Ringkasan modul kustom untuk Security Health Analytics

Halaman ini memberikan ringkasan tentang modul kustom Security Health Analytics. Untuk informasi tentang modul bawaan, lihat Detektor bawaan Security Health Analytics.

Dengan modul kustom, Anda dapat memperluas kemampuan deteksi Security Health Analytics dengan membuat detektor kustom yang memindai resource dan kebijakan yang Anda tentukan menggunakan aturan yang Anda tetapkan untuk memeriksa kerentanan, kesalahan konfigurasi, atau pelanggaran kepatuhan. Google Cloud

Konfigurasi atau definisi modul kustom, baik Anda membuatnya di konsolGoogle Cloud atau membuat kodenya sendiri, menentukan resource yang diperiksa detektor, properti yang dievaluasi detektor, dan informasi yang ditampilkan detektor saat kerentanan atau kesalahan konfigurasi terdeteksi.

Anda dapat membuat modul kustom untuk resource atau aset apa pun yang didukung Security Command Center.

Jika Anda membuat kode definisi modul kustom sendiri, Anda menggunakan YAML dan ekspresi Common Expression Language (CEL). Jika Anda menggunakan konsolGoogle Cloud untuk membuat modul kustom, sebagian besar pengodean dilakukan untuk Anda, meskipun Anda perlu mengodekan ekspresi CEL.

Untuk contoh definisi modul kustom dalam file YAML, lihat Contoh definisi modul kustom.

Modul kustom berjalan bersama detektor bawaan Security Health Analytics dalam pemindaian real-time dan batch. Dalam mode real-time, pemindaian dipicu setiap kali konfigurasi aset berubah. Pemindaian mode batch dijalankan dengan semua detektor untuk organisasi atau project yang terdaftar sekali sehari.

Selama pemindaian, setiap detektor kustom diterapkan ke semua aset yang cocok di setiap organisasi, folder, atau project yang mengaktifkannya.

Temuan dari detektor kustom ditulis ke Security Command Center.

Untuk informasi selengkapnya, lihat referensi berikut:

Membandingkan pendeteksi bawaan dan modul kustom

Modul kustom menawarkan kemampuan deteksi yang lebih luas daripada detektor Security Health Analytics bawaan. Namun, modul kustom tidak memiliki dukungan untuk beberapa fitur Security Command Center yang disediakan oleh pendeteksi bawaan.

Dukungan fitur

Modul kustom Security Health Analytics tidak didukung oleh simulasi jalur serangan. Temuan yang dihasilkan oleh modul kustom tidak menyertakan skor eksposur serangan atau jalur serangan.

Membandingkan logika deteksi

Sebagai contoh beberapa hal yang dapat Anda lakukan dengan modul kustom, bandingkan apa yang diperiksa oleh detektor bawaan PUBLIC_SQL_INSTANCE dengan apa yang dapat Anda lakukan dengan modul kustom.

Detektor bawaan PUBLIC_SQL_INSTANCE memeriksa apakah properti authorizedNetworks instance Cloud SQL disetel ke 0.0.0.0/0. Jika ya, detektor akan membuat temuan yang menyatakan bahwa instance Cloud SQL terbuka untuk publik, karena menerima koneksi dari semua alamat IP.

Dengan modul kustom, Anda dapat menerapkan logika deteksi yang lebih kompleks untuk memeriksa instance Cloud SQL terkait hal-hal seperti:

Alamat IP dengan awalan tertentu, menggunakan karakter pengganti.
Nilai properti state, yang dapat Anda gunakan untuk mengabaikan instance jika nilainya ditetapkan ke MAINTENANCE atau memicu temuan jika nilainya adalah sesuatu yang lain.
Nilai properti region, yang dapat Anda gunakan untuk memicu temuan hanya untuk instance dengan alamat IP publik di wilayah tertentu.

Peran dan izin IAM yang diperlukan

Peran IAM menentukan tindakan yang dapat Anda lakukan dengan modul kustom Security Health Analytics.

Tabel berikut berisi daftar izin modul kustom Security Health Analytics yang diperlukan serta peran IAM bawaan yang menyertakannya.

Anda dapat menggunakan konsol Google Cloud atau Security Command Center API untuk menerapkan peran ini di tingkat organisasi, folder, atau project.

Izin diperlukan Peran

securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin

securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin

Izin diperlukan	Peran
securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test	`roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin`
`securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test`	`roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin`

Untuk mengetahui informasi selengkapnya tentang izin dan peran IAM serta cara memberikannya, lihat Memberikan peran IAM menggunakan Google Cloud konsol.

Kuota modul kustom

Modul kustom Security Health Analytics tunduk pada batas kuota.

Batas kuota default untuk pembuatan modul kustom adalah 100, tetapi Anda dapat meminta penambahan kuota, jika perlu.

Panggilan API ke metode modul kustom juga tunduk pada batas kuota. Tabel berikut menunjukkan batas kuota default untuk panggilan API modul kustom.

Jenis Panggilan API	Batas
Permintaan Baca CustomModules (Get, List)	1.000 panggilan API per menit, per organisasi
Permintaan Penulisan CustomModules (Buat, Perbarui, Hapus)	60 panggilan API per menit, per organisasi
Permintaan Pengujian CustomModules	12 panggilan API per menit, per organisasi

Untuk penambahan kuota, kirimkan permintaan di konsol Google Cloud di halaman Kuota.

Untuk mengetahui informasi selengkapnya tentang kuota Security Command Center, lihat Kuota dan batas.

Jenis resource yang didukung

Bagian ini merangkum jenis resource Google Cloud yang didukung dengan modul kustom.

Nama layanan	Nama resource
Access Context Manager	`accesscontextmanager.googleapis.com/AccessLevel` `accesscontextmanager.googleapis.com/AccessPolicy accesscontextmanager.googleapis.com/ServicePerimeter`
Platform Agen Gemini Enterprise	`aiplatform.googleapis.com/BatchPredictionJob` `aiplatform.googleapis.com/CustomJob aiplatform.googleapis.com/Dataset aiplatform.googleapis.com/Endpoint aiplatform.googleapis.com/Featurestore aiplatform.googleapis.com/HyperparameterTuningJob aiplatform.googleapis.com/Index aiplatform.googleapis.com/MetadataStore aiplatform.googleapis.com/Model aiplatform.googleapis.com/NotebookRuntimeTemplate aiplatform.googleapis.com/SpecialistPool aiplatform.googleapis.com/Tensorboard aiplatform.googleapis.com/TrainingPipeline`
AlloyDB	`alloydb.googleapis.com/Backup` `alloydb.googleapis.com/Cluster alloydb.googleapis.com/Instance`
Kunci API	`apikeys.googleapis.com/Key`
Repositori Artifact Registry	`artifactregistry.googleapis.com/Repository`
BigQuery	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model bigquery.googleapis.com/Table bigquerydatatransfer.googleapis.com/TransferConfig`
Info Penagihan Project Penagihan Cloud	`cloudbilling.googleapis.com/ProjectBillingInfo`
Cloud Run Functions	`cloudfunctions.googleapis.com/CloudFunction`
Cloud KMS	`cloudkms.googleapis.com/CryptoKey` `cloudkms.googleapis.com/CryptoKeyVersion cloudkms.googleapis.com/ImportJob cloudkms.googleapis.com/KeyRing`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project cloudresourcemanager.googleapis.com/TagBinding`
Lingkungan Managed Service untuk Apache Airflow	`composer.googleapis.com/Environment`
Compute Engine	`compute.googleapis.com/Address` compute.googleapis.com/Autoscaler compute.googleapis.com/BackendBucket compute.googleapis.com/BackendService compute.googleapis.com/Commitment compute.googleapis.com/Disk compute.googleapis.com/Firewall compute.googleapis.com/FirewallPolicy compute.googleapis.com/ForwardingRule compute.googleapis.com/GlobalForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManagers compute.googleapis.com/InstanceTemplate compute.googleapis.com/InterconnectAttachment compute.googleapis.com/MachineImage compute.googleapis.com/Network compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/Project compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/Reservation compute.googleapis.com/ResourcePolicy compute.googleapis.com/Route compute.googleapis.com/Router compute.googleapis.com/SecurityPolicy compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/SslPolicy compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetSslProxy compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel
Google Kubernetes Engine	`container.googleapis.com/Cluster` `container.googleapis.com/NodePool`
Dataflow	`dataflow.googleapis.com/Job`
Cloud Data Fusion	`datafusion.googleapis.com/Instance`
Managed Service untuk Apache Spark	`dataproc.googleapis.com/AutoscalingPolicy` `dataproc.googleapis.com/Batch dataproc.googleapis.com/Cluster dataproc.googleapis.com/Job`
Datastream	`datastream.googleapis.com/ConnectionProfile` `datastream.googleapis.com/PrivateConnection datastream.googleapis.com/Stream`
Dialogflow CX	`dialogflow.googleapis.com/Agent`
Sensitive Data Protection	`dlp.googleapis.com/DeidentifyTemplate` `dlp.googleapis.com/DlpJob dlp.googleapis.com/InspectTemplate dlp.googleapis.com/JobTrigger dlp.googleapis.com/StoredInfoType`
Cloud DNS	`dns.googleapis.com/ManagedZone` `dns.googleapis.com/Policy`
Filestore	`file.googleapis.com/Instance`
Hub (juga dikenal sebagai fleet)	`gkehub.googleapis.com/Feature` `gkehub.googleapis.com/Membership`
IAM	`iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Kubernetes`	`k8s.io/Namespace` `k8s.io/Node k8s.io/Pod k8s.io/Service apps.k8s.io/DaemonSet apps.k8s.io/Deployment apps.k8s.io/ReplicaSet apps.k8s.io/StatefulSet batch.k8s.io/CronJob networking.k8s.io/Ingress networking.k8s.io/NetworkPolicy rbac.authorization.k8s.io/ClusterRole rbac.authorization.k8s.io/ClusterRoleBinding rbac.authorization.k8s.io/Role rbac.authorization.k8s.io/RoleBinding`
Cloud Logging	`logging.googleapis.com/LogBucket` `logging.googleapis.com/LogMetric logging.googleapis.com/LogSink`
Cloud Monitoring	`monitoring.googleapis.com/AlertPolicy` `monitoring.googleapis.com/NotificationChannel`
NetApp Volumes
`netapp.googleapis.com/Snapshot` `netapp.googleapis.com/Volume`
Workbench Platform Agen Gemini Enterprise	`notebooks.googleapis.com/Instance`
Organization Policy Service v2	`orgpolicy.googleapis.com/CustomConstraint` `orgpolicy.googleapis.com/Policy`
Certificate Authority Service	`privateca.googleapis.com/Certificate` `privateca.googleapis.com/CertificateRevocationList`
Pub/Sub	`pubsub.googleapis.com/Snapshot` `pubsub.googleapis.com/Subscription pubsub.googleapis.com/Topic`
Memorystore for Redis	`redis.googleapis.com/Cluster` `redis.googleapis.com/Instance`
Cloud Run	`run.googleapis.com/DomainMapping` `run.googleapis.com/Execution run.googleapis.com/Job run.googleapis.com/Revision run.googleapis.com/Service`
Secret Manager	`secretmanager.googleapis.com/Secret` `secretmanager.googleapis.com/SecretVersion`
Service Usage	`serviceusage.googleapis.com/Service`
Spanner	`spanner.googleapis.com/Backup` `spanner.googleapis.com/Database spanner.googleapis.com/Instance`
Cloud SQL untuk MySQL	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
Cloud Storage	`storage.googleapis.com/Bucket`
Google Cloud VMware Engine	`vmwareengine.googleapis.com/Cluster` `vmwareengine.googleapis.com/ExternalAccessRule vmwareengine.googleapis.com/ExternalAddress vmwareengine.googleapis.com/NetworkPeering vmwareengine.googleapis.com/NetworkPolicy vmwareengine.googleapis.com/PrivateCloud vmwareengine.googleapis.com/PrivateConnection vmwareengine.googleapis.com/VmwareEngineNetwork`
Konektor VPC	`vpcaccess.googleapis.com/Connector`
Cloud Workstations	`workstations.googleapis.com/Workstation` `workstations.googleapis.com/WorkstationConfig`

Langkah berikutnya

Untuk menggunakan modul kustom, lihat Menggunakan modul kustom untuk Security Health Analytics.
Untuk membuat kode definisi modul kustom sendiri, lihat Membuat kode modul kustom untuk Security Health Analytics.
Untuk menguji modul kustom, lihat Menguji modul kustom untuk Security Health Analytics.