Questa pagina spiega come creare e gestire moduli personalizzati per Event Threat Detection.
Prima di iniziare
Questa sezione descrive i requisiti per l'utilizzo dei moduli personalizzati per Event Threat Detection.
Security Command Center Premium ed Event Threat Detection
Per utilizzare i moduli personalizzati di Event Threat Detection, questa funzionalità deve essere attivata. Per attivare Event Threat Detection, consulta Attivare o disattivare un servizio integrato.
Ruoli IAM
I ruoli IAM determinano le azioni che puoi eseguire con i moduli personalizzati di Event Threat Detection.
La tabella seguente contiene un elenco delle autorizzazioni dei moduli personalizzati di Event Threat Detection e i ruoli IAM predefiniti che le includono. Queste autorizzazioni sono valide fino al 22 gennaio 2024. Dopo questa data, saranno richieste le autorizzazioni elencate nella seconda tabella di seguito.
Puoi utilizzare la console Google Cloud o l'API Security Command Center per applicare questi ruoli a livello di organizzazione, cartella o progetto.
Autorizzazioni richieste prima del 22 gennaio 2024 | Ruolo |
---|---|
securitycenter.eventthreatdetectioncustommodules.create securitycenter.eventthreatdetectioncustommodules.update securitycenter.eventthreatdetectioncustommodules.delete |
roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycenter.eventthreatdetectioncustommodules.get securitycenter.eventthreatdetectioncustommodules.list |
roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin |
La tabella seguente contiene un elenco delle autorizzazioni per i moduli personalizzati di Event Threat Detection obbligatorie a partire dal 22 gennaio 2024, nonché i ruoli IAM predefiniti che le includono.
Puoi utilizzare la console Google Cloud o l'API Security Command Center per applicare questi ruoli a livello di organizzazione, cartella o progetto.
Autorizzazioni richieste dopo il 22 gennaio 2024 | Ruolo |
---|---|
securitycentermanagement.eventThreatDetectionCustomModules.create securitycentermanagement.eventThreatDetectionCustomModules.update securitycentermanagement.eventThreatDetectionCustomModules.delete |
roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycentermanagement.eventThreatDetectionCustomModules.list securitycentermanagement.eventThreatDetectionCustomModules.get securitycentermanagement.effectiveEventThreatDetectionCustomModules.list securitycentermanagement.effectiveEventThreatDetectionCustomModules.get securitycentermanagement.eventThreatDetectionCustomModules.validate |
roles/securitycentermanagement.etdCustomModulesViewer roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.adminViewer roles/securitycenter.admin |
Se riscontri errori di accesso in Security Command Center, chiedi assistenza all'amministratore. Consulta una delle seguenti pagine a seconda del livello in cui hai attivato Security Command Center:
IAM per le attivazioni a livello di organizzazione di Security Command Center
IAM per le attivazioni di Security Command Center a livello di progetto
Log richiesti
Assicurati che i log pertinenti siano attivi per la tua organizzazione, le tue cartelle e i tuoi progetti. Per informazioni sui log richiesti da ciascun tipo di modulo personalizzato, consulta la tabella in Modelli e moduli personalizzati.
I log provenienti da origini esterne a Google Cloud non sono supportati.
Livelli dei moduli personalizzati
Questo documento utilizza i seguenti termini per descrivere il livello a cui è stato creato un modulo personalizzato:
- Modulo residenziale
- Il modulo è stato creato nella visualizzazione o nell'ambito corrente. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione della console Google Cloud, i moduli residenziali sono quelli creati a livello di organizzazione.
- Modulo ereditato
- Il modulo è stato creato in una visualizzazione o in un ambito principale. Ad esempio, un modulo creato a livello di organizzazione è un modulo ereditato a qualsiasi livello di cartella o progetto.
- Modulo discendente
- Il modulo è stato creato in una visualizzazione o in un ambito secondario. Ad esempio, un modulo creato a livello di cartella o progetto è un modulo discendente a livello di organizzazione.
Creare moduli personalizzati
Puoi creare moduli personalizzati di Event Threat Detection tramite la console Google Cloud o modificando un modello JSON e inviandolo tramite la gcloud CLI. I modelli JSON sono necessari solo se prevedi di utilizzare gcloud CLI per creare moduli personalizzati.
Per un elenco dei modelli di modulo supportati, consulta Modelli e moduli personalizzati.
Struttura del modello
I modelli definiscono i parametri utilizzati dai moduli personalizzati per identificare le minacce nei log. I modelli sono scritti in JSON e hanno una struttura simile ai risultati generati da Security Command Center. Devi configurare un modello JSON solo se prevedi di utilizzare gcloud CLI per creare un modulo personalizzato.
Ogni modello contiene campi personalizzabili:
severity
: il livello di gravità o rischio che vuoi assegnare ai risultati di questo tipo,LOW
,MEDIUM
,HIGH
oCRITICAL
.description
: la descrizione del modulo personalizzato.recommendation
: azioni consigliate per risolvere i risultati generati dal modulo personalizzato.- Parametri di rilevamento: le variabili utilizzate per valutare i log e attivare i risultati. I parametri di rilevamento variano per ogni modulo, ma includono uno o più dei seguenti elementi:
domains
: domini web da monitorareips
: indirizzi IP da monitorarepermissions
: autorizzazioni da controllareregions
: regioni in cui sono consentite nuove istanze Compute Engineroles
: ruoli da tenere d'occhioaccounts
: account da tenere d'occhio- Parametri che definiscono i tipi di istanza Compute Engine consentiti, ad esempio
series
,cpus
eram_mb
. - Espressioni regolari in base alle quali verificare le proprietà, ad esempio
caller_pattern
eresource_pattern
.
Il seguente esempio di codice è un modello JSON di esempio per Configurable Bad IP
.
{
"metadata": {
"severity": "LOW",
"description": "Flagged by Cymbal as malicious",
"recommendation": "Contact the owner of the relevant project."
},
"ips": [
"192.0.2.1",
"192.0.2.0/24"
]
}
Nell'esempio precedente, il modulo personalizzato genera un risultato di bassa gravità se i log indicano una risorsa collegata all'indirizzo IP 192.0.2.1
o 192.0.2.0/24
.
Modificare un modello di modulo
Per creare i moduli, scegli un modello di modulo e modificalo.
Se prevedi di utilizzare Google Cloud CLI per creare il tuo modulo personalizzato, devi eseguire questa operazione.
Se prevedi di utilizzare la console Google Cloud per creare il tuo modulo personalizzato, salta questa attività. Utilizza le opzioni mostrate sullo schermo per modificare i parametri del modello.
- Scegli un modello da Modelli e moduli personalizzati.
- Copia il codice in un file locale.
- Aggiorna i parametri che vuoi utilizzare per valutare i log.
- Salva il file come file JSON.
- Crea un modulo personalizzato tramite gcloud CLI utilizzando il file JSON.
Creare un modulo personalizzato
Questa sezione descrive come creare un modulo personalizzato tramite la console Google Cloud e la gcloud CLI. Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensione di 6 MB.
Per creare un modulo personalizzato:
Console
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- Fai clic su Crea modulo.
- Fai clic sul modello di modulo che vuoi utilizzare.
- Fai clic su Seleziona.
- In Nome modulo, inserisci un nome visualizzato per il nuovo modello. Il nome non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici e trattini bassi, ad esempio
example_custom_module
. - Seleziona o aggiungi i valori dei parametri richiesti. I parametri sono diversi per ogni modulo. Ad esempio, se hai selezionato il modello di modulo
Configurable allowed Compute Engine region
, seleziona una o più regioni. In alternativa, fornisci l'elenco in formato JSON. - Fai clic su Avanti.
- In Gravità, inserisci il livello di gravità da assegnare ai risultati generati dal nuovo modulo personalizzato.
- In Descrizione, inserisci una descrizione per il nuovo modulo personalizzato.
- In Passaggi successivi, inserisci le azioni consigliate in formato di testo normale. Eventuali interruzioni di paragrafo aggiunte vengono ignorate.
- Fai clic su Crea.
gcloud
Crea un file JSON contenente la definizione del modulo personalizzato. Utilizza i modelli in Modelli e moduli personalizzati come guida.
Crea il modulo personalizzato inviando il file JSON in un comando
gcloud
:
gcloud alpha scc custom-modules etd create \
--RESOURCE_FLAG=RESOURCE_ID \
--display-name="DISPLAY_NAME" \
--module-type="MODULE_TYPE" \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
Sostituisci quanto segue:
- RESOURCE_FLAG: l'ambito della risorsa principale in cui verrà creato il modulo personalizzato; uno tra
organization
,folder
oproject
. - RESOURCE_ID: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
- DISPLAY_NAME: un nome visualizzato per il nuovo modello. Il nome non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici e trattini bassi.
- MODULE_TYPE: il tipo di modulo personalizzato che vuoi creare, ad esempio
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
. - PATH_TO_JSON_FILE: il file JSON contenente la definizione JSON del modulo personalizzato in base al modello del modulo.
Il modulo personalizzato viene creato e inizia la scansione. Per eliminare un modulo, vedi Eliminare un modulo personalizzato.
Il nome della categoria del modulo personalizzato contiene la categoria di risultati del
tipo
di modulo
e il nome visualizzato del modulo impostato. Ad esempio, il nome della categoria di un modulo personalizzato può essere Unexpected Compute Engine Region: example_custom_module
.
Nella console Google Cloud, i trattini bassi vengono visualizzati come spazi. Tuttavia, nelle query devi includere i trattini bassi.
Le quote regolano l'utilizzo dei moduli personalizzati per Event Threat Detection.
Latenza del rilevamento
La latenza di rilevamento di Event Threat Detection e di tutti gli altri servizi di Security Command Center integrati è descritta in Latenza di scansione.
Esamina i risultati
I risultati generati dai moduli personalizzati possono essere visualizzati nella console Google Cloud o utilizzando la gcloud CLI.
Console
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Moduli personalizzati per il rilevamento delle minacce basate sugli eventi. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
gcloud
Per utilizzare gcloud CLI per visualizzare i risultati, segui questi passaggi:
- Apri una finestra del terminale.
Recupera l'ID origine per i moduli personalizzati di Event Threat Detection. Il comando dipende dal fatto che tu abbia attivato Security Command Center a livello di organizzazione o di progetto:
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \ --source-display-name='Event Threat Detection Custom Modules'
Sostituisci quanto segue:
RESOURCE_LEVEL
: il livello di attivazione dell'istanza Security Command Center; uno dei valoriorganizations
oprojects
.RESOURCE_ID
: l'ID risorsa della tua organizzazione o del tuo progetto.
L'output è simile al seguente.
SOURCE_ID
è un ID assegnato dal server per le origini di sicurezza.canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID description: Provider used by Event Threat Detection Custom Modules displayName: Event Threat Detection Custom Modules name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
Per elencare tutti i risultati per i moduli personalizzati di Event Threat Detection, esegui il seguente comando con l'ID origine del passaggio precedente:
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
Sostituisci quanto segue:
RESOURCE_LEVEL
: il livello della risorsa in cui vuoi elencare i risultati; uno dei valoriorganizations
,folders
oprojects
.RESOURCE_ID
: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.SOURCE_ID
: l'ID origine per i moduli personalizzati di Event Threat Detection.
Per elencare i risultati per un modulo personalizzato specifico, esegui il seguente comando:
MODULE="CUSTOM_MODULE_CATEGORY_NAME" FILTER="category=\"$MODULE\"" gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
Sostituisci quanto segue:
CUSTOM_MODULE_CATEGORY_NAME
: il nome della categoria del modulo personalizzato. Questo nome è composto dalla categoria di risultati del tipo di modulo (come elencato in Modelli e moduli personalizzati) e dal nome visualizzato del modulo con i trattini bassi al posto degli spazi. Ad esempio, il nome della categoria di un modulo personalizzato può essereUnexpected Compute Engine region: example_custom_module
.RESOURCE_LEVEL
: il livello della risorsa in cui vuoi elencare i risultati; uno dei valoriorganizations
,folders
oprojects
.RESOURCE_ID
: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.SOURCE_ID
: l'ID origine dei moduli personalizzati di Event Threat Detection.
Per scoprire di più su come filtrare i risultati, consulta Risultati relativi alla sicurezza delle schede.
I risultati generati dai moduli personalizzati possono essere gestiti come tutti i risultati in Security Command Center. Per ulteriori informazioni, consulta le seguenti risorse:
- Utilizzare i contrassegni di sicurezza
- Configurare le notifiche dei risultati
- Esportazione dei dati di Security Command Center
Gestire i moduli personalizzati di Event Threat Detection
Questa sezione descrive come visualizzare, elencare, aggiornare ed eliminare i moduli personalizzati di Event Threat Detection.
Visualizzare o elencare i moduli personalizzati
Console
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- (Facoltativo) Per visualizzare solo i moduli personalizzati, inserisci Tipo:Personalizzato nel campo Filtro.
I risultati includono:
- Tutti i moduli personalizzati di Event Threat Detection per le case.
- Tutti i moduli personalizzati di Event Threat Detection ereditati. Ad esempio, se sei nella visualizzazione del progetto, i moduli personalizzati creati nelle cartelle e nell'organizzazione principali del progetto sono inclusi nei risultati.
- Tutti i moduli personalizzati di Event Threat Detection discendenti creati nelle risorse secondarie. Ad esempio, se sei nella visualizzazione dell'organizzazione, i moduli personalizzati che sono stati creati nelle cartelle e nei progetti di quell'organizzazione sono inclusi nei risultati.
gcloud
gcloud alpha scc custom-modules etd list \
--RESOURCE_FLAG=RESOURCE_ID
Sostituisci quanto segue:
RESOURCE_FLAG
: l'ambito in cui vuoi elencare i moduli personalizzati; uno dei valoriorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
I risultati includono:
- Tutti i moduli personalizzati di Event Threat Detection per le case.
- Tutti i moduli personalizzati di Event Threat Detection ereditati. Ad esempio, quando elenchi i moduli personalizzati a livello di progetto, i moduli personalizzati creati nelle cartelle principali e nell'organizzazione del progetto sono inclusi nei risultati.
Ogni elemento nei risultati include il nome, lo stato e le proprietà del modulo. Le proprietà sono diverse per ogni modulo.
Il nome di ogni modulo contiene il relativo ID modulo personalizzato. Molte operazioni gcloud
in questa pagina richiedono l'ID modulo personalizzato.
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
Disattivare un modulo personalizzato
Console
Consulta Attivare o disattivare un modulo.
Quando disattivi un modulo personalizzato ereditato, le modifiche vengono applicate solo al livello di risorsa corrente. Il modulo personalizzato originale al livello di genitore non è interessato. Ad esempio, se sei a livello di progetto e disattivi un modulo personalizzato ereditato dalla cartella principale, il modulo personalizzato viene disattivato solo a livello di progetto.
Non puoi disattivare un modulo personalizzato secondario. Ad esempio, se sei nella visualizzazione dell'organizzazione, non puoi disattivare un modulo personalizzato creato a livello di progetto.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="DISABLED"
Sostituisci quanto segue:
CUSTOM_MODULE_ID
: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio1234567890
. Puoi recuperare l'ID numerico dal camponame
del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.RESOURCE_FLAG
: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno dei valoriorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
Attivare un modulo personalizzato
Console
Consulta Attivare o disattivare un modulo.
Quando attivi un modulo personalizzato ereditato, le modifiche vengono applicate solo al livello di risorsa corrente. Il modulo personalizzato originale al livello di genitore non è interessato. Ad esempio, se sei a livello di progetto e attivi un modulo personalizzato ereditato dalla cartella principale, il modulo personalizzato viene attivato solo a livello di progetto.
Non puoi attivare un modulo personalizzato secondario. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, non puoi attivare un modulo personalizzato creato a livello di progetto.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED"
Sostituisci quanto segue:
CUSTOM_MODULE_ID
: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio1234567890
. Puoi ottenere l'ID numerico dal camponame
del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.RESOURCE_FLAG
: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno dei valoriorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
Aggiornare la definizione di un modulo personalizzato
Questa sezione descrive come aggiornare un modulo personalizzato tramite la console Google Cloud e l'interfaccia alla gcloud CLI. Ogni modulo personalizzato di Event Threat Detection ha un limite di dimensione di 6 MB.
Non puoi aggiornare il tipo di un modulo personalizzato.
Per aggiornare un modulo personalizzato:
Console
Puoi modificare solo i moduli personalizzati residenziali. Ad esempio, se sei nella vista dell'organizzazione, puoi modificare solo i moduli personalizzati creati a livello di organizzazione.
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- Trova il modulo personalizzato che vuoi modificare.
- Per il modulo personalizzato, fai clic su > Modifica. Azioni
- Modifica il modulo personalizzato in base alle esigenze.
- Fai clic su Salva.
gcloud
Per aggiornare un modulo, esegui il seguente comando e includi il modello JSON del modulo aggiornato:
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
Sostituisci quanto segue:
CUSTOM_MODULE_ID
: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio1234567890
. Puoi ottenere l'ID numerico dal camponame
del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.RESOURCE_FLAG
: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno dei valoriorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.PATH_TO_JSON_FILE
: il file JSON contenente la definizione JSON del modulo personalizzato.
Controllare lo stato di un singolo modulo personalizzato
Console
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- Individua il modulo personalizzato nell'elenco.
Lo stato del modulo personalizzato è visualizzato nella colonna Stato.
gcloud
gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
Sostituisci quanto segue:
CUSTOM_MODULE_ID
: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio1234567890
. Puoi recuperare l'ID numerico dal camponame
del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.RESOURCE_FLAG
: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno dei valoriorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
L'output è simile al seguente e include lo stato e le proprietà del modulo. Le proprietà sono diverse per ogni modulo.
config: metadata: description: DESCRIPTION recommendation: RECOMMENDATION severity: SEVERITY regions: - region: REGION displayName: USER_SPECIFIED_DISPLAY_NAME enablementState: STATUS lastEditor: LAST_EDITOR name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID type: MODULE_TYPE updateTime: 'UPDATE_TIME'
Eliminare un modulo personalizzato
Quando elimini un modulo personalizzato di Event Threat Detection, i risultati generati non vengono modificati e rimangono disponibili in Security Command Center. Al contrario, quando elimini un modulo personalizzato Security Health Analytics, i risultati generati vengono contrassegnati come inattivi.
Non puoi recuperare un modulo personalizzato eliminato.
Console
Non puoi eliminare i moduli personalizzati ereditati. Ad esempio, se sei nella visualizzazione del progetto, non puoi eliminare i moduli personalizzati creati a livello di cartella o organizzazione.
Per eliminare un modulo personalizzato tramite la console Google Cloud, segui questi passaggi:
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- Trova il modulo personalizzato che vuoi eliminare.
- Per il modulo personalizzato, fai clic su > Elimina. Viene visualizzato un messaggio che ti chiede di confermare l'eliminazione. Azioni
- Fai clic su Elimina.
gcloud
gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
Sostituisci quanto segue:
CUSTOM_MODULE_ID
: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio1234567890
. Puoi recuperare l'ID numerico dal camponame
del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.RESOURCE_FLAG
: l'ambito della risorsa principale dove risiede il modulo personalizzato; uno dei valoriorganization
,folder
oproject
.RESOURCE_ID
: l'ID della risorsa principale, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
Clonare un modulo personalizzato
Quando cloni un modulo personalizzato, il modulo personalizzato risultante viene creato come residente della risorsa che stai visualizzando. Ad esempio, se cloni un modulo personalizzato ereditato dal progetto dall'organizzazione, il nuovo modulo personalizzato è un modulo residenziale nel progetto.
Non puoi clonare un modulo personalizzato secondario.
Per clonare un modulo personalizzato tramite la console Google Cloud:
- Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
- Individua il modulo personalizzato che vuoi clonare.
- Per il modulo personalizzato, fai clic su > Clona. Azioni
- Modifica il modulo personalizzato in base alle esigenze.
- Fai clic su Crea.
Passaggi successivi
- Scopri di più sui moduli personalizzati per Event Threat Detection.