סקירה כללית על מודולים מותאמים אישית ב-Security Health Analytics

בדף הזה יש סקירה כללית על מודולים בהתאמה אישית ב-Security Health Analytics. מידע על מודולים מובנים זמין במאמר גלאים מובנים ב-Security Health Analytics.

בעזרת מודולים בהתאמה אישית, אתם יכולים להרחיב את יכולות הזיהוי של Security Health Analytics על ידי יצירת גלאים בהתאמה אישית שסורקים את המשאבים והמדיניות שאתם מציינים באמצעות כללים שאתם מגדירים כדי לבדוק אם יש פגיעויות, הגדרות שגויות או הפרות של דרישות התאימות. Google Cloud

ההגדרה או ההגדרה של מודול מותאם אישית, בין אם יצרתם אותו במסוףGoogle Cloud או שכתבתם את הקוד בעצמכם, קובעת את המשאבים שהגלאי בודק, את המאפיינים שהגלאי מעריך ואת המידע שהגלאי מחזיר כשמתגלה נקודת חולשה או הגדרה שגויה.

אתם יכולים ליצור מודולים בהתאמה אישית לכל משאב או נכס ש-Security Command Center תומך בהם.

אם אתם כותבים בעצמכם הגדרות של מודולים בהתאמה אישית, אתם משתמשים ב-YAML ובביטויי Common Expression Language ‏ (CEL). אם משתמשים במסוףGoogle Cloud כדי ליצור מודולים מותאמים אישית, רוב הקוד נוצר באופן אוטומטי, אבל עדיין צריך לכתוב את ביטויי ה-CEL.

דוגמה להגדרת מודול בהתאמה אישית בקובץ YAML מופיעה במאמר דוגמה להגדרת מודול בהתאמה אישית.

מודולים מותאמים אישית פועלים לצד גלאים מובנים של Security Health Analytics בזמן אמת, באצווה או במצב מעורב. מידע נוסף על המצבים האלה זמין במאמר סוגי סריקות ב-Security Health Analytics.

במהלך סריקה, כל גלאי מותאם אישית מופעל על כל הנכסים התואמים בכל ארגון, תיקייה או פרויקט שהוא מופעל עבורם.

הממצאים מגלאים בהתאמה אישית נכתבים ב-Security Command Center.

למידע נוסף, קראו את המאמרים הבאים:

השוואה בין מזהים מובנים לבין מודולים בהתאמה אישית

מודולים בהתאמה אישית מציעים יכולות זיהוי רחבות יותר מאלה של גלאים מובנים ב-Security Health Analytics. עם זאת, למודולים בהתאמה אישית אין תמיכה בחלק מהתכונות של Security Command Center שהגלאים המובנים מספקים.

תמיכה בתכונות

מודולים בהתאמה אישית של Security Health Analytics לא נתמכים על ידי סימולציות של נתיבי תקיפה. הממצאים שנוצרים על ידי מודולים מותאמים אישית לא כוללים ציוני חשיפה למתקפות או נתיבי מתקפה.

השוואה בין לוגיקות זיהוי

כדי להבין מה אפשר לעשות עם מודול בהתאמה אישית, נשווה בין מה שמזהה המידע המובנה PUBLIC_SQL_INSTANCEבודק לבין מה שאפשר לעשות עם מודול בהתאמה אישית.

הגלאי המובנה PUBLIC_SQL_INSTANCE בודק אם המאפיין authorizedNetworks של מכונות Cloud SQL מוגדר לערך 0.0.0.0/0. אם כן, הגלאי יוצר ממצא שמציין שהמכונה של Cloud SQL פתוחה לציבור, כי היא מקבלת חיבורים מכל כתובות ה-IP.

באמצעות מודול בהתאמה אישית, אפשר להטמיע לוגיקה מורכבת יותר של זיהוי כדי לבדוק מכונות Cloud SQL לגבי דברים כמו:

  • כתובות IP עם קידומות ספציפיות, באמצעות תווים כלליים לחיפוש.
  • הערך של המאפיין state, שבו אפשר להשתמש כדי להתעלם ממופעים אם הערך מוגדר כ-MAINTENANCE, או כדי להפעיל ממצאים אם הערך הוא משהו אחר.
  • הערך של המאפיין region, שבו אפשר להשתמש כדי להפעיל ממצאים רק לגבי מקרים עם כתובות IP ציבוריות באזורים ספציפיים.

התפקידים וההרשאות הנדרשים ב-IAM

תפקידי IAM קובעים את הפעולות שאפשר לבצע באמצעות מודולים בהתאמה אישית של Security Health Analytics.

בטבלה הבאה מפורטות ההרשאות הנדרשות למודולים מותאמים אישית של Security Health Analytics, וגם תפקידי ה-IAM שמוגדרים מראש וכוללים את ההרשאות האלה.

אפשר להשתמש במסוף Google Cloud או ב-Security Command Center API כדי להחיל את התפקידים האלה ברמת הארגון, התיקייה או הפרויקט. Google Cloud

ההרשאות הנדרשות תפקידים
securitycentermanagement.securityHealthAnalyticsCustomModules.create
securitycentermanagement.securityHealthAnalyticsCustomModules.update
securitycentermanagement.securityHealthAnalyticsCustomModules.delete
securitycentermanagement.securityHealthAnalyticsCustomModules.list
securitycentermanagement.securityHealthAnalyticsCustomModules.get
securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list
securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get
securitycentermanagement.securityHealthAnalyticsCustomModules.simulate
securitycentermanagement.securityHealthAnalyticsCustomModules.test
roles/securitycentermanagement.shaCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.securityHealthAnalyticsCustomModules.list
securitycentermanagement.securityHealthAnalyticsCustomModules.get
securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list
securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get
securitycentermanagement.securityHealthAnalyticsCustomModules.simulate
securitycentermanagement.securityHealthAnalyticsCustomModules.test
roles/securitycentermanagement.shaCustomModulesViewer
roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin

במאמר הענקת תפקידים ב-IAM באמצעות מסוף Google Cloud מוסבר איך מעניקים הרשאות ותפקידים ב-IAM.

מכסות של מודולים בהתאמה אישית

מודולים מותאמים אישית של Security Health Analytics כפופים למגבלות מכסת השימוש.

מגבלת ברירת המחדל של המכסה ליצירת מודולים מותאמים אישית היא 100, אבל אפשר לבקש הגדלה של המכסה, אם יש צורך.

קריאות ל-API לשיטות של מודולים בהתאמה אישית כפופות גם למגבלות מכסה. בטבלה הבאה מוצגות הגבלות המכסה שמוגדרות כברירת מחדל לקריאות ל-API של מודולים בהתאמה אישית.

סוג הקריאה ל-API הגבלה
בקשות קריאה של CustomModules (Get, ‏ List) ‫1,000 קריאות ל-API לדקה, לכל ארגון
בקשות כתיבה של CustomModules (יצירה, עדכון, מחיקה) ‫60 קריאות ל-API לדקה, לכל ארגון
בקשות בדיקה של CustomModules ‫12 קריאות ל-API לדקה, לכל ארגון

כדי לבקש הגדלה של המכסה, שולחים בקשה במסוף Google Cloud בדף Quotas.

מידע נוסף על מכסות ב-Security Command Center זמין במאמר מכסות ומגבלות.

סוגי המשאבים שנתמכים

בקטע הזה מופיע סיכום של Google Cloud סוגי המשאבים שנתמכים במודולים מותאמים אישית.

שם השירות שם המשאב
Access Context Manager accesscontextmanager.googleapis.com/AccessLevel
accesscontextmanager.googleapis.com/AccessPolicy
accesscontextmanager.googleapis.com/ServicePerimeter
פלטפורמת הסוכנים של Gemini Enterprise aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Index
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/NotebookRuntimeTemplate
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/Tensorboard
aiplatform.googleapis.com/TrainingPipeline
AlloyDB alloydb.googleapis.com/Backup
alloydb.googleapis.com/Cluster
alloydb.googleapis.com/Instance
מפתחות API apikeys.googleapis.com/Key
Artifact Registry Repository artifactregistry.googleapis.com/Repository
BigQuery bigquery.googleapis.com/Dataset
bigquery.googleapis.com/Model
bigquery.googleapis.com/Table
bigquerydatatransfer.googleapis.com/TransferConfig
פרטי החיוב של פרויקט בחיוב ב-Cloud cloudbilling.googleapis.com/ProjectBillingInfo
פונקציות Cloud Run cloudfunctions.googleapis.com/CloudFunction
Cloud KMS cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/CryptoKeyVersion
cloudkms.googleapis.com/ImportJob
cloudkms.googleapis.com/KeyRing
מנהל המשאבים cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Project
cloudresourcemanager.googleapis.com/TagBinding
Managed Service for Apache Airflow Environment composer.googleapis.com/Environment
Compute Engine compute.googleapis.com/Address
compute.googleapis.com/Autoscaler
compute.googleapis.com/BackendBucket
compute.googleapis.com/BackendService
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/Firewall
compute.googleapis.com/FirewallPolicy
compute.googleapis.com/ForwardingRule
compute.googleapis.com/GlobalForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManagers
compute.googleapis.com/InstanceTemplate
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/MachineImage
compute.googleapis.com/Network
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/Project
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/Reservation
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Route
compute.googleapis.com/Router
compute.googleapis.com/SecurityPolicy
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/SslPolicy
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetSslProxy
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel
Google Kubernetes Engine container.googleapis.com/Cluster
container.googleapis.com/NodePool
Dataflow dataflow.googleapis.com/Job
Cloud Data Fusion datafusion.googleapis.com/Instance
Managed Service for Apache Spark dataproc.googleapis.com/AutoscalingPolicy
dataproc.googleapis.com/Batch
dataproc.googleapis.com/Cluster
dataproc.googleapis.com/Job
Datastream datastream.googleapis.com/ConnectionProfile
datastream.googleapis.com/PrivateConnection
datastream.googleapis.com/Stream
Dialogflow CX dialogflow.googleapis.com/Agent
Sensitive Data Protection dlp.googleapis.com/DeidentifyTemplate
dlp.googleapis.com/DlpJob
dlp.googleapis.com/InspectTemplate
dlp.googleapis.com/JobTrigger
dlp.googleapis.com/StoredInfoType
Cloud DNS dns.googleapis.com/ManagedZone
dns.googleapis.com/Policy
Filestore file.googleapis.com/Instance
GKE Fleet (נקרא גם 'צי') gkehub.googleapis.com/Feature
gkehub.googleapis.com/Membership
IAM iam.googleapis.com/Role
iam.googleapis.com/ServiceAccountKey
Kubernetes k8s.io/Namespace
k8s.io/Node
k8s.io/Pod
k8s.io/Service
apps.k8s.io/DaemonSet
apps.k8s.io/Deployment
apps.k8s.io/ReplicaSet
apps.k8s.io/StatefulSet
batch.k8s.io/CronJob
networking.k8s.io/Ingress
networking.k8s.io/NetworkPolicy
rbac.authorization.k8s.io/ClusterRole
rbac.authorization.k8s.io/ClusterRoleBinding
rbac.authorization.k8s.io/Role
rbac.authorization.k8s.io/RoleBinding
Cloud Logging logging.googleapis.com/LogBucket
logging.googleapis.com/LogMetric
logging.googleapis.com/LogSink
Cloud Monitoring monitoring.googleapis.com/AlertPolicy
monitoring.googleapis.com/NotificationChannel
NetApp Volumes
netapp.googleapis.com/Snapshot
netapp.googleapis.com/Volume
סביבת העבודה של Gemini Enterprise Agent Platform notebooks.googleapis.com/Instance
Organization Policy Service v2 orgpolicy.googleapis.com/CustomConstraint
orgpolicy.googleapis.com/Policy
Certificate Authority Service privateca.googleapis.com/Certificate
privateca.googleapis.com/CertificateRevocationList
Pub/Sub pubsub.googleapis.com/Snapshot
pubsub.googleapis.com/Subscription
pubsub.googleapis.com/Topic
Memorystore for Redis redis.googleapis.com/Cluster
redis.googleapis.com/Instance
Cloud Run run.googleapis.com/DomainMapping
run.googleapis.com/Execution
run.googleapis.com/Job
run.googleapis.com/Revision
run.googleapis.com/Service
Secret Manager secretmanager.googleapis.com/Secret
secretmanager.googleapis.com/SecretVersion
Service Usage serviceusage.googleapis.com/Service
Spanner spanner.googleapis.com/Backup
spanner.googleapis.com/Database
spanner.googleapis.com/Instance
Cloud SQL ל-MySQL sqladmin.googleapis.com/BackupRun
sqladmin.googleapis.com/Instance
Cloud Storage storage.googleapis.com/Bucket
Google Cloud VMware Engine vmwareengine.googleapis.com/Cluster
vmwareengine.googleapis.com/ExternalAccessRule
vmwareengine.googleapis.com/ExternalAddress
vmwareengine.googleapis.com/NetworkPeering
vmwareengine.googleapis.com/NetworkPolicy
vmwareengine.googleapis.com/PrivateCloud
vmwareengine.googleapis.com/PrivateConnection
vmwareengine.googleapis.com/VmwareEngineNetwork
מחבר VPC vpcaccess.googleapis.com/Connector
תחנות עבודה בענן workstations.googleapis.com/Workstation
workstations.googleapis.com/WorkstationConfig

המאמרים הבאים