Übersicht über benutzerdefinierte Module für Security Health Analytics

Auf dieser Seite finden Sie einen Überblick über benutzerdefinierte Module von Security Health Analytics. Informationen zu integrierten Modulen finden Sie unter Integrierte Detektoren von Security Health Analytics.

Mit benutzerdefinierten Modulen können Sie die Erkennungsfunktionen von Security Health Analytics erweitern, indem Sie benutzerdefinierte Detektoren erstellen, die die von Ihnen angegebenen Google Cloud-Ressourcen und ‑Richtlinien anhand von Regeln prüfen, die Sie definieren, um nach Sicherheitslücken, Fehlkonfigurationen oder Compliance-Verstößen zu suchen.

Die Konfiguration oder Definition eines benutzerdefinierten Moduls, unabhängig davon, ob Sie es in derGoogle Cloud -Konsole erstellen oder selbst codieren, bestimmt die Ressourcen, die der Detektor prüft, die Eigenschaften, die der Detektor auswertet, und die Informationen, die der Detektor zurückgibt, wenn eine Sicherheitslücke oder Fehlkonfiguration erkannt wird.

Sie können benutzerdefinierte Module für jede Ressource oder jedes Asset erstellen, die von Security Command Center unterstützt werden.

Wenn Sie benutzerdefinierte Moduldefinitionen selbst codieren, verwenden Sie YAML- und CEL-Ausdrücke (Common Expression Language). Wenn Sie dieGoogle Cloud -Konsole zum Erstellen Ihrer benutzerdefinierten Module verwenden, wird der Großteil des Codes für Sie erstellt. Sie müssen jedoch die CEL-Ausdrücke codieren.

Ein Beispiel für die Definition eines benutzerdefinierten Moduls in einer YAML-Datei finden Sie unter Beispiel für die Definition eines benutzerdefinierten Moduls.

Benutzerdefinierte Module werden neben integrierten Detektoren von Security Health Analytics sowohl in Echtzeit- als auch in Batchscans ausgeführt. Im Echtzeitmodus werden Scans ausgelöst, wenn sich die Konfiguration eines Assets ändert. Batch-Scans werden einmal täglich mit allen Detektoren für registrierte Organisationen oder Projekte ausgeführt.

Während eines Scans wird jeder benutzerdefinierte Detektor auf alle übereinstimmenden Assets in jeder Organisation, jedem Ordner oder jedem Projekt angewendet, für die er aktiviert ist.

Ergebnisse von benutzerdefinierten Detektoren werden in Security Command Center geschrieben.

Hier finden Sie weitere Informationen:

Integrierte Detektoren und benutzerdefinierte Module vergleichen

Benutzerdefinierte Module bieten umfassendere Erkennungsfunktionen als die integrierten Security Health Analytics-Detektoren. Benutzerdefinierte Module unterstützen jedoch einige Security Command Center-Funktionen nicht, die von den integrierten Detektoren bereitgestellt werden.

Funktionsunterstützung

Benutzerdefinierte Module von Security Health Analytics werden von Angriffspfadsimulationen nicht unterstützt. Ergebnisse, die von benutzerdefinierten Modulen generiert werden, enthalten keine Risikowerte für Angriffspfade oder Angriffspfade.

Erkennungslogik vergleichen

Ein Beispiel für die Möglichkeiten eines benutzerdefinierten Moduls: Vergleichen Sie, was der integrierte Detektor PUBLIC_SQL_INSTANCE prüft, mit dem, was Sie mit einem benutzerdefinierten Modul tun können.

Der integrierte Detektor PUBLIC_SQL_INSTANCE prüft, ob das Attribut authorizedNetworks von Cloud SQL-Instanzen auf 0.0.0.0/0 gesetzt ist. Wenn dies der Fall ist, generiert der Detektor ein Ergebnis, in dem angegeben wird, dass die Cloud SQL-Instanz öffentlich zugänglich ist, da sie Verbindungen von allen IP-Adressen akzeptiert.

Mit einem benutzerdefinierten Modul können Sie komplexere Erkennungslogik implementieren, um Cloud SQL-Instanzen auf Folgendes zu prüfen:

IP-Adressen mit bestimmten Präfixen mithilfe von Platzhaltern.
Der Wert der Property state, mit der Sie Instanzen ignorieren können, wenn der Wert auf MAINTENANCE festgelegt ist, oder Ergebnisse auslösen können, wenn der Wert etwas anderes ist.
Der Wert des Attributs region, mit dem Sie Ergebnisse nur für Instanzen mit öffentlichen IP-Adressen in bestimmten Regionen auslösen können.

Erforderliche IAM-Rollen und ‑Berechtigungen

IAM-Rollen bestimmen die Aktionen, die Sie mit benutzerdefinierten Modulen für Security Health Analytics ausführen können.

In der folgenden Tabelle finden Sie eine Liste der für benutzerdefinierte Security Health Analytics-Module erforderlichen Berechtigungen sowie die vordefinierten IAM-Rollen, die diese Berechtigungen enthalten.

Sie können die Google Cloud -Konsole oder die Security Command Center API verwenden, um diese Rollen auf Organisations-, Ordner- oder Projektebene anzuwenden.

Erforderliche Berechtigungen Rollen

securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin

securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin

Erforderliche Berechtigungen	Rollen
securitycentermanagement.securityHealthAnalyticsCustomModules.create securitycentermanagement.securityHealthAnalyticsCustomModules.update securitycentermanagement.securityHealthAnalyticsCustomModules.delete securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test	`roles/securitycentermanagement.shaCustomModulesEditor roles/securitycenter.settingsEditor roles/securitycenter.admin`
`securitycentermanagement.securityHealthAnalyticsCustomModules.list securitycentermanagement.securityHealthAnalyticsCustomModules.get securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.list securitycentermanagement.effectiveSecurityHealthAnalyticsCustomModules.get securitycentermanagement.securityHealthAnalyticsCustomModules.simulate securitycentermanagement.securityHealthAnalyticsCustomModules.test`	`roles/securitycentermanagement.shaCustomModulesViewer roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin`

Weitere Informationen zu IAM-Berechtigungen und -Rollen sowie zum Zuweisen von Berechtigungen finden Sie unter IAM-Rolle über die Google Cloud Console zuweisen.

Kontingente für benutzerdefinierte Module

Für benutzerdefinierte Module von Security Health Analytics gelten Kontingentlimits.

Das Standardkontingentlimit für das Erstellen benutzerdefinierter Module beträgt 100. Sie können jedoch bei Bedarf eine Kontingenterhöhung anfordern.

Für API-Aufrufe von benutzerdefinierten Modulmethoden gelten ebenfalls Kontingentlimits. In der folgenden Tabelle sind die Standardkontingentlimits für API-Aufrufe für benutzerdefinierte Module aufgeführt.

API-Aufruftyp	Limit
CustomModules Read Requests (Get, List)	1.000 API-Aufrufe pro Minute pro Organisation
CustomModules Write Requests (Create, Update, Delete)	60 API-Aufrufe pro Minute pro Organisation
Testanfragen für benutzerdefinierte Module	12 API-Aufrufe pro Minute pro Organisation

Senden Sie für Kontingenterhöhungen eine Anfrage in der Google Cloud Console auf der Seite Kontingente.

Weitere Informationen zu Security Command Center-Kontingenten finden Sie unter Kontingente und Limits.

Unterstützte Ressourcentypen

In diesem Abschnitt werden die mit benutzerdefinierten Modulen unterstützten Google Cloud Ressourcentypen zusammengefasst.

Dienstname	Ressourcenname
Access Context Manager	`accesscontextmanager.googleapis.com/AccessLevel` `accesscontextmanager.googleapis.com/AccessPolicy accesscontextmanager.googleapis.com/ServicePerimeter`
Gemini Enterprise Agent Platform	`aiplatform.googleapis.com/BatchPredictionJob` `aiplatform.googleapis.com/CustomJob aiplatform.googleapis.com/Dataset aiplatform.googleapis.com/Endpoint aiplatform.googleapis.com/Featurestore aiplatform.googleapis.com/HyperparameterTuningJob aiplatform.googleapis.com/Index aiplatform.googleapis.com/MetadataStore aiplatform.googleapis.com/Model aiplatform.googleapis.com/NotebookRuntimeTemplate aiplatform.googleapis.com/SpecialistPool aiplatform.googleapis.com/Tensorboard aiplatform.googleapis.com/TrainingPipeline`
AlloyDB	`alloydb.googleapis.com/Backup` `alloydb.googleapis.com/Cluster alloydb.googleapis.com/Instance`
API-Schlüssel	`apikeys.googleapis.com/Key`
Artifact Registry-Repository	`artifactregistry.googleapis.com/Repository`
BigQuery	`bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Model bigquery.googleapis.com/Table bigquerydatatransfer.googleapis.com/TransferConfig`
Abrechnungsinformationen für Cloud Billing-Projekt	`cloudbilling.googleapis.com/ProjectBillingInfo`
Cloud Run-Funktionen	`cloudfunctions.googleapis.com/CloudFunction`
Cloud KMS	`cloudkms.googleapis.com/CryptoKey` `cloudkms.googleapis.com/CryptoKeyVersion cloudkms.googleapis.com/ImportJob cloudkms.googleapis.com/KeyRing`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder` `cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project cloudresourcemanager.googleapis.com/TagBinding`
Managed Service for Apache Airflow-Umgebung	`composer.googleapis.com/Environment`
Compute Engine	`compute.googleapis.com/Address` compute.googleapis.com/Autoscaler compute.googleapis.com/BackendBucket compute.googleapis.com/BackendService compute.googleapis.com/Commitment compute.googleapis.com/Disk compute.googleapis.com/Firewall compute.googleapis.com/FirewallPolicy compute.googleapis.com/ForwardingRule compute.googleapis.com/GlobalForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManagers compute.googleapis.com/InstanceTemplate compute.googleapis.com/InterconnectAttachment compute.googleapis.com/MachineImage compute.googleapis.com/Network compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/Project compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/Reservation compute.googleapis.com/ResourcePolicy compute.googleapis.com/Route compute.googleapis.com/Router compute.googleapis.com/SecurityPolicy compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/SslPolicy compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetSslProxy compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel
Google Kubernetes Engine	`container.googleapis.com/Cluster` `container.googleapis.com/NodePool`
Dataflow	`dataflow.googleapis.com/Job`
Cloud Data Fusion	`datafusion.googleapis.com/Instance`
Managed Service for Apache Spark	`dataproc.googleapis.com/AutoscalingPolicy` `dataproc.googleapis.com/Batch dataproc.googleapis.com/Cluster dataproc.googleapis.com/Job`
Datastream	`datastream.googleapis.com/ConnectionProfile` `datastream.googleapis.com/PrivateConnection datastream.googleapis.com/Stream`
Dialogflow CX	`dialogflow.googleapis.com/Agent`
Sensitive Data Protection	`dlp.googleapis.com/DeidentifyTemplate` `dlp.googleapis.com/DlpJob dlp.googleapis.com/InspectTemplate dlp.googleapis.com/JobTrigger dlp.googleapis.com/StoredInfoType`
Cloud DNS	`dns.googleapis.com/ManagedZone` `dns.googleapis.com/Policy`
Filestore	`file.googleapis.com/Instance`
Hub (auch als Flotten bezeichnet)	`gkehub.googleapis.com/Feature` `gkehub.googleapis.com/Membership`
IAM	`iam.googleapis.com/Role` `iam.googleapis.com/ServiceAccountKey`
`Kubernetes`	`k8s.io/Namespace` `k8s.io/Node k8s.io/Pod k8s.io/Service apps.k8s.io/DaemonSet apps.k8s.io/Deployment apps.k8s.io/ReplicaSet apps.k8s.io/StatefulSet batch.k8s.io/CronJob networking.k8s.io/Ingress networking.k8s.io/NetworkPolicy rbac.authorization.k8s.io/ClusterRole rbac.authorization.k8s.io/ClusterRoleBinding rbac.authorization.k8s.io/Role rbac.authorization.k8s.io/RoleBinding`
Cloud Logging	`logging.googleapis.com/LogBucket` `logging.googleapis.com/LogMetric logging.googleapis.com/LogSink`
Cloud Monitoring	`monitoring.googleapis.com/AlertPolicy` `monitoring.googleapis.com/NotificationChannel`
NetApp Volumes
`netapp.googleapis.com/Snapshot` `netapp.googleapis.com/Volume`
Gemini Enterprise Agent Platform Workbench	`notebooks.googleapis.com/Instance`
Organisationsrichtliniendienst v2	`orgpolicy.googleapis.com/CustomConstraint` `orgpolicy.googleapis.com/Policy`
Certificate Authority Service	`privateca.googleapis.com/Certificate` `privateca.googleapis.com/CertificateRevocationList`
Pub/Sub	`pubsub.googleapis.com/Snapshot` `pubsub.googleapis.com/Subscription pubsub.googleapis.com/Topic`
Memorystore for Redis	`redis.googleapis.com/Cluster` `redis.googleapis.com/Instance`
Cloud Run	`run.googleapis.com/DomainMapping` `run.googleapis.com/Execution run.googleapis.com/Job run.googleapis.com/Revision run.googleapis.com/Service`
Secret Manager	`secretmanager.googleapis.com/Secret` `secretmanager.googleapis.com/SecretVersion`
Service Usage	`serviceusage.googleapis.com/Service`
Spanner	`spanner.googleapis.com/Backup` `spanner.googleapis.com/Database spanner.googleapis.com/Instance`
Cloud SQL for MySQL	`sqladmin.googleapis.com/BackupRun` `sqladmin.googleapis.com/Instance`
Cloud Storage	`storage.googleapis.com/Bucket`
Google Cloud VMware Engine	`vmwareengine.googleapis.com/Cluster` `vmwareengine.googleapis.com/ExternalAccessRule vmwareengine.googleapis.com/ExternalAddress vmwareengine.googleapis.com/NetworkPeering vmwareengine.googleapis.com/NetworkPolicy vmwareengine.googleapis.com/PrivateCloud vmwareengine.googleapis.com/PrivateConnection vmwareengine.googleapis.com/VmwareEngineNetwork`
VPC-Connector	`vpcaccess.googleapis.com/Connector`
Cloud Workstations	`workstations.googleapis.com/Workstation` `workstations.googleapis.com/WorkstationConfig`

Nächste Schritte

Weitere Informationen zum Arbeiten mit benutzerdefinierten Modulen finden Sie unter Benutzerdefinierte Module für Security Health Analytics verwenden.
Wenn Sie benutzerdefinierte Moduldefinitionen selbst codieren möchten, lesen Sie den Abschnitt Benutzerdefinierte Module für Security Health Analytics codieren.
Informationen zum Testen benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module für Security Health Analytics testen.