Questa pagina spiega come creare e gestire moduli personalizzati per Event Threat Detection.
Prima di iniziare
Questa sezione descrive i requisiti per l'utilizzo dei moduli personalizzati per Event Threat Detection.
Security Command Center Premium ed Event Threat Detection
Per utilizzare i moduli personalizzati di Event Threat Detection, Event Threat Detection deve essere abilitato. Per attivare Event Threat Detection, consulta Attivare o disattivare un servizio integrato.
Ruoli e autorizzazioni IAM richiesti
I ruoli IAM determinano le azioni che puoi eseguire con i moduli personalizzati di Event Threat Detection.
La tabella seguente contiene un elenco delle autorizzazioni dei moduli personalizzati di Event Threat Detection richieste, nonché i ruoli IAM predefiniti che le includono.
Puoi utilizzare la console Google Cloud o l'API Security Command Center per applicare questi ruoli a livello di organizzazione, cartella o progetto.
Autorizzazioni obbligatorie | Ruolo |
---|---|
securitycentermanagement.eventThreatDetectionCustomModules.create securitycentermanagement.eventThreatDetectionCustomModules.update securitycentermanagement.eventThreatDetectionCustomModules.delete |
roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycentermanagement.eventThreatDetectionCustomModules.list securitycentermanagement.eventThreatDetectionCustomModules.get securitycentermanagement.effectiveEventThreatDetectionCustomModules.list securitycentermanagement.effectiveEventThreatDetectionCustomModules.get securitycentermanagement.eventThreatDetectionCustomModules.validate |
roles/securitycentermanagement.etdCustomModulesViewer roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.adminViewer roles/securitycenter.admin |
Se si verificano errori di accesso in Security Command Center, chiedi assistenza all'amministratore. Consulta una delle seguenti pagine a seconda del livello in cui hai attivato Security Command Center:
IAM per le attivazioni a livello di organizzazione di Security Command Center
IAM per le attivazioni a livello di progetto di Security Command Center
Log richiesti
Assicurati che i log pertinenti siano attivi per la tua organizzazione, le cartelle e i progetti. Per informazioni sui log richiesti da ciascun tipo di modulo personalizzato, consulta la tabella in Moduli e modelli personalizzati.
I log provenienti da origini al di fuori di Google Cloud non sono supportati.
Livelli dei moduli personalizzati
Questo documento utilizza i seguenti termini per descrivere il livello in cui è stato creato un modulo personalizzato:
- Modulo residenziale
- Il modulo è stato creato nella visualizzazione o nell'ambito corrente. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione della Google Cloud console, i moduli residenziali sono quelli creati a livello di organizzazione.
- Modulo ereditato
- Il modulo è stato creato in una visualizzazione o un ambito principale. Ad esempio, un modulo creato a livello di organizzazione è un modulo ereditato a qualsiasi livello di cartella o progetto.
- Modulo discendente
- Il modulo è stato creato in una visualizzazione o un ambito figlio. Ad esempio, un modulo creato a livello di cartella o progetto è un modulo discendente a livello di organizzazione.
Creare moduli personalizzati
Puoi creare moduli personalizzati per Event Threat Detection tramite la consoleGoogle Cloud o modificando un modello JSON e inviandolo tramite gcloud CLI. Hai bisogno dei modelli JSON solo se prevedi di utilizzare gcloud CLI per creare moduli personalizzati.
Per un elenco dei modelli di moduli supportati, consulta Moduli e modelli personalizzati.
Struttura del modello
I modelli definiscono i parametri utilizzati dai moduli personalizzati per identificare le minacce nei log. I modelli sono scritti in JSON e hanno una struttura simile a quella dei risultati generati da Security Command Center. Devi configurare un modello JSON solo se prevedi di utilizzare gcloud CLI per creare un modulo personalizzato.
Ogni modello contiene campi personalizzabili:
severity
: il livello di gravità o di rischio che vuoi assegnare ai risultati di questo tipo,LOW
,MEDIUM
,HIGH
oCRITICAL
.description
: la descrizione del modulo personalizzato.recommendation
: azioni consigliate per risolvere i problemi generati dal modulo personalizzato.- Parametri di rilevamento: le variabili utilizzate per valutare i log e attivare
i risultati. I parametri di rilevamento variano per ogni modulo, ma includono uno o
più dei seguenti elementi:
domains
: domini web da monitorareips
: Indirizzi IP da monitorarepermissions
: autorizzazioni da monitorareregions
: le regioni in cui sono consentite nuove istanze Compute Engineroles
: ruoli da tenere d'occhioaccounts
: account da monitorare- Parametri che definiscono i tipi di istanza Compute Engine consentiti, ad esempio
series
,cpus
eram_mb
. - Espressioni regolari per confrontare le proprietà, ad esempio
caller_pattern
eresource_pattern
.
Il seguente esempio di codice è un modello JSON per Configurable Bad IP
.
{
"metadata": {
"severity": "LOW",
"description": "Flagged by Cymbal as malicious",
"recommendation": "Contact the owner of the relevant project."
},
"ips": [
"192.0.2.1",
"192.0.2.0/24"
]
}
Nell'esempio precedente, il modulo personalizzato genera un risultato di gravità bassa se i log indicano una risorsa connessa all'indirizzo IP 192.0.2.1
o 192.0.2.0/24
.
Modificare un modello di modulo
Per creare i moduli, scegli un modello di modulo e lo modifichi.
Se prevedi di utilizzare Google Cloud CLI per creare il tuo modulo personalizzato, devi eseguire questa attività.
Se prevedi di utilizzare la console Google Cloud per creare il tuo modulo personalizzato, salta questo passaggio. Utilizzerai le opzioni presentate sullo schermo per modificare i parametri del modello.
- Scegli un modello da Moduli e modelli personalizzati.
- Copia il codice in un file locale.
- Aggiorna i parametri che vuoi utilizzare per valutare i log.
- Salva il file come file JSON.
- Crea un modulo personalizzato tramite gcloud CLI utilizzando il file JSON.
Creare un modulo personalizzato
Questa sezione descrive come creare un modulo personalizzato tramite la consoleGoogle Cloud , gcloud CLI e Terraform. Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensioni di 6 MB.
Per creare un modulo personalizzato:
Console
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- Fai clic su Crea modulo.
- Fai clic sul modello di modulo che vuoi utilizzare.
- Fai clic su Seleziona.
- In Nome modulo, inserisci un nome visualizzato per il nuovo modello. Il nome
non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici e trattini bassi, ad esempio
example_custom_module
. - Seleziona o aggiungi i valori dei parametri richiesti. I parametri sono diversi per
ogni modulo. Ad esempio, se hai selezionato il modello di modulo
Configurable allowed Compute Engine region
, seleziona una o più regioni. In alternativa, fornisci l'elenco in formato JSON. - Fai clic su Avanti.
- Per Gravità, inserisci il livello di gravità che vuoi assegnare ai risultati generati dal nuovo modulo personalizzato.
- In Descrizione, inserisci una descrizione per il nuovo modulo personalizzato.
- Per Passaggi successivi, inserisci le azioni consigliate in formato di testo normale. Le interruzioni di paragrafo che aggiungi vengono ignorate.
- Fai clic su Crea.
gcloud
Crea un file JSON contenente la definizione del modulo personalizzato. Utilizza i modelli in Moduli e modelli personalizzati come guida.
Crea il modulo personalizzato inviando il file JSON in un comando
gcloud
:
gcloud alpha scc custom-modules etd create \
--RESOURCE_FLAG=RESOURCE_ID \
--display-name="DISPLAY_NAME" \
--module-type="MODULE_TYPE" \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
Sostituisci quanto segue:
- RESOURCE_FLAG: l'ambito della risorsa padre in cui verrà creato il modulo personalizzato; uno tra
organization
,folder
oproject
. - RESOURCE_ID: l'ID risorsa della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
- DISPLAY_NAME: un nome visualizzato per il nuovo modello. Il nome non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici e trattini bassi.
- MODULE_TYPE: il tipo di modulo personalizzato che vuoi creare, ad esempio
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
. - PATH_TO_JSON_FILE: il file JSON contenente la definizione JSON del modulo personalizzato in base al modello di modulo.
Terraform
Il modulo personalizzato viene creato e inizia la scansione. Per eliminare un modulo, vedi Eliminare un modulo personalizzato.
Il nome della categoria del modulo personalizzato contiene la categoria di esiti del
tipo di modulo
e il nome visualizzato del modulo che hai impostato. Ad esempio, il nome della categoria di un
modulo personalizzato può essere Unexpected Compute Engine Region: example_custom_module
.
Nella console Google Cloud , i trattini bassi vengono visualizzati come spazi. Tuttavia, nelle
query devi includere i trattini bassi.
Le quote regolano l'utilizzo dei moduli personalizzati per Event Threat Detection.
Latenza di rilevamento
La latenza di rilevamento per Event Threat Detection e tutti gli altri servizi integrati di Security Command Center è descritta in Latenza di scansione.
Esaminare i risultati
I risultati generati dai moduli personalizzati possono essere visualizzati nella console Google Cloud o utilizzando gcloud CLI.
Console
- Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud .
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Moduli personalizzati di Event Threat Detection. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.
gcloud
Per utilizzare gcloud CLI per visualizzare i risultati, segui questi passaggi:
- Apri una finestra del terminale.
Recupera l'ID origine per i moduli personalizzati di Event Threat Detection. Il comando dipende dal fatto che tu abbia attivato Security Command Center a livello di organizzazione o di progetto:
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \ --source-display-name='Event Threat Detection Custom Modules'
Sostituisci quanto segue:
RESOURCE_LEVEL
: il livello di attivazione della tua istanza di Security Command Center; uno traorganizations
oprojects
.RESOURCE_ID
: l'ID risorsa della tua organizzazione o del tuo progetto.
L'output è simile al seguente.
SOURCE_ID
è un ID assegnato dal server per le origini di sicurezza.canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID description: Provider used by Event Threat Detection Custom Modules displayName: Event Threat Detection Custom Modules name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
Per elencare tutti i risultati per i moduli personalizzati di Event Threat Detection, esegui il seguente comando con l'ID origine del passaggio precedente:
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
Sostituisci quanto segue:
RESOURCE_LEVEL
: il livello della risorsa in cui vuoi elencare i risultati; uno traorganizations
,folders
oprojects
.RESOURCE_ID
: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.SOURCE_ID
: l'ID origine per i moduli personalizzati di Event Threat Detection.
Per elencare i risultati per un modulo personalizzato specifico, esegui questo comando:
MODULE="CUSTOM_MODULE_CATEGORY_NAME" FILTER="category=\"$MODULE\"" gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
Sostituisci quanto segue:
CUSTOM_MODULE_CATEGORY_NAME
: il nome della categoria del modulo personalizzato. Questo nome è composto dalla categoria di esiti del tipo di modulo (come elencato in Moduli e modelli personalizzati) e dal nome visualizzato del modulo con i trattini bassi al posto degli spazi. Ad esempio, il nome della categoria di un modulo personalizzato può essereUnexpected Compute Engine region: example_custom_module
.RESOURCE_LEVEL
: il livello della risorsa in cui vuoi elencare i risultati; uno traorganizations
,folders
oprojects
.RESOURCE_ID
: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.SOURCE_ID
: l'ID origine dei tuoi moduli personalizzati Event Threat Detection.
Per scoprire di più sul filtraggio dei risultati, consulta Elenco dei risultati di sicurezza.
I risultati generati dai moduli personalizzati possono essere gestiti come tutti i risultati in Security Command Center. Per ulteriori informazioni, consulta le seguenti risorse:
- Utilizzo dei contrassegni di sicurezza
- Configurazione delle notifiche dei risultati
- Esportazione dei dati di Security Command Center
Gestire i moduli personalizzati per Event Threat Detection
Questa sezione descrive come visualizzare, elencare, aggiornare ed eliminare i moduli personalizzati di Event Threat Detection.
Visualizzare o elencare i moduli personalizzati
Console
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- (Facoltativo) Per visualizzare solo i moduli personalizzati, nel campo Filtro, inserisci Tipo:Personalizzato.
I risultati includono:
- Tutti i moduli personalizzati per Event Threat Detection residenziali.
- Tutti i moduli personalizzati per Event Threat Detection ereditati. Ad esempio, se ti trovi nella visualizzazione del progetto, i moduli personalizzati creati nelle cartelle e nell'organizzazione padre del progetto sono inclusi nei risultati.
- Tutti i moduli personalizzati di Event Threat Detection discendenti creati nelle risorse secondarie. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, i moduli personalizzati creati nelle cartelle e nei progetti di questa organizzazione sono inclusi nei risultati.
gcloud
gcloud alpha scc custom-modules etd list \
--RESOURCE_FLAG=RESOURCE_ID
Sostituisci quanto segue:
RESOURCE_FLAG
: l'ambito in cui vuoi elencare i moduli personalizzati; uno traorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
I risultati includono:
- Tutti i moduli personalizzati per Event Threat Detection residenziali.
- Tutti i moduli personalizzati per Event Threat Detection ereditati. Ad esempio, quando elenchi i moduli personalizzati a livello di progetto, i moduli personalizzati creati nelle cartelle principali e nell'organizzazione del progetto vengono inclusi nei risultati.
Ogni elemento nei risultati include il nome, lo stato e le proprietà del modulo. Le proprietà variano a seconda del modulo.
Il nome di ogni modulo contiene il relativo ID modulo personalizzato. Molte operazioni gcloud
in questa pagina richiedono l'ID modulo personalizzato.
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
Disattivare un modulo personalizzato
Console
Consulta Attivare o disattivare un modulo.
Quando disattivi un modulo personalizzato ereditato, le modifiche vengono applicate solo al livello di risorsa corrente. Il modulo personalizzato originale che si trova a livello principale non è interessato. Ad esempio, se ti trovi a livello di progetto e disattivi un modulo personalizzato ereditato dalla cartella principale, il modulo personalizzato viene disattivato solo a livello di progetto.
Non puoi disattivare un modulo personalizzato discendente. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, non puoi disattivare un modulo personalizzato creato a livello di progetto.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="DISABLED"
Sostituisci quanto segue:
CUSTOM_MODULE_ID
: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio1234567890
. Puoi ottenere l'ID numerico dal camponame
del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.RESOURCE_FLAG
: l'ambito della risorsa padre in cui si trova il modulo personalizzato; uno traorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
Attivare un modulo personalizzato
Console
Consulta Attivare o disattivare un modulo.
Quando attivi un modulo personalizzato ereditato, le modifiche vengono applicate solo al livello di risorsa corrente. Il modulo personalizzato originale che si trova a livello principale non è interessato. Ad esempio, se ti trovi a livello di progetto e attivi un modulo personalizzato ereditato dalla cartella principale, il modulo personalizzato viene attivato solo a livello di progetto.
Non puoi attivare un modulo personalizzato discendente. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, non puoi attivare un modulo personalizzato creato a livello di progetto.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED"
Sostituisci quanto segue:
CUSTOM_MODULE_ID
: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio1234567890
. Puoi ottenere l'ID numerico dal camponame
del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.RESOURCE_FLAG
: l'ambito della risorsa padre in cui risiede il modulo personalizzato; uno traorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
Aggiornare la definizione di un modulo personalizzato
Questa sezione descrive come aggiornare un modulo personalizzato tramite la consoleGoogle Cloud e tramite gcloud CLI. Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensioni di 6 MB.
Non puoi aggiornare il tipo di modulo di un modulo personalizzato.
Per aggiornare un modulo personalizzato:
Console
Puoi modificare solo i moduli personalizzati residenziali. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, puoi modificare solo i moduli personalizzati creati a livello di organizzazione.
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- Trova il modulo personalizzato che vuoi modificare.
- Per il modulo personalizzato, fai clic su > Modifica. Azioni
- Modifica il modulo personalizzato in base alle esigenze.
- Fai clic su Salva.
gcloud
Per aggiornare un modulo, esegui il comando seguente e includi il file JSON del modello del modulo aggiornato:
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
Sostituisci quanto segue:
CUSTOM_MODULE_ID
: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio1234567890
. Puoi ottenere l'ID numerico dal camponame
del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.RESOURCE_FLAG
: l'ambito della risorsa padre in cui risiede il modulo personalizzato; uno traorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.PATH_TO_JSON_FILE
: il file JSON contenente la definizione JSON del modulo personalizzato.
Controllare lo stato di un singolo modulo personalizzato
Console
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- Trova il modulo personalizzato nell'elenco.
Lo stato del modulo personalizzato viene visualizzato nella colonna Stato.
gcloud
gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
Sostituisci quanto segue:
CUSTOM_MODULE_ID
: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio1234567890
. Puoi ottenere l'ID numerico dal camponame
del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.RESOURCE_FLAG
: l'ambito della risorsa padre in cui risiede il modulo personalizzato; uno traorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
L'output è simile al seguente e include lo stato e le proprietà del modulo. Le proprietà variano a seconda del modulo.
config: metadata: description: DESCRIPTION recommendation: RECOMMENDATION severity: SEVERITY regions: - region: REGION displayName: USER_SPECIFIED_DISPLAY_NAME enablementState: STATUS lastEditor: LAST_EDITOR name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID type: MODULE_TYPE updateTime: 'UPDATE_TIME'
Eliminare un modulo personalizzato
Quando elimini un modulo personalizzato di Event Threat Detection, i risultati che ha generato non vengono modificati e rimangono disponibili in Security Command Center. Al contrario, quando elimini un modulo personalizzato di Security Health Analytics, i risultati generati vengono contrassegnati come non attivi.
Non puoi recuperare un modulo personalizzato eliminato.
Console
Non puoi eliminare i moduli personalizzati ereditati. Ad esempio, se ti trovi nella visualizzazione del progetto, non puoi eliminare i moduli personalizzati creati a livello di cartella o organizzazione.
Per eliminare un modulo personalizzato tramite la console Google Cloud :
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- Trova il modulo personalizzato che vuoi eliminare.
- Per il modulo personalizzato, fai clic su > Elimina. Viene visualizzato un messaggio che ti chiede di confermare l'eliminazione. Azioni
- Fai clic su Elimina.
gcloud
gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
Sostituisci quanto segue:
CUSTOM_MODULE_ID
: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio1234567890
. Puoi ottenere l'ID numerico dal camponame
del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.RESOURCE_FLAG
: l'ambito della risorsa padre in cui risiede il modulo personalizzato; uno traorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
Clonare un modulo personalizzato
Quando cloni un modulo personalizzato, il modulo personalizzato risultante viene creato come residente della risorsa che stai visualizzando. Ad esempio, se cloni un modulo personalizzato che il tuo progetto ha ereditato dall'organizzazione, il nuovo modulo personalizzato è un modulo residenziale nel progetto.
Non puoi clonare un modulo personalizzato discendente.
Per clonare un modulo personalizzato tramite la console Google Cloud :
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- Individua il modulo personalizzato che vuoi clonare.
- Per il modulo personalizzato, fai clic su > Clona. Azioni
- Modifica il modulo personalizzato in base alle esigenze.
- Fai clic su Crea.
Passaggi successivi
- Scopri di più sui moduli personalizzati per Event Threat Detection.