Questa pagina fornisce una panoramica dei moduli personalizzati per Event Threat Detection.
Puoi configurare i moduli, noti anche come rilevatori, per l'elaborazione
Cloud Logging e
rilevare le minacce in base ai parametri specificati. Questa funzionalità estende
le funzionalità di monitoraggio di Event Threat Detection e consente di aggiungere moduli
parametri di rilevamento, linee guida per la correzione e designazioni di gravità per
configurazioni che i rilevatori integrati potrebbero non supportare.
I moduli personalizzati sono utili se hai bisogno di moduli con regole di rilevamento che soddisfino i
le esigenze specifiche della tua organizzazione. Ad esempio, puoi aggiungere un modulo personalizzato
crea risultati se le voci di log indicano che una risorsa è connessa a un IP specifico
indirizzi IP o è creato in una regione con limitazioni.
Come funzionano i moduli personalizzati per Event Threat Detection
I moduli personalizzati sono un gruppo selezionato di rilevatori di Event Threat Detection che puoi
configurarli con i tuoi parametri di rilevamento. Puoi creare un nuovo
Modulo personalizzato Event Threat Detection tramite la console Google Cloud. In alternativa,
puoi crearne uno aggiornando un modello di modulo personalizzato
inviando il modulo personalizzato a Security Command Center tramite Google Cloud CLI. Per
informazioni sui modelli disponibili, vedi Moduli personalizzati e
modelli.
I modelli di moduli personalizzati sono scritti in JSON e ti consentono di definire il rilevamento
parametri che controllano quali eventi nelle voci di log devono attivare i risultati. Per
esempio, il rilevatore Malware: Bad IP
integrato controlla
Log di flusso Virtual Private Cloud per la ricerca di prove di connessioni a IP sospetti noti
indirizzi IP esterni. Tuttavia, puoi attivare e modificare la personalizzazione Configurable Bad IP
con un elenco degli indirizzi IP sospetti che gestisci. Se i log
indicare una connessione a uno qualsiasi degli indirizzi IP da te forniti, viene restituito
generati e scritti in Security Command Center.
I modelli di modulo consentono inoltre di definire la gravità delle minacce e forniscono
misure correttive per aiutare i team di sicurezza a risolvere i problemi.
Con i moduli personalizzati, hai un maggiore controllo su come Event Threat Detection rileva
minacce e segnala i risultati. I moduli personalizzati includono i parametri che hai fornito,
ma utilizzano comunque la logica di rilevamento e le minacce proprietarie di Event Threat Detection
intelligente, inclusa la corrispondenza degli indicatori di cavo. Puoi implementare un'ampia
un insieme di modelli di minacce su misura per le esigenze specifiche della tua azienda.
I moduli personalizzati di Event Threat Detection vengono eseguiti insieme ai rilevatori integrati. Attivato
i moduli vengono eseguiti in tempo reale, che attiva le scansioni ogni volta che vengono
è stato creato.
Moduli e modelli personalizzati
La tabella seguente contiene un elenco dei tipi di moduli personalizzati supportati:
descrizioni, log richiesti e modelli di moduli JSON.
Questi modelli di modulo JSON sono necessari se vuoi utilizzare
gcloud CLI per creare o aggiornare i moduli personalizzati. Per vedere un modello,
Fai clic sull'icona Espandi add_circle accanto al nome. Per informazioni
sull'utilizzo dei moduli personalizzati, vedere Configurare e gestire
moduli.
Categoria risultati |
Module type |
Tipi di sorgente log |
Descrizione |
IP non valido configurabile |
CONFIGURABLE_BAD_IP |
Log di flusso VPC
Log delle regole firewall
|
Rileva la connessione a un indirizzo IP specificato |
Modello: IP non valido configurabile
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"ips": [
"IP_ADDRESS_1",
"IP_ADDRESS_2"
]
}
Sostituisci quanto segue:
SEVERITY : l'importanza dei risultati da verificare
prodotte da questo modulo. I valori validi sono LOW ,
MEDIUM , HIGH e CRITICAL .
DESCRIPTION : una descrizione della minaccia che
rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare
explanation proprietà di ogni risultato generato da questo
in maggior dettaglio più avanti
in questo modulo.
RECOMMENDATION : una spiegazione di
i passaggi consigliati che i team di sicurezza possono adottare per risolvere
problema. Questa spiegazione viene utilizzata per compilare nextSteps
di ogni risultato generato da questo modulo.
IP_ADDRESS_1 : un IPv4 o IPv6 con routing pubblico
di un indirizzo IP o un blocco CIDR da controllare, ad esempio
192.0.2.1 o 192.0.2.0/24 .
IP_ADDRESS_2 : facoltativo. Un percorso pubblico
Indirizzo IPv4 o IPv6 o blocco CIDR da controllare, ad esempio
192.0.2.1 o 192.0.2.0/24 .
|
Dominio non valido configurabile |
CONFIGURABLE_BAD_DOMAIN
|
Log di Cloud DNS
|
Rileva la connessione a un nome di dominio specificato |
Modello: Dominio non valido configurabile
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"domains": [
"DOMAIN_1","DOMAIN_2"
]
}
Sostituisci quanto segue:
SEVERITY : l'importanza dei risultati da verificare
prodotte da questo modulo. I valori validi sono LOW ,
MEDIUM , HIGH e CRITICAL .
DESCRIPTION : una descrizione della minaccia che
rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare
explanation proprietà di ogni risultato generato da questo
in maggior dettaglio più avanti
in questo modulo.
RECOMMENDATION : una spiegazione di
i passaggi consigliati che i team di sicurezza possono adottare per risolvere
problema. Questa spiegazione viene utilizzata per compilare nextSteps
di ogni risultato generato da questo modulo.
DOMAIN_1 : un nome di dominio da controllare, per
ad esempio example.com . Il valore localhost è
non è consentito. I nomi di dominio Unicode e Punycode sono normalizzati. Per
esempio, 例子.example e xn--fsqu00a.example sono equivalenti.
DOMAIN_2 : facoltativo. Un nome di dominio da guardare
per, ad esempio example.com . Il valore
localhost non è consentito. Nomi di dominio Unicode e Punycode
vengono normalizzati. Ad esempio, 例子.example e xn--fsqu00a.example sono
equivalenti.
|
Tipo di istanza Compute Engine imprevisto |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE
|
Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio) Log degli accessi ai dati (facoltativo) |
Rileva la creazione di istanze di Compute Engine che non corrispondono al tipo di istanza o alla configurazione specificata. |
Modello: Tipo di istanza Compute Engine imprevisto
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"instances": [
{
"series": "SERIES",
"cpus": {
"minimum": MINIMUM_NUMBER_OF_CPUS,
"maximum": MAXIMUM_NUMBER_OF_CPUS
},
"ram_mb": {
"minimum": MINIMUM_RAM_SIZE,
"maximum": MAXIMUM_RAM_SIZE
},
"gpus": {
"minimum": MINIMUM_NUMBER_OF_GPUS,
"maximum": MAXIMUM_NUMBER_OF_GPUS
},
"projects": [
"PROJECT_ID_1",
"PROJECT_ID_2"
],
"regions": [
"REGION_1",
"REGION_2"
]
},
{
"series": " ... ",
...
"regions": [ ... ]
}
]
}
Sostituisci quanto segue:
SEVERITY : l'importanza dei risultati da verificare
prodotte da questo modulo. I valori validi sono LOW ,
MEDIUM , HIGH e CRITICAL .
DESCRIPTION : una descrizione della minaccia che
rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare
explanation proprietà di ogni risultato generato da questo
in maggior dettaglio più avanti
in questo modulo.
RECOMMENDATION : una spiegazione di
i passaggi consigliati che i team di sicurezza possono adottare per risolvere
problema. Questa spiegazione viene utilizzata per compilare nextSteps
di ogni risultato generato da questo modulo.
SERIES : facoltativo. Compute Engine
di macchine virtuali, ad esempio C2 . Se è vuoto, il modulo
consente tutte le serie. Per saperne di più, consulta Risorsa e confronto delle famiglie di macchine
.
MINIMUM_NUMBER_OF_CPUS : facoltativo. Il minimo
di CPU da consentire. Se non è presente, non esiste un minimo.
Non deve essere negativo.
MAXIMUM_NUMBER_OF_CPUS : facoltativo. Il valore massimo
di CPU da consentire. Se non è presente, non esiste un limite massimo.
Deve essere maggiore o uguale a minimum e minore di o
uguale a 1000.
MINIMUM_RAM_SIZE : facoltativo. La RAM minima
dimensioni consentite, in megabyte. Se non è presente, non c'è
minimo.
MAXIMUM_RAM_SIZE : facoltativo. La RAM massima
dimensioni consentite, in megabyte. Se non è presente, non c'è
massimo. Deve essere maggiore o uguale a minimum e minore
o uguale a 10.000.000.
MINIMUM_NUMBER_OF_GPUS : facoltativo. Il minimo
il numero di GPU consentito. Se non è presente, non esiste un minimo.
Non deve essere negativo.
MAXIMUM_NUMBER_OF_GPUS : facoltativo. Il valore massimo
il numero di GPU consentito. Se non è presente, non esiste un limite massimo. Deve
essere maggiore o uguale a minimum e minore o uguale a
100.
PROJECT_ID_1 : facoltativo. L'ID di un progetto che
a cui vuoi applicare questo modulo, ad esempio
projects/example-project . Se vuoto o non configurato, il modulo è
applicata alle istanze create in tutti i progetti nell'ambito attuale.
PROJECT_ID_2 : facoltativo. L'ID di un progetto che
a cui vuoi applicare questo modulo, ad esempio
projects/example-project .
REGION_1 : facoltativo. La regione in cui vuoi applicarla
ad esempio us-central1 . Se vuoto o non impostato, il valore
viene applicato alle istanze create in tutte le regioni.
REGION_2 : facoltativo. Una regione in cui vuoi
e applica questo modulo, ad esempio us-central1 .
|
Immagine di origine Compute Engine imprevista |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE |
Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio) Log degli accessi ai dati (facoltativo) |
Rileva la creazione di un'istanza Compute Engine con un'immagine o
famiglia di immagini che non corrisponde a un elenco specificato |
Modello: Immagine di origine Compute Engine imprevista
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"patterns": [
{
"pattern": "PATTERN_1",
"name": "NAME_1"
},
{
"pattern": "PATTERN_2",
"name": "NAME_2"
}
]
}
Sostituisci quanto segue:
SEVERITY : l'importanza dei risultati da verificare
prodotte da questo modulo. I valori validi sono LOW ,
MEDIUM , HIGH e CRITICAL .
DESCRIPTION : una descrizione della minaccia che
rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare
explanation proprietà di ogni risultato generato da questo
in maggior dettaglio più avanti
in questo modulo.
RECOMMENDATION : una spiegazione di
i passaggi consigliati che i team di sicurezza possono adottare per risolvere
problema. Questa spiegazione viene utilizzata per compilare nextSteps
di ogni risultato generato da questo modulo.
PATTERN_1 : un RE2
un'espressione regolare con cui verificare le immagini, ad esempio
debian-image-1 . Se un'immagine viene utilizzata per creare un'istanza Compute Engine e il suo nome non corrisponde a nessuna
delle espressioni regolari specificate, viene emesso un risultato.
NAME_1 : un nome descrittivo
ad esempio first-image .
PATTERN_2 : facoltativo. Un'altra espressione regolare RE2 per
confronta le immagini, ad esempio debian-image-2 .
NAME_2 : facoltativo. Un nome descrittivo per
secondo pattern, ad esempio second-image .
|
Regione Compute Engine imprevista |
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION |
Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio) Log degli accessi ai dati (facoltativo) |
Rileva la creazione di un'istanza Compute Engine in una regione che non si trova
un elenco specificato |
Modello: Regione Compute Engine imprevista
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"regions": [
{
"region": "REGION_1"
},
{
"region": "REGION_2"
}
]
}
Sostituisci quanto segue:
SEVERITY : l'importanza dei risultati da verificare
prodotte da questo modulo. I valori validi sono LOW ,
MEDIUM , HIGH e CRITICAL .
DESCRIPTION : una descrizione della minaccia che
rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare
explanation proprietà di ogni risultato generato da questo
in maggior dettaglio più avanti
in questo modulo.
RECOMMENDATION : una spiegazione di
i passaggi consigliati che i team di sicurezza possono adottare per risolvere
problema. Questa spiegazione viene utilizzata per compilare nextSteps
di ogni risultato generato da questo modulo.
REGION_1 : il nome di una regione da consentire per
esempio, us-west1 . Se un'istanza Compute Engine
creato in una regione non specificata nell'elenco, Event Threat Detection
emette un risultato.
REGION_2 : facoltativo. Il nome di una regione da
permesso, ad esempio us-central1 . Se viene creata un'istanza Compute Engine in una regione non specificata nell'elenco, Event Threat Detection genera un risultato.
|
Account deployment di emergenza utilizzato |
CONFIGURABLE_BREAKGLASS_ACCOUNT_USED |
Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio) Log degli accessi ai dati (facoltativo) |
Rileva l'utilizzo di un account di accesso di emergenza (deployment di emergenza) |
Modello: Account deployment di emergenza utilizzato
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"accounts": [
"BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
]
}
Sostituisci quanto segue:
SEVERITY : l'importanza dei risultati da verificare
prodotte da questo modulo. I valori validi sono LOW ,
MEDIUM , HIGH e CRITICAL .
DESCRIPTION : una descrizione della minaccia che
rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare
explanation proprietà di ogni risultato generato da questo
in maggior dettaglio più avanti
in questo modulo.
RECOMMENDATION : una spiegazione di
i passaggi consigliati che i team di sicurezza possono adottare per risolvere
problema. Questa spiegazione viene utilizzata per compilare nextSteps
di ogni risultato generato da questo modulo.
BREAKGLASS_ACCOUNT_1 : un account di deployment di emergenza per
cerca di, ad esempio test@example.com . Un risultato è
generato se questo account viene utilizzato per un'azione registrata in
Voce Cloud Audit Logs.
BREAKGLASS_ACCOUNT_2 : facoltativo. Un deployment di emergenza
account da controllare, ad esempio test@example.com . R
viene generato se questo account viene utilizzato per un'azione registrata
una voce Cloud Audit Logs.
|
Concessione del ruolo imprevista |
CONFIGURABLE_UNEXPECTED_ROLE_GRANT |
Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio) Log degli accessi ai dati (facoltativo) |
Rileva quando un ruolo specificato viene concesso a un utente |
Modello: Concessione del ruolo imprevista
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"roles": ["ROLE_1", "ROLE_2"]
}
Sostituisci quanto segue:
SEVERITY : l'importanza dei risultati da verificare
prodotte da questo modulo. I valori validi sono LOW ,
MEDIUM , HIGH e CRITICAL .
DESCRIPTION : una descrizione della minaccia che
rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare
explanation proprietà di ogni risultato generato da questo
in maggior dettaglio più avanti
in questo modulo.
RECOMMENDATION : una spiegazione di
i passaggi consigliati che i team di sicurezza possono adottare per risolvere
problema. Questa spiegazione viene utilizzata per compilare nextSteps
di ogni risultato generato da questo modulo.
ROLE_1 : un ruolo IAM da tenere d'occhio
ad esempio roles/owner . Viene generato un risultato se
a questo ruolo.
ROLE_2 : facoltativo. Un ruolo IAM per
da osservare, ad esempio roles/editor . Viene generato un risultato
se questo ruolo viene concesso.
|
Ruolo personalizzato con autorizzazione vietata |
CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION |
Audit log di Cloud:
Log delle attività di amministrazione (obbligatorio) Log degli accessi ai dati (facoltativo) |
Rileva quando viene creato o aggiornato un ruolo personalizzato con una qualsiasi delle autorizzazioni IAM specificate. |
Modello: ruolo personalizzato con autorizzazione vietata
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"permissions": [
"PERMISSION_1",
"PERMISSION_2"
]
}
Sostituisci quanto segue:
SEVERITY : l'importanza dei risultati da verificare
prodotte da questo modulo. I valori validi sono LOW ,
MEDIUM , HIGH e CRITICAL .
DESCRIPTION : una descrizione della minaccia che
rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare
explanation proprietà di ogni risultato generato da questo
in maggior dettaglio più avanti
in questo modulo.
RECOMMENDATION : una spiegazione di
i passaggi consigliati che i team di sicurezza possono adottare per risolvere
problema. Questa spiegazione viene utilizzata per compilare nextSteps
di ogni risultato generato da questo modulo.
PERMISSION_1 : un'autorizzazione IAM per
da osservare, ad esempio storage.buckets.list .
Event Threat Detection genera un risultato se un ruolo IAM personalizzato
contenente questa autorizzazione è concessa a un'entità.
PERMISSION_2 : facoltativo. Un account IAM
l'autorizzazione a controllare, ad esempio
storage.buckets.get . Event Threat Detection emette un
rilevare se un ruolo IAM personalizzato contenente questa autorizzazione è
concessa a un'entità.
|
Chiamata API Cloud imprevista |
CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL
|
Audit log di Cloud:
Log delle attività di amministrazione (obbligatori)
Log degli accessi ai dati
(facoltativo) |
Rileva quando un'entità specificata chiama un metodo specificato rispetto a un
risorsa specificata. Un risultato viene generato solo se tutte le espressioni regolari
corrispondono a una singola voce di log. |
Modello: Chiamata API Cloud imprevista
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"caller_pattern": "CALLER_PATTERN",
"method_pattern": "METHOD_PATTERN",
"resource_pattern": "RESOURCE_PATTERN"
}
Sostituisci quanto segue:
SEVERITY : l'importanza dei risultati da verificare
prodotte da questo modulo. I valori validi sono LOW ,
MEDIUM , HIGH e CRITICAL .
DESCRIPTION : una descrizione della minaccia che
rilevato dal modulo personalizzato. Questa descrizione viene utilizzata per compilare
explanation proprietà di ogni risultato generato da questo
in maggior dettaglio più avanti
in questo modulo.
RECOMMENDATION : una spiegazione di
i passaggi consigliati che i team di sicurezza possono adottare per risolvere
problema. Questa spiegazione viene utilizzata per compilare nextSteps
di ogni risultato generato da questo modulo.
CALLER_PATTERN : un RE2
un'espressione regolare con cui verificare
le entità. Ad esempio:
.* corrisponde a qualsiasi entità.
METHOD_PATTERN : normale RE2
un'espressione con cui controllare i metodi, ad esempio
^cloudsql\\.instances\\.export$ .
RESOURCE_PATTERN : normale RE2
un'espressione di controllo per controllare le risorse, ad esempio
example-project .
|
Prezzi e quote
Questa funzionalità è senza costi aggiuntivi per Security Command Center Premium
clienti.
I moduli personalizzati di Event Threat Detection sono soggetti a limiti di quota.
Il limite di quota predefinito per la creazione di moduli personalizzati è 200.
Anche le chiamate API a metodi di moduli personalizzati sono soggette a limiti di quota. La
la seguente tabella mostra i limiti di quota predefiniti per le chiamate API dei moduli personalizzati.
Tipo di chiamata API |
Limite |
Ottieni, elenco |
1000 chiamate API al minuto per organizzazione |
Crea, aggiorna, elimina |
60 chiamate API al minuto per organizzazione |
Limiti delle dimensioni dei moduli
Ogni modulo personalizzato di Event Threat Detection ha un
dimensioni massime di 6 MB.
Limiti di frequenza
Si applicano i seguenti limiti di frequenza:
- 30 risultati per modulo personalizzato all'ora.
- 200 risultati di moduli personalizzati per risorsa padre (organizzazione o progetto)
all'ora. Ogni risultato viene conteggiato ai fini di un'organizzazione
progetto, a seconda del livello in cui è stato creato il modulo personalizzato di origine.
Questi limiti non possono essere aumentati.
Passaggi successivi