Creare e gestire moduli personalizzati per Event Threat Detection

Questa pagina spiega come creare e gestire moduli personalizzati per Event Threat Detection.

Prima di iniziare

Questa sezione descrive i requisiti per l'utilizzo dei moduli personalizzati per Event Threat Detection.

Security Command Center Premium ed Event Threat Detection

Per utilizzare i moduli personalizzati di Event Threat Detection, Event Threat Detection deve essere abilitato. Per attivare Event Threat Detection, consulta Attivare o disattivare un servizio integrato.

Ruoli e autorizzazioni IAM richiesti

I ruoli IAM determinano le azioni che puoi eseguire con i moduli personalizzati di Event Threat Detection.

La tabella seguente contiene un elenco delle autorizzazioni dei moduli personalizzati di Event Threat Detection richieste, nonché i ruoli IAM predefiniti che le includono.

Puoi utilizzare la console Google Cloud o l'API Security Command Center per applicare questi ruoli a livello di organizzazione, cartella o progetto.

Autorizzazioni obbligatorie Ruolo
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate
roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Se si verificano errori di accesso in Security Command Center, chiedi assistenza all'amministratore. Consulta una delle seguenti pagine a seconda del livello in cui hai attivato Security Command Center:

Log richiesti

Assicurati che i log pertinenti siano attivi per la tua organizzazione, le cartelle e i progetti. Per informazioni sui log richiesti da ciascun tipo di modulo personalizzato, consulta la tabella in Moduli e modelli personalizzati.

I log provenienti da origini al di fuori di Google Cloud non sono supportati.

Livelli dei moduli personalizzati

Questo documento utilizza i seguenti termini per descrivere il livello in cui è stato creato un modulo personalizzato:

Modulo residenziale
Il modulo è stato creato nella visualizzazione o nell'ambito corrente. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione della Google Cloud console, i moduli residenziali sono quelli creati a livello di organizzazione.
Modulo ereditato
Il modulo è stato creato in una visualizzazione o un ambito principale. Ad esempio, un modulo creato a livello di organizzazione è un modulo ereditato a qualsiasi livello di cartella o progetto.
Modulo discendente
Il modulo è stato creato in una visualizzazione o un ambito figlio. Ad esempio, un modulo creato a livello di cartella o progetto è un modulo discendente a livello di organizzazione.

Creare moduli personalizzati

Puoi creare moduli personalizzati per Event Threat Detection tramite la consoleGoogle Cloud o modificando un modello JSON e inviandolo tramite gcloud CLI. Hai bisogno dei modelli JSON solo se prevedi di utilizzare gcloud CLI per creare moduli personalizzati.

Per un elenco dei modelli di moduli supportati, consulta Moduli e modelli personalizzati.

Struttura del modello

I modelli definiscono i parametri utilizzati dai moduli personalizzati per identificare le minacce nei log. I modelli sono scritti in JSON e hanno una struttura simile a quella dei risultati generati da Security Command Center. Devi configurare un modello JSON solo se prevedi di utilizzare gcloud CLI per creare un modulo personalizzato.

Ogni modello contiene campi personalizzabili:

  • severity: il livello di gravità o di rischio che vuoi assegnare ai risultati di questo tipo, LOW, MEDIUM, HIGH o CRITICAL.
  • description: la descrizione del modulo personalizzato.
  • recommendation: azioni consigliate per risolvere i problemi generati dal modulo personalizzato.
  • Parametri di rilevamento: le variabili utilizzate per valutare i log e attivare i risultati. I parametri di rilevamento variano per ogni modulo, ma includono uno o più dei seguenti elementi:
    • domains: domini web da monitorare
    • ips: Indirizzi IP da monitorare
    • permissions: autorizzazioni da monitorare
    • regions: le regioni in cui sono consentite nuove istanze Compute Engine
    • roles: ruoli da tenere d'occhio
    • accounts: account da monitorare
    • Parametri che definiscono i tipi di istanza Compute Engine consentiti, ad esempio series, cpus e ram_mb.
    • Espressioni regolari per confrontare le proprietà, ad esempio caller_pattern e resource_pattern.

Il seguente esempio di codice è un modello JSON per Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Nell'esempio precedente, il modulo personalizzato genera un risultato di gravità bassa se i log indicano una risorsa connessa all'indirizzo IP 192.0.2.1 o 192.0.2.0/24.

Modificare un modello di modulo

Per creare i moduli, scegli un modello di modulo e lo modifichi.

Se prevedi di utilizzare Google Cloud CLI per creare il tuo modulo personalizzato, devi eseguire questa attività.

Se prevedi di utilizzare la console Google Cloud per creare il tuo modulo personalizzato, salta questo passaggio. Utilizzerai le opzioni presentate sullo schermo per modificare i parametri del modello.

  1. Scegli un modello da Moduli e modelli personalizzati.
  2. Copia il codice in un file locale.
  3. Aggiorna i parametri che vuoi utilizzare per valutare i log.
  4. Salva il file come file JSON.
  5. Crea un modulo personalizzato tramite gcloud CLI utilizzando il file JSON.

Creare un modulo personalizzato

Questa sezione descrive come creare un modulo personalizzato tramite la consoleGoogle Cloud , gcloud CLI e Terraform. Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensioni di 6 MB.

Per creare un modulo personalizzato:

Console

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Fai clic su Crea modulo.
  3. Fai clic sul modello di modulo che vuoi utilizzare.
  4. Fai clic su Seleziona.
  5. In Nome modulo, inserisci un nome visualizzato per il nuovo modello. Il nome non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici e trattini bassi, ad esempio example_custom_module.
  6. Seleziona o aggiungi i valori dei parametri richiesti. I parametri sono diversi per ogni modulo. Ad esempio, se hai selezionato il modello di modulo Configurable allowed Compute Engine region, seleziona una o più regioni. In alternativa, fornisci l'elenco in formato JSON.
  7. Fai clic su Avanti.
  8. Per Gravità, inserisci il livello di gravità che vuoi assegnare ai risultati generati dal nuovo modulo personalizzato.
  9. In Descrizione, inserisci una descrizione per il nuovo modulo personalizzato.
  10. Per Passaggi successivi, inserisci le azioni consigliate in formato di testo normale. Le interruzioni di paragrafo che aggiungi vengono ignorate.
  11. Fai clic su Crea.

gcloud

  1. Crea un file JSON contenente la definizione del modulo personalizzato. Utilizza i modelli in Moduli e modelli personalizzati come guida.

  2. Crea il modulo personalizzato inviando il file JSON in un comando gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Sostituisci quanto segue:

  • RESOURCE_FLAG: l'ambito della risorsa padre in cui verrà creato il modulo personalizzato; uno tra organization, folder o project.
  • RESOURCE_ID: l'ID risorsa della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
  • DISPLAY_NAME: un nome visualizzato per il nuovo modello. Il nome non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici e trattini bassi.
  • MODULE_TYPE: il tipo di modulo personalizzato che vuoi creare, ad esempio CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
  • PATH_TO_JSON_FILE: il file JSON contenente la definizione JSON del modulo personalizzato in base al modello di modulo.

Terraform

resource "google_scc_management_organization_event_threat_detection_custom_module" "example" {
  organization = "123456789"
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  type = "CONFIGURABLE_BAD_IP"
  description = "My Event Threat Detection Custom Module"
  config = jsonencode({
    "metadata": {
      "severity": "LOW",
      "description": "Flagged by Forcepoint as malicious",
      "recommendation": "Contact the owner of the relevant project."
    },
    "ips": [
      "192.0.2.1",
      "192.0.2.0/24"
    ]
  })
}

Il modulo personalizzato viene creato e inizia la scansione. Per eliminare un modulo, vedi Eliminare un modulo personalizzato.

Il nome della categoria del modulo personalizzato contiene la categoria di esiti del tipo di modulo e il nome visualizzato del modulo che hai impostato. Ad esempio, il nome della categoria di un modulo personalizzato può essere Unexpected Compute Engine Region: example_custom_module. Nella console Google Cloud , i trattini bassi vengono visualizzati come spazi. Tuttavia, nelle query devi includere i trattini bassi.

Le quote regolano l'utilizzo dei moduli personalizzati per Event Threat Detection.

Latenza di rilevamento

La latenza di rilevamento per Event Threat Detection e tutti gli altri servizi integrati di Security Command Center è descritta in Latenza di scansione.

Esaminare i risultati

I risultati generati dai moduli personalizzati possono essere visualizzati nella console Google Cloud o utilizzando gcloud CLI.

Console

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Moduli personalizzati di Event Threat Detection. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

gcloud

Per utilizzare gcloud CLI per visualizzare i risultati, segui questi passaggi:

  1. Apri una finestra del terminale.
  2. Recupera l'ID origine per i moduli personalizzati di Event Threat Detection. Il comando dipende dal fatto che tu abbia attivato Security Command Center a livello di organizzazione o di progetto:

    gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
        --source-display-name='Event Threat Detection Custom Modules'
    

    Sostituisci quanto segue:

    • RESOURCE_LEVEL: il livello di attivazione della tua istanza di Security Command Center; uno tra organizations o projects.
    • RESOURCE_ID: l'ID risorsa della tua organizzazione o del tuo progetto.

    L'output è simile al seguente. SOURCE_ID è un ID assegnato dal server per le origini di sicurezza.

    canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
    description: Provider used by Event Threat Detection Custom Modules
    displayName: Event Threat Detection Custom Modules
    name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
  3. Per elencare tutti i risultati per i moduli personalizzati di Event Threat Detection, esegui il seguente comando con l'ID origine del passaggio precedente:

    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
    

    Sostituisci quanto segue:

    • RESOURCE_LEVEL: il livello della risorsa in cui vuoi elencare i risultati; uno tra organizations, folders o projects.
    • RESOURCE_ID: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
    • SOURCE_ID: l'ID origine per i moduli personalizzati di Event Threat Detection.
  4. Per elencare i risultati per un modulo personalizzato specifico, esegui questo comando:

    MODULE="CUSTOM_MODULE_CATEGORY_NAME"
    FILTER="category=\"$MODULE\""
    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
    

    Sostituisci quanto segue:

    • CUSTOM_MODULE_CATEGORY_NAME: il nome della categoria del modulo personalizzato. Questo nome è composto dalla categoria di esiti del tipo di modulo (come elencato in Moduli e modelli personalizzati) e dal nome visualizzato del modulo con i trattini bassi al posto degli spazi. Ad esempio, il nome della categoria di un modulo personalizzato può essere Unexpected Compute Engine region: example_custom_module.
    • RESOURCE_LEVEL: il livello della risorsa in cui vuoi elencare i risultati; uno tra organizations, folders o projects.
    • RESOURCE_ID: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
    • SOURCE_ID: l'ID origine dei tuoi moduli personalizzati Event Threat Detection.

Per scoprire di più sul filtraggio dei risultati, consulta Elenco dei risultati di sicurezza.

I risultati generati dai moduli personalizzati possono essere gestiti come tutti i risultati in Security Command Center. Per ulteriori informazioni, consulta le seguenti risorse:

Gestire i moduli personalizzati per Event Threat Detection

Questa sezione descrive come visualizzare, elencare, aggiornare ed eliminare i moduli personalizzati di Event Threat Detection.

Visualizzare o elencare i moduli personalizzati

Console

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. (Facoltativo) Per visualizzare solo i moduli personalizzati, nel campo Filtro, inserisci Tipo:Personalizzato.

I risultati includono:

  • Tutti i moduli personalizzati per Event Threat Detection residenziali.
  • Tutti i moduli personalizzati per Event Threat Detection ereditati. Ad esempio, se ti trovi nella visualizzazione del progetto, i moduli personalizzati creati nelle cartelle e nell'organizzazione padre del progetto sono inclusi nei risultati.
  • Tutti i moduli personalizzati di Event Threat Detection discendenti creati nelle risorse secondarie. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, i moduli personalizzati creati nelle cartelle e nei progetti di questa organizzazione sono inclusi nei risultati.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Sostituisci quanto segue:

  • RESOURCE_FLAG: l'ambito in cui vuoi elencare i moduli personalizzati; uno tra organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

I risultati includono:

  • Tutti i moduli personalizzati per Event Threat Detection residenziali.
  • Tutti i moduli personalizzati per Event Threat Detection ereditati. Ad esempio, quando elenchi i moduli personalizzati a livello di progetto, i moduli personalizzati creati nelle cartelle principali e nell'organizzazione del progetto vengono inclusi nei risultati.

Ogni elemento nei risultati include il nome, lo stato e le proprietà del modulo. Le proprietà variano a seconda del modulo.

Il nome di ogni modulo contiene il relativo ID modulo personalizzato. Molte operazioni gcloud in questa pagina richiedono l'ID modulo personalizzato.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Disattivare un modulo personalizzato

Console

Consulta Attivare o disattivare un modulo.

Quando disattivi un modulo personalizzato ereditato, le modifiche vengono applicate solo al livello di risorsa corrente. Il modulo personalizzato originale che si trova a livello principale non è interessato. Ad esempio, se ti trovi a livello di progetto e disattivi un modulo personalizzato ereditato dalla cartella principale, il modulo personalizzato viene disattivato solo a livello di progetto.

Non puoi disattivare un modulo personalizzato discendente. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, non puoi disattivare un modulo personalizzato creato a livello di progetto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi ottenere l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa padre in cui si trova il modulo personalizzato; uno tra organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

Attivare un modulo personalizzato

Console

Consulta Attivare o disattivare un modulo.

Quando attivi un modulo personalizzato ereditato, le modifiche vengono applicate solo al livello di risorsa corrente. Il modulo personalizzato originale che si trova a livello principale non è interessato. Ad esempio, se ti trovi a livello di progetto e attivi un modulo personalizzato ereditato dalla cartella principale, il modulo personalizzato viene attivato solo a livello di progetto.

Non puoi attivare un modulo personalizzato discendente. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, non puoi attivare un modulo personalizzato creato a livello di progetto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi ottenere l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa padre in cui risiede il modulo personalizzato; uno tra organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

Aggiornare la definizione di un modulo personalizzato

Questa sezione descrive come aggiornare un modulo personalizzato tramite la consoleGoogle Cloud e tramite gcloud CLI. Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensioni di 6 MB.

Non puoi aggiornare il tipo di modulo di un modulo personalizzato.

Per aggiornare un modulo personalizzato:

Console

Puoi modificare solo i moduli personalizzati residenziali. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, puoi modificare solo i moduli personalizzati creati a livello di organizzazione.

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Trova il modulo personalizzato che vuoi modificare.
  3. Per il modulo personalizzato, fai clic su Azioni > Modifica.
  4. Modifica il modulo personalizzato in base alle esigenze.
  5. Fai clic su Salva.

gcloud

Per aggiornare un modulo, esegui il comando seguente e includi il file JSON del modello del modulo aggiornato:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi ottenere l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa padre in cui risiede il modulo personalizzato; uno tra organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
  • PATH_TO_JSON_FILE: il file JSON contenente la definizione JSON del modulo personalizzato.

Controllare lo stato di un singolo modulo personalizzato

Console

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Trova il modulo personalizzato nell'elenco.

Lo stato del modulo personalizzato viene visualizzato nella colonna Stato.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi ottenere l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa padre in cui risiede il modulo personalizzato; uno tra organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

L'output è simile al seguente e include lo stato e le proprietà del modulo. Le proprietà variano a seconda del modulo.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Eliminare un modulo personalizzato

Quando elimini un modulo personalizzato di Event Threat Detection, i risultati che ha generato non vengono modificati e rimangono disponibili in Security Command Center. Al contrario, quando elimini un modulo personalizzato di Security Health Analytics, i risultati generati vengono contrassegnati come non attivi.

Non puoi recuperare un modulo personalizzato eliminato.

Console

Non puoi eliminare i moduli personalizzati ereditati. Ad esempio, se ti trovi nella visualizzazione del progetto, non puoi eliminare i moduli personalizzati creati a livello di cartella o organizzazione.

Per eliminare un modulo personalizzato tramite la console Google Cloud :

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Trova il modulo personalizzato che vuoi eliminare.
  3. Per il modulo personalizzato, fai clic su Azioni > Elimina. Viene visualizzato un messaggio che ti chiede di confermare l'eliminazione.
  4. Fai clic su Elimina.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi ottenere l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa padre in cui risiede il modulo personalizzato; uno tra organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.

Clonare un modulo personalizzato

Quando cloni un modulo personalizzato, il modulo personalizzato risultante viene creato come residente della risorsa che stai visualizzando. Ad esempio, se cloni un modulo personalizzato che il tuo progetto ha ereditato dall'organizzazione, il nuovo modulo personalizzato è un modulo residenziale nel progetto.

Non puoi clonare un modulo personalizzato discendente.

Per clonare un modulo personalizzato tramite la console Google Cloud :

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Individua il modulo personalizzato che vuoi clonare.
  3. Per il modulo personalizzato, fai clic su Azioni > Clona.
  4. Modifica il modulo personalizzato in base alle esigenze.
  5. Fai clic su Crea.

Passaggi successivi