Benutzerdefinierte Module für Event Threat Detection erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Sie benutzerdefinierte Module für Event Threat Detection erstellen und verwalten.

Hinweise

In diesem Abschnitt werden die Anforderungen für die Verwendung benutzerdefinierter Module für Event Threat Detection beschrieben.

Security Command Center Premium und Event Threat Detection

Damit Sie benutzerdefinierte Module für Event Threat Detection verwenden können, muss Event Threat Detection aktiviert sein. Informationen zum Aktivieren von Event Threat Detection finden Sie unter Integrierte Dienste aktivieren oder deaktivieren.

Erforderliche IAM-Rollen und ‑Berechtigungen

IAM-Rollen bestimmen die Aktionen, die Sie mit benutzerdefinierten Event Threat Detection-Modulen ausführen können.

Die folgende Tabelle enthält eine Liste der Berechtigungen für benutzerdefinierte Event Threat Detection-Module, die erforderlich sind, sowie die vordefinierten IAM-Rollen, die diese Berechtigungen enthalten.

Sie können die Google Cloud -Konsole oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.

Erforderliche Berechtigungen Rolle
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete		 roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate		 roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Wenn im Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator. Je nachdem, auf welcher Ebene Sie Security Command Center aktiviert haben, finden Sie weitere Informationen auf einer der folgenden Seiten:

Erforderliche Logs

Prüfen Sie, ob die relevanten Logs für Ihre Organisation, Ordner und Projekte aktiviert sind. Informationen dazu, welche Logs für die einzelnen benutzerdefinierten Modultypen erforderlich sind, finden Sie in der Tabelle unter Benutzerdefinierte Module und Vorlagen.

Logs aus Quellen außerhalb von Google Cloud werden nicht unterstützt.

Benutzerdefinierte Modulebenen

In diesem Dokument werden die folgenden Begriffe verwendet, um die Ebene zu beschreiben, auf der ein benutzerdefiniertes Modul erstellt wurde:

Modul „Wohnen“
Das Modul wurde in der aktuellen Ansicht oder im aktuellen Bereich erstellt. Wenn Sie sich beispielsweise in der Organisationsansicht der Google Cloud Konsole befinden, sind die Wohnmodule die Module, die auf Organisationsebene erstellt wurden.
Übernommenes Modul
Das Modul wurde in einer übergeordneten Ansicht oder einem übergeordneten Bereich erstellt. Beispiel: Ein Modul, das auf Organisationsebene erstellt wurde, ist auf jeder Ordner- oder Projektebene ein geerbtes Modul.
Abgeleitetes Modul
Das Modul wurde in einer untergeordneten Ansicht oder einem untergeordneten Bereich erstellt. Ein auf Ordner- oder Projektebene erstelltes Modul ist beispielsweise ein untergeordnetes Modul auf Organisationsebene.

Benutzerdefinierte Module erstellen

Sie können benutzerdefinierte Event Threat Detection-Module über dieGoogle Cloud -Konsole erstellen oder ein JSON-Template ändern und über die gcloud CLI einreichen. Sie benötigen JSON-Vorlagen nur, wenn Sie benutzerdefinierte Module mit der gcloud CLI erstellen möchten.

Eine Liste der unterstützten Modulvorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.

Vorlagenstruktur

Vorlagen definieren die Parameter, die von benutzerdefinierten Modulen verwendet werden, um Bedrohungen in Ihren Logs zu erkennen. Vorlagen werden in JSON geschrieben und ähneln in ihrer Struktur den von Security Command Center generierten Ergebnissen. Sie müssen nur dann eine JSON-Vorlage konfigurieren, wenn Sie die gcloud CLI verwenden möchten, um ein benutzerdefiniertes Modul zu erstellen.

Jede Vorlage enthält anpassbare Felder:

  • severity: Der Schweregrad oder das Risikoniveau, das den Ergebnissen dieses Typs zugewiesen werden soll: LOW, MEDIUM, HIGH oder CRITICAL.
  • description: Die Beschreibung des benutzerdefinierten Moduls.
  • recommendation: Empfohlene Maßnahmen zur Behebung von Problemen, die vom benutzerdefinierten Modul generiert wurden.
  • Erkennungsparameter: Die Variablen, die zum Auswerten von Logs und zum Auslösen von Ergebnissen verwendet werden. Die Erkennungsparameter unterscheiden sich für die einzelnen Module, umfassen aber einen oder mehrere der folgenden Parameter:
    • domains: Webdomains, die beobachtet werden sollen
    • ips: IP-Adressen, die beobachtet werden sollen
    • permissions: Berechtigungen, die überwacht werden sollen
    • regions: Regionen, in denen neue Compute Engine-Instanzen zulässig sind
    • roles: Rollen, die beobachtet werden sollen
    • accounts: Konten, die beobachtet werden sollen
    • Parameter, die die zulässigen Compute Engine-Instanztypen definieren, z. B. series, cpus und ram_mb.
    • Reguläre Ausdrücke, mit denen Attribute abgeglichen werden, z. B. caller_pattern und resource_pattern.

Das folgende Codebeispiel ist eine JSON-Beispielvorlage für Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Im vorherigen Beispiel wird durch das benutzerdefinierte Modul ein Ergebnis mit niedriger Schwere generiert, wenn Ihre Logs eine Ressource enthalten, die mit der IP-Adresse 192.0.2.1 oder 192.0.2.0/24 verbunden ist.

Modulvorlage ändern

Um Module zu erstellen, wählen Sie eine Modulvorlage aus und bearbeiten sie.

Wenn Sie die Google Cloud CLI zum Erstellen Ihres benutzerdefinierten Moduls verwenden möchten, müssen Sie diese Aufgabe ausführen.

Wenn Sie das benutzerdefinierte Modul mit der Google Cloud Console erstellen möchten, überspringen Sie diese Aufgabe. Sie verwenden die Optionen auf dem Bildschirm, um die Parameter der Vorlage zu ändern.

  1. Wählen Sie eine Vorlage unter Benutzerdefinierte Module und Vorlagen aus.
  2. Kopieren Sie den Code in eine lokale Datei.
  3. Aktualisieren Sie die Parameter, die Sie zum Auswerten Ihrer Logs verwenden möchten.
  4. Speichern Sie die Datei als JSON-Datei.
  5. Erstellen Sie mit der JSON-Datei ein benutzerdefiniertes Modul über die gcloud CLI.

Benutzerdefiniertes Modul erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein benutzerdefiniertes Modul über dieGoogle Cloud -Konsole, die gcloud CLI und Terraform erstellen. Jedes benutzerdefinierte Modul für Event Threat Detection hat eine Größenbeschränkung von 6 MB.

So erstellen Sie ein benutzerdefiniertes Modul:

Console

  1. Module des Event Threat Detection-Dienstes ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Klicken Sie auf Modul erstellen.
  3. Klicken Sie auf die gewünschte Modulvorlage.
  4. Klicken Sie auf Auswählen.
  5. Geben Sie unter Modulname einen Anzeigenamen für die neue Vorlage ein. Der Name darf maximal 128 Zeichen lang sein und darf nur alphanumerische Zeichen und Unterstriche enthalten, z. B. example_custom_module.
  6. Wählen Sie die erforderlichen Parameterwerte aus oder fügen Sie sie hinzu. Die Parameter sind für jedes Modul unterschiedlich. Wenn Sie beispielsweise die Modulvorlage Configurable allowed Compute Engine region ausgewählt haben, wählen Sie eine oder mehrere Regionen aus. Alternativ können Sie die Liste im JSON-Format bereitstellen.
  7. Klicken Sie auf Weiter.
  8. Geben Sie für Schweregrad den Schweregrad ein, den Sie den Ergebnissen zuweisen möchten, die vom neuen benutzerdefinierten Modul generiert werden.
  9. Geben Sie unter Beschreibung eine Beschreibung für das neue benutzerdefinierte Modul ein.
  10. Geben Sie unter Nächste Schritte die empfohlenen Maßnahmen im Nur-Text-Format ein. Absatzumbrüche, die Sie hinzufügen, werden ignoriert.
  11. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie eine JSON-Datei mit der Definition des benutzerdefinierten Moduls. Verwenden Sie die Vorlagen in Benutzerdefinierte Module und Vorlagen als Leitfaden.

  2. Erstellen Sie das benutzerdefinierte Modul, indem Sie die JSON-Datei in einem gcloud-Befehl senden:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ersetzen Sie Folgendes:

  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der das benutzerdefinierte Modul erstellt wird. Dies kann organization, folder oder project sein.
  • RESOURCE_ID: die Ressourcen-ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.
  • DISPLAY_NAME: Ein Anzeigename für die neue Vorlage. Der Name darf höchstens 128 Zeichen lang sein und darf nur alphanumerische Zeichen und Unterstriche enthalten.
  • MODULE_TYPE: der Typ des benutzerdefinierten Moduls, das Sie erstellen möchten, z. B. CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
  • PATH_TO_JSON_FILE: Die JSON-Datei mit der JSON-Definition des benutzerdefinierten Moduls basierend auf der Modulvorlage.

Terraform 

resource "google_scc_management_organization_event_threat_detection_custom_module" "example" {
  organization = "123456789"
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  type = "CONFIGURABLE_BAD_IP"
  description = "My Event Threat Detection Custom Module"
  config = jsonencode({
    "metadata": {
      "severity": "LOW",
      "description": "Flagged by Forcepoint as malicious",
      "recommendation": "Contact the owner of the relevant project."
    },
    "ips": [
      "192.0.2.1",
      "192.0.2.0/24"
    ]
  })
}

Ihr benutzerdefiniertes Modul wird erstellt und beginnt mit dem Scannen. Informationen zum Löschen eines Moduls finden Sie unter Benutzerdefiniertes Modul löschen.

Der Kategoriename des benutzerdefinierten Moduls enthält die Ergebniskategorie des Modultyps und den von Ihnen festgelegten Anzeigenamen des Moduls. Der Kategoriename eines benutzerdefinierten Moduls kann beispielsweise Unexpected Compute Engine Region: example_custom_module sein. In der Google Cloud Console werden Unterstriche als Leerzeichen angezeigt. In Ihren Abfragen müssen Sie jedoch die Unterstriche angeben.

Die Kontingente steuern die Nutzung benutzerdefinierter Module für Event Threat Detection.

Erkennungslatenz

Die Erkennungslatenz für Event Threat Detection und alle anderen integrierten Security Command Center-Dienste wird unter Scanlatenz beschrieben.

Ergebnisse prüfen

Ergebnisse, die von benutzerdefinierten Modulen generiert werden, können in der Google Cloud Console oder mit der gcloud CLI aufgerufen werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Benutzerdefinierte Module für Event Threat Detection aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

gcloud

So rufen Sie Ergebnisse mit der gcloud CLI auf:

  1. Öffnen Sie ein Terminalfenster.

  2. Quell-ID für benutzerdefinierte Event Threat Detection-Module abrufen Der Befehl hängt davon ab, ob Sie Security Command Center auf Organisations- oder Projektebene aktiviert haben:

    gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'

    Ersetzen Sie Folgendes:

    • RESOURCE_LEVEL: Der Aktivierungsgrad Ihrer Security Command Center-Instanz. Mögliche Werte sind organizations oder projects.
    • RESOURCE_ID: die Ressourcen-ID Ihrer Organisation oder Ihres Projekts.

    Die Ausgabe sollte so aussehen. SOURCE_ID ist eine vom Server zugewiesene ID für Sicherheitsquellen.

    canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID

  3. Führen Sie den folgenden Befehl mit der Quellen-ID aus dem vorherigen Schritt aus, um alle Ergebnisse für benutzerdefinierte Event Threat Detection-Module aufzulisten:

    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID

    Ersetzen Sie Folgendes:

    • RESOURCE_LEVEL: Die Ressourcenebene, auf der Sie Ergebnisse auflisten möchten. Mögliche Werte sind organizations, folders oder projects.
    • RESOURCE_ID: Die ID der Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.
    • SOURCE_ID: Die Quell-ID für benutzerdefinierte Event Threat Detection-Module.

  4. Führen Sie den folgenden Befehl aus, um die Ergebnisse für ein bestimmtes benutzerdefiniertes Modul aufzulisten:

    MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"

    Ersetzen Sie Folgendes:

    • CUSTOM_MODULE_CATEGORY_NAME: Der Kategoriename des benutzerdefinierten Moduls. Dieser Name setzt sich aus der Ergebniskategorie des Modultyps (wie in Benutzerdefinierte Module und Vorlagen aufgeführt) und dem Anzeigenamen des Moduls mit Unterstrichen anstelle von Leerzeichen zusammen. Der Kategoriename eines benutzerdefinierten Moduls kann beispielsweise Unexpected Compute Engine region: example_custom_module sein.
    • RESOURCE_LEVEL: Die Ressourcenebene, auf der Sie Ergebnisse auflisten möchten. Mögliche Werte sind organizations, folders oder projects.
    • RESOURCE_ID: Die ID der Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.
    • SOURCE_ID: Die Quell-ID Ihrer benutzerdefinierten Event Threat Detection-Module.

Weitere Informationen zum Filtern von Ergebnissen finden Sie unter Sicherheitsergebnisse auflisten.

Von benutzerdefinierten Modulen generierte Ergebnisse können wie alle Ergebnisse im Security Command Center verwaltet werden. Hier finden Sie weitere Informationen:

Benutzerdefinierte Module für Event Threat Detection verwalten

In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Module für Event Threat Detection aufrufen, auflisten, aktualisieren und löschen.

Benutzerdefinierte Module ansehen oder auflisten

Console

  1. Module des Event Threat Detection-Dienstes ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Optional: Wenn Sie nur die benutzerdefinierten Module sehen möchten, geben Sie im Feld Filter Typ:Benutzerdefiniert ein.

Die Ergebnisse enthalten Folgendes:

  • Alle benutzerdefinierten Module für Event Threat Detection für Privatkunden.
  • Alle geerbten benutzerdefinierten Event Threat Detection-Module. Wenn Sie sich beispielsweise in der Projektansicht befinden, werden die benutzerdefinierten Module, die in den übergeordneten Ordnern und der Organisation dieses Projekts erstellt wurden, in die Ergebnisse einbezogen.
  • Alle untergeordneten benutzerdefinierten Event Threat Detection-Module, die in untergeordneten Ressourcen erstellt wurden. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, werden die benutzerdefinierten Module, die in Ordnern und Projekten unter dieser Organisation erstellt wurden, in die Ergebnisse einbezogen.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • RESOURCE_FLAG: Der Bereich, in dem Sie benutzerdefinierte Module auflisten möchten. Dies kann einer der folgenden Werte sein: organization, folder oder project.
  • RESOURCE_ID: Die ID der Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.

Die Ergebnisse enthalten Folgendes:

  • Alle benutzerdefinierten Module für Event Threat Detection für Privatkunden.
  • Alle geerbten benutzerdefinierten Event Threat Detection-Module. Wenn Sie beispielsweise benutzerdefinierte Module auf Projektebene auflisten, sind die benutzerdefinierten Module, die in den übergeordneten Ordnern und der Organisation dieses Projekts erstellt wurden, in den Ergebnissen enthalten.

Jedes Element in den Ergebnissen enthält den Namen, den Status und die Eigenschaften des Moduls. Die Eigenschaften sind für jedes Modul unterschiedlich.

Der Name jedes Moduls enthält seine benutzerdefinierte Modul-ID. Für viele gcloud-Vorgänge auf dieser Seite ist die benutzerdefinierte Modul-ID erforderlich.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Benutzerdefiniertes Modul deaktivieren

Console

Weitere Informationen finden Sie unter Modul aktivieren oder deaktivieren.

Wenn Sie ein geerbtes benutzerdefiniertes Modul deaktivieren, werden Ihre Änderungen nur auf die aktuelle Ressourcenebene angewendet. Das ursprüngliche benutzerdefinierte Modul auf der übergeordneten Ebene ist davon nicht betroffen. Wenn Sie beispielsweise auf Projektebene ein benutzerdefiniertes Modul deaktivieren, das vom übergeordneten Ordner übernommen wurde, wird das benutzerdefinierte Modul nur auf Projektebene deaktiviert.

Sie können kein untergeordnetes benutzerdefiniertes Modul deaktivieren. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie kein benutzerdefiniertes Modul deaktivieren, das auf Projektebene erstellt wurde.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls für die Erkennung von Event-Bedrohungen, z. B. 1234567890. Die numerische ID finden Sie im Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann organization, folder oder project sein.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.

Benutzerdefiniertes Modul aktivieren

Console

Weitere Informationen finden Sie unter Modul aktivieren oder deaktivieren.

Wenn Sie ein benutzerdefiniertes Modul aktivieren, das übernommen wurde, werden Ihre Änderungen nur auf die aktuelle Ressourcenebene angewendet. Das ursprüngliche benutzerdefinierte Modul auf der übergeordneten Ebene ist davon nicht betroffen. Wenn Sie sich beispielsweise auf Projektebene befinden und ein benutzerdefiniertes Modul aktivieren, das vom übergeordneten Ordner übernommen wurde, wird das benutzerdefinierte Modul nur auf Projektebene aktiviert.

Sie können kein untergeordnetes benutzerdefiniertes Modul aktivieren. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie kein benutzerdefiniertes Modul aktivieren, das auf Projektebene erstellt wurde.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: Die numerische ID des benutzerdefinierten Event Threat Detection-Moduls, z. B. 1234567890. Sie können die numerische ID aus dem Feld name des entsprechenden benutzerdefinierten Moduls abrufen, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann organization, folder oder project sein.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.

Definition eines benutzerdefinierten Moduls aktualisieren

In diesem Abschnitt wird beschrieben, wie Sie ein benutzerdefiniertes Modul über dieGoogle Cloud -Konsole und die gcloud CLI aktualisieren. Jedes benutzerdefinierte Modul für Event Threat Detection hat eine Größenbeschränkung von 6 MB.

Sie können den Modultyp eines benutzerdefinierten Moduls nicht aktualisieren.

So aktualisieren Sie ein benutzerdefiniertes Modul:

Console

Sie können nur benutzerdefinierte Module für Wohngebäude bearbeiten. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie nur die benutzerdefinierten Module bearbeiten, die auf Organisationsebene erstellt wurden.

  1. Module des Event Threat Detection-Dienstes ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie das benutzerdefinierte Modul, das Sie bearbeiten möchten.
  3. Klicken Sie für dieses benutzerdefinierte Modul auf  Aktionen > Bearbeiten.
  4. Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
  5. Klicken Sie auf Speichern.

gcloud

Führen Sie den folgenden Befehl aus und fügen Sie die aktualisierte JSON-Datei für die Modulvorlage ein, um ein Modul zu aktualisieren:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: Die numerische ID des benutzerdefinierten Event Threat Detection-Moduls, z. B. 1234567890. Sie können die numerische ID aus dem Feld name des entsprechenden benutzerdefinierten Moduls abrufen, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann organization, folder oder project sein.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.
  • PATH_TO_JSON_FILE: Die JSON-Datei mit der JSON-Definition des benutzerdefinierten Moduls.

Status eines einzelnen benutzerdefinierten Moduls prüfen

Console

  1. Module des Event Threat Detection-Dienstes ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie in der Liste nach dem benutzerdefinierten Modul.

Der Status des benutzerdefinierten Moduls wird in der Spalte Status angezeigt.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls für die Erkennung von Event-Bedrohungen, z. B. 1234567890. Die numerische ID finden Sie im Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann organization, folder oder project sein.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.

Die Ausgabe sollte so aussehen und den Status und die Eigenschaften des Moduls enthalten. Die Eigenschaften sind für jedes Modul unterschiedlich.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Benutzerdefiniertes Modul löschen

Wenn Sie ein benutzerdefiniertes Event Threat Detection-Modul löschen, werden die von ihm generierten Ergebnisse nicht geändert und bleiben in Security Command Center verfügbar. Wenn Sie dagegen ein benutzerdefiniertes Security Health Analytics-Modul löschen, werden die generierten Ergebnisse als inaktiv markiert.

Ein gelöschtes benutzerdefiniertes Modul kann nicht wiederhergestellt werden.

Console

Geerbte benutzerdefinierte Module können nicht gelöscht werden. Wenn Sie sich beispielsweise in der Projektansicht befinden, können Sie keine benutzerdefinierten Module löschen, die auf Ordner- oder Organisationsebene erstellt wurden.

So löschen Sie ein benutzerdefiniertes Modul über die Google Cloud console:

  1. Module des Event Threat Detection-Dienstes ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie das benutzerdefinierte Modul, das Sie löschen möchten.
  3. Klicken Sie für dieses benutzerdefinierte Modul auf  Aktionen > Löschen. Sie werden aufgefordert, den Löschvorgang zu bestätigen.
  4. Klicken Sie auf Löschen.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Moduls für die Erkennung von Event-Bedrohungen, z. B. 1234567890. Die numerische ID finden Sie im Feld name des entsprechenden benutzerdefinierten Moduls, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
  • RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein: organization, folder oder project.
  • RESOURCE_ID: Die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.

Benutzerdefiniertes Modul klonen

Wenn Sie ein benutzerdefiniertes Modul klonen, wird das resultierende benutzerdefinierte Modul als Teil der Ressource erstellt, die Sie gerade ansehen. Wenn Sie beispielsweise ein benutzerdefiniertes Modul klonen, das Ihr Projekt von der Organisation übernommen hat, ist das neue benutzerdefinierte Modul ein Wohnmodul im Projekt.

Sie können kein untergeordnetes benutzerdefiniertes Modul klonen.

So klonen Sie ein benutzerdefiniertes Modul über die Google Cloud Konsole:

  1. Module des Dienstes Event Threat Detection ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
  2. Suchen Sie das benutzerdefinierte Modul, das Sie klonen möchten.
  3. Klicken Sie für dieses benutzerdefinierte Modul auf  Aktionen > Klonen.
  4. Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
  5. Klicken Sie auf Erstellen.

Nächste Schritte