wählen Sie eine Modulvorlage aus und ändern sie.

Wenn Sie die Google Cloud CLI verwenden möchten, um Ihr benutzerdefiniertes Modul zu erstellen, die diese Aufgabe ausführen müssen.

Wenn Sie die Google Cloud Console zum Erstellen Ihres benutzerdefinierten Moduls verwenden möchten, überspringen Sie für diese Aufgabe. Mit den auf dem Bildschirm angezeigten Optionen können Sie Parameter der Vorlage.

  1. Wählen Sie unter Benutzerdefinierte Module und Vorlagen eine Vorlage aus.
  2. Kopieren Sie den Code in eine lokale Datei.
  3. Aktualisieren Sie die Parameter, die Sie zum Auswerten Ihrer Logs verwenden möchten.
  4. Speichern Sie die Datei als JSON-Datei.
  5. Erstellen Sie mit der JSON-Datei ein benutzerdefiniertes Modul über die gcloud CLI.

Benutzerdefiniertes Modul erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein benutzerdefiniertes Modul über die Google Cloud Console und die gcloud CLI erstellen. Die Größe jedes benutzerdefinierten Event Threat Detection-Moduls ist auf 6 MB begrenzt.

So erstellen Sie ein benutzerdefiniertes Modul:

Console

  1. Sehen Sie sich Module des Dienstes Event Threat Detection. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Klicken Sie auf Modul erstellen.
  3. Klicken Sie auf die Modulvorlage, die Sie verwenden möchten.
  4. Klicken Sie auf Auswählen.
  5. Geben Sie unter Modulname einen Anzeigenamen für die neue Vorlage ein. Der Name darf 128 Zeichen nicht überschreiten und nur alphanumerische Zeichen und Unterstriche enthalten, z. B. example_custom_module.
  6. Wählen Sie die angeforderten Parameterwerte aus oder fügen Sie sie hinzu. Die Parameter unterscheiden sich für zu den einzelnen Modulen. Wenn Sie beispielsweise die Configurable allowed Compute Engine region-Modulvorlage ausgewählt haben, wählen Sie eine oder mehrere Regionen aus. Alternativ können Sie die Liste im JSON-Format angeben.
  7. Klicken Sie auf Weiter.
  8. Geben Sie unter Schweregrad den Schweregrad ein, dem Sie den Wert zuweisen möchten. Ergebnisse, die mit dem neuen benutzerdefinierten Modul generiert wurden.
  9. Geben Sie unter Beschreibung eine Beschreibung für das neue benutzerdefinierte Modul ein.
  10. Geben Sie unter Nächste Schritte die empfohlenen Maßnahmen im Nur-Text-Format ein. Absatzumbrüche, die Sie hinzufügen, werden ignoriert.
  11. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie eine JSON-Datei, die die Definition des benutzerdefinierten Moduls enthält. Orientieren Sie sich an den Vorlagen unter Benutzerdefinierte Module und Vorlagen.

  2. Erstellen Sie das benutzerdefinierte Modul, indem Sie die JSON-Datei in einem gcloud-Befehl senden:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ersetzen Sie Folgendes:

  • RESOURCE_FLAG: der Bereich der übergeordneten Ressource, in der die benutzerdefinierte Modul erstellt; entweder organization, folder oder project.
  • RESOURCE_ID: die Ressourcen-ID der übergeordneten Ressource also die Organisations-ID, Ordner-ID oder Projekt-ID.
  • DISPLAY_NAME: Ein Anzeigename für die neue Vorlage. Name darf nicht länger als 128 Zeichen sein und darf nur alphanumerische Zeichen enthalten Zeichen und Unterstriche enthalten.
  • MODULE_TYPE: der Typ des benutzerdefinierten Moduls, das Sie erstellen möchten, z. B. CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
  • PATH_TO_JSON_FILE: die JSON-Datei mit der JSON-Definition des benutzerdefinierten Moduls, die auf der Modulvorlage basiert.

Ihr benutzerdefiniertes Modul wird erstellt und beginnt mit dem Scannen. So löschen Sie finden Sie unter Benutzerdefiniertes Modul löschen.

Der Kategorienamen des benutzerdefinierten Moduls enthält die Ergebniskategorie des Modultyps und den von Ihnen festgelegten Anzeigenamen des Moduls. Der Kategoriename einer benutzerdefiniertes Modul kann Unexpected Compute Engine Region: example_custom_module sein. In der Google Cloud Console werden Unterstriche als Leerzeichen angezeigt. In Ihren Abfragen müssen Sie jedoch Unterstriche verwenden.

Kontingente regeln Ihre Nutzung benutzerdefinierter Module für Event Threat Detection.

Latenz der Erkennung

Die Erkennungslatenz für Event Threat Detection und alle anderen integrierten Funktionen Security Command Center-Dienste werden unter Scanning Latenz.

Ergebnisse prüfen

Von benutzerdefinierten Modulen generierte Ergebnisse können in der Google Cloud Console eingesehen werden oder über die gcloud CLI.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Benutzerdefinierte Module für Event Threat Detection. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

gcloud

So rufen Sie mit der gcloud CLI Ergebnisse auf:

  1. Öffnen Sie ein Terminalfenster.

  2. Quell-ID für benutzerdefinierte Module für Event Threat Detection abrufen Der Befehl hängt davon ab, ob Sie Security Command Center auf Organisations- oder Projektebene aktiviert haben:

    gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'

    Ersetzen Sie Folgendes:

    • RESOURCE_LEVEL: die Aktivierungsstufe Ihrer Security Command Center-Instanz (organizations oder projects)
    • RESOURCE_ID: die Ressourcen-ID Ihrer Organisation oder Projekt arbeiten.

    Die Ausgabe sollte so aussehen. SOURCE_ID ist ein vom Server zugewiesene ID für Sicherheitsquellen.

    canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID

  3. Zum Auflisten aller Ergebnisse für Event Threat Detection benutzerdefiniert Module, führen Sie den folgenden Befehl mit der Quell-ID aus der vorherigen Schritt:

    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID

    Ersetzen Sie Folgendes:

    • RESOURCE_LEVEL: die Ressourcenebene, auf der Sie Ergebnisse auflisten wollen; entweder organizations, folders oder projects.
    • RESOURCE_ID: die ID der Ressource also die Organisations-ID, Ordner-ID oder Projekt-ID.
    • SOURCE_ID: Die Quell-ID für benutzerdefinierte Module von Event Threat Detection.

  4. Führen Sie den folgenden Befehl aus, um die Ergebnisse für ein bestimmtes benutzerdefiniertes Modul aufzulisten:

    MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"

    Ersetzen Sie Folgendes:

    • CUSTOM_MODULE_CATEGORY_NAME: Der Name der Kategorie des benutzerdefinierten Moduls. Dieser Name setzt sich aus der Ergebniskategorie des Modultyp (siehe Abschnitt Benutzerdefinierte Module und Vorlagen) und den Anzeigenamen des Moduls mit Unterstrichen statt Leerzeichen. Für Der Kategoriename eines benutzerdefinierten Moduls kann beispielsweise Unexpected Compute Engine region: example_custom_module sein.
    • RESOURCE_LEVEL: die Ressourcenebene, auf der Sie Ergebnisse auflisten wollen; entweder organizations, folders oder projects.
    • RESOURCE_ID: die ID der Ressource, also die Organisations-ID, Ordner-ID oder Projekt-ID.
    • SOURCE_ID: die Quellen-ID Ihres Benutzerdefinierte Event Threat Detection-Module.

Weitere Informationen zum Filtern von Ergebnissen finden Sie unter Sicherheitsergebnisse auflisten.

Von benutzerdefinierten Modulen generierte Ergebnisse können wie alle Ergebnisse im Security Command Center verwaltet werden. Hier finden Sie weitere Informationen:

Benutzerdefinierte Event Threat Detection-Module verwalten

In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Module für Event Threat Detection aufrufen, auflisten, aktualisieren und löschen.

Benutzerdefinierte Module aufrufen oder auflisten

Console

  1. Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Optional: Wenn Sie nur die benutzerdefinierten Module sehen möchten, geben Sie im Feld Filter Typ:Benutzerdefiniert ein.

Die Ergebnisse umfassen Folgendes:

  • Alle benutzerdefinierten Event Threat Detection-Module von Privatpersonen.
  • Alle übernommenen benutzerdefinierten Event Threat Detection-Module Wenn Sie sich beispielsweise in der Projektansicht befinden, werden die benutzerdefinierten Module, die in die übergeordneten Ordner und die Organisation dieses Projekts in den Ergebnissen enthalten sind.
  • Alle untergeordneten benutzerdefinierten Event Threat Detection-Module, die in untergeordneten Ressourcen erstellt wurden. Wenn Sie sich z. B. in der Organisationsansicht befinden, die in Ordnern erstellt wurden, und Projekte unter dieser Organisation sind in die Ergebnisse.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • RESOURCE_FLAG: der Bereich, in dem Sie benutzerdefinierte Module auflisten möchten, einer der Werte organization, folder oder project.
  • RESOURCE_ID: die ID der Ressource also die Organisations-ID, Ordner-ID oder Projekt-ID.

Die Ergebnisse umfassen Folgendes:

  • Alle benutzerdefinierten Event Threat Detection-Module von Privatpersonen.
  • Alle übernommenen benutzerdefinierten Event Threat Detection-Module Wenn Sie beispielsweise benutzerdefinierte Module auf Projektebene auflisten, werden die benutzerdefinierten Module, die in den übergeordneten Ordnern und der Organisation dieses Projekts erstellt wurden, in den Ergebnissen berücksichtigt.

Jedes Element in den Ergebnissen enthält den Namen, den Status und die Eigenschaften des Moduls. Die Eigenschaften unterscheiden sich je nach Modul.

Der Name jedes Moduls enthält die ID des benutzerdefinierten Moduls. Viele gcloud-Vorgänge auf dieser Seite erfordern die benutzerdefinierte Modul-ID.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Benutzerdefiniertes Modul deaktivieren

Console

Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren eines Modul

Wenn Sie ein übernommenes benutzerdefiniertes Modul deaktivieren, werden Ihre Änderungen nur auf die aktuelle Ressourcenebene angewendet. Das ursprüngliche benutzerdefinierte Modul auf übergeordneter Ebene ist davon nicht betroffen. Wenn Sie beispielsweise auf Projektebene ein benutzerdefiniertes Modul deaktivieren, das vom übergeordneten Ordner übernommen wurde, wird es nur auf Projektebene deaktiviert.

Ein untergeordnetes benutzerdefiniertes Modul kann nicht deaktiviert werden. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie ein benutzerdefiniertes Modul, das auf Projektebene erstellt wurde, nicht deaktivieren.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls in der Liste der benutzerdefinierten Module.
  • RESOURCE_FLAG: der Bereich der übergeordneten Ressource wo sich das benutzerdefinierte Modul befindet; organization, folder oder project.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.

Benutzerdefiniertes Modul aktivieren

Console

Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren eines Modul

Wenn Sie ein übernommenes benutzerdefiniertes Modul aktivieren, werden Ihre Änderungen nur auf auf Ihrem aktuellen Ressourcenniveau. Das ursprüngliche benutzerdefinierte Modul auf übergeordneter Ebene ist davon nicht betroffen. Wenn Sie beispielsweise auf Projektebene ein benutzerdefiniertes Modul aktivieren, das vom übergeordneten Ordner übernommen wurde, ist das benutzerdefinierte Modul nur auf Projektebene aktiviert.

Sie können kein untergeordnetes benutzerdefiniertes Modul aktivieren. Wenn Sie sich beispielsweise in der Organisationsansicht können Sie kein benutzerdefiniertes Modul aktivieren, das am auf Projektebene.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls für die Ereignisbedrohungserkennung, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie sich die Liste der benutzerdefinierten Module ansehen.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein: organization, folder oder project.
  • RESOURCE_ID: die ID der übergeordneten Ressource also: Organisations-ID, Ordner-ID oder Projekt-ID.

Definition eines benutzerdefinierten Moduls aktualisieren

In diesem Abschnitt wird beschrieben, wie Sie ein benutzerdefiniertes Modul über die Google Cloud Console und die gcloud CLI aktualisieren. Die Größe jedes benutzerdefinierten Event Threat Detection-Moduls ist auf 6 MB begrenzt.

Sie können den Modultyp eines benutzerdefinierten Moduls nicht aktualisieren.

So aktualisieren Sie ein benutzerdefiniertes Modul:

Console

Du kannst nur benutzerdefinierte Wohnmodule bearbeiten. Wenn Sie sich beispielsweise in der Organisationsansicht können Sie nur die benutzerdefinierten Module bearbeiten, die hier erstellt wurden. auf Organisationsebene.

  1. Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie das benutzerdefinierte Modul, das Sie bearbeiten möchten.
  3. Klicken Sie für das benutzerdefinierte Modul auf . Aktionen > Bearbeiten.
  4. Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie den folgenden Befehl aus und fügen Sie das aktualisierte Modul ein, um ein Modul zu aktualisieren. JSON-Vorlage:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls für die Ereignisbedrohungserkennung, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie sich die Liste der benutzerdefinierten Module ansehen.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein: organization, folder oder project.
  • RESOURCE_ID: die ID der übergeordneten Ressource also: Organisations-ID, Ordner-ID oder Projekt-ID.
  • PATH_TO_JSON_FILE: die JSON-Datei mit der JSON-Definition des benutzerdefinierten Moduls.

Status eines einzelnen benutzerdefinierten Moduls prüfen

Console

  1. Sehen Sie sich Module des Dienstes Event Threat Detection. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie in der Liste nach dem benutzerdefinierten Modul.

Der Status des benutzerdefinierten Moduls wird in der Spalte Status angezeigt.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B. 1234567890. Sie finden die numerische ID im Feld name des entsprechenden benutzerdefinierten Moduls in der Liste der benutzerdefinierten Module.
  • RESOURCE_FLAG: der Bereich der übergeordneten Ressource wo sich das benutzerdefinierte Modul befindet; organization, folder oder project.
  • RESOURCE_ID: die ID der übergeordneten Ressource also: Organisations-ID, Ordner-ID oder Projekt-ID.

Die Ausgabe sollte in etwa so aussehen und den Status und die Eigenschaften des Moduls enthalten. Die Eigenschaften unterscheiden sich je nach Modul.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Benutzerdefiniertes Modul löschen

Wenn Sie ein benutzerdefiniertes Event Threat Detection-Modul löschen, werden die zugehörigen Ergebnisse werden nicht geändert und bleiben in Security Command Center verfügbar. Wenn Sie dagegen ein benutzerdefiniertes Security Health Analytics-Modul löschen, werden die generierten Ergebnisse als inaktiv markiert.

Ein gelöschtes benutzerdefiniertes Modul kann nicht wiederhergestellt werden.

Console

Übernommene benutzerdefinierte Module können nicht gelöscht werden. Wenn Sie sich beispielsweise in der Projektansicht befinden, können Sie keine benutzerdefinierten Module löschen, die auf Ordner- oder Organisationsebene erstellt wurden.

So löschen Sie ein benutzerdefiniertes Modul über die Google Cloud Console: Folgendes:

  1. Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie das benutzerdefinierte Modul, das Sie löschen möchten.
  3. Klicken Sie für das benutzerdefinierte Modul auf . Aktionen > Löschen. Es wird eine Meldung mit der Aufforderung angezeigt, bestätigen Sie den Löschvorgang.
  4. Klicken Sie auf Löschen.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des Benutzerdefiniertes Event Threat Detection-Modul, z. B. 1234567890. Sie können die numerische ID aus dem Feld name des entsprechenden benutzerdefinierten Moduls abrufen wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: der Bereich der übergeordneten Ressource wo sich das benutzerdefinierte Modul befindet; organization, folder oder project.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.

Benutzerdefiniertes Modul klonen

Wenn Sie ein benutzerdefiniertes Modul klonen, wird das resultierende benutzerdefinierte Modul in der aktuell angezeigten Ressource erstellt. Wenn Sie beispielsweise ein benutzerdefiniertes Modul klonen, das Ihr Projekt von der Organisation übernommen hat, ist das neue benutzerdefinierte Modul ein Wohngebäudemodul im Projekt.

Ein untergeordnetes benutzerdefiniertes Modul kann nicht geklont werden.

So klonen Sie ein benutzerdefiniertes Modul über die Google Cloud Console:

  1. Module ansehen des Dienstes Event Threat Detection. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie das benutzerdefinierte Modul, das Sie klonen möchten.
  3. Klicken Sie für das benutzerdefinierte Modul auf . Aktionen > Klonen.
  4. Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
  5. Klicken Sie auf Erstellen.

Nächste Schritte