Auf dieser Seite finden Sie eine Übersicht über benutzerdefinierte Module für Event Threat Detection.
Sie können Module, auch Detektoren genannt, konfigurieren, um Ihren Cloud Logging-Stream zu verarbeiten und anhand der von Ihnen angegebenen Parameter Bedrohungen zu erkennen. Diese Funktion erweitert die Monitoringfunktionen von Event Threat Detection und ermöglicht das Hinzufügen von Modulen mit Ihren eigenen Erkennungsparametern, Richtlinien zur Korrektur und Schweregradkennzeichnungen für Konfigurationen, die von den integrierten Detektoren möglicherweise nicht unterstützt werden.
Benutzerdefinierte Module sind nützlich, wenn Sie Module mit Erkennungsregeln benötigen, die den individuellen Anforderungen Ihrer Organisation entsprechen. Sie können beispielsweise ein benutzerdefiniertes Modul hinzufügen, das Ergebnisse erstellt, wenn Protokolleinträge zeigen, dass eine Ressource mit bestimmten IP-Adressen verbunden ist oder in einer eingeschränkten Region erstellt wurde.
Funktionsweise benutzerdefinierter Module für Event Threat Detection
Benutzerdefinierte Module sind eine ausgewählte Gruppe von Event Threat Detection-Detektoren, die Sie mit eigenen Erkennungsparametern konfigurieren können. Sie können ein benutzerdefiniertes Modul für die Ereignisbedrohungserkennung über die Google Cloud Console erstellen. Alternativ können Sie eine Vorlage für benutzerdefinierte Module aktualisieren und das benutzerdefinierte Modul über die Google Cloud CLI an Security Command Center senden. Informationen zu verfügbaren Vorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.
Vorlagen für benutzerdefinierte Module sind in JSON geschrieben und ermöglichen die Definition von Erkennungsparametern, mit denen gesteuert wird, welche Ereignisse in Logeinträgen Ergebnisse auslösen sollen. So prüft der integrierte Malware: Bad IP
-Detektor beispielsweise Virtual Private Cloud-Flusslogs auf Verbindungen zu bekannten verdächtigen IP-Adressen. Sie können das benutzerdefinierte Modul Configurable Bad IP
jedoch mit einer Liste verdächtiger IP-Adressen aktivieren und ändern, die Sie verwalten. Wenn Ihre Protokolle eine Verbindung zu einer Ihrer angegebenen IP-Adressen anzeigen, wird ein Ergebnis generiert und in Security Command Center geschrieben.
Mithilfe von Modulvorlagen können Sie auch die Schwere von Bedrohungen definieren und benutzerdefinierte Maßnahmen zur Behebung von Problemen angeben, damit Ihre Sicherheitsteams Probleme beheben können.
Mit benutzerdefinierten Modulen haben Sie mehr Kontrolle darüber, wie Event Threat Detection Bedrohungen erkennt und Ergebnisse meldet. Benutzerdefinierte Module enthalten Ihre angegebenen Parameter, nutzen aber weiterhin die Erkennungslogik und Threat Intelligence von Event Threat Detection, einschließlich des Abgleichs von Tripwire-Indikatoren. Sie können eine breite Palette von Bedrohungsmodellen implementieren, die auf die individuellen Anforderungen Ihres Unternehmens zugeschnitten sind.
Benutzerdefinierte Module für Event Threat Detection werden neben den integrierten Detektoren ausgeführt. Aktivierte Module werden im Echtzeitmodus ausgeführt, der Scans auslöst, wenn neue Protokolle erstellt werden.
Benutzerdefinierte Module und Vorlagen
Die folgende Tabelle enthält eine Liste der unterstützten benutzerdefinierten Modultypen, Beschreibungen, erforderlichen Protokolle und JSON-Modulvorlagen.
Sie benötigen diese JSON-Modulvorlagen, wenn Sie benutzerdefinierte Module mit der gcloud CLI erstellen oder aktualisieren möchten. Wenn Sie eine Vorlage aufrufen möchten, klicken Sie neben dem Namen auf das Maximieren-Symbol add_circle . Informationen zur Verwendung benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module konfigurieren und verwalten.
Ergebniskategorie |
Modultyp |
Logquelltypen |
Beschreibung |
Konfigurierbare fehlerhafte IP-Adresse |
CONFIGURABLE_BAD_IP |
VPC-Flusslogs
Firewallregel-Logs
|
Erkennt eine Verbindung zu einer angegebenen IP-Adresse |
Vorlage: Konfigurierbare fehlerhafte IP-Adresse
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"ips": [
"IP_ADDRESS_1",
"IP_ADDRESS_2"
]
}
Ersetzen Sie Folgendes:
SEVERITY : Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW , MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
RECOMMENDATION : Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
IP_ADDRESS_1 : Eine öffentlich routbare IPv4- oder IPv6-Adresse oder ein zu beobachtender CIDR-Block, z. B. 192.0.2.1 oder 192.0.2.0/24 .
IP_ADDRESS_2 : Optional. Eine öffentlich routbare IPv4- oder IPv6-Adresse oder ein CIDR-Block, auf den geachtet werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24 .
|
Konfigurierbare fehlerhafte Domain |
CONFIGURABLE_BAD_DOMAIN
|
Cloud DNS-Logs
|
Erkennt eine Verbindung zu einem angegebenen Domainnamen |
Vorlage: Konfigurierbare fehlerhafte Domain
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"domains": [
"DOMAIN_1","DOMAIN_2"
]
}
Ersetzen Sie Folgendes:
SEVERITY : Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW , MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
RECOMMENDATION : Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
DOMAIN_1 : Ein Domainname, auf den Sie achten möchten, z. B. example.com . Der Wert localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Beispiel: beispiel.beispiel und xn--fsqu00a.beispiel sind äquivalent.
DOMAIN_2 : Optional. Ein Domainname, auf den Sie achten möchten, z. B. example.com . Der Wert localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Beispiel: beispiel.beispiel und xn--fsqu00a.beispiel sind äquivalent.
|
Unerwarteter Compute Engine-Instanztyp |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE
|
Cloud-Audit-Logs:
Administratoraktivitätslogs |
Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen. |
Vorlage: Unerwarteter Compute Engine-Instanztyp
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"instances": [
{
"series": "SERIES",
"cpus": {
"minimum": MINIMUM_NUMBER_OF_CPUS,
"maximum": MAXIMUM_NUMBER_OF_CPUS
},
"ram_mb": {
"minimum": MINIMUM_RAM_SIZE,
"maximum": MAXIMUM_RAM_SIZE
},
"gpus": {
"minimum": MINIMUM_NUMBER_OF_GPUS,
"maximum": MAXIMUM_NUMBER_OF_GPUS
},
"projects": [
"PROJECT_ID_1",
"PROJECT_ID_2"
],
"regions": [
"REGION_1",
"REGION_2"
]
},
{
"series": " ... ",
...
"regions": [ ... ]
}
]
}
Ersetzen Sie Folgendes:
SEVERITY : Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW , MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
RECOMMENDATION : Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
SERIES : Optional. Die Compute Engine-Maschinenreihe, z. B. C2 . Ist das Feld leer, sind alle Serien zulässig. Weitere Informationen finden Sie im Leitfaden zu Ressourcen und Vergleichen für Maschinenfamilien.
MINIMUM_NUMBER_OF_CPUS : Optional. Die Mindestanzahl der zulässigen CPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl.
Darf nicht negativ sein.
MAXIMUM_NUMBER_OF_CPUS : Optional. Die maximal zulässige Anzahl von CPUs. Wenn das Attribut nicht vorhanden ist, gibt es keine maximale Anzahl.
Muss größer oder gleich minimum und kleiner oder gleich 1.000 sein.
MINIMUM_RAM_SIZE : Optional. Die zulässige Mindestgröße des RAM in Megabyte. Wenn nicht vorhanden, gibt es keine Mindestanzahl.
MAXIMUM_RAM_SIZE : Optional. Die maximal zulässige RAM-Größe in Megabyte. Wenn das Attribut nicht vorhanden ist, gibt es keine maximale Anzahl. Muss größer oder gleich minimum und kleiner oder gleich 10.000.000 sein.
MINIMUM_NUMBER_OF_GPUS : Optional. Die Mindestanzahl der zulässigen GPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl.
Darf nicht negativ sein.
MAXIMUM_NUMBER_OF_GPUS : Optional. Die maximal zulässige Anzahl von GPUs. Wenn das Attribut nicht vorhanden ist, gibt es keine maximale Anzahl. Muss größer oder gleich minimum und kleiner oder gleich 100 sein.
PROJECT_ID_1 : Optional. Die ID eines Projekts, auf das Sie dieses Modul anwenden möchten, z. B. projects/example-project . Wenn das Feld leer ist oder nicht festgelegt ist, wird das Modul auf Instanzen angewendet, die in allen Projekten im aktuellen Gültigkeitsbereich erstellt wurden.
PROJECT_ID_2 : Optional. Die ID eines Projekts, auf das Sie dieses Modul anwenden möchten, z. B. projects/example-project .
REGION_1 : Optional. Eine Region, in der Sie dieses Modul anwenden möchten, z. B. us-central1 . Wenn das Feld leer ist oder nicht festgelegt wurde, wird das Modul auf Instanzen angewendet, die in allen Regionen erstellt wurden.
REGION_2 : Optional. Eine Region, in der Sie dieses Modul anwenden möchten, z. B. us-central1 .
|
Unerwartetes Compute Engine-Quell-Image |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE |
Cloud-Audit-Logs:
Administratoraktivitätslogs |
Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder einer Image-Familie, die bzw. das nicht einer angegebenen Liste entspricht |
Vorlage: Unerwartetes Compute Engine-Quell-Image
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"patterns": [
{
"pattern": "PATTERN_1",
"name": "NAME_1"
},
{
"pattern": "PATTERN_2",
"name": "NAME_2"
}
]
}
Ersetzen Sie Folgendes:
SEVERITY : Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW , MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
RECOMMENDATION : Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
PATTERN_1 : Ein RE2-regulärer Ausdruck, anhand dessen Bilder überprüft werden sollen, z. B. debian-image-1 . Wenn ein Image zum Erstellen einer Compute Engine-Instanz verwendet wird und der Name dieses Images keinem der angegebenen regulären Ausdrücke entspricht, wird eine Meldung ausgegeben.
NAME_1 : Ein beschreibender Name für dieses Muster, z. B. first-image .
PATTERN_2 : Optional. Ein weiterer RE2-regulärer Ausdruck, mit dem Bilder überprüft werden sollen, z. B. debian-image-2 .
NAME_2 : Optional. Ein aussagekräftiger Name für das zweite Muster, z. B. second-image .
|
Unerwartete Compute Engine-Region |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION |
Cloud-Audit-Logs:
Administratoraktivitätslogs |
Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die nicht in einer angegebenen Liste enthalten ist |
Vorlage: Unerwartete Compute Engine-Region
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"regions": [
{
"region": "REGION_1"
},
{
"region": "REGION_2"
}
]
}
Ersetzen Sie Folgendes:
SEVERITY : Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW , MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
RECOMMENDATION : Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
REGION_1 : Der Name einer Region, die zulässig sein soll, z. B. us-west1 . Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt die Ereignisbedrohungserkennung eine Meldung aus.
REGION_2 : Optional. Der Name einer zulässigen Region, z. B. us-central1 . Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt die Ereignisbedrohungserkennung eine Meldung aus.
|
Verwendetes Break-Glass-Konto |
CONFIGURABLE_BREAKGLASS_ACCOUNT_USED |
Cloud Audit-Logs:
Administratoraktivitätslogs Datenzugriffslogs (optional) |
Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass) |
Vorlage: Verwendetes Break-Glass-Konto
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"accounts": [
"BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
]
}
Ersetzen Sie Folgendes:
SEVERITY : Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW , MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
RECOMMENDATION : Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
BREAKGLASS_ACCOUNT_1 : Ein Breakglass-Konto, das beobachtet werden soll, z. B. test@example.com . Eine Meldung wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logeintrag erfasst wird.
BREAKGLASS_ACCOUNT_2 : Optional. Ein Break-Glass-Konto, das beobachtet werden soll, z. B. test@example.com . Ein Hinweis wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logeintrag aufgezeichnet wird.
|
Unerwartete Rollenzuweisung |
CONFIGURABLE_UNEXPECTED_ROLE_GRANT |
Cloud-Audit-Logs:
Administratoraktivitätslogs |
Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird |
Vorlage: Unerwartete Rollenzuweisung
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"roles": ["ROLE_1", "ROLE_2"]
}
Ersetzen Sie Folgendes:
SEVERITY : Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW , MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
RECOMMENDATION : Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
ROLE_1 : Eine IAM-Rolle, auf die Sie achten möchten, z. B. roles/owner . Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
ROLE_2 : Optional. Eine IAM-Rolle, auf die Sie achten möchten, z. B. roles/editor . Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
|
Benutzerdefinierte Rolle mit unzulässiger Berechtigung |
CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION |
Cloud-Audit-Logs:
Administratoraktivitätslogs |
Erkennt, wenn eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen erstellt oder aktualisiert wird. |
Vorlage: Benutzerdefinierte Rolle mit unzulässiger Berechtigung
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"permissions": [
"PERMISSION_1",
"PERMISSION_2"
]
}
Ersetzen Sie Folgendes:
SEVERITY : Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW , MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
RECOMMENDATION : Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
PERMISSION_1 : Eine IAM-Berechtigung, auf die geachtet werden soll, z. B. storage.buckets.list .
Die Ereignis-Bedrohungserkennung gibt eine Meldung aus, wenn einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung gewährt wird.
PERMISSION_2 : Optional. Eine IAM-Berechtigung, auf die geachtet werden soll, z. B. storage.buckets.get . Die Ereignis-Bedrohungserkennung gibt eine Meldung aus, wenn einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung gewährt wird.
|
Unerwarteter Cloud API-Aufruf |
CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL
|
Cloud Audit-Logs:
Administratoraktivitätslogs
Datenzugriffslogs
(optional) |
Erkennt, wenn ein bestimmter Nutzer eine bestimmte Methode für eine bestimmte Ressource aufruft. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzelnen Logeintrag übereinstimmen. |
Vorlage: Unerwarteter Cloud API-Aufruf
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"caller_pattern": "CALLER_PATTERN",
"method_pattern": "METHOD_PATTERN",
"resource_pattern": "RESOURCE_PATTERN"
}
Ersetzen Sie Folgendes:
SEVERITY : Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW , MEDIUM , HIGH und CRITICAL .
DESCRIPTION : Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
RECOMMENDATION : Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
CALLER_PATTERN : Ein RE2-regulärer Ausdruck, anhand dessen Nutzer überprüft werden. Beispielsweise entspricht .* jedem Hauptkonto.
METHOD_PATTERN : Ein RE2-regulärer Ausdruck, anhand dessen Methoden überprüft werden sollen, z. B. ^cloudsql\\.instances\\.export$ .
RESOURCE_PATTERN : Ein RE2-regulärer Ausdruck, anhand dessen Ressourcen geprüft werden sollen, z. B. example-project .
|
Preise und Kontingente
Diese Funktion ist für Kunden von Security Command Center Premium kostenlos.
Benutzerdefinierte Event Threat Detection-Module unterliegen Kontingentlimits.
Das Standardkontingent für das Erstellen benutzerdefinierter Module beträgt 200.
Für API-Aufrufe von benutzerdefinierten Modulmethoden gelten ebenfalls Kontingentlimits. In der folgenden Tabelle sind die Standardkontingentlimits für API-Aufrufe von benutzerdefinierten Modulen aufgeführt.
API-Aufruftyp |
Limit |
Get, List |
1.000 API-Aufrufe pro Minute pro Organisation |
Erstellen, aktualisieren, löschen |
60 API-Aufrufe pro Minute pro Organisation |
Größenbeschränkungen für Module
Die Größe jedes benutzerdefinierten Event Threat Detection-Moduls ist auf 6 MB begrenzt.
Ratenlimits
Es gelten die folgenden Ratenbegrenzungen:
- 30 Ergebnisse pro benutzerdefiniertem Modul und Stunde.
- 200 Ergebnisse pro benutzerdefiniertem Modul und übergeordneter Ressource (Organisation oder Projekt) pro Stunde. Jedes Ergebnis wird entweder für eine Organisation oder ein Projekt gezählt, je nachdem, auf welcher Ebene das benutzerdefinierte Quellmodul erstellt wurde.
Diese Limits können nicht erhöht werden.
Nächste Schritte