Cette page a été traduite par l'API Cloud Translation.

Créer et gérer des modules personnalisés pour Event Threat Detection

Cette page explique comment créer et gérer des modules personnalisés pour Event Threat Detection.

Avant de commencer

Cette section décrit les conditions requises pour utiliser des modules personnalisés pour Event Threat Detection.

Security Command Center Premium et Event Threat Detection

Pour utiliser les modules personnalisés Event Threat Detection, vous devez activer Event Threat Detection. À activer Event Threat Detection, consultez la page Activez ou désactivez un service intégré.

Rôles IAM

Les rôles IAM déterminent les actions que vous pouvez effectuer avec les modules personnalisés Event Threat Detection.

Important : À compter du 22 janvier 2024, la fonctionnalité de module personnalisé dans la console Google Cloud sera migrée vers une nouvelle API sous-jacente.

Si votre entreprise utilise des rôles IAM personnalisés un contrôle strict de l'accès aux ressources Google Cloud, afin de continuer à utiliser modules personnalisés dans la console Google Cloud après cette date, vous devez demander à votre gestionnaire administrateur d'ajouter les autorisations suivantes à votre rôle personnalisé avant la date de migration : en fonction de vos responsabilités:

Pour afficher ou tester les modules de détection personnalisés d'Event Threat Detection, vous avez besoin des éléments suivants qui sont incluses dans le rôle IAM Lecteur de modules personnalisés ETD de gestion du centre de sécurité (securitycentermanagement.etdCustomModulesViewer):
- securitycentermanagement.eventThreatDetectionCustomModules.list
- securitycentermanagement.eventThreatDetectionCustomModules.get
- securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
- securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
- securitycentermanagement.eventThreatDetectionCustomModules.validate
Pour modifier les modules de détection personnalisés Event Threat Detection, en plus des autorisations précédentes, vous devez également disposer des autorisations suivantes, qui sont contenues dans le rôle IAM Éditeur de modules personnalisés ETD pour la gestion du centre de sécurité (securitycentermanagement.etdCustomModulesEditor) :
- securitycentermanagement.eventThreatDetectionCustomModules.create
- securitycentermanagement.eventThreatDetectionCustomModules.update
- securitycentermanagement.eventThreatDetectionCustomModules.delete

Si votre entreprise utilise des rôles IAM prédéfinis, vous n'avez pas besoin de faire quoi que ce soit. Les nouvelles autorisations sont déjà incluses dans les rôles prédéfinis.

Le tableau suivant contient la liste des autorisations du module personnalisé Event Threat Detection et des rôles IAM prédéfinis qui les incluent. Ces autorisations sont valides au moins jusqu'au 22 janvier 2024. Passée cette date, les autorisations listées dans le deuxième tableau suivant seront requises.

Vous pouvez utiliser la console Google Cloud ou l'API Security Command Center pour appliquer ces rôles au niveau de l'organisation, du dossier ou du projet.

Autorisations requises avant le 22 janvier 2024	Rôle
`securitycenter.eventthreatdetectioncustommodules.create` `securitycenter.eventthreatdetectioncustommodules.update` `securitycenter.eventthreatdetectioncustommodules.delete`	`roles/securitycenter.settingsEditor` `roles/securitycenter.admin`
`securitycenter.eventthreatdetectioncustommodules.get` `securitycenter.eventthreatdetectioncustommodules.list`	`roles/securitycenter.settingsViewer` `roles/securitycenter.adminViewer` `roles/securitycenter.admin`

Le tableau suivant contient la liste des autorisations de module personnalisé Event Threat Detection qui seront requises à partir du 22 janvier 2024, ainsi que les rôles IAM prédéfinis qui les incluent.

Vous pouvez utiliser la console Google Cloud ou l'API Security Command Center pour appliquer ces rôles au niveau de l'organisation, du dossier ou du projet.

Autorisations requises après le 22 janvier 2024	Rôle
`securitycentermanagement.eventThreatDetectionCustomModules.create` `securitycentermanagement.eventThreatDetectionCustomModules.update` `securitycentermanagement.eventThreatDetectionCustomModules.delete`	`roles/securitycentermanagement.etdCustomModulesEditor` `roles/securitycenter.settingsEditor` `roles/securitycenter.admin`
`securitycentermanagement.eventThreatDetectionCustomModules.list` `securitycentermanagement.eventThreatDetectionCustomModules.get` `securitycentermanagement.effectiveEventThreatDetectionCustomModules.list` `securitycentermanagement.effectiveEventThreatDetectionCustomModules.get` `securitycentermanagement.eventThreatDetectionCustomModules.validate`	`roles/securitycentermanagement.etdCustomModulesViewer` `roles/securitycentermanagement.etdCustomModulesEditor` `roles/securitycenter.adminViewer` `roles/securitycenter.admin`

Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur. Consultez l'une des pages suivantes en fonction du niveau auquel vous avez activé Security Command Center :

Journaux obligatoires

Assurez-vous que les journaux pertinents sont activés pour votre organisation, et projets. Pour en savoir plus sur les journaux requis par chaque type de module personnalisé, consultez le tableau de la section Modules et modèles personnalisés.

Les journaux provenant de sources externes à Google Cloud ne sont pas acceptés.

Niveaux des modules personnalisés

Ce document utilise les termes suivants pour décrire le niveau auquel une règle personnalisée module a été créé:

Module résidentiel: Le module a été créé dans la vue ou le champ d'application actuels. Par exemple, si vous consultez la vue "Organisation" de la console Google Cloud, les modules résidentiels sont les modules créés au niveau de l'organisation.
Module hérité: Le module a été créé à un niveau de vue ou de portée parent. Par exemple, un module créé au niveau de l'organisation est un module hérité à n'importe quel niveau de dossier ou de projet.
Module descendant: Le module a été créé au niveau d'une vue enfant ou d'un niveau d'accès. Par exemple, un module créé au niveau d'un dossier ou d'un projet est un module descendant au niveau de l'organisation.

Créer des modules personnalisés

Vous pouvez créer des modules personnalisés Event Threat Detection via la classe à la console Google Cloud, ou en modifiant un modèle JSON et en l'envoyant via la gcloud CLI. Vous n'avez besoin de modèles JSON que si vous prévoyez d'utiliser la CLI gcloud pour créer des modules personnalisés.

Pour obtenir la liste des modèles de module compatibles, consultez Modules et modèles personnalisés.

Structure du modèle

Les modèles définissent les paramètres que les modules personnalisés utilisent pour identifier les menaces dans vos journaux. Les modèles sont écrits en JSON et ont une structure similaire à les résultats générés par Security Command Center. Vous devez configurer un modèle JSON que si vous prévoyez de créer un module personnalisé à l'aide de la gcloud CLI.

Chaque modèle contient des champs personnalisables:

severity: niveau de gravité ou de risque que vous souhaitez attribuer aux résultats de ce type, LOW, MEDIUM, HIGH ou CRITICAL.
description: description du module personnalisé.
recommendation: actions recommandées pour traiter les résultats générés par le module personnalisé.
Paramètres de détection : variables utilisées pour évaluer les journaux et déclencher des résultats. Les paramètres de détection diffèrent pour chaque module, mais ils incluent un ou plus les éléments suivants:
- domains: domaines Web à surveiller
- ips : adresses IP à surveiller
- permissions: autorisations à surveiller.
- regions: régions dans lesquelles les nouvelles instances Compute Engine sont autorisées
- roles : rôles à surveiller
- accounts: comptes à surveiller
- Paramètres définissant l'instance Compute Engine autorisée (par exemple, series, cpus et ram_mb).
- Expressions régulières à comparer aux propriétés (par exemple, caller_pattern et resource_pattern).

L'exemple de code suivant est un exemple de modèle JSON pour Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Dans l'exemple précédent, le module personnalisé génère un résultat de faible gravité si vos journaux indiquent une ressource connectée à l'adresse IP 192.0.2.1 ou 192.0.2.0/24.

Modifier un modèle de module

Pour créer des modules, vous devez choisir un modèle de module et le modifier.

Si vous prévoyez de créer votre module personnalisé à l'aide de la Google Cloud CLI, doit effectuer cette tâche.

Si vous prévoyez d'utiliser la console Google Cloud pour créer votre module personnalisé, ignorez cette tâche. Vous utiliserez les options affichées à l'écran pour modifier le du modèle.

Choisissez un modèle parmi Modules personnalisés et modèles de ML.
Copiez le code dans un fichier local.
Mettez à jour les paramètres que vous souhaitez utiliser pour évaluer vos journaux.
Enregistrez le fichier au format JSON.
Créez un module personnalisé via la gcloud CLI à l'aide de la JSON.

Créer un module personnalisé

Cette section explique comment créer un module personnalisé via le la console Google Cloud et la gcloud CLI. Chaque module personnalisé Event Threat Detection est limité à 6 Mo.

Pour créer un module personnalisé, procédez comme suit :

Console

Consultez le modules du service Event Threat Detection. Les modules prédéfinis et personnalisés dans une liste.
Cliquez sur Créer un module.
Cliquez sur le modèle de module que vous souhaitez utiliser.
Cliquez sur Sélectionner.
Dans Nom du module, saisissez un nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques et des traits de soulignement, par exemple example_custom_module.
Sélectionnez ou ajoutez les valeurs de paramètres demandées. Les paramètres diffèrent pour chaque module. Par exemple, si vous avez sélectionné le modèle de module Configurable allowed Compute Engine region, vous devez sélectionner une ou plusieurs régions. Vous pouvez également fournir la liste au format JSON.
Cliquez sur Suivant.
Pour Gravité, saisissez le niveau de gravité que vous souhaitez attribuer. générés par le nouveau module personnalisé.
Dans Description, saisissez une description pour le nouveau module personnalisé.
Dans Étapes suivantes, saisissez les actions recommandées au format texte brut. Tous les sauts de paragraphe que vous ajoutez sont ignorés.
Cliquez sur Créer.

gcloud

Créez un fichier JSON contenant la définition du module personnalisé. Utilisez les modèles de la section Modules et modèles personnalisés comme guide.
Créez le module personnalisé en envoyant le fichier JSON dans une commande gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Remplacez les éléments suivants :

RESOURCE_FLAG : champ d'application de la ressource parente dans laquelle le module personnalisé sera créé. Il peut s'agir de organization, folder ou project.
RESOURCE_ID: ID de ressource de la ressource parente. c'est-à-dire l'ID de l'organisation, l'ID du dossier ou l'ID du projet.
DISPLAY_NAME: nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques caractères et des traits de soulignement.
MODULE_TYPE : type de module personnalisé que vous souhaitez créer (par exemple, CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION).
PATH_TO_JSON_FILE : fichier JSON contenant la définition JSON du module personnalisé basée sur le modèle de module.

Votre module personnalisé est créé et commence à être analysé. Pour supprimer un un module personnalisé, consultez la section Supprimer un module personnalisé.

Le nom de la catégorie du module personnalisé contient la catégorie de résultats du type de module et le nom à afficher du module que vous avez défini. Par exemple, le nom de catégorie d'un module personnalisé peut être Unexpected Compute Engine Region: example_custom_module. Dans la console Google Cloud, les traits de soulignement sont affichés sous forme d'espaces. Toutefois, dans vos requêtes, vous devez inclure les traits de soulignement.

Quotas qui régissent votre utilisation des modules personnalisés pour Event Threat Detection.

Latence de détection

la latence de détection d'Event Threat Detection et de tous les autres composants Les services Security Command Center sont décrits dans la section Analyser latence.

Examiner les résultats

Vous pouvez consulter les résultats générés par les modules personnalisés dans la console Google Cloud ou à l'aide de la gcloud CLI.

Console

Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
Accéder
Sélectionnez votre projet ou votre organisation Google Cloud.
Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Modules personnalisés Event Threat Detection. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
Pour afficher les détails d'un résultat spécifique, cliquez sur son nom sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
Dans l'onglet Récapitulatif, examinez les détails de la non-conformité, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour y remédier.
Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

gcloud

Pour afficher les résultats à l'aide de la gcloud CLI, procédez comme suit :

Ouvrez une fenêtre de terminal.
Obtenez l'ID source des modules personnalisés Event Threat Detection. La commande dépend de l'activation de Security Command Center au niveau de l'organisation ou du projet :
```
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'
```
Remplacez les éléments suivants :
- RESOURCE_LEVEL: niveau d'activation de votre Instance Security Command Center au choix : organizations ou projects.
- RESOURCE_ID : ID de ressource de votre organisation ou de votre projet.
La sortie se présente comme suit : SOURCE_ID est un ID attribué par le serveur aux sources de sécurité.
```
canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
```
Pour lister tous les résultats des modules personnalisés d'Event Threat Detection, exécutez la commande suivante avec l'ID source de l'étape précédente :
```
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
```
Remplacez les éléments suivants :
- RESOURCE_LEVEL : niveau de ressource dans lequel vous souhaitez lister les résultats. Il peut s'agir de organizations, folders ou projects.
- RESOURCE_ID : ID de la ressource, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou de l'ID du projet.
- SOURCE_ID : ID source des modules personnalisés de détection des menaces d'événement.
Pour lister les résultats d'un module personnalisé spécifique, exécutez la commande suivante :
```
MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
```
Remplacez les éléments suivants :
- CUSTOM_MODULE_CATEGORY_NAME : nom de la catégorie du module personnalisé. Ce nom est composé de la catégorie de résultats du type de module (comme indiqué dans Modules et modèles personnalisés) et du nom à afficher du module avec des traits de soulignement au lieu d'espaces. Pour Par exemple, le nom de catégorie d'un module personnalisé peut être Unexpected Compute Engine region: example_custom_module.
- RESOURCE_LEVEL : niveau de ressource dans lequel vous souhaitez lister les résultats. Il peut s'agir de organizations, folders ou projects.
- RESOURCE_ID : ID de la ressource, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou de l'ID du projet.
- SOURCE_ID : ID source de vos modules personnalisés de détection des menaces d'événement.

Pour en savoir plus sur le filtrage des résultats, consultez la page Lister les résultats de sécurité.

Les résultats générés par les modules personnalisés peuvent être gérés de la même manière que tous les résultats dans Security Command Center. Pour en savoir plus, consultez les ressources suivantes :

Gérer les modules personnalisés Event Threat Detection

Cette section explique comment afficher, lister, mettre à jour et supprimer des modules personnalisés Event Threat Detection.

Afficher ou lister des modules personnalisés

Console

Consultez le modules du service Event Threat Detection. Les modules prédéfinis et personnalisés apparaissent dans une liste.
Facultatif : pour afficher uniquement les modules personnalisés, saisissez Type:Custom (Type : personnalisé) dans le champ Filtre.

Les résultats incluent les suivants:

Tous les modules personnalisés Event Threat Detection pour les résidences.
Tous les modules personnalisés Event Threat Detection hérités. Par exemple, si vous êtes dans la vue du projet, les modules personnalisés créés dans les dossiers parents et l'organisation de ce projet sont inclus dans les résultats.
Tous les modules personnalisés Event Threat Detection descendants créés dans des ressources enfants. Par exemple, dans la vue "Organisation", les modules personnalisés ont été créés dans des dossiers, et les projets de cette organisation sont inclus dans les résultats.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Remplacez les éléments suivants :

RESOURCE_FLAG: le champ d'application dans lequel vous souhaitez lister les modules personnalisés ; au choix : organization, folder ou project.
RESOURCE_ID: ID de la ressource. c'est-à-dire l'ID de l'organisation, l'ID du dossier ou l'ID du projet.

Les résultats incluent les éléments suivants :

Tous les modules personnalisés Event Threat Detection pour les résidences.
Tous les modules personnalisés Event Threat Detection hérités. Par exemple, lorsque vous répertoriez les modules personnalisés au niveau du projet, les modules personnalisés les modules créés dans les dossiers parents et l'organisation de ce projet incluses dans les résultats.

Chaque élément des résultats comprend le nom du module, son état et propriétés. Les propriétés diffèrent pour chaque module.

Le nom de chaque module contient son ID de module personnalisé. De nombreuses opérations gcloud sur cette page nécessitent l'ID de module personnalisé.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Désactiver un module personnalisé

Console

Consultez la section Activer ou désactiver un module.

Lorsque vous désactivez un module personnalisé hérité, vos modifications ne sont appliquées votre niveau de ressources actuel. Le module personnalisé d'origine situé au niveau du parent n'est pas affecté. Par exemple, si vous êtes au niveau d'un projet désactiver un module personnalisé hérité du dossier parent, n'est désactivé qu'au niveau du projet.

Vous ne pouvez pas désactiver un module personnalisé descendant. Par exemple, si vous vous trouvez dans la vue "Organisation", vous ne pouvez pas désactiver un module personnalisé créé au niveau du projet.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Remplacez les éléments suivants :

CUSTOM_MODULE_ID : ID numérique du module personnalisé Event Threat Detection (par exemple, 1234567890). Vous pouvez Récupérez l'ID numérique dans le champ name du module personnalisé concerné. lorsque vous affichez la liste des modules personnalisés.
RESOURCE_FLAG : champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir de organization, folder ou project.
RESOURCE_ID: ID de la ressource parente. c'est-à-dire l'ID de l'organisation, du dossier ou du projet.

Activer un module personnalisé

Console

Consultez la section Activer ou désactiver un module.

Lorsque vous activez un module personnalisé hérité, vos modifications ne s'appliquent qu'au niveau de votre ressource actuelle. Le module personnalisé d'origine situé au niveau du parent n'est pas affecté. Par exemple, si vous vous trouvez au niveau du projet et que vous activez un module personnalisé hérité du dossier parent, le module personnalisé n'est activé qu'au niveau du projet.

Vous ne pouvez pas activer un module personnalisé descendant. Par exemple, si vous êtes dans le Organisation, vous ne pouvez pas activer un module personnalisé qui a été créé au niveau au niveau du projet.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Remplacez les éléments suivants :

CUSTOM_MODULE_ID: ID numérique d'Event Threat Detection module personnalisé (par exemple, 1234567890). Vous pouvez obtenir l'identifiant à partir du champ name du module personnalisé correspondant lorsque vous affichez la liste de modules personnalisés.
RESOURCE_FLAG: champ d'application de la ressource parente l'emplacement du module personnalisé ; organization, folder ou project
RESOURCE_ID: ID de la ressource parente. c'est-à-dire l'ID de l'organisation, du dossier ou du projet.

Mettre à jour la définition d'un module personnalisé

Cette section explique comment mettre à jour un module personnalisé via le la console Google Cloud et la gcloud CLI. Chaque module personnalisé Event Threat Detection est limité à 6 Mo.

Vous ne pouvez pas modifier le type d'un module personnalisé.

Pour mettre à jour un module personnalisé, procédez comme suit:

Console

Vous ne pouvez modifier que les modules personnalisés résidentiels. Par exemple, si vous êtes dans la vue "Organisation", vous ne pouvez modifier que les modules personnalisés créés au niveau de l'organisation.

Consultez le modules du service Event Threat Detection. Les modules prédéfinis et personnalisés apparaissent dans une liste.
Recherchez le module personnalisé que vous souhaitez modifier.
Pour ce module personnalisé, cliquez sur Actions > Modifier.
Modifiez le module personnalisé si nécessaire.
Cliquez sur Enregistrer.

gcloud

Pour mettre à jour un module, exécutez la commande suivante et incluez le modèle JSON du module mis à jour :

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Remplacez les éléments suivants :

CUSTOM_MODULE_ID: ID numérique d'Event Threat Detection module personnalisé (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique à partir du champ name du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.
RESOURCE_FLAG: champ d'application de la ressource parente l'emplacement du module personnalisé ; organization, folder ou project
RESOURCE_ID: ID de la ressource parente. c'est-à-dire l'ID de l'organisation, du dossier ou du projet.
PATH_TO_JSON_FILE : fichier JSON contenant la définition JSON du module personnalisé.

Vérifier l'état d'un module personnalisé spécifique

Console

Consultez le modules du service Event Threat Detection. Les modules prédéfinis et personnalisés dans une liste.
Recherchez le module personnalisé dans la liste.

L'état du module personnalisé est indiqué dans la colonne État.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Remplacez les éléments suivants :

CUSTOM_MODULE_ID : ID numérique du module personnalisé Event Threat Detection (par exemple, 1234567890). Vous pouvez Récupérez l'ID numérique dans le champ name du module personnalisé concerné. lorsque vous affichez la liste des modules personnalisés.
RESOURCE_FLAG: champ d'application de la ressource parente l'emplacement du module personnalisé ; organization, folder ou project
RESOURCE_ID: ID de la ressource parente. c'est-à-dire l'ID de l'organisation, du dossier ou du projet.

Le résultat ressemble à ce qui suit et inclut l'état et les propriétés du module. Les propriétés diffèrent pour chaque module.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Supprimer un module personnalisé

Lorsque vous supprimez un module personnalisé Event Threat Detection, les résultats qu'il contient générés ne sont pas modifiés et restent disponibles dans Security Command Center. En revanche, lorsque vous supprimez un module personnalisé pour Security Health Analytics, les résultats générés sont marqués comme inactifs.

Vous ne pouvez pas récupérer un module personnalisé supprimé.

Console

Vous ne pouvez pas supprimer les modules personnalisés hérités. Par exemple, si vous êtes dans le vue du projet, vous ne pouvez pas supprimer des modules personnalisés créés à l'adresse au niveau du dossier ou de l'organisation.

Pour supprimer un module personnalisé via la console Google Cloud, procédez comme suit :

Consultez le modules du service Event Threat Detection. Les modules prédéfinis et personnalisés apparaissent dans une liste.
Recherchez le module personnalisé que vous souhaitez supprimer.
Pour ce module personnalisé, cliquez sur Actions > Supprimer. Un message vous invite à confirmez la suppression.
Cliquez sur Supprimer.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Remplacez les éléments suivants :

CUSTOM_MODULE_ID: ID numérique du Module personnalisé Event Threat Detection (par exemple, 1234567890) Vous pouvez Récupérez l'ID numérique dans le champ name du module personnalisé concerné. lorsque vous affichez la liste des modules personnalisés.
RESOURCE_FLAG: champ d'application de la ressource parente l'emplacement du module personnalisé ; organization, folder ou project
RESOURCE_ID : ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.

Cloner un module personnalisé

Lorsque vous clonez un module personnalisé, le module personnalisé obtenu est créé de la ressource que vous consultez. Par exemple, si vous cloner un module personnalisé dont votre projet a hérité de l'organisation, Le nouveau module personnalisé est un module résidentiel du projet.

Vous ne pouvez pas cloner un module personnalisé descendant.

Pour cloner un module personnalisé via la console Google Cloud, procédez comme suit:

Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés apparaissent dans une liste.
Recherchez le module personnalisé que vous souhaitez cloner.
Pour ce module personnalisé, cliquez sur . Actions > Cloner
Modifiez le module personnalisé si nécessaire.
Cliquez sur Créer.

Étape suivante

En savoir plus sur modules personnalisés pour Event Threat Detection.