Cette page explique comment créer et gérer des modules personnalisés pour Event Threat Detection.
Avant de commencer
Cette section décrit les exigences liées à l'utilisation de modules personnalisés pour Event Threat Detection.
Security Command Center Premium et Event Threat Detection
Pour que vous puissiez utiliser les modules personnalisés d'Event Threat Detection, Event Threat Detection doit être activé. Pour activer Event Threat Detection, consultez la page Activer ou désactiver un service intégré.
Rôles IAM
Les rôles IAM déterminent les actions que vous pouvez effectuer avec les modules personnalisés d'Event Threat Detection.
Le tableau suivant contient une liste des autorisations du module personnalisé Event Threat Detection et des rôles IAM prédéfinis qui les incluent. Ces autorisations sont valides au moins jusqu'au 22 janvier 2024. Après cette date, les autorisations répertoriées dans le deuxième tableau suivant seront requises.
Vous pouvez utiliser la console Google Cloud ou l'API Security Command Center pour appliquer ces rôles au niveau de l'organisation, d'un dossier ou d'un projet.
Autorisations requises avant le 22 janvier 2024 | Rôle |
---|---|
securitycenter.eventthreatdetectioncustommodules.create securitycenter.eventthreatdetectioncustommodules.update securitycenter.eventthreatdetectioncustommodules.delete |
roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycenter.eventthreatdetectioncustommodules.get securitycenter.eventthreatdetectioncustommodules.list |
roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin |
Le tableau suivant contient une liste des autorisations du module personnalisé Event Threat Detection qui seront requises à compter du 22 janvier 2024, ainsi que les rôles IAM prédéfinis qui les incluent.
Vous pouvez utiliser la console Google Cloud ou l'API Security Command Center pour appliquer ces rôles au niveau de l'organisation, d'un dossier ou d'un projet.
Autorisations requises après le 22 janvier 2024 | Rôle |
---|---|
securitycentermanagement.eventThreatDetectionCustomModules.create securitycentermanagement.eventThreatDetectionCustomModules.update securitycentermanagement.eventThreatDetectionCustomModules.delete |
roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycentermanagement.eventThreatDetectionCustomModules.list securitycentermanagement.eventThreatDetectionCustomModules.get securitycentermanagement.effectiveEventThreatDetectionCustomModules.list securitycentermanagement.effectiveEventThreatDetectionCustomModules.get securitycentermanagement.eventThreatDetectionCustomModules.validate |
roles/securitycentermanagement.etdCustomModulesViewer roles/securitycentermanagement.etdCustomModulesEditor roles/securitycenter.adminViewer roles/securitycenter.admin |
Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur. Consultez l'une des pages suivantes en fonction du niveau auquel vous avez activé Security Command Center:
IAM pour les activations de Security Command Center au niveau de l'organisation
IAM pour les activations de Security Command Center au niveau du projet
Journaux requis
Assurez-vous que les journaux pertinents sont activés pour votre organisation, vos dossiers et vos projets. Pour en savoir plus sur les journaux requis par chaque type de module personnalisé, consultez le tableau dans Modules et modèles personnalisés.
Les journaux provenant de sources externes à Google Cloud ne sont pas acceptés.
Niveaux de module personnalisés
Ce document utilise les termes suivants pour décrire le niveau auquel un module personnalisé a été créé:
- Module résidentiel
- Le module a été créé dans la vue ou le champ d'application actuel. Par exemple, dans la vue "Organisation" de la console Google Cloud, les modules résidentiels sont ceux qui ont été créés au niveau de l'organisation.
- Module hérité
- Le module a été créé dans une vue ou un champ d'application parent. Par exemple, un module créé au niveau de l'organisation est un module hérité à n'importe quel niveau d'un dossier ou d'un projet.
- Module descendant
- Le module a été créé dans une vue ou un niveau d'accès enfant. Par exemple, un module créé au niveau d'un dossier ou d'un projet est un module descendant au niveau de l'organisation.
Créer des modules personnalisés
Vous pouvez créer des modules personnalisés Event Threat Detection via la console Google Cloud ou en modifiant un modèle JSON et en l'envoyant via la gcloud CLI. Vous n'avez besoin de modèles JSON que si vous prévoyez d'utiliser la gcloud CLI pour créer des modules personnalisés.
Pour obtenir la liste des modèles de module compatibles, consultez la section Modèles et modèles personnalisés.
Structure du modèle
Les modèles définissent les paramètres utilisés par les modules personnalisés pour identifier les menaces dans vos journaux. Les modèles sont écrits au format JSON et leur structure est semblable aux résultats générés par Security Command Center. Vous ne devez configurer un modèle JSON que si vous prévoyez d'utiliser la gcloud CLI pour créer un module personnalisé.
Chaque modèle contient des champs personnalisables:
severity
: niveau de gravité ou de risque que vous souhaitez attribuer aux résultats de ce type (LOW
,MEDIUM
,HIGH
ouCRITICAL
).description
: description du module personnalisé.recommendation
: actions recommandées pour traiter les résultats générés par le module personnalisé.- Paramètres de détection: variables utilisées pour évaluer les journaux et déclencher les résultats. Les paramètres de détection diffèrent pour chaque module, mais ils incluent un ou plusieurs des éléments suivants :
domains
: domaines Web à surveillerips
: adresses IP à surveillerpermissions
: autorisations de surveillanceregions
: régions dans lesquelles les nouvelles instances Compute Engine sont autoriséesroles
: rôles à surveilleraccounts
: comptes à surveiller- Paramètres qui définissent les types d'instances Compute Engine autorisés (par exemple,
series
,cpus
etram_mb
). - Expressions régulières pour vérifier les propriétés, par exemple
caller_pattern
etresource_pattern
.
L'exemple de code suivant est un exemple de modèle JSON pour Configurable Bad IP
.
{
"metadata": {
"severity": "LOW",
"description": "Flagged by Cymbal as malicious",
"recommendation": "Contact the owner of the relevant project."
},
"ips": [
"192.0.2.1",
"192.0.2.0/24"
]
}
Dans l'exemple précédent, le module personnalisé génère un résultat de faible gravité si vos journaux indiquent une ressource connectée à l'adresse IP 192.0.2.1
ou 192.0.2.0/24
.
Modifier un modèle de module
Pour créer des modules, vous devez choisir un modèle de module et le modifier.
Si vous prévoyez d'utiliser la Google Cloud CLI pour créer votre module personnalisé, vous devez effectuer cette tâche.
Si vous prévoyez d'utiliser la console Google Cloud pour créer votre module personnalisé, ignorez cette tâche. Vous utiliserez les options présentées à l'écran pour modifier les paramètres du modèle.
- Choisissez un modèle dans la section Modules et modèles personnalisés.
- Copiez le code dans un fichier local.
- Mettez à jour les paramètres que vous souhaitez utiliser pour évaluer les journaux.
- Enregistrez le fichier au format JSON.
- Créez un module personnalisé via la gcloud CLI à l'aide du fichier JSON.
Créer un module personnalisé
Cette section explique comment créer un module personnalisé via la console Google Cloud et gcloud CLI. La taille de chaque module personnalisé d'Event Threat Detection est de 6 Mo.
Pour créer un module personnalisé, procédez comme suit:
Console
- Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
- Cliquez sur Create module (Créer un module).
- Cliquez sur le modèle de module que vous souhaitez utiliser.
- Cliquez sur Sélectionner.
- Dans Nom du module, saisissez un nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques et des traits de soulignement (par exemple,
example_custom_module
). - Sélectionnez ou ajoutez les valeurs de paramètre demandées. Les paramètres diffèrent pour chaque module. Par exemple, si vous avez sélectionné le modèle de module
Configurable allowed Compute Engine region
, vous sélectionnez une ou plusieurs régions. Vous pouvez également fournir la liste au format JSON. - Cliquez sur Suivant.
- Pour le champ Gravité, saisissez le niveau de gravité que vous souhaitez attribuer aux résultats générés par le nouveau module personnalisé.
- Dans Description, saisissez la description du nouveau module personnalisé.
- Dans Étapes suivantes, saisissez les actions recommandées au format texte brut. Tous les sauts de paragraphe que vous ajoutez sont ignorés.
- Cliquez sur Créer.
gcloud
Créez un fichier JSON contenant la définition du module personnalisé. Utilisez les modèles de la section Modules et modèles personnalisés comme guide.
Créez le module personnalisé en envoyant le fichier JSON dans une commande
gcloud
:
gcloud alpha scc custom-modules etd create \
--RESOURCE_FLAG=RESOURCE_ID \
--display-name="DISPLAY_NAME" \
--module-type="MODULE_TYPE" \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
Remplacez les éléments suivants :
- RESOURCE_FLAG: champ d'application de la ressource parente où le module personnalisé sera créé (
organization
,folder
ouproject
). - RESOURCE_ID: ID de ressource de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.
- DISPLAY_NAME: nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques et des traits de soulignement.
- MODULE_TYPE: type de module personnalisé que vous souhaitez créer (par exemple,
CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
) - PATH_TO_JSON_FILE: fichier JSON contenant la définition JSON du module personnalisé basée sur le modèle de module.
Votre module personnalisé est créé et l'analyse commence. Pour supprimer un module, consultez la section Supprimer un module personnalisé.
Le nom de la catégorie du module personnalisé contient la catégorie de recherche du type de module et le nom à afficher du module que vous avez défini. Par exemple, le nom de catégorie d'un module personnalisé peut être Unexpected Compute Engine Region: example_custom_module
.
Dans la console Google Cloud, les traits de soulignement sont affichés sous forme d'espaces. Toutefois, dans vos requêtes, vous devez inclure les traits de soulignement.
Les quotas régissent votre utilisation des modules personnalisés pour Event Threat Detection.
Latence de détection
La latence de détection pour Event Threat Detection et tous les autres services intégrés à Security Command Center sont décrites dans la section Latence de l'analyse.
Examiner les résultats
Vous pouvez afficher les résultats générés par des modules personnalisés dans la console Google Cloud ou à l'aide de gcloud CLI.
Console
Pour afficher les résultats dans la console Google Cloud, procédez comme suit:
Accédez à la page Résultats de Security Command Center dans la console Google Cloud.
Sélectionnez votre organisation, votre dossier ou votre projet.
Dans le panneau Filtres rapides, faites défiler la page jusqu'à Nom à afficher de la source, puis sélectionnez Modules personnalisés Event Threat Detection.
Le panneau Résultats de la requête de résultats contient les résultats pour le type de source que vous avez sélectionné.
Pour afficher les détails d'un résultat spécifique de la table, cliquez sur son nom sous Catégorie.
gcloud
Pour afficher les résultats à l'aide de la gcloud CLI, procédez comme suit:
- Ouvrez une fenêtre de terminal.
Obtenez l'ID source des modules personnalisés d'Event Threat Detection. La commande varie selon que vous avez activé Security Command Center au niveau de l'organisation ou du projet:
gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \ --source-display-name='Event Threat Detection Custom Modules'
Remplacez les éléments suivants :
RESOURCE_LEVEL
: niveau d'activation de votre instance Security Command Center (organizations
ouprojects
).RESOURCE_ID
: ID de ressource de votre organisation ou de votre projet.
La sortie se présente comme suit :
SOURCE_ID
est un ID attribué par le serveur pour les sources de sécurité.canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID description: Provider used by Event Threat Detection Custom Modules displayName: Event Threat Detection Custom Modules name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
Pour répertorier tous les résultats des modules personnalisés d'Event Threat Detection, exécutez la commande suivante avec l'ID source de l'étape précédente:
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID
Remplacez les éléments suivants :
RESOURCE_LEVEL
: niveau de ressource dans lequel vous souhaitez répertorier les résultats (organizations
,folders
ouprojects
).RESOURCE_ID
: ID de la ressource, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.SOURCE_ID
: ID de la source des modules personnalisés d'Event Threat Detection.
Pour lister les résultats d'un module personnalisé spécifique, exécutez la commande suivante :
MODULE="CUSTOM_MODULE_CATEGORY_NAME" FILTER="category=\"$MODULE\"" gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"
Remplacez les éléments suivants :
CUSTOM_MODULE_CATEGORY_NAME
: nom de la catégorie du module personnalisé. Ce nom est composé de la catégorie de résultat du type de module (comme indiqué dans la section Modules et modèles personnalisés) et du nom à afficher du module avec des traits de soulignement au lieu d'espaces. Par exemple, le nom de catégorie d'un module personnalisé peut êtreUnexpected Compute Engine region: example_custom_module
.RESOURCE_LEVEL
: niveau de ressource dans lequel vous souhaitez répertorier les résultats (organizations
,folders
ouprojects
).RESOURCE_ID
: ID de la ressource, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.SOURCE_ID
: ID de la source de vos modules personnalisés Event Threat Detection.
Pour en savoir plus sur le filtrage des résultats, consultez la page Lister les résultats de sécurité.
Les résultats générés par les modules personnalisés peuvent être gérés comme tous les résultats dans Security Command Center. Pour en savoir plus, consultez les ressources suivantes :
- Utiliser des marques de sécurité
- Configurer des notifications de recherche
- Exporter des données Security Command Center
Gérer les modules personnalisés d'Event Threat Detection
Cette section explique comment afficher, répertorier, mettre à jour et supprimer les modules personnalisés d'Event Threat Detection.
Afficher ou répertorier des modules personnalisés
Console
- Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
- Facultatif: Pour n'afficher que les modules personnalisés, saisissez Type:Custom dans le champ Filtre.
Les résultats sont les suivants:
- Tous les modules personnalisés Event Threat Detection résidentiels.
- Tous les modules personnalisés Event Threat Detection hérités. Par exemple, si vous êtes dans la vue du projet, les modules personnalisés créés dans les dossiers et l'organisation parents de ce projet sont inclus dans les résultats.
- Tous les modules personnalisés Event Threat Detection descendants créés dans les ressources enfants. Par exemple, si vous êtes dans la vue "Organisation", les modules personnalisés créés dans des dossiers et des projets sous cette organisation sont inclus dans les résultats.
gcloud
gcloud alpha scc custom-modules etd list \
--RESOURCE_FLAG=RESOURCE_ID
Remplacez les éléments suivants :
RESOURCE_FLAG
: champ d'application dans lequel vous souhaitez répertorier les modules personnalisés (organization
,folder
ouproject
).RESOURCE_ID
: ID de la ressource, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.
Les résultats sont les suivants:
- Tous les modules personnalisés Event Threat Detection résidentiels.
- Tous les modules personnalisés Event Threat Detection hérités. Par exemple, lorsque vous répertoriez des modules personnalisés au niveau du projet, les modules personnalisés créés dans les dossiers et l'organisation parents de ce projet sont inclus dans les résultats.
Chaque élément des résultats inclut le nom, l'état et les propriétés du module. Les propriétés diffèrent pour chaque module.
Le nom de chaque module contient son ID de module personnalisé. De nombreuses opérations gcloud
sur cette page nécessitent l'ID de module personnalisé.
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
Désactiver un module personnalisé
Console
Consultez Activer ou désactiver un module.
Lorsque vous désactivez un module personnalisé hérité, vos modifications ne sont appliquées qu'à votre niveau de ressource actuel. Le module personnalisé d'origine situé au niveau parent n'est pas affecté. Par exemple, si vous êtes au niveau du projet et que vous désactivez un module personnalisé hérité du dossier parent, le module personnalisé n'est désactivé qu'au niveau du projet.
Vous ne pouvez pas désactiver un module personnalisé descendant. Par exemple, si vous vous trouvez dans la vue "Organisation", vous ne pouvez pas désactiver un module personnalisé créé au niveau du projet.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="DISABLED"
Remplacez les éléments suivants :
CUSTOM_MODULE_ID
: ID numérique du module personnalisé d'Event Threat Detection (par exemple,1234567890
). Vous pouvez obtenir l'ID numérique à partir du champname
du module personnalisé approprié lorsque vous affichez la liste des modules personnalisés.RESOURCE_FLAG
: champ d'application de la ressource parente où se trouve le module personnalisé (organization
,folder
ouproject
).RESOURCE_ID
: ID de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.
Activer un module personnalisé
Console
Consultez Activer ou désactiver un module.
Lorsque vous activez un module personnalisé hérité, vos modifications ne sont appliquées qu'à votre niveau de ressource actuel. Le module personnalisé d'origine situé au niveau parent n'est pas affecté. Par exemple, si vous êtes au niveau du projet et que vous activez un module personnalisé hérité du dossier parent, le module personnalisé n'est activé qu'au niveau du projet.
Vous ne pouvez pas activer un module personnalisé descendant. Par exemple, si vous vous trouvez dans la vue "Organisation", vous ne pouvez pas activer un module personnalisé créé au niveau du projet.
gcloud
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED"
Remplacez les éléments suivants :
CUSTOM_MODULE_ID
: ID numérique du module personnalisé d'Event Threat Detection (par exemple,1234567890
). Vous pouvez obtenir l'ID numérique à partir du champname
du module personnalisé approprié lorsque vous affichez la liste des modules personnalisés.RESOURCE_FLAG
: champ d'application de la ressource parente où se trouve le module personnalisé (organization
,folder
ouproject
).RESOURCE_ID
: ID de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.
Mettre à jour la définition d'un module personnalisé
Cette section explique comment mettre à jour un module personnalisé via la console Google Cloud et gcloud CLI. La taille de chaque module personnalisé d'Event Threat Detection est de 6 Mo.
Vous ne pouvez pas mettre à jour le type d'un module personnalisé.
Pour mettre à jour un module personnalisé, procédez comme suit:
Console
Vous ne pouvez modifier que les modules résidentiels personnalisés. Par exemple, dans la vue "Organisation", vous ne pouvez modifier que les modules personnalisés créés au niveau de l'organisation.
- Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
- Recherchez le module personnalisé que vous souhaitez modifier.
- Pour ce module personnalisé, cliquez sur > Modifier. Actions
- Modifiez le module personnalisé selon vos besoins.
- Cliquez sur Enregistrer.
gcloud
Pour mettre à jour un module, exécutez la commande suivante et incluez le fichier JSON du modèle de module mis à jour:
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
Remplacez les éléments suivants :
CUSTOM_MODULE_ID
: ID numérique du module personnalisé d'Event Threat Detection (par exemple,1234567890
). Vous pouvez obtenir l'ID numérique à partir du champname
du module personnalisé approprié lorsque vous affichez la liste des modules personnalisés.RESOURCE_FLAG
: champ d'application de la ressource parente où se trouve le module personnalisé (organization
,folder
ouproject
).RESOURCE_ID
: ID de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.PATH_TO_JSON_FILE
: fichier JSON contenant la définition JSON du module personnalisé.
Vérifier l'état d'un module personnalisé unique
Console
- Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
- Recherchez le module personnalisé dans la liste.
L'état du module personnalisé s'affiche dans la colonne État.
gcloud
gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
Remplacez les éléments suivants :
CUSTOM_MODULE_ID
: ID numérique du module personnalisé d'Event Threat Detection (par exemple,1234567890
). Vous pouvez obtenir l'ID numérique à partir du champname
du module personnalisé approprié lorsque vous affichez la liste des modules personnalisés.RESOURCE_FLAG
: champ d'application de la ressource parente où se trouve le module personnalisé (organization
,folder
ouproject
).RESOURCE_ID
: ID de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.
Le résultat ressemble à ce qui suit et inclut l'état et les propriétés du module. Les propriétés diffèrent pour chaque module.
config: metadata: description: DESCRIPTION recommendation: RECOMMENDATION severity: SEVERITY regions: - region: REGION displayName: USER_SPECIFIED_DISPLAY_NAME enablementState: STATUS lastEditor: LAST_EDITOR name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID type: MODULE_TYPE updateTime: 'UPDATE_TIME'
Supprimer un module personnalisé
Lorsque vous supprimez un module personnalisé d'Event Threat Detection, les résultats qu'il a générés ne sont pas modifiés et restent disponibles dans Security Command Center. En revanche, lorsque vous supprimez un module personnalisé d'analyse de l'état de sécurité, ses résultats générés sont marqués comme inactifs.
Vous ne pouvez pas récupérer un module personnalisé supprimé.
Console
Vous ne pouvez pas supprimer les modules personnalisés hérités. Par exemple, si vous êtes dans la vue du projet, vous ne pouvez pas supprimer les modules personnalisés créés au niveau du dossier ou de l'organisation.
Pour supprimer un module personnalisé via la console Google Cloud, procédez comme suit:
- Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
- Recherchez le module personnalisé que vous souhaitez supprimer.
- Pour ce module personnalisé, cliquez sur > Supprimer. Un message s'affiche pour vous inviter à confirmer la suppression. Actions
- Cliquez sur Supprimer.
gcloud
gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID
Remplacez les éléments suivants :
CUSTOM_MODULE_ID
: ID numérique du module personnalisé d'Event Threat Detection (par exemple,1234567890
). Vous pouvez obtenir l'ID numérique à partir du champname
du module personnalisé approprié lorsque vous affichez la liste des modules personnalisés.RESOURCE_FLAG
: champ d'application de la ressource parente où se trouve le module personnalisé (organization
,folder
ouproject
).RESOURCE_ID
: ID de la ressource parente, c'est-à-dire l'ID d'organisation, l'ID de dossier ou l'ID de projet.
Cloner un module personnalisé
Lorsque vous clonez un module personnalisé, le module personnalisé obtenu est créé en tant que résident de la ressource que vous consultez. Par exemple, si vous clonez un module personnalisé dont votre projet a hérité de l'organisation, le nouveau module personnalisé est un module résidentiel du projet.
Vous ne pouvez pas cloner un module personnalisé descendant.
Pour cloner un module personnalisé via la console Google Cloud, procédez comme suit:
- Consultez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent sous forme de liste.
- Recherchez le module personnalisé que vous souhaitez cloner.
- Pour ce module personnalisé, cliquez sur > Clone (Cloner). Actions
- Modifiez le module personnalisé selon vos besoins.
- Cliquez sur Créer.
Étapes suivantes
- Apprenez-en davantage sur les modules personnalisés pour Event Threat Detection.