Event Threat Detection 自訂模組簡介

本頁面提供 Event Threat Detection 自訂模組總覽。

您可以設定模組 (也稱為「偵測器」),處理 Cloud Logging 串流,並根據您指定的參數偵測威脅。這項功能擴充了 Event Threat Detection 的監控功能,可讓您新增模組,並為內建偵測器可能不支援的設定,提供自己的偵測參數、補救措施指引和嚴重程度指定。

如果需要偵測規則符合貴機構獨特需求的模組,自訂模組就非常實用。舉例來說,如果記錄項目顯示資源連線至特定 IP 位址,或是在受限區域中建立,您就可以新增自訂模組來建立調查結果。

Event Threat Detection 自訂模組的運作方式

自訂模組是一組 Event Threat Detection 偵測器,您可以設定自己的偵測參數。您可以透過 Google Cloud 控制台建立 Event Threat Detection 自訂模組。或者,您也可以更新自訂模組範本,然後透過 Google Cloud CLI 將自訂模組傳送至 Security Command Center,藉此建立模組。如要瞭解可用的範本,請參閱「自訂模組和範本」。

自訂模組範本是以 JSON 格式編寫,可讓您定義偵測參數,指定應觸發發現結果的記錄項目事件。舉例來說,內建的 Malware: Bad IP 偵測器會檢查虛擬私有雲流量記錄,找出連線至已知可疑 IP 位址的證據。不過,您可以啟用並修改 Configurable Bad IP 自訂模組,並使用您維護的可疑 IP 位址清單。如果記錄檔顯示連線至您提供的任何 IP 位址,系統就會產生發現項目並寫入 Security Command Center。

您也可以透過模組範本定義威脅的嚴重程度,並提供自訂的補救步驟,協助安全團隊修正問題。

自訂模組可讓您進一步控管 Event Threat Detection 偵測威脅和回報結果的方式。自訂模組包含您提供的參數,但仍會使用 Event Threat Detection 的專屬偵測邏輯和威脅情報,包括觸發線指標比對。您可以根據貴機構的獨特需求,實作各種威脅模型。

Event Threat Detection 自訂模組會與內建偵測器一併執行。已啟用的模組會在即時模式下執行,每當建立新記錄時,就會觸發掃描。

自訂模組和範本

下表列出支援的自訂模組類型、說明、必要記錄和 JSON 模組範本。

如要使用 gcloud CLI 建立或更新自訂模組,您需要這些 JSON 模組範本。如要查看範本,請按一下名稱旁邊的展開圖示 。如要瞭解如何使用自訂模組,請參閱「設定及管理自訂模組」。

發現項目類別 模組類型 記錄來源類型 說明
可設定的無效 IP CONFIGURABLE_BAD_IP 虛擬私有雲流量記錄
防火牆規則記錄 		偵測連至指定 IP 位址的連線
範本:可設定的無效 IP
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

更改下列內容:

  • SEVERITY:這個模組產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這個說明會用於填入這個模組產生的每項發現的 explanation 屬性。
  • RECOMMENDATION:說明安全團隊可採取哪些建議步驟,解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • IP_ADDRESS_1:要監控的公開可路由 IPv4 或 IPv6 位址或 CIDR 區塊,例如 192.0.2.1192.0.2.0/24
  • IP_ADDRESS_2:選用。要監控的公開可路由 IPv4 或 IPv6 位址或 CIDR 區塊,例如 192.0.2.1192.0.2.0/24
可設定的無效網域 CONFIGURABLE_BAD_DOMAIN Cloud DNS 記錄 偵測連至指定網域名稱的連線
範本:可設定的無效網域
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

更改下列內容:

  • SEVERITY:這個模組產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這個說明會用於填入這個模組產生的每項發現的 explanation 屬性。
  • RECOMMENDATION:說明安全團隊可採取哪些建議步驟,解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • DOMAIN_1:要監控的網域名稱,例如 example.com。不允許 localhost 值。系統會將 Unicode 和 Punycode 網域名稱正規化。例如,例子.example 和 xn--fsqu00a.example 相同。
  • DOMAIN_2:選用。要監控的網域名稱,例如 example.com。不允許 localhost 值。系統會將 Unicode 和 Punycode 網域名稱正規化。舉例來說,例子.example 和 xn--fsqu00a.example 相當於相同網域。
未預期的 Compute Engine 執行個體類型 CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud 稽核記錄:
管理員活動記錄 		在建立 Compute Engine 執行個體時,偵測是否有與指定執行個體類型或設定不符的情形。
範本:未預期的 Compute Engine 執行個體類型
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

更改下列內容:

  • SEVERITY:這個模組產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這個說明會用於填入這個模組產生的每項發現的 explanation 屬性。
  • RECOMMENDATION:說明安全團隊可採取哪些建議步驟,解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • SERIES:選用。Compute Engine 機器系列,例如 C2。如果留空,模組會允許所有系列。詳情請參閱機器家族資源與比較指南
  • MINIMUM_NUMBER_OF_CPUS:選用。允許的 CPU 數量下限。如未提供,則沒有下限。不得為負數。
  • MAXIMUM_NUMBER_OF_CPUS:選用。允許的 CPU 數量上限。如未提供,則無上限。 必須大於或等於 minimum,且小於或等於 1,000。
  • MINIMUM_RAM_SIZE:選用。允許的最低 RAM 大小 (以 MB 為單位)。如未提供,則沒有下限。
  • MAXIMUM_RAM_SIZE:選用。允許的 RAM 大小上限 (以 MB 為單位)。如果未提供,則沒有上限。必須大於或等於 minimum,且小於或等於 10,000,000。
  • MINIMUM_NUMBER_OF_GPUS:選用。允許的 GPU 數量下限。如未提供,則沒有下限。不得為負數。
  • MAXIMUM_NUMBER_OF_GPUS:選用。允許的 GPU 數量上限。如果未提供,則無上限。必須大於或等於 minimum,且小於或等於 100。
  • PROJECT_ID_1:選用。要套用這個模組的專案 ID,例如 projects/example-project。如果為空白或未設定,模組會套用至目前範圍內所有專案中建立的執行個體。
  • PROJECT_ID_2:選用。要套用這個模組的專案 ID,例如 projects/example-project
  • REGION_1:選用。要套用這個模組的地區,例如 us-central1。如果留空或未設定,模組會套用至在所有區域建立的執行個體。
  • REGION_2:選用。要套用這個模組的區域,例如 us-central1
未預期的 Compute Engine 來源映像檔 CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud 稽核記錄:
管理員活動記錄 		在建立 Compute Engine 執行個體時,偵測是否有與指定清單不符的映像檔或映像檔系列
範本:未預期的 Compute Engine 來源映像檔
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

更改下列內容:

  • SEVERITY:這個模組產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這個說明會用於填入這個模組產生的每項發現的 explanation 屬性。
  • RECOMMENDATION:說明安全團隊可採取哪些建議步驟,解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • PATTERN_1:用於檢查圖片的 RE2 規則運算式,例如 debian-image-1。如果映像檔用於建立 Compute Engine 執行個體,且該映像檔的名稱與任何指定的規則運算式都不相符,系統就會產生結果。
  • NAME_1:這個模式的說明名稱,例如 first-image
  • PATTERN_2:選用。另一個用來檢查圖片的 RE2 規則運算式,例如 debian-image-2
  • NAME_2:選用。第二個模式的描述性名稱,例如 second-image
未預期的 Compute Engine 區域 CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Cloud 稽核記錄:
管理員活動記錄 		在建立 Compute Engine 執行個體時,偵測是否有在指定清單外的區域
範本:未預期的 Compute Engine 區域
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

更改下列內容:

  • SEVERITY:這個模組產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這個說明會用於填入這個模組產生的每項發現的 explanation 屬性。
  • RECOMMENDATION:說明安全團隊可採取哪些建議步驟,解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • REGION_1:要允許的區域名稱,例如 us-west1。如果建立的 Compute Engine 執行個體位於清單未指定的區域,Event Threat Detection 就會產生調查結果。
  • REGION_2:選用。要允許的區域名稱,例如 us-central1。如果在未指定區域中建立 Compute Engine 執行個體,事件威脅偵測就會產生調查結果。
使用了急用權限帳戶 CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Cloud 稽核記錄:
管理員活動記錄
資料存取記錄 (選用)		 偵測緊急存取 (急用權限) 帳戶使用情形
範本:使用了急用權限帳戶
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

更改下列內容:

  • SEVERITY:這個模組產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這個說明會用於填入這個模組產生的每項發現的 explanation 屬性。
  • RECOMMENDATION:說明安全團隊可採取哪些建議步驟,解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • BREAKGLASS_ACCOUNT_1:要監控的緊急存取帳戶,例如 test@example.com。如果這個帳戶用於記錄在 Cloud 稽核記錄項目的動作,系統就會產生調查結果。
  • BREAKGLASS_ACCOUNT_2:選用。要監控的急用權限帳戶,例如 test@example.com。如果這個帳戶用於記錄在 Cloud 稽核記錄項目的動作,系統就會產生發現項目。
未預期的角色授予 CONFIGURABLE_UNEXPECTED_ROLE_GRANT Cloud 稽核記錄:
管理員活動記錄 		授予指定角色給使用者時偵測
範本:未預期的角色授予項目
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

更改下列內容:

  • SEVERITY:這個模組產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這個說明會用於填入這個模組產生的每項發現的 explanation 屬性。
  • RECOMMENDATION:說明安全團隊可採取哪些建議步驟,解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • ROLE_1:要監控的 IAM 角色,例如 roles/owner。如果授予這個角色,系統就會產生發現項目。
  • ROLE_2:選用。要監控的 IAM 角色,例如 roles/editor。如果授予這個角色,系統就會產生發現項目。
具備禁用權限的自訂角色 CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Cloud 稽核記錄:
管理員活動記錄 		建立或更新具備任一指定 IAM 權限的自訂角色時偵測。
範本:具備禁用權限的自訂角色
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

更改下列內容:

  • SEVERITY:這個模組產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這個說明會用於填入這個模組產生的每項發現的 explanation 屬性。
  • RECOMMENDATION:說明安全團隊可採取哪些建議步驟,解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • PERMISSION_1:要監看的 IAM 權限,例如 storage.buckets.list。如果將包含這項權限的自訂 IAM 角色授予主體,Event Threat Detection 就會產生發現項目。
  • PERMISSION_2:選用。要監看的 IAM 權限,例如 storage.buckets.get。如果將包含這項權限的自訂 IAM 角色授予主體,Event Threat Detection 就會產生發現項目。
未預期的 Cloud API 呼叫 CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Cloud 稽核記錄:
管理員活動記錄
資料存取記錄 (選用)		 偵測指定主體是否針對指定資源呼叫指定方法。只有在單一記錄項目中符合所有規則運算式時,系統才會產生發現項目。
範本:未預期的 Cloud API 呼叫
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

更改下列內容:

  • SEVERITY:這個模組產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這個說明會用於填入這個模組產生的每項發現的 explanation 屬性。
  • RECOMMENDATION:說明安全團隊可採取哪些建議步驟,解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • CALLER_PATTERN:用於檢查主體的 RE2 規則運算式。舉例來說,.* 符合任何主體。
  • METHOD_PATTERN:用於檢查方法的 RE2 規則運算式,例如 ^cloudsql\\.instances\\.export$
  • RESOURCE_PATTERN:用於檢查資源的 RE2 規則運算式,例如 example-project

定價與配額

Security Command Center Premium 客戶可免費使用這項功能。

Event Threat Detection 自訂模組有配額限制。

建立自訂模組的預設配額上限為 200。

呼叫自訂模組方法的 API 也會受到配額限制。下表列出自訂模組 API 呼叫的預設配額限制。

API 呼叫類型 限制
Get、List 每個機構每分鐘 1,000 次 API 呼叫
建立、更新、刪除 每個機構每分鐘 60 次 API 呼叫

模組大小限制

每個 Event Threat Detection 自訂模組的大小上限為 6 MB。

頻率限制

適用下列頻率限制:

  • 每小時每個自訂模組 30 項發現。
  • 每小時每個父項資源 (機構或專案) 200 個自訂模組發現項目。每個發現項目都會計入機構或專案,視來源自訂模組的建立層級而定。

這些上限無法提高。

後續步驟