Benutzerdefinierte Module für Event Threat Detection – Übersicht

Auf dieser Seite finden Sie eine Übersicht über benutzerdefinierte Module für Event Threat Detection.

Sie können Module, auch Detektoren genannt, konfigurieren, um Ihren Cloud Logging-Stream zu verarbeiten und anhand der von Ihnen angegebenen Parameter Bedrohungen zu erkennen. Diese Funktion erweitert die Monitoringfunktionen von Event Threat Detection und ermöglicht das Hinzufügen von Modulen mit Ihren eigenen Erkennungsparametern, Richtlinien zur Korrektur und Schweregradkennzeichnungen für Konfigurationen, die von den integrierten Detektoren möglicherweise nicht unterstützt werden.

Benutzerdefinierte Module sind nützlich, wenn Sie Module mit Erkennungsregeln benötigen, die den individuellen Anforderungen Ihrer Organisation entsprechen. Sie können beispielsweise ein benutzerdefiniertes Modul hinzufügen, das Ergebnisse erstellt, wenn Protokolleinträge zeigen, dass eine Ressource mit bestimmten IP-Adressen verbunden ist oder in einer eingeschränkten Region erstellt wurde.

Funktionsweise benutzerdefinierter Module für Event Threat Detection

Benutzerdefinierte Module sind eine ausgewählte Gruppe von Event Threat Detection-Detektoren, die Sie mit eigenen Erkennungsparametern konfigurieren können. Sie können ein benutzerdefiniertes Modul für die Ereignisbedrohungserkennung über die Google Cloud Console erstellen. Alternativ können Sie eine Vorlage für benutzerdefinierte Module aktualisieren und das benutzerdefinierte Modul über die Google Cloud CLI an Security Command Center senden. Informationen zu verfügbaren Vorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.

Vorlagen für benutzerdefinierte Module sind in JSON geschrieben und ermöglichen die Definition von Erkennungsparametern, mit denen gesteuert wird, welche Ereignisse in Logeinträgen Ergebnisse auslösen sollen. So prüft der integrierte Malware: Bad IP-Detektor beispielsweise Virtual Private Cloud-Flusslogs auf Verbindungen zu bekannten verdächtigen IP-Adressen. Sie können das benutzerdefinierte Modul Configurable Bad IP jedoch mit einer Liste verdächtiger IP-Adressen aktivieren und ändern, die Sie verwalten. Wenn Ihre Protokolle eine Verbindung zu einer Ihrer angegebenen IP-Adressen anzeigen, wird ein Ergebnis generiert und in Security Command Center geschrieben.

Mithilfe von Modulvorlagen können Sie auch die Schwere von Bedrohungen definieren und benutzerdefinierte Maßnahmen zur Behebung von Problemen angeben, damit Ihre Sicherheitsteams Probleme beheben können.

Mit benutzerdefinierten Modulen haben Sie mehr Kontrolle darüber, wie Event Threat Detection Bedrohungen erkennt und Ergebnisse meldet. Benutzerdefinierte Module enthalten Ihre angegebenen Parameter, nutzen aber weiterhin die Erkennungslogik und Threat Intelligence von Event Threat Detection, einschließlich des Abgleichs von Tripwire-Indikatoren. Sie können eine breite Palette von Bedrohungsmodellen implementieren, die auf die individuellen Anforderungen Ihres Unternehmens zugeschnitten sind.

Benutzerdefinierte Module für Event Threat Detection werden neben den integrierten Detektoren ausgeführt. Aktivierte Module werden im Echtzeitmodus ausgeführt, der Scans auslöst, wenn neue Protokolle erstellt werden.

Benutzerdefinierte Module und Vorlagen

Die folgende Tabelle enthält eine Liste der unterstützten benutzerdefinierten Modultypen, Beschreibungen, erforderlichen Protokolle und JSON-Modulvorlagen.

Sie benötigen diese JSON-Modulvorlagen, wenn Sie benutzerdefinierte Module mit der gcloud CLI erstellen oder aktualisieren möchten. Wenn Sie eine Vorlage aufrufen möchten, klicken Sie neben dem Namen auf das Maximieren-Symbol . Informationen zur Verwendung benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module konfigurieren und verwalten.

Ergebniskategorie Modultyp Logquelltypen Beschreibung
Konfigurierbare fehlerhafte IP-Adresse CONFIGURABLE_BAD_IP VPC-Flusslogs
Firewallregel-Logs
Erkennt eine Verbindung zu einer angegebenen IP-Adresse
Vorlage: Konfigurierbare fehlerhafte IP-Adresse
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • IP_ADDRESS_1: Eine öffentlich routbare IPv4- oder IPv6-Adresse oder ein zu beobachtender CIDR-Block, z. B. 192.0.2.1 oder 192.0.2.0/24.
  • IP_ADDRESS_2: Optional. Eine öffentlich routbare IPv4- oder IPv6-Adresse oder ein CIDR-Block, auf den geachtet werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24.
Konfigurierbare fehlerhafte Domain CONFIGURABLE_BAD_DOMAIN Cloud DNS-Logs Erkennt eine Verbindung zu einem angegebenen Domainnamen
Vorlage: Konfigurierbare fehlerhafte Domain
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • DOMAIN_1: Ein Domainname, auf den Sie achten möchten, z. B. example.com. Der Wert localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Beispiel: beispiel.beispiel und xn--fsqu00a.beispiel sind äquivalent.
  • DOMAIN_2: Optional. Ein Domainname, auf den Sie achten möchten, z. B. example.com. Der Wert localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Beispiel: beispiel.beispiel und xn--fsqu00a.beispiel sind äquivalent.
Unerwarteter Compute Engine-Instanztyp CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud-Audit-Logs:
Administratoraktivitätslogs
Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen.
Vorlage: Unerwarteter Compute Engine-Instanztyp
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • SERIES: Optional. Die Compute Engine-Maschinenreihe, z. B. C2. Ist das Feld leer, sind alle Serien zulässig. Weitere Informationen finden Sie im Leitfaden zu Ressourcen und Vergleichen für Maschinenfamilien.
  • MINIMUM_NUMBER_OF_CPUS: Optional. Die Mindestanzahl der zulässigen CPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_CPUS: Optional. Die maximal zulässige Anzahl von CPUs. Wenn das Attribut nicht vorhanden ist, gibt es keine maximale Anzahl. Muss größer oder gleich minimum und kleiner oder gleich 1.000 sein.
  • MINIMUM_RAM_SIZE: Optional. Die zulässige Mindestgröße des RAM in Megabyte. Wenn nicht vorhanden, gibt es keine Mindestanzahl.
  • MAXIMUM_RAM_SIZE: Optional. Die maximal zulässige RAM-Größe in Megabyte. Wenn das Attribut nicht vorhanden ist, gibt es keine maximale Anzahl. Muss größer oder gleich minimum und kleiner oder gleich 10.000.000 sein.
  • MINIMUM_NUMBER_OF_GPUS: Optional. Die Mindestanzahl der zulässigen GPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_GPUS: Optional. Die maximal zulässige Anzahl von GPUs. Wenn das Attribut nicht vorhanden ist, gibt es keine maximale Anzahl. Muss größer oder gleich minimum und kleiner oder gleich 100 sein.
  • PROJECT_ID_1: Optional. Die ID eines Projekts, auf das Sie dieses Modul anwenden möchten, z. B. projects/example-project. Wenn das Feld leer ist oder nicht festgelegt ist, wird das Modul auf Instanzen angewendet, die in allen Projekten im aktuellen Gültigkeitsbereich erstellt wurden.
  • PROJECT_ID_2: Optional. Die ID eines Projekts, auf das Sie dieses Modul anwenden möchten, z. B. projects/example-project.
  • REGION_1: Optional. Eine Region, in der Sie dieses Modul anwenden möchten, z. B. us-central1. Wenn das Feld leer ist oder nicht festgelegt wurde, wird das Modul auf Instanzen angewendet, die in allen Regionen erstellt wurden.
  • REGION_2: Optional. Eine Region, in der Sie dieses Modul anwenden möchten, z. B. us-central1.
Unerwartetes Compute Engine-Quell-Image CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud-Audit-Logs:
Administratoraktivitätslogs
Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder einer Image-Familie, die bzw. das nicht einer angegebenen Liste entspricht
Vorlage: Unerwartetes Compute Engine-Quell-Image
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • PATTERN_1: Ein RE2-regulärer Ausdruck, anhand dessen Bilder überprüft werden sollen, z. B. debian-image-1. Wenn ein Image zum Erstellen einer Compute Engine-Instanz verwendet wird und der Name dieses Images keinem der angegebenen regulären Ausdrücke entspricht, wird eine Meldung ausgegeben.
  • NAME_1: Ein beschreibender Name für dieses Muster, z. B. first-image.
  • PATTERN_2: Optional. Ein weiterer RE2-regulärer Ausdruck, mit dem Bilder überprüft werden sollen, z. B. debian-image-2.
  • NAME_2: Optional. Ein aussagekräftiger Name für das zweite Muster, z. B. second-image.
Unerwartete Compute Engine-Region CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Cloud-Audit-Logs:
Administratoraktivitätslogs
Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die nicht in einer angegebenen Liste enthalten ist
Vorlage: Unerwartete Compute Engine-Region
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • REGION_1: Der Name einer Region, die zulässig sein soll, z. B. us-west1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt die Ereignisbedrohungserkennung eine Meldung aus.
  • REGION_2: Optional. Der Name einer zulässigen Region, z. B. us-central1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, gibt die Ereignisbedrohungserkennung eine Meldung aus.
Verwendetes Break-Glass-Konto CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Cloud Audit-Logs:
Administratoraktivitätslogs
Datenzugriffslogs (optional)
Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass)
Vorlage: Verwendetes Break-Glass-Konto
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • BREAKGLASS_ACCOUNT_1: Ein Breakglass-Konto, das beobachtet werden soll, z. B. test@example.com. Eine Meldung wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logeintrag erfasst wird.
  • BREAKGLASS_ACCOUNT_2: Optional. Ein Break-Glass-Konto, das beobachtet werden soll, z. B. test@example.com. Ein Hinweis wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logeintrag aufgezeichnet wird.
Unerwartete Rollenzuweisung CONFIGURABLE_UNEXPECTED_ROLE_GRANT Cloud-Audit-Logs:
Administratoraktivitätslogs
Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird
Vorlage: Unerwartete Rollenzuweisung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • ROLE_1: Eine IAM-Rolle, auf die Sie achten möchten, z. B. roles/owner. Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
  • ROLE_2: Optional. Eine IAM-Rolle, auf die Sie achten möchten, z. B. roles/editor. Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
Benutzerdefinierte Rolle mit unzulässiger Berechtigung CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Cloud-Audit-Logs:
Administratoraktivitätslogs
Erkennt, wenn eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen erstellt oder aktualisiert wird.
Vorlage: Benutzerdefinierte Rolle mit unzulässiger Berechtigung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • PERMISSION_1: Eine IAM-Berechtigung, auf die geachtet werden soll, z. B. storage.buckets.list. Die Ereignis-Bedrohungserkennung gibt eine Meldung aus, wenn einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung gewährt wird.
  • PERMISSION_2: Optional. Eine IAM-Berechtigung, auf die geachtet werden soll, z. B. storage.buckets.get. Die Ereignis-Bedrohungserkennung gibt eine Meldung aus, wenn einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung gewährt wird.
Unerwarteter Cloud API-Aufruf CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Cloud Audit-Logs:
Administratoraktivitätslogs
Datenzugriffslogs (optional)
Erkennt, wenn ein bestimmter Nutzer eine bestimmte Methode für eine bestimmte Ressource aufruft. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzelnen Logeintrag übereinstimmen.
Vorlage: Unerwarteter Cloud API-Aufruf
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul erstellt werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Mit dieser Beschreibung wird die Property explanation jedes durch dieses Modul generierten Ergebnisses ausgefüllt.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um das Attribut nextSteps für jedes Ergebnis zu füllen, das von diesem Modul generiert wird.
  • CALLER_PATTERN: Ein RE2-regulärer Ausdruck, anhand dessen Nutzer überprüft werden. Beispielsweise entspricht .* jedem Hauptkonto.
  • METHOD_PATTERN: Ein RE2-regulärer Ausdruck, anhand dessen Methoden überprüft werden sollen, z. B. ^cloudsql\\.instances\\.export$.
  • RESOURCE_PATTERN: Ein RE2-regulärer Ausdruck, anhand dessen Ressourcen geprüft werden sollen, z. B. example-project.

Preise und Kontingente

Diese Funktion ist für Kunden von Security Command Center Premium kostenlos.

Benutzerdefinierte Event Threat Detection-Module unterliegen Kontingentlimits.

Das Standardkontingent für das Erstellen benutzerdefinierter Module beträgt 200.

Für API-Aufrufe von benutzerdefinierten Modulmethoden gelten ebenfalls Kontingentlimits. In der folgenden Tabelle sind die Standardkontingentlimits für API-Aufrufe von benutzerdefinierten Modulen aufgeführt.

API-Aufruftyp Limit
Get, List 1.000 API-Aufrufe pro Minute pro Organisation
Erstellen, aktualisieren, löschen 60 API-Aufrufe pro Minute pro Organisation

Größenbeschränkungen für Module

Die Größe jedes benutzerdefinierten Event Threat Detection-Moduls ist auf 6 MB begrenzt.

Ratenlimits

Es gelten die folgenden Ratenbegrenzungen:

  • 30 Ergebnisse pro benutzerdefiniertem Modul und Stunde.
  • 200 Ergebnisse pro benutzerdefiniertem Modul und übergeordneter Ressource (Organisation oder Projekt) pro Stunde. Jedes Ergebnis wird entweder für eine Organisation oder ein Projekt gezählt, je nachdem, auf welcher Ebene das benutzerdefinierte Quellmodul erstellt wurde.

Diese Limits können nicht erhöht werden.

Nächste Schritte