Auf dieser Seite wird erläutert, wie Sie benutzerdefinierte Module für Event Threat Detection erstellen und verwalten.
Hinweise
In diesem Abschnitt werden die Anforderungen für die Verwendung benutzerdefinierter Module für Event Threat Detection beschrieben.
Security Command Center Premium und Event Threat Detection
Wenn Sie benutzerdefinierte Module für Event Threat Detection verwenden möchten, muss Event Threat Detection aktiviert sein. Weitere Informationen zum Aktivieren von Event Threat Detection finden Sie unter Einen integrierten Dienst aktivieren oder deaktivieren.
IAM-Rollen
IAM-Rollen bestimmen die Aktionen, die Sie mit benutzerdefinierten Modulen für Event Threat Detection ausführen können.
Die folgende Tabelle enthält eine Liste der Berechtigungen für benutzerdefinierte Module von Event Threat Detection und die vordefinierten IAM-Rollen, die diese enthalten. Diese Berechtigungen sind mindestens bis zum 22. Januar 2024 gültig. Danach sind die in der zweiten Tabelle aufgeführten Berechtigungen erforderlich.
Sie können die Google Cloud Console oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.
Vor dem 22. Januar 2024 erforderliche Berechtigungen | Rolle |
---|---|
securitycenter.eventthreatdetectioncustommodules.create securitycenter.eventthreatdetectioncustommodules.update securitycenter.eventthreatdetectioncustommodules.delete |
roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycenter.eventthreatdetectioncustommodules.get securitycenter.eventthreatdetectioncustommodules.list |
roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin |
Die folgende Tabelle enthält eine Liste der Berechtigungen für benutzerdefinierte Module von Event Threat Detection, die ab dem 22. Januar 2024 erforderlich sind, sowie die vordefinierten IAM-Rollen, die diese Berechtigungen enthalten.
Sie können die Google Cloud Console oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.
Erforderliche Berechtigungen nach dem 22. Januar 2024 | Rolle |
---|---|
securitycentermanagement.eventThreatDetectionCustomModules.create securitycentermanagement.eventThreatDetectionCustomModules.update securitycentermanagement.eventThreatDetectionCustomModules.delete |
roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycentermanagement.eventThreatDetectionCustomModules.list securitycentermanagement.eventThreatDetectionCustomModules.get securitycentermanagement.effectiveEventThreatDetectionCustomModules.list securitycentermanagement.effectiveEventThreatDetectionCustomModules.get securitycentermanagement.eventThreatDetectionCustomModules.validate |
roles/securitycentermanagement.etdCustomModulesViewer roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.adminViewer roles/securitycenter.admin |
Wenn im Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator. Je nachdem, auf welcher Ebene Sie Security Command Center aktiviert haben, rufen Sie eine der folgenden Seiten auf:
IAM für die Aktivierung des Security Command Centers auf Organisationsebene
IAM für die Aktivierung des Security Command Center auf Projektebene
Erforderliche Protokolle
Prüfen Sie, ob die relevanten Protokolle für Ihre Organisation, Ordner und Projekte aktiviert sind. Informationen dazu, welche Protokolle für die einzelnen benutzerdefinierten Modultypen erforderlich sind, finden Sie in der Tabelle unter Benutzerdefinierte Module und Vorlagen.
Protokolle von Quellen außerhalb von Google Cloud werden nicht unterstützt.
Benutzerdefinierte Modulebenen
In diesem Dokument werden die folgenden Begriffe verwendet, um die Ebene zu beschreiben, auf der ein benutzerdefiniertes Modul erstellt wurde:
- Modul „Wohngebäude“
- Das Modul wurde in der aktuellen Ansicht oder im aktuellen Umfang erstellt. Wenn Sie sich beispielsweise in der Organisationsansicht der Google Cloud Console befinden, sind die Unterkünfte die Module, die auf Organisationsebene erstellt wurden.
- Übernommenes Modul
- Das Modul wurde in einer übergeordneten Ansicht oder einem übergeordneten Bereich erstellt. Ein auf Organisationsebene erstelltes Modul ist beispielsweise ein übernommenes Modul auf jeder Ordner- oder Projektebene.
- Abgeleitetes Modul
- Das Modul wurde in einer untergeordneten Ansicht oder einem untergeordneten Bereich erstellt. Ein auf Ordner- oder Projektebene erstelltes Modul ist beispielsweise ein untergeordnetes Modul auf Organisationsebene.
Benutzerdefinierte Module erstellen
Sie können benutzerdefinierte Module für die Ereignisbedrohungserkennung über die Google Cloud Console oder durch Ändern einer JSON-Vorlage und Einreichen über die gcloud CLI erstellen. Sie benötigen JSON-Vorlagen nur, wenn Sie benutzerdefinierte Module mit der gcloud CLI erstellen möchten.
Eine Liste der unterstützten Modulvorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.
Vorlagenstruktur
Vorlagen definieren die Parameter, mit denen benutzerdefinierte Module Bedrohungen in Ihren Protokollen erkennen. Vorlagen sind in JSON geschrieben und ähneln in ihrer Struktur den von Security Command Center generierten Ergebnissen. Sie müssen nur dann eine JSON-Vorlage konfigurieren, wenn Sie ein benutzerdefiniertes Modul mit der gcloud CLI erstellen möchten.
Jede Vorlage enthält anpassbare Felder:
severity
: die Schwere oder Risikostufe, die Ergebnissen dieses Typs zugewiesen werden soll,LOW
,MEDIUM
,HIGH
oderCRITICAL
.description
: die Beschreibung des benutzerdefinierten Moduls.recommendation
: Empfohlene Maßnahmen zur Behebung von Problemen, die vom benutzerdefinierten Modul ermittelt wurden.- Erkennungsparameter: Variablen, mit denen Protokolle ausgewertet und Ergebnisse ausgelöst werden. Die Erkennungsparameter unterscheiden sich je nach Modul, umfassen aber mindestens einen der folgenden:
domains
: Webdomains, die beobachtet werden sollenips
: IP-Adressen, die beobachtet werden sollenpermissions
: Berechtigungen, auf die Sie achten solltenregions
: Regionen, in denen neue Compute Engine-Instanzen zulässig sindroles
: Rollen, die Sie im Auge behalten solltenaccounts
: Konten, die beobachtet werden sollen- Parameter, die die zulässigen Compute Engine-Instanztypen definieren, z. B.
series
,cpus
undram_mb
. - Reguläre Ausdrücke, mit denen Eigenschaften abgeglichen werden sollen, z. B.
caller_pattern
undresource_pattern
.
Das folgende Codebeispiel ist eine Beispiel-JSON-Vorlage für Configurable Bad IP
.
{
"metadata": {
"severity": "LOW",
"description": "Flagged by Cymbal as malicious",
"recommendation": "Contact the owner of the relevant project."
},
"ips": [
"192.0.2.1",
"192.0.2.0/24"
]
}
Im vorherigen Beispiel generiert das benutzerdefinierte Modul eine Meldung mit niedriger Priorität, wenn Ihre Protokolle eine Ressource anzeigen, die mit der IP-Adresse 192.0.2.1
oder 192.0.2.0/24
verbunden ist.
Modulvorlage ändern
Wenn Sie Module erstellen möchten, wählen Sie eine Modulvorlage aus und ändern Sie sie.
Wenn Sie das benutzerdefinierte Modul mit der Google Cloud CLI erstellen möchten, müssen Sie diese Aufgabe ausführen.
Wenn Sie das benutzerdefinierte Modul mit der Google Cloud Console erstellen möchten, überspringen Sie diese Aufgabe. Mit den Optionen auf dem Bildschirm können Sie die Parameter der Vorlage ändern.
- Wählen Sie unter Benutzerdefinierte Module und Vorlagen eine Vorlage aus.
- Kopieren Sie den Code in eine lokale Datei.
- Aktualisieren Sie die Parameter, die Sie zur Auswertung Ihrer Protokolle verwenden möchten.
- Speichern Sie die Datei als JSON-Datei.
- Erstellen Sie mithilfe der JSON-Datei ein benutzerdefiniertes Modul über die gcloud CLI.
Benutzerdefiniertes Modul erstellen
In diesem Abschnitt wird beschrieben, wie Sie ein benutzerdefiniertes Modul über die Google Cloud Console und die gcloud CLI erstellen. Die Größe jedes benutzerdefinierten Event Threat Detection-Moduls ist auf 6 MB begrenzt.
So erstellen Sie ein benutzerdefiniertes Modul:
Console
- Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
- Klicken Sie auf Modul erstellen.
- Klicken Sie auf die gewünschte Modulvorlage.
- Klicken Sie auf Auswählen.
- Geben Sie unter Modulname einen Anzeigenamen für die neue Vorlage ein. Der Name darf 128 Zeichen nicht überschreiten und nur alphanumerische Zeichen und Unterstriche enthalten, z. B.
example_custom_module
. - Wählen Sie die angeforderten Parameterwerte aus oder fügen Sie sie hinzu. Die Parameter unterscheiden sich je nach Modul. Wenn Sie beispielsweise die
Configurable allowed Compute Engine region
-Modulvorlage ausgewählt haben, wählen Sie eine oder mehrere Regionen aus. Alternativ können Sie die Liste im JSON-Format angeben. - Klicken Sie auf Weiter.
- Geben Sie unter Schweregrad den Schweregrad ein, den Sie den Ergebnissen zuweisen möchten, die vom neuen benutzerdefinierten Modul generiert werden.
- Geben Sie unter Beschreibung eine Beschreibung für das neue benutzerdefinierte Modul ein.
- Geben Sie unter Nächste Schritte die empfohlenen Maßnahmen im Klartext ein. Von Ihnen hinzugefügte Absatztrennungen werden ignoriert.
- Klicken Sie auf Erstellen.
gcloud
Erstellen Sie eine JSON-Datei mit der Definition des benutzerdefinierten Moduls. Orientieren Sie sich an den Vorlagen unter Benutzerdefinierte Module und Vorlagen.
Erstellen Sie das benutzerdefinierte Modul, indem Sie die JSON-Datei in einem
gcloud
-Befehl senden:
gcloud alpha scc custom-modules etd create \
--RESOURCE_FLAG=RESOURCE_ID \
--display-name="DISPLAY_NAME" \
--module-type="MODULE_TYPE" \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
Ersetzen Sie Folgendes:
- RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der das benutzerdefinierte Modul erstellt wird. Dies kann einer der folgenden Werte sein:
organization
,folder
oderproject
. - RESOURCE_ID: die Ressourcen-ID der übergeordneten Ressource, also die Organisations-ID, Ordner-ID oder Projekt-ID.
- DISPLAY_NAME: Ein Anzeigename für die neue Vorlage. Der Name darf maximal 128 Zeichen lang sein und nur alphanumerische Zeichen und Unterstriche enthalten.
- MODULE_TYPE: der Typ des benutzerdefinierten Moduls, das Sie erstellen möchten, z. B.
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
. - PATH_TO_JSON_FILE: die JSON-Datei mit der JSON-Definition des benutzerdefinierten Moduls, die auf der Modulvorlage basiert.
Ihr benutzerdefiniertes Modul wird erstellt und der Scan beginnt. Informationen zum Löschen eines Moduls finden Sie unter Benutzerdefiniertes Modul löschen.
Der Kategorienamen des benutzerdefinierten Moduls enthält die Ergebniskategorie des Modultyps und den von Ihnen festgelegten Anzeigenamen des Moduls. Der Kategoriename eines benutzerdefinierten Moduls kann beispielsweise Unexpected Compute Engine Region: example_custom_module
sein.
In der Google Cloud Console werden Unterstriche als Leerzeichen angezeigt. In Ihren Abfragen müssen Sie jedoch Unterstriche verwenden.
Kontingente steuern die Nutzung benutzerdefinierter Module für Event Threat Detection.
Erkennungslatenz
Die Erkennungslatenz für Event Threat Detection und alle anderen integrierten Security Command Center-Dienste wird unter Scan-Latenz beschrieben.
Ergebnisse prüfen
Von benutzerdefinierten Modulen generierte Ergebnisse können in der Google Cloud Console oder mithilfe der gcloud CLI angezeigt werden.
Console
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Benutzerdefinierte Module für die Ereignisbedrohungserkennung aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
gcloud
So rufen Sie mit der gcloud CLI Ergebnisse auf:
- Öffnen Sie ein Terminalfenster.
Quell-ID für benutzerdefinierte Module für Event Threat Detection abrufen Der Befehl hängt davon ab, ob Sie Security Command Center auf Organisations- oder Projektebene aktiviert haben:
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \ --source-display-name='Event Threat Detection Custom Modules'
Ersetzen Sie Folgendes:
RESOURCE_LEVEL
: die Aktivierungsstufe Ihrer Security Command Center-Instanz (organizations
oderprojects
)RESOURCE_ID
: die Ressourcen-ID Ihrer Organisation oder Ihres Projekts.
Die Ausgabe sollte so aussehen.
SOURCE_ID
ist eine vom Server zugewiesene ID für Sicherheitsquellen.canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID description: Provider used by Event Threat Detection Custom Modules displayName: Event Threat Detection Custom Modules name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
Führen Sie den folgenden Befehl mit der Quellen-ID aus dem vorherigen Schritt aus, um alle Ergebnisse für benutzerdefinierte Module zur Ereignisbedrohungserkennung aufzulisten:
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
Ersetzen Sie Folgendes:
RESOURCE_LEVEL
: Die Ressourcenebene, auf der Sie die Ergebnisse auflisten möchten. Mögliche Werte sindorganizations
,folders
oderprojects
.RESOURCE_ID
: die ID der Ressource, also die Organisations-ID, Ordner-ID oder Projekt-ID.SOURCE_ID
: Die Quell-ID für benutzerdefinierte Module von Event Threat Detection.
Führen Sie den folgenden Befehl aus, um die Ergebnisse für ein bestimmtes benutzerdefiniertes Modul aufzulisten:
MODULE="CUSTOM_MODULE_CATEGORY_NAME" FILTER="category=\"$MODULE\"" gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
Ersetzen Sie Folgendes:
CUSTOM_MODULE_CATEGORY_NAME
: Der Name der Kategorie des benutzerdefinierten Moduls. Dieser Name besteht aus der Ergebniskategorie des Modultyps (wie unter Benutzerdefinierte Module und Vorlagen aufgeführt) und dem Anzeigenamen des Moduls mit Unterstrichen anstelle von Leerzeichen. Der Kategoriename eines benutzerdefinierten Moduls kann beispielsweiseUnexpected Compute Engine region: example_custom_module
sein.RESOURCE_LEVEL
: Die Ressourcenebene, auf der Sie die Ergebnisse auflisten möchten. Mögliche Werte sindorganizations
,folders
oderprojects
.RESOURCE_ID
: die ID der Ressource, also die Organisations-ID, Ordner-ID oder Projekt-ID.SOURCE_ID
: die Quell-ID Ihrer benutzerdefinierten Module für die Ereignisbedrohungserkennung.
Weitere Informationen zum Filtern von Ergebnissen finden Sie unter Sicherheitsergebnisse auflisten.
Von benutzerdefinierten Modulen generierte Ergebnisse können wie alle Ergebnisse im Security Command Center verwaltet werden. Hier finden Sie weitere Informationen:
- Sicherheitsmarkierungen verwenden
- Ergebnisbenachrichtigungen einrichten
- Security Command Center-Daten exportieren
Benutzerdefinierte Module für Event Threat Detection verwalten
In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Module für Event Threat Detection aufrufen, auflisten, aktualisieren und löschen.
Benutzerdefinierte Module aufrufen oder auflisten
Console
- Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
- Optional: Wenn Sie nur die benutzerdefinierten Module sehen möchten, geben Sie im Feld Filter Typ:Benutzerdefiniert ein.
Die Ergebnisse enthalten Folgendes:
- Alle benutzerdefinierten Module für Event Threat Detection für Privathaushalte
- Alle übernommenen benutzerdefinierten Event Threat Detection-Module. Wenn Sie sich beispielsweise in der Projektansicht befinden, sind die benutzerdefinierten Module, die in den übergeordneten Ordnern und der Organisation dieses Projekts erstellt wurden, in den Ergebnissen enthalten.
- Alle untergeordneten benutzerdefinierten Event Threat Detection-Module, die in untergeordneten Ressourcen erstellt wurden. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, sind die benutzerdefinierten Module, die in Ordnern und Projekten unter dieser Organisation erstellt wurden, in den Ergebnissen enthalten.
gcloud
gcloud alpha scc custom-modules etd list \
--RESOURCE_FLAG=RESOURCE_ID
Ersetzen Sie Folgendes:
RESOURCE_FLAG
: der Bereich, in dem Sie benutzerdefinierte Module auflisten möchten, einer der Werteorganization
,folder
oderproject
.RESOURCE_ID
: die ID der Ressource, also die Organisations-ID, Ordner-ID oder Projekt-ID.
Die Ergebnisse enthalten Folgendes:
- Alle benutzerdefinierten Module für Event Threat Detection für Privathaushalte
- Alle übernommenen benutzerdefinierten Event Threat Detection-Module. Wenn Sie beispielsweise benutzerdefinierte Module auf Projektebene auflisten, werden die benutzerdefinierten Module, die in den übergeordneten Ordnern und der Organisation dieses Projekts erstellt wurden, in den Ergebnissen berücksichtigt.
Jedes Element in den Ergebnissen enthält den Namen, den Status und die Eigenschaften des Moduls. Die Eigenschaften unterscheiden sich je nach Modul.
Der Name jedes Moduls enthält die ID des benutzerdefinierten Moduls. Für viele gcloud
-Vorgänge auf dieser Seite ist die benutzerdefinierte Modul-ID erforderlich.
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
Benutzerdefiniertes Modul deaktivieren
Console
Weitere Informationen finden Sie unter Module aktivieren oder deaktivieren.
Wenn Sie ein übernommenes benutzerdefiniertes Modul deaktivieren, werden Ihre Änderungen nur auf die aktuelle Ressourcenebene angewendet. Das ursprüngliche benutzerdefinierte Modul auf übergeordneter Ebene ist davon nicht betroffen. Wenn Sie beispielsweise auf Projektebene ein benutzerdefiniertes Modul deaktivieren, das vom übergeordneten Ordner übernommen wurde, wird es nur auf Projektebene deaktiviert.
Sie können ein untergeordnetes benutzerdefiniertes Modul nicht deaktivieren. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie ein benutzerdefiniertes Modul, das auf Projektebene erstellt wurde, nicht deaktivieren.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="DISABLED"
Ersetzen Sie Folgendes:
CUSTOM_MODULE_ID
: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B.1234567890
. Sie finden die numerische ID im Feldname
des entsprechenden benutzerdefinierten Moduls in der Liste der benutzerdefinierten Module.RESOURCE_FLAG
: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein:organization
,folder
oderproject
.RESOURCE_ID
: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.
Benutzerdefiniertes Modul aktivieren
Console
Weitere Informationen finden Sie unter Module aktivieren oder deaktivieren.
Wenn Sie ein übernommenes benutzerdefiniertes Modul aktivieren, werden Ihre Änderungen nur auf die aktuelle Ressourcenebene angewendet. Das ursprüngliche benutzerdefinierte Modul auf übergeordneter Ebene ist davon nicht betroffen. Wenn Sie beispielsweise auf Projektebene ein benutzerdefiniertes Modul aktivieren, das vom übergeordneten Ordner übernommen wurde, ist das benutzerdefinierte Modul nur auf Projektebene aktiviert.
Sie können kein untergeordnetes benutzerdefiniertes Modul aktivieren. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie kein benutzerdefiniertes Modul aktivieren, das auf Projektebene erstellt wurde.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED"
Ersetzen Sie Folgendes:
CUSTOM_MODULE_ID
: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B.1234567890
. Sie finden die numerische ID im Feldname
des entsprechenden benutzerdefinierten Moduls, wenn Sie sich die Liste der benutzerdefinierten Module ansehen.RESOURCE_FLAG
: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein:organization
,folder
oderproject
.RESOURCE_ID
: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.
Definition eines benutzerdefinierten Moduls aktualisieren
In diesem Abschnitt wird beschrieben, wie Sie ein benutzerdefiniertes Modul über die Google Cloud Console und die gcloud CLI aktualisieren. Die Größe jedes benutzerdefinierten Event Threat Detection-Moduls ist auf 6 MB begrenzt.
Der Modultyp eines benutzerdefinierten Moduls kann nicht aktualisiert werden.
So aktualisieren Sie ein benutzerdefiniertes Modul:
Console
Sie können nur benutzerdefinierte Module für Privathaushalte bearbeiten. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie nur die benutzerdefinierten Module bearbeiten, die auf Organisationsebene erstellt wurden.
- Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
- Suchen Sie das benutzerdefinierte Modul, das Sie bearbeiten möchten.
- Klicken Sie für dieses benutzerdefinierte Modul auf > Bearbeiten. Aktionen
- Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
- Klicken Sie auf Speichern.
gcloud
Führen Sie zum Aktualisieren eines Moduls den folgenden Befehl aus und geben Sie die aktualisierte JSON-Datei für die Modulvorlage an:
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
Ersetzen Sie Folgendes:
CUSTOM_MODULE_ID
: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B.1234567890
. Sie finden die numerische ID im Feldname
des entsprechenden benutzerdefinierten Moduls, wenn Sie sich die Liste der benutzerdefinierten Module ansehen.RESOURCE_FLAG
: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein:organization
,folder
oderproject
.RESOURCE_ID
: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.PATH_TO_JSON_FILE
: die JSON-Datei mit der JSON-Definition des benutzerdefinierten Moduls
Status eines einzelnen benutzerdefinierten Moduls prüfen
Console
- Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
- Suchen Sie in der Liste nach dem benutzerdefinierten Modul.
Der Status des benutzerdefinierten Moduls wird in der Spalte Status angezeigt.
gcloud
gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
Ersetzen Sie Folgendes:
CUSTOM_MODULE_ID
: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B.1234567890
. Sie finden die numerische ID im Feldname
des entsprechenden benutzerdefinierten Moduls in der Liste der benutzerdefinierten Module.RESOURCE_FLAG
: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein:organization
,folder
oderproject
.RESOURCE_ID
: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.
Die Ausgabe sollte in etwa so aussehen und den Status und die Eigenschaften des Moduls enthalten. Die Eigenschaften unterscheiden sich je nach Modul.
config: metadata: description: DESCRIPTION recommendation: RECOMMENDATION severity: SEVERITY regions: - region: REGION displayName: USER_SPECIFIED_DISPLAY_NAME enablementState: STATUS lastEditor: LAST_EDITOR name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID type: MODULE_TYPE updateTime: 'UPDATE_TIME'
Benutzerdefiniertes Modul löschen
Wenn Sie ein benutzerdefiniertes Event Threat Detection-Modul löschen, werden die generierten Ergebnisse nicht geändert und sind weiterhin im Security Command Center verfügbar. Wenn Sie dagegen ein benutzerdefiniertes Security Health Analytics-Modul löschen, werden die generierten Ergebnisse als inaktiv markiert.
Ein gelöschtes benutzerdefiniertes Modul kann nicht wiederhergestellt werden.
Console
Übernommene benutzerdefinierte Module können nicht gelöscht werden. Wenn Sie sich beispielsweise in der Projektansicht befinden, können Sie keine benutzerdefinierten Module löschen, die auf Ordner- oder Organisationsebene erstellt wurden.
So löschen Sie ein benutzerdefiniertes Modul über die Google Cloud Console:
- Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
- Suchen Sie das benutzerdefinierte Modul, das Sie löschen möchten.
- Klicken Sie für dieses benutzerdefinierte Modul auf > Löschen. Sie werden aufgefordert, den Löschvorgang zu bestätigen. Aktionen
- Klicken Sie auf Löschen.
gcloud
gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
Ersetzen Sie Folgendes:
CUSTOM_MODULE_ID
: die numerische ID des benutzerdefinierten Moduls „Event Threat Detection“, z. B.1234567890
. Sie finden die numerische ID im Feldname
des entsprechenden benutzerdefinierten Moduls in der Liste der benutzerdefinierten Module.RESOURCE_FLAG
: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein:organization
,folder
oderproject
.RESOURCE_ID
: Die ID der übergeordneten Ressource, also die Organisations-ID, die Ordner-ID oder die Projekt-ID.
Benutzerdefiniertes Modul klonen
Wenn Sie ein benutzerdefiniertes Modul klonen, wird das resultierende benutzerdefinierte Modul in der aktuell angezeigten Ressource erstellt. Wenn Sie beispielsweise ein benutzerdefiniertes Modul klonen, das Ihr Projekt von der Organisation übernommen hat, ist das neue benutzerdefinierte Modul ein Wohngebäudemodul im Projekt.
Sie können ein untergeordnetes benutzerdefiniertes Modul nicht klonen.
So klonen Sie ein benutzerdefiniertes Modul über die Google Cloud Console:
- Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
- Suchen Sie das benutzerdefinierte Modul, das Sie klonen möchten.
- Klicken Sie für dieses benutzerdefinierte Modul auf > Klonen. Aktionen
- Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
- Klicken Sie auf Erstellen.