Créer et gérer des modules personnalisés pour Event Threat Detection

Cette page explique comment créer et gérer des modules personnalisés pour Event Threat Detection.

Avant de commencer

Cette section décrit les exigences à respecter pour utiliser des modules personnalisés avec Event Threat Detection.

Security Command Center Premium et Event Threat Detection

Pour utiliser des modules personnalisés Event Threat Detection, vous devez activer cette fonctionnalité. Pour activer Event Threat Detection, consultez Activer ou désactiver un service intégré.

Rôles IAM

Les rôles IAM déterminent les actions que vous pouvez effectuer avec les modules personnalisés Event Threat Detection.

Le tableau suivant contient la liste des autorisations du module personnalisé Event Threat Detection et des rôles IAM prédéfinis qui les incluent. Ces autorisations sont valables jusqu'au 22 janvier 2024 au moins. Passée cette date, les autorisations listées dans le deuxième tableau suivant seront requises.

Vous pouvez utiliser la console Google Cloud ou l'API Security Command Center pour appliquer ces rôles au niveau de l'organisation, du dossier ou du projet.

Autorisations requises avant le 22 janvier 2024 Rôle
securitycenter.eventthreatdetectioncustommodules.create
securitycenter.eventthreatdetectioncustommodules.update
securitycenter.eventthreatdetectioncustommodules.delete
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.eventthreatdetectioncustommodules.get
securitycenter.eventthreatdetectioncustommodules.list
roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin

Le tableau suivant contient la liste des autorisations de module personnalisé Event Threat Detection qui seront requises à partir du 22 janvier 2024, ainsi que les rôles IAM prédéfinis qui les incluent.

Vous pouvez utiliser la console Google Cloud ou l'API Security Command Center pour appliquer ces rôles au niveau de l'organisation, du dossier ou du projet.

Autorisations requises après le 22 janvier 2024 Rôle
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate
roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur. Consultez l'une des pages suivantes en fonction du niveau auquel vous avez activé Security Command Center:

Journaux requis

Assurez-vous que les journaux pertinents sont activés pour votre organisation, vos dossiers et vos projets. Pour en savoir plus sur les journaux requis par chaque type de module personnalisé, consultez le tableau de la section Modules et modèles personnalisés.

Les journaux provenant de sources externes à Google Cloud ne sont pas acceptés.

Niveaux de module personnalisés

Ce document utilise les termes suivants pour décrire le niveau auquel un module personnalisé a été créé:

Module "Résidentiel"
Le module a été créé dans la vue ou le champ d'application actuels. Par exemple, si vous consultez la vue "Organisation" de la console Google Cloud, les modules résidentiels sont les modules créés au niveau de l'organisation.
Module hérité
Le module a été créé à un niveau de vue ou de portée parent. Par exemple, un module créé au niveau de l'organisation est un module hérité à n'importe quel niveau de dossier ou de projet.
Module descendant
Le module a été créé à un niveau de vue ou de portée enfant. Par exemple, un module créé au niveau d'un dossier ou d'un projet est un module descendant au niveau de l'organisation.

Créer des modules personnalisés

Vous pouvez créer des modules personnalisés de détection des menaces d'événements via la console Google Cloud ou en modifiant un modèle JSON et en l'envoyant via la gcloud CLI. Vous n'avez besoin de modèles JSON que si vous prévoyez d'utiliser gcloud CLI pour créer des modules personnalisés.

Pour obtenir la liste des modèles de modules compatibles, consultez la section Modules et modèles personnalisés.

Structure du modèle

Les modèles définissent les paramètres que les modules personnalisés utilisent pour identifier les menaces dans vos journaux. Les modèles sont écrits en JSON et leur structure est semblable à celle des résultats générés par Security Command Center. Vous ne devez configurer un modèle JSON que si vous prévoyez d'utiliser gcloud CLI pour créer un module personnalisé.

Chaque modèle contient des champs personnalisables:

  • severity : niveau de gravité ou de risque que vous souhaitez attribuer aux résultats de ce type : LOW, MEDIUM, HIGH ou CRITICAL.
  • description: description du module personnalisé.
  • recommendation: actions recommandées pour traiter les résultats générés par le module personnalisé.
  • Paramètres de détection: variables utilisées pour évaluer les journaux et déclencher des résultats. Les paramètres de détection diffèrent pour chaque module, mais ils incluent au moins l'un des éléments suivants :
    • domains: domaines Web à surveiller
    • ips: adresses IP à surveiller
    • permissions: autorisations à surveiller
    • regions: régions où les nouvelles instances Compute Engine sont autorisées
    • roles: rôles à surveiller
    • accounts: comptes à surveiller
    • Paramètres qui définissent les types d'instances Compute Engine autorisés (par exemple, series, cpus et ram_mb).
    • Expressions régulières à comparer aux propriétés (par exemple, caller_pattern et resource_pattern).

L'exemple de code suivant est un exemple de modèle JSON pour Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Dans l'exemple précédent, le module personnalisé génère un résultat de faible gravité si vos journaux indiquent une ressource connectée à l'adresse IP 192.0.2.1 ou 192.0.2.0/24.

Modifier un modèle de module

Pour créer des modules, vous devez choisir un modèle de module et le modifier.

Si vous prévoyez d'utiliser Google Cloud CLI pour créer votre module personnalisé, vous devez effectuer cette tâche.

Si vous prévoyez d'utiliser la console Google Cloud pour créer votre module personnalisé, ignorez cette tâche. Vous utiliserez les options présentées à l'écran pour modifier les paramètres du modèle.

  1. Choisissez un modèle dans Modules et modèles personnalisés.
  2. Copiez le code dans un fichier local.
  3. Mettez à jour les paramètres que vous souhaitez utiliser pour évaluer vos journaux.
  4. Enregistrez le fichier au format JSON.
  5. Créez un module personnalisé via la gcloud CLI à l'aide du fichier JSON.

Créer un module personnalisé

Cette section explique comment créer un module personnalisé via la console Google Cloud et gcloud CLI. Chaque module personnalisé Event Threat Detection est limité à 6 Mo.

Pour créer un module personnalisé, procédez comme suit:

Console

  1. Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés apparaissent dans une liste.
  2. Cliquez sur Créer un module.
  3. Cliquez sur le modèle de module que vous souhaitez utiliser.
  4. Cliquez sur Sélectionner.
  5. Dans Module name (Nom du module), saisissez un nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques et des traits de soulignement (par exemple, example_custom_module).
  6. Sélectionnez ou ajoutez les valeurs de paramètre demandées. Les paramètres diffèrent pour chaque module. Par exemple, si vous avez sélectionné le modèle de module Configurable allowed Compute Engine region, vous devez sélectionner une ou plusieurs régions. Vous pouvez également fournir la liste au format JSON.
  7. Cliquez sur Suivant.
  8. Pour Sévérité, saisissez le niveau de gravité que vous souhaitez attribuer aux résultats générés par le nouveau module personnalisé.
  9. Dans Description, saisissez une description du nouveau module personnalisé.
  10. Dans Étapes suivantes, saisissez les actions recommandées au format texte brut. Les éventuels sauts de paragraphe que vous ajoutez sont ignorés.
  11. Cliquez sur Créer.

gcloud

  1. Créez un fichier JSON contenant la définition du module personnalisé. Utilisez les modèles de la section Modules et modèles personnalisés comme guide.

  2. Créez le module personnalisé en envoyant le fichier JSON dans une commande gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Remplacez les éléments suivants :

  • RESOURCE_FLAG: champ d'application de la ressource parente dans laquelle le module personnalisé sera créé. Il peut s'agir de organization, folder ou project.
  • RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou de l'ID du projet.
  • DISPLAY_NAME: nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques et des traits de soulignement.
  • MODULE_TYPE: type de module personnalisé que vous souhaitez créer (par exemple, CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION).
  • PATH_TO_JSON_FILE: fichier JSON contenant la définition JSON du module personnalisé basée sur le modèle de module.

Votre module personnalisé est créé et commence l'analyse. Pour supprimer un module, consultez la section Supprimer un module personnalisé.

Le nom de la catégorie du module personnalisé contient la catégorie de résultats du type de module et le nom à afficher du module que vous avez défini. Par exemple, le nom de catégorie d'un module personnalisé peut être Unexpected Compute Engine Region: example_custom_module. Dans la console Google Cloud, les traits de soulignement s'affichent sous forme d'espaces. Toutefois, vous devez inclure les traits de soulignement dans vos requêtes.

Les quotas régissent votre utilisation des modules personnalisés pour Event Threat Detection.

Latence de détection

La latence de détection d'Event Threat Detection et de tous les autres services intégrés de Security Command Center est décrite dans la section Latence d'analyse.

Examiner les résultats

Les résultats générés par les modules personnalisés peuvent être consultés dans la console Google Cloud ou à l'aide de gcloud CLI.

Console

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Modules personnalisés Event Threat Detection. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

gcloud

Pour afficher les résultats à l'aide de la gcloud CLI, procédez comme suit:

  1. Ouvrez une fenêtre de terminal.
  2. Obtenez l'ID source des modules personnalisés Event Threat Detection. La commande dépend de l'activation de Security Command Center au niveau de l'organisation ou du projet:

    gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
        --source-display-name='Event Threat Detection Custom Modules'
    

    Remplacez les éléments suivants :

    • RESOURCE_LEVEL: niveau d'activation de votre instance Security Command Center, parmi organizations ou projects.
    • RESOURCE_ID: ID de ressource de votre organisation ou de votre projet.

    La sortie se présente comme suit : SOURCE_ID est un ID attribué par le serveur aux sources de sécurité.

    canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
    description: Provider used by Event Threat Detection Custom Modules
    displayName: Event Threat Detection Custom Modules
    name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
  3. Pour lister tous les résultats des modules personnalisés d'Event Threat Detection, exécutez la commande suivante avec l'ID source de l'étape précédente:

    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
    

    Remplacez les éléments suivants :

    • RESOURCE_LEVEL: niveau de ressource dans lequel vous souhaitez lister les résultats. Il peut s'agir de organizations, folders ou projects.
    • RESOURCE_ID: ID de la ressource, c'est-à-dire ID de l'organisation, ID de dossier ou ID de projet.
    • SOURCE_ID: ID source des modules personnalisés de détection des menaces d'événement.
  4. Pour lister les résultats d'un module personnalisé spécifique, exécutez la commande suivante :

    MODULE="CUSTOM_MODULE_CATEGORY_NAME"
    FILTER="category=\"$MODULE\""
    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
    

    Remplacez les éléments suivants :

    • CUSTOM_MODULE_CATEGORY_NAME: nom de la catégorie du module personnalisé. Ce nom est composé de la catégorie de résultats du type de module (comme indiqué dans Modules et modèles personnalisés) et du nom à afficher du module avec des traits de soulignement au lieu d'espaces. Par exemple, le nom de catégorie d'un module personnalisé peut être Unexpected Compute Engine region: example_custom_module.
    • RESOURCE_LEVEL: niveau de ressource dans lequel vous souhaitez lister les résultats. Il peut s'agir de organizations, folders ou projects.
    • RESOURCE_ID: ID de la ressource, c'est-à-dire ID de l'organisation, ID de dossier ou ID de projet.
    • SOURCE_ID: ID source de vos modules personnalisés de détection des menaces d'événement.

Pour en savoir plus sur le filtrage des résultats, consultez la page Lister les résultats de sécurité.

Les résultats générés par les modules personnalisés peuvent être gérés de la même manière que tous les résultats dans Security Command Center. Pour en savoir plus, consultez les ressources suivantes :

Gérer les modules personnalisés Event Threat Detection

Cette section explique comment afficher, lister, mettre à jour et supprimer des modules personnalisés Event Threat Detection.

Afficher ou lister des modules personnalisés

Console

  1. Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent dans une liste.
  2. Facultatif : pour afficher uniquement les modules personnalisés, saisissez Type:Custom (Type : personnalisé) dans le champ Filtre.

Les résultats incluent les éléments suivants:

  • Tous les modules personnalisés Event Threat Detection pour les résidences
  • Tous les modules personnalisés Event Threat Detection hérités. Par exemple, si vous êtes dans la vue du projet, les modules personnalisés créés dans les dossiers parents et l'organisation de ce projet sont inclus dans les résultats.
  • Tous les modules personnalisés Event Threat Detection descendants créés dans des ressources enfants. Par exemple, si vous êtes dans la vue de l'organisation, les modules personnalisés créés dans les dossiers et les projets de cette organisation sont inclus dans les résultats.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Remplacez les éléments suivants :

  • RESOURCE_FLAG: champ d'application dans lequel vous souhaitez lister les modules personnalisés. Il peut s'agir de organization, folder ou project.
  • RESOURCE_ID: ID de la ressource, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou de l'ID du projet.

Les résultats incluent les éléments suivants:

  • Tous les modules personnalisés Event Threat Detection pour les résidences
  • Tous les modules personnalisés Event Threat Detection hérités. Par exemple, lorsque vous listez des modules personnalisés au niveau du projet, les modules personnalisés créés dans les dossiers parent et l'organisation de ce projet sont inclus dans les résultats.

Chaque élément des résultats inclut le nom, l'état et les propriétés du module. Les propriétés diffèrent pour chaque module.

Le nom de chaque module contient son ID de module personnalisé. De nombreuses opérations gcloud sur cette page nécessitent l'ID de module personnalisé.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Désactiver un module personnalisé

Console

Consultez la section Activer ou désactiver un module.

Lorsque vous désactivez un module personnalisé hérité, vos modifications ne s'appliquent qu'au niveau de votre ressource actuelle. Le module personnalisé d'origine situé au niveau du parent n'est pas affecté. Par exemple, si vous vous trouvez au niveau du projet et que vous désactivez un module personnalisé hérité du dossier parent, le module personnalisé n'est désactivé qu'au niveau du projet.

Vous ne pouvez pas désactiver un module personnalisé descendant. Par exemple, si vous vous trouvez dans la vue "Organisation", vous ne pouvez pas désactiver un module personnalisé créé au niveau du projet.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Remplacez les éléments suivants :

  • CUSTOM_MODULE_ID: ID numérique du module personnalisé Event Threat Detection (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique dans le champ name du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.
  • RESOURCE_FLAG: champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir de organization, folder ou project.
  • RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.

Activer un module personnalisé

Console

Consultez la section Activer ou désactiver un module.

Lorsque vous activez un module personnalisé hérité, vos modifications ne s'appliquent qu'au niveau de votre ressource actuelle. Le module personnalisé d'origine situé au niveau du parent n'est pas affecté. Par exemple, si vous vous trouvez au niveau du projet et que vous activez un module personnalisé hérité du dossier parent, le module personnalisé n'est activé qu'au niveau du projet.

Vous ne pouvez pas activer un module personnalisé descendant. Par exemple, si vous vous trouvez dans la vue "Organisation", vous ne pouvez pas activer un module personnalisé créé au niveau du projet.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Remplacez les éléments suivants :

  • CUSTOM_MODULE_ID: ID numérique du module personnalisé Event Threat Detection (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique à partir du champ name du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.
  • RESOURCE_FLAG: champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir de organization, folder ou project.
  • RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.

Mettre à jour la définition d'un module personnalisé

Cette section explique comment mettre à jour un module personnalisé via la console Google Cloud et gcloud CLI. Chaque module personnalisé Event Threat Detection est limité à 6 Mo.

Vous ne pouvez pas modifier le type d'un module personnalisé.

Pour mettre à jour un module personnalisé, procédez comme suit:

Console

Vous ne pouvez modifier que les modules personnalisés résidentiels. Par exemple, si vous êtes dans la vue "Organisation", vous ne pouvez modifier que les modules personnalisés créés au niveau de l'organisation.

  1. Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés apparaissent dans une liste.
  2. Recherchez le module personnalisé que vous souhaitez modifier.
  3. Pour ce module personnalisé, cliquez sur Actions > Modifier.
  4. Modifiez le module personnalisé si nécessaire.
  5. Cliquez sur Enregistrer.

gcloud

Pour mettre à jour un module, exécutez la commande suivante et incluez le modèle JSON du module mis à jour:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Remplacez les éléments suivants :

  • CUSTOM_MODULE_ID: ID numérique du module personnalisé Event Threat Detection (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique à partir du champ name du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.
  • RESOURCE_FLAG: champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir de organization, folder ou project.
  • RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.
  • PATH_TO_JSON_FILE: fichier JSON contenant la définition JSON du module personnalisé.

Vérifier l'état d'un seul module personnalisé

Console

  1. Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent dans une liste.
  2. Recherchez le module personnalisé dans la liste.

L'état du module personnalisé est indiqué dans la colonne État.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Remplacez les éléments suivants :

  • CUSTOM_MODULE_ID: ID numérique du module personnalisé Event Threat Detection (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique dans le champ name du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.
  • RESOURCE_FLAG: champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir de organization, folder ou project.
  • RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.

Le résultat ressemble à ce qui suit et inclut l'état et les propriétés du module. Les propriétés diffèrent pour chaque module.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Supprimer un module personnalisé

Lorsque vous supprimez un module personnalisé Event Threat Detection, les résultats qu'il a générés ne sont pas modifiés et restent disponibles dans Security Command Center. En revanche, lorsque vous supprimez un module personnalisé pour Security Health Analytics, les résultats générés sont marqués comme inactifs.

Vous ne pouvez pas récupérer un module personnalisé supprimé.

Console

Vous ne pouvez pas supprimer les modules personnalisés hérités. Par exemple, si vous êtes dans la vue du projet, vous ne pouvez pas supprimer les modules personnalisés créés au niveau du dossier ou de l'organisation.

Pour supprimer un module personnalisé via la console Google Cloud, procédez comme suit:

  1. Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés apparaissent dans une liste.
  2. Recherchez le module personnalisé que vous souhaitez supprimer.
  3. Pour ce module personnalisé, cliquez sur Actions > Supprimer. Un message s'affiche pour vous inviter à confirmer la suppression.
  4. Cliquez sur Supprimer.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Remplacez les éléments suivants :

  • CUSTOM_MODULE_ID: ID numérique du module personnalisé Event Threat Detection (par exemple, 1234567890). Vous pouvez obtenir l'ID numérique dans le champ name du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.
  • RESOURCE_FLAG: champ d'application de la ressource parente dans laquelle se trouve le module personnalisé. Il peut s'agir de organization, folder ou project.
  • RESOURCE_ID: ID de la ressource parente, c'est-à-dire l'ID de l'organisation, de l'ID du dossier ou du projet.

Cloner un module personnalisé

Lorsque vous clonez un module personnalisé, le module personnalisé qui en résulte est créé en tant que résident de la ressource que vous consultez. Par exemple, si vous clonez un module personnalisé que votre projet a hérité de l'organisation, le nouveau module personnalisé est un module résidentiel dans le projet.

Vous ne pouvez pas cloner un module personnalisé descendant.

Pour cloner un module personnalisé via la console Google Cloud, procédez comme suit:

  1. Afficher les modules du service Event Threat Detection Les modules prédéfinis et personnalisés apparaissent dans une liste.
  2. Recherchez le module personnalisé que vous souhaitez cloner.
  3. Pour ce module personnalisé, cliquez sur Actions > Cloner.
  4. Modifiez le module personnalisé si nécessaire.
  5. Cliquez sur Créer.

Étape suivante