Ringkasan modul kustom untuk Event Threat Detection

Halaman ini memberikan ringkasan modul kustom untuk Event Threat Detection.

Anda dapat mengonfigurasi modul, yang juga dikenal sebagai detektor, untuk memproses aliran Cloud Logging dan mendeteksi ancaman berdasarkan parameter yang Anda tentukan. Fitur ini memperluas kemampuan pemantauan Event Threat Detection dan memungkinkan Anda menambahkan modul dengan parameter deteksi, panduan perbaikan, dan penetapan tingkat keparahan sendiri untuk konfigurasi yang mungkin tidak didukung oleh detektor bawaan.

Modul kustom berguna jika Anda memerlukan modul dengan aturan deteksi yang memenuhi kebutuhan unik organisasi Anda. Misalnya, Anda dapat menambahkan modul kustom yang membuat temuan jika entri log menunjukkan bahwa resource terhubung ke alamat IP tertentu atau dibuat di region yang dibatasi.

Cara kerja modul kustom untuk Event Threat Detection

Modul kustom adalah sekelompok detektor Event Threat Detection tertentu yang dapat Anda konfigurasi dengan parameter deteksi Anda sendiri. Anda dapat membuat modul kustom Event Threat Detection melalui konsol Google Cloud . Atau, Anda dapat membuatnya dengan memperbarui template modul kustom dan mengirim modul kustom ke Security Command Center melalui Google Cloud CLI. Untuk informasi tentang template yang tersedia, lihat Modul dan template kustom.

Template modul kustom ditulis dalam JSON dan memungkinkan Anda menentukan parameter deteksi yang mengontrol peristiwa mana dalam entri log yang harus memicu temuan. Misalnya, detektor Malware: Bad IP bawaan memeriksa Log Alur Virtual Private Cloud untuk menemukan bukti koneksi ke alamat IP yang diketahui mencurigakan. Namun, Anda dapat mengaktifkan dan mengubah modul kustom Configurable Bad IP dengan daftar alamat IP mencurigakan yang Anda kelola. Jika log Anda menunjukkan adanya koneksi ke alamat IP yang Anda berikan, temuan akan dibuat dan ditulis ke Security Command Center.

Template modul juga memungkinkan Anda menentukan tingkat keparahan ancaman dan memberikan langkah-langkah perbaikan kustom untuk membantu tim keamanan Anda memperbaiki masalah.

Dengan modul kustom, Anda memiliki kontrol lebih besar terhadap cara Event Threat Detection mendeteksi ancaman dan melaporkan temuan. Modul kustom mencakup parameter yang Anda berikan, tetapi tetap menggunakan logika deteksi dan inteligensi ancaman eksklusif Event Threat Detection, termasuk pencocokan indikator jebakan. Anda dapat menerapkan serangkaian model ancaman yang luas dan disesuaikan dengan persyaratan unik organisasi Anda.

Modul kustom Event Threat Detection berjalan bersama dengan pendeteksi bawaan. Modul yang diaktifkan berjalan dalam mode real-time, yang memicu pemindaian setiap kali log baru dibuat.

Modul dan template kustom

Tabel berikut berisi daftar jenis modul kustom yang didukung, deskripsi, log yang diperlukan, dan template modul JSON.

Anda memerlukan template modul JSON ini jika ingin menggunakan gcloud CLI untuk membuat atau memperbarui modul kustom. Untuk melihat template, klik ikon perluas di samping namanya. Untuk mengetahui informasi tentang cara menggunakan modul kustom, lihat Mengonfigurasi dan mengelola modul kustom.

Kategori temuan Jenis modul Jenis sumber log Deskripsi
IP buruk yang dapat dikonfigurasi CONFIGURABLE_BAD_IP Log aliran VPC
Log Aturan Firewall 		Mendeteksi koneksi ke alamat IP tertentu
Template: IP buruk yang dapat dikonfigurasi
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang dideteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • IP_ADDRESS_1: Alamat atau blok CIDR IPv4 atau IPv6 yang dapat dirutekan secara publik untuk dipantau—misalnya, 192.0.2.1 atau 192.0.2.0/24.
  • IP_ADDRESS_2: Opsional. Alamat atau blok CIDR IPv4 atau IPv6 yang dapat dirutekan secara publik untuk dipantau—misalnya, 192.0.2.1 atau 192.0.2.0/24.
Domain buruk yang dapat dikonfigurasi CONFIGURABLE_BAD_DOMAIN Log Cloud DNS Mendeteksi koneksi ke nama domain tertentu
Template: Domain buruk yang dapat dikonfigurasi
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang dideteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • DOMAIN_1: Nama domain yang akan dipantau—misalnya, example.com. Nilai localhost tidak diizinkan. Nama domain Unicode dan Punycode dinormalisasi. Misalnya, 例子.example dan xn--fsqu00a.example setara.
  • DOMAIN_2: Opsional. Nama domain yang akan dipantau, misalnya, example.com. Nilai localhost tidak diizinkan. Nama domain Unicode dan Punycode dinormalisasi. Misalnya, 例子.example dan xn--fsqu00a.example setara.
Jenis instance Compute Engine yang tidak terduga CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud Audit Logs:
Log Aktivitas Admin 		Mendeteksi pembuatan instance Compute Engine yang tidak cocok dengan jenis atau konfigurasi instance yang ditentukan.
Template: Jenis instance Compute Engine yang tidak terduga
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang dideteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • SERIES: Opsional. Seri mesin Compute Engine, misalnya, C2. Jika kosong, modul mengizinkan semua deret. Untuk mengetahui informasi selengkapnya, lihat Panduan perbandingan dan resource kelompok mesin.
  • MINIMUM_NUMBER_OF_CPUS: Opsional. Jumlah minimum CPU yang diizinkan. Jika tidak ada, tidak ada batas minimum. Tidak boleh negatif.
  • MAXIMUM_NUMBER_OF_CPUS: Opsional. Jumlah maksimum CPU yang diizinkan. Jika tidak ada, tidak ada jumlah maksimum. Harus lebih besar dari atau sama dengan minimum dan kurang dari atau sama dengan 1.000.
  • MINIMUM_RAM_SIZE: Opsional. Ukuran RAM minimum yang diizinkan, dalam megabyte. Jika tidak ada, tidak ada minimum.
  • MAXIMUM_RAM_SIZE: Opsional. Ukuran RAM maksimum yang diizinkan, dalam megabyte. Jika tidak ada, tidak ada batas maksimum. Harus lebih besar dari atau sama dengan minimum dan kurang dari atau sama dengan 10.000.000.
  • MINIMUM_NUMBER_OF_GPUS: Opsional. Jumlah minimum GPU yang diizinkan. Jika tidak ada, tidak ada batas minimum. Tidak boleh negatif.
  • MAXIMUM_NUMBER_OF_GPUS: Opsional. Jumlah maksimum GPU yang diizinkan. Jika tidak ada, tidak ada jumlah maksimum. Harus lebih besar dari atau sama dengan minimum dan kurang dari atau sama dengan 100.
  • PROJECT_ID_1: Opsional. ID project yang ingin Anda terapkan modul ini—misalnya, projects/example-project. Jika kosong atau tidak ditetapkan, modul akan diterapkan ke instance yang dibuat di semua project dalam cakupan saat ini.
  • PROJECT_ID_2: Opsional. ID project yang ingin Anda terapkan modul ini—misalnya, projects/example-project.
  • REGION_1: Opsional. Region tempat Anda ingin menerapkan modul ini—misalnya, us-central1. Jika kosong atau tidak disetel, modul diterapkan ke instance yang dibuat di semua region.
  • REGION_2: Opsional. Region tempat Anda ingin menerapkan modul ini—misalnya, us-central1.
Image sumber Compute Engine yang tidak terduga CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud Audit Logs:
Log Aktivitas Admin 		Mendeteksi pembuatan instance Compute Engine dengan image atau kelompok image yang tidak cocok dengan daftar yang ditentukan
Template: Image sumber Compute Engine yang tidak terduga
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang dideteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • PATTERN_1: Ekspresi reguler RE2 untuk memeriksa kecocokan gambar—misalnya, debian-image-1. Jika image digunakan untuk membuat instance Compute Engine dan nama image tersebut tidak cocok dengan salah satu ekspresi reguler yang ditentukan, temuan akan dibuat.
  • NAME_1: Nama deskriptif untuk pola ini—misalnya, first-image.
  • PATTERN_2: Opsional. Ekspresi reguler RE2 lain untuk memeriksa gambar, misalnya, debian-image-2.
  • NAME_2: Opsional. Nama deskriptif untuk pola kedua—misalnya, second-image.
Region Compute Engine yang tidak terduga CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Cloud Audit Logs:
Log Aktivitas Admin 		Mendeteksi pembuatan instance Compute Engine di region yang tidak ada dalam daftar yang ditentukan
Template: Region Compute Engine yang tidak terduga
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang dideteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • REGION_1: Nama region yang akan diizinkan—misalnya, us-west1. Jika instance Compute Engine dibuat di region yang tidak ditentukan dalam daftar, Event Threat Detection akan membuat temuan.
  • REGION_2: Opsional. Nama wilayah yang diizinkan—misalnya, us-central1. Jika instance Compute Engine dibuat di region yang tidak ditentukan dalam daftar, Event Threat Detection akan membuat temuan.
Akun akses darurat yang digunakan CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Cloud Audit Logs:
Log Aktivitas Admin
Log Akses Data (opsional)		 Mendeteksi penggunaan akun akses darurat (breakglass)
Template: Akun Breakglass digunakan
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang dideteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • BREAKGLASS_ACCOUNT_1: Akun breakglass yang harus diawasi—misalnya, test@example.com. Temuan dibuat jika akun ini digunakan untuk tindakan yang dicatat dalam entri Cloud Audit Logs.
  • BREAKGLASS_ACCOUNT_2: Opsional. Akun breakglass yang harus diawasi—misalnya, test@example.com. Temuan akan dibuat jika akun ini digunakan untuk tindakan yang dicatat dalam entri Cloud Audit Logs.
Pemberian peran yang tidak terduga CONFIGURABLE_UNEXPECTED_ROLE_GRANT Cloud Audit Logs:
Log Aktivitas Admin 		Mendeteksi saat peran tertentu diberikan kepada pengguna
Template: Pemberian peran yang tidak terduga
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang dideteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • ROLE_1: Peran IAM yang akan dipantau —misalnya, roles/owner. Temuan akan dibuat jika peran ini diberikan.
  • ROLE_2: Opsional. Peran IAM yang akan dipantau—misalnya, roles/editor. Temuan akan dibuat jika peran ini diberikan.
Peran khusus dengan izin yang dilarang CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Cloud Audit Logs:
Log Aktivitas Admin 		Mendeteksi saat peran kustom dengan salah satu izin IAM yang ditentukan dibuat atau diperbarui.
Template: Peran khusus dengan izin yang dilarang
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang dideteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • PERMISSION_1: Izin IAM yang akan dipantau—misalnya, storage.buckets.list. Event Threat Detection akan membuat temuan jika peran IAM kustom yang berisi izin ini diberikan kepada akun utama.
  • PERMISSION_2: Opsional. Izin IAM yang akan dipantau—misalnya, storage.buckets.get. Event Threat Detection akan membuat temuan jika peran IAM kustom yang berisi izin ini diberikan kepada akun utama.
Panggilan Cloud API yang Tidak Terduga CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Cloud Audit Logs:
Log Aktivitas Admin
Log Akses Data (opsional)		 Mendeteksi saat prinsipal tertentu memanggil metode tertentu terhadap resource tertentu. Temuan hanya dibuat jika semua ekspresi reguler dicocokkan dalam satu entri log.
Template: Panggilan Cloud API yang Tidak Terduga
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Ganti kode berikut:

  • SEVERITY: Tingkat keparahan temuan yang akan dihasilkan oleh modul ini. Nilai yang valid adalah LOW, MEDIUM, HIGH, dan CRITICAL.
  • DESCRIPTION: Deskripsi ancaman yang dideteksi oleh modul kustom. Deskripsi ini digunakan untuk mengisi properti explanation dari setiap temuan yang dihasilkan oleh modul ini.
  • RECOMMENDATION: Penjelasan tentang langkah-langkah yang direkomendasikan yang dapat dilakukan tim keamanan untuk menyelesaikan masalah yang terdeteksi. Penjelasan ini digunakan untuk mengisi properti nextSteps dari setiap temuan yang dihasilkan oleh modul ini.
  • CALLER_PATTERN: Ekspresi reguler RE2 untuk memeriksa pokok terhadapnya. Misalnya, .* cocok dengan semua prinsipal.
  • METHOD_PATTERN: Ekspresi reguler RE2 untuk memeriksa metode—misalnya, ^cloudsql\\.instances\\.export$.
  • RESOURCE_PATTERN: Ekspresi reguler RE2 untuk memeriksa resource, misalnya, example-project.

Harga dan kuota

Fitur ini tersedia tanpa biaya untuk pelanggan Security Command Center Premium.

Modul kustom Event Threat Detection tunduk pada batas kuota.

Batas kuota default untuk pembuatan modul kustom adalah 200.

Panggilan API ke metode modul kustom juga tunduk pada batas kuota. Tabel berikut menunjukkan batas kuota default untuk panggilan API modul kustom.

Jenis panggilan API Batas
Get, List 1.000 panggilan API per menit, per organisasi
Buat, Perbarui, Hapus 60 panggilan API per menit, per organisasi

Batas ukuran modul

Setiap modul kustom Event Threat Detection memiliki batas ukuran 6 MB.

Batas kapasitas

Batas frekuensi berikut berlaku:

  • 30 temuan per modul kustom per jam.
  • 200 temuan modul kustom per resource induk (organisasi atau project) per jam. Setiap temuan dihitung untuk organisasi atau project, bergantung pada level tempat modul kustom sumber dibuat.

Batas ini tidak dapat ditingkatkan.

Langkah berikutnya