Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ringkasan modul kustom untuk Security Health Analytics

Halaman ini memberikan ringkasan modul kustom Security Health Analytics. Untuk mengetahui informasi tentang modul bawaan, lihat Detektor bawaan Security Health Analytics.

Dengan modul kustom, Anda dapat memperluas kemampuan deteksi Security Health Analytics dengan membuat detektor kustom yang memindai Google Cloud resource dan kebijakan yang Anda tentukan menggunakan aturan yang Anda definisikan untuk memeriksa kerentanan, miskonfigurasi, atau pelanggaran kepatuhan.

Konfigurasi atau definisi modul kustom, baik Anda membuatnya di Google Cloud konsol atau mengodekannya sendiri, menentukan resource yang diperiksa detektor, properti yang dievaluasi detektor, dan informasi yang ditampilkan detektor saat kerentanan atau miskonfigurasi terdeteksi.

Anda dapat membuat modul kustom untuk resource atau aset apa pun yang didukung Security Command Center.

Jika Anda mengodekan definisi modul kustom sendiri, Anda menggunakan ekspresi YAML dan Common Expression Language (CEL). Jika Anda menggunakan Google Cloud konsol untuk membuat modul kustom, sebagian besar pengodean akan dilakukan untuk Anda, meskipun Anda perlu mengodekan ekspresi CEL.

Untuk contoh definisi modul kustom dalam file YAML, lihat Contoh definisi modul kustom.

Modul kustom berjalan bersama detektor bawaan Security Health Analytics dalam mode real-time, batch, atau campuran. Untuk mengetahui informasi selengkapnya tentang mode ini, lihat Jenis pemindaian Security Health Analytics.

Selama pemindaian, setiap detektor kustom diterapkan ke semua aset yang cocok di setiap organisasi, folder, atau project yang diaktifkan.

Temuan dari detektor kustom ditulis ke Security Command Center.

Untuk informasi selengkapnya, lihat referensi berikut:

Membandingkan detektor bawaan dan modul kustom

Modul kustom menawarkan kemampuan deteksi yang lebih luas daripada detektor Security Health Analytics bawaan. Namun, modul kustom tidak mendukung beberapa fitur Security Command Center yang disediakan oleh detektor bawaan.

Dukungan fitur

Modul kustom Security Health Analytics tidak didukung oleh simulasi jalur serangan. Temuan yang dihasilkan oleh modul kustom tidak menyertakan skor eksposur serangan atau jalur serangan.

Membandingkan logika deteksi

Sebagai contoh beberapa hal yang dapat Anda lakukan dengan modul kustom, bandingkan hal yang diperiksa oleh detektor bawaan PUBLIC_SQL_INSTANCE dengan hal yang dapat Anda lakukan dengan modul kustom.

Detektor bawaan PUBLIC_SQL_INSTANCE memeriksa apakah properti authorizedNetworks instance Cloud SQL ditetapkan ke 0.0.0.0/0. Jika ya, detektor akan menghasilkan temuan yang menyatakan bahwa instance Cloud SQL terbuka untuk publik, karena menerima koneksi dari semua alamat IP.

Dengan modul kustom, Anda dapat menerapkan logika deteksi yang lebih kompleks untuk memeriksa instance Cloud SQL untuk hal-hal seperti:

Alamat IP dengan awalan tertentu, menggunakan karakter pengganti.
Nilai properti state, yang dapat Anda gunakan untuk mengabaikan instance jika nilainya ditetapkan ke MAINTENANCE atau memicu temuan jika nilainya adalah hal lain.
Nilai properti region, yang dapat Anda gunakan untuk memicu temuan hanya untuk instance dengan alamat IP publik di region tertentu.

Peran dan izin IAM yang diperlukan

Peran IAM menentukan tindakan yang dapat Anda lakukan dengan modul kustom Security Health Analytics.

Tabel berikut berisi daftar izin modul kustom Security Health Analytics yang diperlukan serta peran IAM bawaan yang menyertakannya.

Anda dapat menggunakan Google Cloud konsol atau Security Command Center API untuk menerapkan peran ini di tingkat organisasi, folder, atau project.

Izin diperlukan Peran

securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin

securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin

Izin diperlukan	Peran
securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test	`roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin`
`securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test`	`roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin`

Untuk mengetahui informasi selengkapnya tentang peran dan izin IAM serta cara memberikannya, lihat Memberikan peran IAM menggunakan Google Cloud konsol.

Kuota modul kustom

Modul kustom Security Health Analytics tunduk pada batas kuota.

Batas kuota default untuk pembuatan modul kustom adalah 100, tetapi Anda dapat meminta penambahan kuota, jika diperlukan.

Panggilan API ke metode modul kustom juga tunduk pada batas kuota. Tabel berikut menunjukkan batas kuota default untuk panggilan API modul kustom.

Jenis Panggilan API	Batas
Permintaan Baca CustomModules (Get, List)	1.000 panggilan API per menit, per organisasi
Permintaan Tulis CustomModules (Create, Update, Delete)	60 panggilan API per menit, per organisasi
Permintaan Pengujian CustomModules	12 panggilan API per menit, per organisasi

Untuk penambahan kuota, kirimkan permintaan di Google Cloud konsol pada halaman Kuota.

Untuk mengetahui informasi selengkapnya tentang kuota Security Command Center, lihat Kuota dan batas.

Jenis resource yang didukung

Bagian ini merangkum jenis resource yang didukung dengan modul kustom. Google Cloud

Nama layanan	Nama resource
Access Context Manager	`accesscontextmanager.googleapis.com/AccessLevel` `accesscontextmanager.googleapis.com/AccessPolicy accesscontextmanager.googleapis.com/ServicePerimeter`
Platform Agen Gemini Enterprise	`aiplatform.googleapis.com/BatchPredictionJob` `aiplatform.googleapis.com/CustomJob aiplatform.googleapis.com/Dataset aiplatform.googleapis.com/Endpoint aiplatform.googleapis.com/Featurestore aiplatform.googleapis.com/HyperparameterTuningJob aiplatform.googleapis.com/Index aiplatform.googleapis.com/MetadataStore aiplatform.googleapis.com/Model aiplatform.googleapis.com/NotebookRuntimeTemplate aiplatform.googleapis.com/SpecialistPool aiplatform.googleapis.com/Tensorboard aiplatform.googleapis.com/TrainingPipeline`
AlloyDB	`alloydb.googleapis.com/Backup` `alloydb.googleapis.com/Cluster alloydb.googleapis.com/Instance`
Kunci API	`apikeys.googleapis.com/Key`
Repositori Artifact Registry	`artifactregistry.googleapis.com/Repository`
BigQuery	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model bigquery.googleapis.com/Table bigquerydatatransfer.googleapis.com/TransferConfig`
Info Penagihan Project Penagihan Cloud	`cloudbilling.googleapis.com/ProjectBillingInfo`
Cloud Run Functions	`cloudfunctions.googleapis.com/CloudFunction`
Cloud KMS	`cloudkms.googleapis.com/CryptoKey` `cloudkms.googleapis.com/CryptoKeyVersion cloudkms.googleapis.com/ImportJob cloudkms.googleapis.com/KeyRing`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project cloudresourcemanager.googleapis.com/TagBinding`
Lingkungan Managed Service untuk Apache Airflow	`composer.googleapis.com/Environment`
Compute Engine	`compute.googleapis.com/Address` compute.googleapis.com/Autoscaler compute.googleapis.com/BackendBucket compute.googleapis.com/BackendService compute.googleapis.com/Commitment compute.googleapis.com/Disk compute.googleapis.com/Firewall compute.googleapis.com/FirewallPolicy compute.googleapis.com/ForwardingRule compute.googleapis.com/GlobalForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManagers compute.googleapis.com/InstanceTemplate compute.googleapis.com/InterconnectAttachment compute.googleapis.com/MachineImage compute.googleapis.com/Network compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/Project compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/Reservation compute.googleapis.com/ResourcePolicy compute.googleapis.com/Route compute.googleapis.com/Router compute.googleapis.com/SecurityPolicy compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/SslPolicy compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetSslProxy compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel
Google Kubernetes Engine	`container.googleapis.com/Cluster` `container.googleapis.com/NodePool`
Dataflow	`dataflow.googleapis.com/Job`
Cloud Data Fusion	`datafusion.googleapis.com/Instance`
Managed Service untuk Apache Spark	`dataproc.googleapis.com/AutoscalingPolicy` `dataproc.googleapis.com/Batch dataproc.googleapis.com/Cluster dataproc.googleapis.com/Job`
Datastream	`datastream.googleapis.com/ConnectionProfile` `datastream.googleapis.com/PrivateConnection datastream.googleapis.com/Stream`
Dialogflow CX	`dialogflow.googleapis.com/Agent`
Sensitive Data Protection	`dlp.googleapis.com/DeidentifyTemplate` `dlp.googleapis.com/DlpJob dlp.googleapis.com/InspectTemplate dlp.googleapis.com/JobTrigger dlp.googleapis.com/StoredInfoType`
Cloud DNS	`dns.googleapis.com/ManagedZone` `dns.googleapis.com/Policy`
Filestore	`file.googleapis.com/Instance`
Fleet GKE (juga dikenal sebagai fleet)	`gkehub.googleapis.com/Feature` `gkehub.googleapis.com/Membership`
IAM	`iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Kubernetes`	`k8s.io/Namespace` `k8s.io/Node k8s.io/Pod k8s.io/Service apps.k8s.io/DaemonSet apps.k8s.io/Deployment apps.k8s.io/ReplicaSet apps.k8s.io/StatefulSet batch.k8s.io/CronJob networking.k8s.io/Ingress networking.k8s.io/NetworkPolicy rbac.authorization.k8s.io/ClusterRole rbac.authorization.k8s.io/ClusterRoleBinding rbac.authorization.k8s.io/Role rbac.authorization.k8s.io/RoleBinding`
Cloud Logging	`logging.googleapis.com/LogBucket` `logging.googleapis.com/LogMetric logging.googleapis.com/LogSink`
Cloud Monitoring	`monitoring.googleapis.com/AlertPolicy` `monitoring.googleapis.com/NotificationChannel`
NetApp Volumes
`netapp.googleapis.com/Snapshot` `netapp.googleapis.com/Volume`
Workbench Platform Agen Gemini Enterprise	`notebooks.googleapis.com/Instance`
Organization Policy Service v2	`orgpolicy.googleapis.com/CustomConstraint` `orgpolicy.googleapis.com/Policy`
Certificate Authority Service	`privateca.googleapis.com/Certificate` `privateca.googleapis.com/CertificateRevocationList`
Pub/Sub	`pubsub.googleapis.com/Snapshot` `pubsub.googleapis.com/Subscription pubsub.googleapis.com/Topic`
Memorystore for Redis	`redis.googleapis.com/Cluster` `redis.googleapis.com/Instance`
Cloud Run	`run.googleapis.com/DomainMapping` `run.googleapis.com/Execution run.googleapis.com/Job run.googleapis.com/Revision run.googleapis.com/Service`
Secret Manager	`secretmanager.googleapis.com/Secret` `secretmanager.googleapis.com/SecretVersion`
Service Usage	`serviceusage.googleapis.com/Service`
Spanner	`spanner.googleapis.com/Backup` `spanner.googleapis.com/Database spanner.googleapis.com/Instance`
Cloud SQL untuk MySQL	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
Cloud Storage	`storage.googleapis.com/Bucket`
Google Cloud VMware Engine	`vmwareengine.googleapis.com/Cluster` `vmwareengine.googleapis.com/ExternalAccessRule vmwareengine.googleapis.com/ExternalAddress vmwareengine.googleapis.com/NetworkPeering vmwareengine.googleapis.com/NetworkPolicy vmwareengine.googleapis.com/PrivateCloud vmwareengine.googleapis.com/PrivateConnection vmwareengine.googleapis.com/VmwareEngineNetwork`
Konektor VPC	`vpcaccess.googleapis.com/Connector`
Cloud Workstations	`workstations.googleapis.com/Workstation` `workstations.googleapis.com/WorkstationConfig`

Langkah berikutnya

Untuk menggunakan modul kustom, lihat Menggunakan modul kustom untuk Security Health Analytics.
Untuk mengodekan definisi modul kustom sendiri, lihat Modul kustom kode untuk Security Health Analytics.
Untuk menguji modul kustom, lihat Menguji modul kustom untuk Security Health Analytics.