Cette page explique comment créer et gérer des modules personnalisés pour Event Threat Detection.
Avant de commencer
Cette section décrit les exigences à respecter pour utiliser des modules personnalisés avec Event Threat Detection.
Security Command Center Premium et Event Threat Detection
Pour utiliser des modules personnalisés Event Threat Detection, vous devez activer cette fonctionnalité. Pour activer Event Threat Detection, consultez Activer ou désactiver un service intégré.
Rôles IAM
Les rôles IAM déterminent les actions que vous pouvez effectuer avec les modules personnalisés Event Threat Detection.
Le tableau suivant contient la liste des autorisations du module personnalisé Event Threat Detection et des rôles IAM prédéfinis qui les incluent. Ces autorisations sont valables jusqu'au 22 janvier 2024 au moins. Passée cette date, les autorisations listées dans le deuxième tableau suivant seront requises.
Vous pouvez utiliser la console Google Cloud ou l'API Security Command Center pour appliquer ces rôles au niveau de l'organisation, du dossier ou du projet.
Autorisations requises avant le 22 janvier 2024 | Rôle |
---|---|
securitycenter.eventthreatdetectioncustommodules.create securitycenter.eventthreatdetectioncustommodules.update securitycenter.eventthreatdetectioncustommodules.delete |
roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycenter.eventthreatdetectioncustommodules.get securitycenter.eventthreatdetectioncustommodules.list |
roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin |
Le tableau suivant contient la liste des autorisations de module personnalisé Event Threat Detection qui seront requises à partir du 22 janvier 2024, ainsi que les rôles IAM prédéfinis qui les incluent.
Vous pouvez utiliser la console Google Cloud ou l'API Security Command Center pour appliquer ces rôles au niveau de l'organisation, du dossier ou du projet.
Autorisations requises après le 22 janvier 2024 | Rôle |
---|---|
securitycentermanagement.eventThreatDetectionCustomModules.create securitycentermanagement.eventThreatDetectionCustomModules.update securitycentermanagement.eventThreatDetectionCustomModules.delete |
roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycentermanagement.eventThreatDetectionCustomModules.list securitycentermanagement.eventThreatDetectionCustomModules.get securitycentermanagement.effectiveEventThreatDetectionCustomModules.list securitycentermanagement.effectiveEventThreatDetectionCustomModules.get securitycentermanagement.eventThreatDetectionCustomModules.validate |
roles/securitycentermanagement.etdCustomModulesViewer roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.adminViewer roles/securitycenter.admin |
Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur. Consultez l'une des pages suivantes en fonction du niveau auquel vous avez activé Security Command Center:
IAM pour les activations de Security Command Center au niveau de l'organisation
IAM pour les activations de Security Command Center au niveau du projet
Journaux requis
Assurez-vous que les journaux pertinents sont activés pour votre organisation, vos dossiers et vos projets. Pour en savoir plus sur les journaux requis par chaque type de module personnalisé, consultez le tableau de la section Modules et modèles personnalisés.
Les journaux provenant de sources externes à Google Cloud ne sont pas acceptés.
Niveaux de module personnalisés
Ce document utilise les termes suivants pour décrire le niveau auquel un module personnalisé a été créé:
- Module "Résidentiel"
- Le module a été créé dans la vue ou le champ d'application actuels. Par exemple, si vous consultez la vue "Organisation" de la console Google Cloud, les modules résidentiels sont les modules créés au niveau de l'organisation.
- Module hérité
- Le module a été créé à un niveau de vue ou de portée parent. Par exemple, un module créé au niveau de l'organisation est un module hérité à n'importe quel niveau de dossier ou de projet.
- Module descendant
- Le module a été créé à un niveau de vue ou de portée enfant. Par exemple, un module créé au niveau d'un dossier ou d'un projet est un module descendant au niveau de l'organisation.
Créer des modules personnalisés
Vous pouvez créer des modules personnalisés de détection des menaces d'événements via la console Google Cloud ou en modifiant un modèle JSON et en l'envoyant via la gcloud CLI. Vous n'avez besoin de modèles JSON que si vous prévoyez d'utiliser gcloud CLI pour créer des modules personnalisés.
Pour obtenir la liste des modèles de modules compatibles, consultez la section Modules et modèles personnalisés.
Structure du modèle
Les modèles définissent les paramètres que les modules personnalisés utilisent pour identifier les menaces dans vos journaux. Les modèles sont écrits en JSON et leur structure est semblable à celle des résultats générés par Security Command Center. Vous ne devez configurer un modèle JSON que si vous prévoyez d'utiliser gcloud CLI pour créer un module personnalisé.
Chaque modèle contient des champs personnalisables:
severity
: niveau de gravité ou de risque que vous souhaitez attribuer aux résultats de ce type :LOW
,MEDIUM
,HIGH
ouCRITICAL
.description
: description du module personnalisé.recommendation
: actions recommandées pour traiter les résultats générés par le module personnalisé.- Paramètres de détection: variables utilisées pour évaluer les journaux et déclencher des résultats. Les paramètres de détection diffèrent pour chaque module, mais ils incluent au moins l'un des éléments suivants :
domains
: domaines Web à surveillerips
: adresses IP à surveillerpermissions
: autorisations à surveillerregions
: régions où les nouvelles instances Compute Engine sont autoriséesroles
: rôles à surveilleraccounts
: comptes à surveiller- Paramètres qui définissent les types d'instances Compute Engine autorisés (par exemple,
series
,cpus
etram_mb
). - Expressions régulières à comparer aux propriétés (par exemple,
caller_pattern
etresource_pattern
).
L'exemple de code suivant est un exemple de modèle JSON pour Configurable Bad IP
.
{
"metadata": {
"severity": "LOW",
"description": "Flagged by Cymbal as malicious",
"recommendation": "Contact the owner of the relevant project."
},
"ips": [
"192.0.2.1",
"192.0.2.0/24"
]
}
Dans l'exemple précédent, le module personnalisé génère un résultat de faible gravité si vos journaux indiquent une ressource connectée à l'adresse IP 192.0.2.1
ou 192.0.2.0/24
.
Modifier un modèle de module
Pour créer des modules, vous devez choisir un modèle de module et le modifier.
Si vous prévoyez d'utiliser Google Cloud CLI pour créer votre module personnalisé, vous devez effectuer cette tâche.
Si vous prévoyez d'utiliser la console Google Cloud pour créer votre module personnalisé, ignorez cette tâche. Vous utiliserez les options présentées à l'écran pour modifier les paramètres du modèle.
- Choisissez un modèle dans Modules et modèles personnalisés.
- Copiez le code dans un fichier local.
- Mettez à jour les paramètres que vous souhaitez utiliser pour évaluer vos journaux.
- Enregistrez le fichier au format JSON.
- Créez un module personnalisé via la gcloud CLI à l'aide du fichier JSON.
Créer un module personnalisé
Cette section explique comment créer un module personnalisé via la console Google Cloud et gcloud CLI. Chaque module personnalisé Event Threat Detection est limité à 6 Mo.
Pour créer un module personnalisé, procédez comme suit:
Console
- Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés apparaissent dans une liste.
- Cliquez sur Créer un module.
- Cliquez sur le modèle de module que vous souhaitez utiliser.
- Cliquez sur Sélectionner.
- Dans Module name (Nom du module), saisissez un nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques et des traits de soulignement (par exemple,
example_custom_module
). - Sélectionnez ou ajoutez les valeurs de paramètre demandées. Les paramètres diffèrent pour chaque module. Par exemple, si vous avez sélectionné le modèle de module
Configurable allowed Compute Engine region
, vous devez sélectionner une ou plusieurs régions. Vous pouvez également fournir la liste au format JSON. - Cliquez sur Suivant.
- Pour Sévérité, saisissez le niveau de gravité que vous souhaitez attribuer aux résultats générés par le nouveau module personnalisé.
- Dans Description, saisissez une description du nouveau module personnalisé.
- Dans Étapes suivantes, saisissez les actions recommandées au format texte brut. Les éventuels sauts de paragraphe que vous ajoutez sont ignorés.
- Cliquez sur Créer.
gcloud
Créez un fichier JSON contenant la définition du module personnalisé. Utilisez les modèles de la section Modules et modèles personnalisés comme guide.
Créez le module personnalisé en envoyant le fichier JSON dans une commande
gcloud
:
gcloud alpha scc custom-modules etd create \
--RESOURCE_FLAG=RESOURCE_ID \
--display-name="DISPLAY_NAME" \
--module-type="MODULE_TYPE" \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
Remplacez les éléments suivants :
- RESOURCE_FLAG: champ d'application de la ressource parente dans laquelle le module personnalisé sera créé. Il peut s'agir de
organization
,folder
ouproject
. - RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou de l'ID du projet.
- DISPLAY_NAME: nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques et des traits de soulignement.
- MODULE_TYPE: type de module personnalisé que vous souhaitez créer (par exemple,
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
). - PATH_TO_JSON_FILE: fichier JSON contenant la définition JSON du module personnalisé basée sur le modèle de module.
Votre module personnalisé est créé et commence l'analyse. Pour supprimer un module, consultez la section Supprimer un module personnalisé.
Le nom de la catégorie du module personnalisé contient la catégorie de résultats du type de module et le nom à afficher du module que vous avez défini. Par exemple, le nom de catégorie d'un module personnalisé peut être Unexpected Compute Engine Region: example_custom_module
.
Dans la console Google Cloud, les traits de soulignement s'affichent sous forme d'espaces. Toutefois, vous devez inclure les traits de soulignement dans vos requêtes.
Les quotas régissent votre utilisation des modules personnalisés pour Event Threat Detection.
Latence de détection
La latence de détection d'Event Threat Detection et de tous les autres services intégrés de Security Command Center est décrite dans la section Latence d'analyse.
Examiner les résultats
Les résultats générés par les modules personnalisés peuvent être consultés dans la console Google Cloud ou à l'aide de gcloud CLI.
Console
- Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet ou votre organisation Google Cloud.
- Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Modules personnalisés Event Threat Detection. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
- Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
gcloud
Pour afficher les résultats à l'aide de la gcloud CLI, procédez comme suit:
- Ouvrez une fenêtre de terminal.
Obtenez l'ID source des modules personnalisés Event Threat Detection. La commande dépend de l'activation de Security Command Center au niveau de l'organisation ou du projet:
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \ --source-display-name='Event Threat Detection Custom Modules'
Remplacez les éléments suivants :
RESOURCE_LEVEL
: niveau d'activation de votre instance Security Command Center, parmiorganizations
ouprojects
.RESOURCE_ID
: ID de ressource de votre organisation ou de votre projet.
La sortie se présente comme suit :
SOURCE_ID
est un ID attribué par le serveur aux sources de sécurité.canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID description: Provider used by Event Threat Detection Custom Modules displayName: Event Threat Detection Custom Modules name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
Pour lister tous les résultats des modules personnalisés d'Event Threat Detection, exécutez la commande suivante avec l'ID source de l'étape précédente:
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
Remplacez les éléments suivants :
RESOURCE_LEVEL
: niveau de ressource dans lequel vous souhaitez lister les résultats. Il peut s'agir deorganizations
,folders
ouprojects
.RESOURCE_ID
: ID de la ressource, c'est-à-dire ID de l'organisation, ID de dossier ou ID de projet.SOURCE_ID
: ID source des modules personnalisés de détection des menaces d'événement.
Pour lister les résultats d'un module personnalisé spécifique, exécutez la commande suivante :
MODULE="CUSTOM_MODULE_CATEGORY_NAME" FILTER="category=\"$MODULE\"" gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
Remplacez les éléments suivants :
CUSTOM_MODULE_CATEGORY_NAME
: nom de la catégorie du module personnalisé. Ce nom est composé de la catégorie de résultats du type de module (comme indiqué dans Modules et modèles personnalisés) et du nom à afficher du module avec des traits de soulignement au lieu d'espaces. Par exemple, le nom de catégorie d'un module personnalisé peut êtreUnexpected Compute Engine region: example_custom_module
.RESOURCE_LEVEL
: niveau de ressource dans lequel vous souhaitez lister les résultats. Il peut s'agir deorganizations
,folders
ouprojects
.RESOURCE_ID
: ID de la ressource, c'est-à-dire ID de l'organisation, ID de dossier ou ID de projet.SOURCE_ID
: ID source de vos modules personnalisés de détection des menaces d'événement.
Pour en savoir plus sur le filtrage des résultats, consultez la page Lister les résultats de sécurité.
Les résultats générés par les modules personnalisés peuvent être gérés de la même manière que tous les résultats dans Security Command Center. Pour en savoir plus, consultez les ressources suivantes :
- Utiliser des marques de sécurité
- Configurer des notifications de recherche
- Exporter des données Security Command Center
Gérer les modules personnalisés Event Threat Detection
Cette section explique comment afficher, lister, mettre à jour et supprimer des modules personnalisés Event Threat Detection.
Afficher ou lister des modules personnalisés
Console
- Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent dans une liste.
- Facultatif : pour afficher uniquement les modules personnalisés, saisissez Type:Custom (Type : personnalisé) dans le champ Filtre.
Les résultats incluent les éléments suivants:
- Tous les modules personnalisés Event Threat Detection pour les résidences
- Tous les modules personnalisés Event Threat Detection hérités. Par exemple, si vous êtes dans la vue du projet, les modules personnalisés créés dans les dossiers parents et l'organisation de ce projet sont inclus dans les résultats.
- Tous les modules personnalisés Event Threat Detection descendants créés dans des ressources enfants. Par exemple, si vous êtes dans la vue de l'organisation, les modules personnalisés créés dans les dossiers et les projets de cette organisation sont inclus dans les résultats.
gcloud
gcloud alpha scc custom-modules etd list \
--RESOURCE_FLAG=RESOURCE_ID
Remplacez les éléments suivants :
RESOURCE_FLAG
: champ d'application dans lequel vous souhaitez lister les modules personnalisés. Il peut s'agir deorganization
,folder
ouproject
.RESOURCE_ID
: ID de la ressource, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou de l'ID du projet.
Les résultats incluent les éléments suivants:
- Tous les modules personnalisés Event Threat Detection pour les résidences
- Tous les modules personnalisés Event Threat Detection hérités. Par exemple, lorsque vous listez des modules personnalisés au niveau du projet, les modules personnalisés créés dans les dossiers parent et l'organisation de ce projet sont inclus dans les résultats.
Chaque élément des résultats inclut le nom, l'état et les propriétés du module. Les propriétés diffèrent pour chaque module.
Le nom de chaque module contient son ID de module personnalisé. De nombreuses opérations gcloud
sur cette page nécessitent l'ID de module personnalisé.
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
Désactiver un module personnalisé
Console
Consultez la section Activer ou désactiver un module.
Lorsque vous désactivez un module personnalisé hérité, vos modifications ne s'appliquent qu'au niveau de votre ressource actuelle. Le module personnalisé d'origine situé au niveau du parent n'est pas affecté. Par exemple, si vous vous trouvez au niveau du projet et que vous désactivez un module personnalisé hérité du dossier parent, le module personnalisé n'est désactivé qu'au niveau du projet.
Vous ne pouvez pas désactiver un module personnalisé descendant. Par exemple, si vous vous trouvez dans la vue "Organisation", vous ne pouvez pas désactiver un module personnalisé créé au niveau du projet.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="DISABLED"
Remplacez les éléments suivants :
CUSTOM_MODULE_ID
: ID numérique du module personnalisé Event Threat Detection (par exemple,1234567890
). Vous pouvez obtenir l'ID numérique dans le champname
du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.RESOURCE_FLAG
: champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir deorganization
,folder
ouproject
.RESOURCE_ID
: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.
Activer un module personnalisé
Console
Consultez la section Activer ou désactiver un module.
Lorsque vous activez un module personnalisé hérité, vos modifications ne s'appliquent qu'au niveau de votre ressource actuelle. Le module personnalisé d'origine situé au niveau du parent n'est pas affecté. Par exemple, si vous vous trouvez au niveau du projet et que vous activez un module personnalisé hérité du dossier parent, le module personnalisé n'est activé qu'au niveau du projet.
Vous ne pouvez pas activer un module personnalisé descendant. Par exemple, si vous vous trouvez dans la vue "Organisation", vous ne pouvez pas activer un module personnalisé créé au niveau du projet.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED"
Remplacez les éléments suivants :
CUSTOM_MODULE_ID
: ID numérique du module personnalisé Event Threat Detection (par exemple,1234567890
). Vous pouvez obtenir l'ID numérique à partir du champname
du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.RESOURCE_FLAG
: champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir deorganization
,folder
ouproject
.RESOURCE_ID
: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.
Mettre à jour la définition d'un module personnalisé
Cette section explique comment mettre à jour un module personnalisé via la console Google Cloud et gcloud CLI. Chaque module personnalisé Event Threat Detection est limité à 6 Mo.
Vous ne pouvez pas modifier le type d'un module personnalisé.
Pour mettre à jour un module personnalisé, procédez comme suit:
Console
Vous ne pouvez modifier que les modules personnalisés résidentiels. Par exemple, si vous êtes dans la vue "Organisation", vous ne pouvez modifier que les modules personnalisés créés au niveau de l'organisation.
- Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés apparaissent dans une liste.
- Recherchez le module personnalisé que vous souhaitez modifier.
- Pour ce module personnalisé, cliquez sur > Modifier. Actions
- Modifiez le module personnalisé si nécessaire.
- Cliquez sur Enregistrer.
gcloud
Pour mettre à jour un module, exécutez la commande suivante et incluez le modèle JSON du module mis à jour:
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
Remplacez les éléments suivants :
CUSTOM_MODULE_ID
: ID numérique du module personnalisé Event Threat Detection (par exemple,1234567890
). Vous pouvez obtenir l'ID numérique à partir du champname
du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.RESOURCE_FLAG
: champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir deorganization
,folder
ouproject
.RESOURCE_ID
: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.PATH_TO_JSON_FILE
: fichier JSON contenant la définition JSON du module personnalisé.
Vérifier l'état d'un seul module personnalisé
Console
- Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent dans une liste.
- Recherchez le module personnalisé dans la liste.
L'état du module personnalisé est indiqué dans la colonne État.
gcloud
gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
Remplacez les éléments suivants :
CUSTOM_MODULE_ID
: ID numérique du module personnalisé Event Threat Detection (par exemple,1234567890
). Vous pouvez obtenir l'ID numérique dans le champname
du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.RESOURCE_FLAG
: champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir deorganization
,folder
ouproject
.RESOURCE_ID
: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.
Le résultat ressemble à ce qui suit et inclut l'état et les propriétés du module. Les propriétés diffèrent pour chaque module.
config: metadata: description: DESCRIPTION recommendation: RECOMMENDATION severity: SEVERITY regions: - region: REGION displayName: USER_SPECIFIED_DISPLAY_NAME enablementState: STATUS lastEditor: LAST_EDITOR name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID type: MODULE_TYPE updateTime: 'UPDATE_TIME'
Supprimer un module personnalisé
Lorsque vous supprimez un module personnalisé Event Threat Detection, les résultats qu'il a générés ne sont pas modifiés et restent disponibles dans Security Command Center. En revanche, lorsque vous supprimez un module personnalisé pour Security Health Analytics, les résultats générés sont marqués comme inactifs.
Vous ne pouvez pas récupérer un module personnalisé supprimé.
Console
Vous ne pouvez pas supprimer les modules personnalisés hérités. Par exemple, si vous êtes dans la vue du projet, vous ne pouvez pas supprimer les modules personnalisés créés au niveau du dossier ou de l'organisation.
Pour supprimer un module personnalisé via la console Google Cloud, procédez comme suit:
- Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés apparaissent dans une liste.
- Recherchez le module personnalisé que vous souhaitez supprimer.
- Pour ce module personnalisé, cliquez sur > Supprimer. Un message s'affiche pour vous inviter à confirmer la suppression. Actions
- Cliquez sur Supprimer.
gcloud
gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
Remplacez les éléments suivants :
CUSTOM_MODULE_ID
: ID numérique du module personnalisé Event Threat Detection (par exemple,1234567890
). Vous pouvez obtenir l'ID numérique dans le champname
du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.RESOURCE_FLAG
: champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir deorganization
,folder
ouproject
.RESOURCE_ID
: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.
Cloner un module personnalisé
Lorsque vous clonez un module personnalisé, le module personnalisé qui en résulte est créé en tant que résident de la ressource que vous consultez. Par exemple, si vous clonez un module personnalisé que votre projet a hérité de l'organisation, le nouveau module personnalisé est un module résidentiel dans le projet.
Vous ne pouvez pas cloner un module personnalisé descendant.
Pour cloner un module personnalisé via la console Google Cloud, procédez comme suit:
- Afficher les modules du service Event Threat Detection Les modules prédéfinis et personnalisés apparaissent dans une liste.
- Recherchez le module personnalisé que vous souhaitez cloner.
- Pour ce module personnalisé, cliquez sur > Cloner. Actions
- Modifiez le module personnalisé si nécessaire.
- Cliquez sur Créer.
Étape suivante
- En savoir plus sur les modules personnalisés Event Threat Detection