Creare e gestire moduli personalizzati per Event Threat Detection

Questa pagina spiega come creare e gestire moduli personalizzati per Event Threat Detection.

Prima di iniziare

Questa sezione descrive i requisiti per l'utilizzo dei moduli personalizzati per Event Threat Detection.

Security Command Center Premium ed Event Threat Detection

Per utilizzare i moduli personalizzati di Event Threat Detection, Event Threat Detection deve essere abilitato. Per abilitare Event Threat Detection, vedi Attivare o disattivare un servizio integrato.

Ruoli e autorizzazioni IAM richiesti

I ruoli IAM determinano le azioni che puoi eseguire con i moduli personalizzati di Event Threat Detection.

La tabella seguente contiene un elenco delle autorizzazioni dei moduli personalizzati di Event Threat Detection richieste, nonché i ruoli IAM predefiniti che le includono.

Puoi utilizzare la console Google Cloud o l'API Security Command Center per applicare questi ruoli a livello di organizzazione, cartella o progetto.

Autorizzazioni obbligatorie Ruolo
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete		 roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate		 roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Se si verificano errori di accesso in Security Command Center, chiedi assistenza all'amministratore. Consulta una delle seguenti pagine a seconda del livello a cui hai attivato Security Command Center:

Log richiesti

Assicurati che i log pertinenti siano attivi per la tua organizzazione, le cartelle e i progetti. Per informazioni sui log richiesti da ciascun tipo di modulo personalizzato, consulta la tabella in Moduli e modelli personalizzati.

I log provenienti da origini al di fuori di Google Cloud non sono supportati.

Livelli dei moduli personalizzati

Questo documento utilizza i seguenti termini per descrivere il livello in cui è stato creato un modulo personalizzato:

Modulo residenziale
Il modulo è stato creato nella visualizzazione o nell'ambito corrente. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione della Google Cloud console, i moduli residenziali sono quelli creati a livello di organizzazione.
Modulo ereditato
Il modulo è stato creato in una vista genitore o un ambito. Ad esempio, un modulo creato a livello di organizzazione è un modulo ereditato a livello di cartella o progetto.
Modulo discendente
Il modulo è stato creato in una vista bambino o un ambito. Ad esempio, un modulo creato a livello di cartella o progetto è un modulo discendente a livello di organizzazione.

Creare moduli personalizzati

Puoi creare moduli personalizzati di Event Threat Detection tramite la consoleGoogle Cloud o modificando un modello JSON e inviandolo tramite gcloud CLI. Hai bisogno dei modelli JSON solo se prevedi di utilizzare gcloud CLI per creare moduli personalizzati.

Per un elenco dei modelli di modulo supportati, consulta Moduli e modelli personalizzati.

Struttura del modello

I modelli definiscono i parametri utilizzati dai moduli personalizzati per identificare le minacce nei log. I modelli sono scritti in JSON e hanno una struttura simile a quella dei risultati generati da Security Command Center. Devi configurare un modello JSON solo se prevedi di utilizzare gcloud CLI per creare un modulo personalizzato.

Ogni modello contiene campi personalizzabili:

  • severity: la gravità o il livello di rischio che vuoi assegnare ai risultati di questo tipo, LOW, MEDIUM, HIGH o CRITICAL.
  • description: la descrizione del modulo personalizzato.
  • recommendation: azioni consigliate per risolvere i problemi generati dal modulo personalizzato.
  • Parametri di rilevamento: le variabili utilizzate per valutare i log e attivare i risultati. I parametri di rilevamento variano per ogni modulo, ma includono uno o più dei seguenti:
    • domains: domini web da monitorare
    • ips: Indirizzi IP da monitorare
    • permissions: autorizzazioni da monitorare
    • regions: le regioni in cui sono consentite nuove istanze Compute Engine
    • roles: ruoli da monitorare
    • accounts: account da monitorare
    • Parametri che definiscono i tipi di istanza Compute Engine consentiti, ad esempio series, cpus e ram_mb.
    • Espressioni regolari per confrontare le proprietà, ad esempio caller_pattern e resource_pattern.

Il seguente esempio di codice è un modello JSON per Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Nell'esempio precedente, il modulo personalizzato genera un risultato di gravità bassa se i log indicano una risorsa connessa all'indirizzo IP 192.0.2.1 o 192.0.2.0/24.

Modificare un modello di modulo

Per creare i moduli, scegli un modello di modulo e modificalo.

Se prevedi di utilizzare Google Cloud CLI per creare il modulo personalizzato, devi eseguire questa attività.

Se prevedi di utilizzare la console Google Cloud per creare il modulo personalizzato, salta questo passaggio. Utilizzerai le opzioni presentate sullo schermo per modificare i parametri del modello.

  1. Scegli un modello da Moduli e modelli personalizzati.
  2. Copia il codice in un file locale.
  3. Aggiorna i parametri che vuoi utilizzare per valutare i log.
  4. Salva il file come file JSON.
  5. Crea un modulo personalizzato tramite gcloud CLI utilizzando il file JSON.

Creare un modulo personalizzato

Questa sezione descrive come creare un modulo personalizzato tramite la consoleGoogle Cloud , gcloud CLI, l'API REST e Terraform. Ogni modulo personalizzato Event Threat Detection ha un limite di dimensioni di 6 MB.

Per creare un modulo personalizzato:

Console

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Fai clic su Crea modulo.
  3. Fai clic sul modello di modulo che vuoi utilizzare.
  4. Fai clic su Seleziona.
  5. In Nome modulo, inserisci un nome visualizzato per il nuovo modello. Il nome non deve superare i 128 caratteri e deve contenere solo caratteri alfanumerici e trattini bassi, ad esempio example_custom_module.
  6. Seleziona o aggiungi i valori dei parametri richiesti. I parametri sono diversi per ogni modulo. Ad esempio, se hai selezionato il modello di modulo Configurable allowed Compute Engine region, seleziona una o più regioni. In alternativa, fornisci l'elenco in formato JSON.
  7. Fai clic su Avanti.
  8. Per Gravità, inserisci il livello di gravità che vuoi assegnare ai risultati generati dal nuovo modulo personalizzato.
  9. In Descrizione, inserisci una descrizione per il nuovo modulo personalizzato.
  10. Per Passaggi successivi, inserisci le azioni consigliate in formato di testo normale. Le interruzioni di paragrafo che aggiungi vengono ignorate.
  11. Fai clic su Crea.

gcloud

Il comando gcloud scc manage custom-modules etd create crea un modulo personalizzato Event Threat Detection per un'organizzazione, una cartella o un progetto.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa a cui appartengono i moduli personalizzati (organization, folder o project)
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto per il modulo personalizzato. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • MODULE_CONFIG: le impostazioni di configurazione per il modulo personalizzato. Utilizza un modello di modulo personalizzato come punto di partenza.
  • MODULE_TYPE: il tipo di modulo personalizzato. Per un elenco dei tipi supportati, consulta Moduli e modelli personalizzati.
  • MODULE_DISPLAY_NAME: il nome visualizzato leggibile da una persona per il modulo personalizzato. Può contenere lettere, numeri e trattini bassi (_). Può contenere fino a 128 caratteri.

Salva i seguenti contenuti in un file denominato request.json: 

{
  MODULE_CONFIG
}

Esegui il comando gcloud scc manage custom-modules etd create:

Linux, macOS o Cloud Shell

gcloud scc manage custom-modules etd create \
    --RESOURCE_TYPE=RESOURCE_ID \
    --custom-config-file=request.json \
    --display-name=MODULE_DISPLAY_NAME \
    --module-type=MODULE_TYPE \
    --enablement-state=ENABLED

Windows (PowerShell)

gcloud scc manage custom-modules etd create `
    --RESOURCE_TYPE=RESOURCE_ID `
    --custom-config-file=request.json `
    --display-name=MODULE_DISPLAY_NAME `
    --module-type=MODULE_TYPE `
    --enablement-state=ENABLED

Windows (cmd.exe)

gcloud scc manage custom-modules etd create ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --custom-config-file=request.json ^
    --display-name=MODULE_DISPLAY_NAME ^
    --module-type=MODULE_TYPE ^
    --enablement-state=ENABLED

REST

Il metodo RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.create dell'API Security Command Center Management crea un modulo personalizzato Event Threat Detection per un'organizzazione, una cartella o un progetto.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa a cui appartiene il modulo personalizzato (organizations, folders o projects).
  • QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio delle quote.
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto per il modulo personalizzato. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • MODULE_CONFIG: le impostazioni di configurazione per il modulo personalizzato. Utilizza un modello di modulo personalizzato come punto di partenza.
  • MODULE_TYPE: il tipo di modulo personalizzato. Per un elenco dei tipi supportati, consulta Moduli e modelli personalizzati.
  • MODULE_DISPLAY_NAME: il nome visualizzato leggibile da una persona per il modulo personalizzato. Può contenere lettere, numeri e trattini bassi (_). Può contenere fino a 128 caratteri.

Metodo HTTP e URL: 

POST https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Corpo JSON della richiesta: 

{
  "config": MODULE_CONFIG,
  "enablementState": "ENABLED",
  "type": "MODULE_TYPE",
  "displayName": "MODULE_DISPLAY_NAME"
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "ENABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-16T19:44:58.588134Z"
}

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per saperne di più, consulta la documentazione di riferimento del fornitore Terraform. 

resource "google_scc_management_organization_event_threat_detection_custom_module" "example" {
  organization = "123456789"
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  type = "CONFIGURABLE_BAD_IP"
  description = "My Event Threat Detection Custom Module"
  config = jsonencode({
    "metadata": {
      "severity": "LOW",
      "description": "Flagged by Forcepoint as malicious",
      "recommendation": "Contact the owner of the relevant project."
    },
    "ips": [
      "192.0.2.1",
      "192.0.2.0/24"
    ]
  })
}

Il modulo personalizzato viene creato e inizia la scansione. Per eliminare un modulo, consulta Eliminare un modulo personalizzato.

Il nome della categoria del modulo personalizzato contiene la categoria di esiti del tipo di modulo e il nome visualizzato del modulo che hai impostato. Ad esempio, il nome della categoria di un modulo personalizzato può essere Unexpected Compute Engine Region: example_custom_module. Nella console Google Cloud , i trattini bassi vengono visualizzati come spazi. Tuttavia, nelle query devi includere i trattini bassi.

Le quote regolano l'utilizzo dei moduli personalizzati per Event Threat Detection.

Latenza di rilevamento

La latenza di rilevamento per Event Threat Detection e tutti gli altri servizi integrati di Security Command Center è descritta in Latenza di scansione.

Esaminare i risultati

I risultati generati dai moduli personalizzati possono essere visualizzati nella console Google Cloud o utilizzando gcloud CLI o l'API REST.

Console

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Moduli personalizzati di Event Threat Detection. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il pannello dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

gcloud

Trovare l'ID origine

Il comando gcloud scc sources describe mostra informazioni su un'origine dei risultati per Security Command Center.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa a cui appartiene l'origine (organizations, folders o projects).
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.

Esegui il comando gcloud scc sources describe:

Linux, macOS o Cloud Shell

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID \
    --source-display-name="Event Threat Detection Custom Modules"

Windows (PowerShell)

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID `
    --source-display-name="Event Threat Detection Custom Modules"

Windows (cmd.exe)

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID ^
    --source-display-name="Event Threat Detection Custom Modules"

Dovresti ricevere una risposta simile alla seguente:

canonicalName: organizations/123456789012/sources/98765432109876543210
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: organizations/123456789012/sources/98765432109876543210

L'ID origine è il valore numerico alla fine dei campi canonicalName e name, ad esempio 98765432109876543210.

Elenca tutti i risultati per i moduli personalizzati di Event Threat Detection

Il comando gcloud scc findings list elenca i risultati per una sorgente in una posizione specifica.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa da recuperare (organizations, folders o projects).
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • LOCATION: la posizione di Security Command Center da utilizzare, ad esempio eu. Se la residenza dei dati non è abilitata, utilizza global.
  • SOURCE_ID: l'identificatore numerico dell'origine dei risultati.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION

Windows (PowerShell)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION

La risposta contiene un elenco di risultati.

Elenca i risultati per un modulo personalizzato specifico

Il comando gcloud scc findings list elenca i risultati per una sorgente in una posizione specifica.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa da recuperare (organizations, folders o projects).
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • LOCATION: la posizione di Security Command Center da utilizzare, ad esempio eu. Se la residenza dei dati non è abilitata, utilizza global.
  • SOURCE_ID: l'identificatore numerico dell'origine dei risultati.
  • CUSTOM_MODULE_CATEGORY_NAME: il nome della categoria del modulo personalizzato, composto dalla categoria di esiti del modulo (come elencato in Moduli e modelli personalizzati), due punti, uno spazio e il nome visualizzato del modulo con gli spazi sostituiti da trattini bassi. Ad esempio: Unexpected Compute Engine region: example_custom_module.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION \
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

Windows (PowerShell)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION `
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

Windows (cmd.exe)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION ^
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

La risposta contiene un elenco di risultati.

REST

Trovare l'ID origine

Il metodo RESOURCE_TYPE.sources.list dell'API Security Command Center elenca le informazioni sulle origini dei risultati di Security Command Center.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa padre (organizations, folders o projects).
  • QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio delle quote.
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.

Metodo HTTP e URL: 

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene un elenco di risultati.

{
  "sources": [
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Security Command Center",
      "description": "Detector for misconfigurations within the Security Command Center platform.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    },
    {
      "name": "organizations/123456789012/sources/8765432109876543210",
      "displayName": "Application Design Center",
      "description": "Provides vulnerabilities on ADC resources.",
      "canonicalName": "organizations/123456789012/sources/8765432109876543210"
    },
    {
      "name": "organizations/123456789012/sources/7654321098765432109",
      "displayName": "Cloud Anomaly Detection",
      "description": "Provider used by Cloud Anomaly Detection",
      "canonicalName": "organizations/123456789012/sources/7654321098765432109"
    },
    {
      "name": "organizations/123456789012/sources/6543210987654321098",
      "displayName": "Vulnerability Assessment",
      "description": "Provider for Vulnerability Assessment.",
      "canonicalName": "organizations/123456789012/sources/6543210987654321098"
    },
    {
      "name": "organizations/123456789012/sources/5432109876543210987",
      "displayName": "Data Security Posture Management",
      "description": "Service to detect drift and post findings",
      "canonicalName": "organizations/123456789012/sources/5432109876543210987"
    },
    {
      "name": "organizations/123456789012/sources/4321098765432109876",
      "displayName": "Notebook Security Scanner",
      "description": "Provider for the Notebook Security Scanner",
      "canonicalName": "organizations/123456789012/sources/4321098765432109876"
    },
    {
      "name": "organizations/123456789012/sources/3210987654321098765",
      "displayName": "GKE Security Posture",
      "description": "Provides actionable security issues on GKE.",
      "canonicalName": "organizations/123456789012/sources/3210987654321098765"
    },
    {
      "name": "organizations/123456789012/sources/2109876543210987654",
      "displayName": "Integrated Vulnerability Scanner",
      "description": "Provider for Integrated Vulnerability Scanner.",
      "canonicalName": "organizations/123456789012/sources/2109876543210987654"
    },
    {
      "name": "organizations/123456789012/sources/1098765432109876543",
      "displayName": "Event Threat Detection Custom Modules",
      "description": "Provider used by Event Threat Detection Custom Modules",
      "canonicalName": "organizations/123456789012/sources/1098765432109876543"
    },
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Serverless Vulnerability Detection",
      "description": "Provides vulnerability detection for serverless assets.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    }
  ]
}

L'ID origine è il valore numerico alla fine dei campi canonicalName e name.

Elenca i risultati per i moduli personalizzati di Event Threat Detection

Il metodo RESOURCE_TYPE.sources.locations.findings.list dell'API Security Command Center elenca i risultati per un'origine in una località specifica.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio delle quote.
  • RESOURCE_TYPE: il tipo di risorsa da recuperare (organizations, folders o projects).
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • LOCATION: la posizione di Security Command Center da utilizzare, ad esempio eu. Se la residenza dei dati non è abilitata, utilizza global.
  • SOURCE_ID: l'identificatore numerico dell'origine dei risultati.

Metodo HTTP e URL: 

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene un elenco di risultati.

Per scoprire di più sul filtraggio dei risultati, consulta Elenco dei risultati di sicurezza.

I risultati generati dai moduli personalizzati possono essere gestiti come tutti i risultati in Security Command Center. Per ulteriori informazioni, consulta le seguenti risorse:

Gestire i moduli personalizzati per Event Threat Detection

Questa sezione descrive come visualizzare, elencare, aggiornare ed eliminare i moduli personalizzati di Event Threat Detection.

Visualizzare o elencare i moduli personalizzati

Per impostazione predefinita, quando elenchi i moduli personalizzati per Event Threat Detection, vengono visualizzati tutti i seguenti elementi:

  • Tutti i moduli personalizzati Event Threat Detection che appartengono all'organizzazione, alla cartella o al progetto.
  • Tutti i moduli personalizzati Event Threat Detection ereditati. Ad esempio, se stai visualizzando un progetto, i moduli personalizzati creati nell'organizzazione e nelle cartelle padre del progetto sono inclusi nei risultati.
  • Tutti i moduli personalizzati di Event Threat Detection creati nelle risorse secondarie. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, i moduli personalizzati nelle cartelle e nei progetti dell'organizzazione vengono inclusi nei risultati.

Console

  1. Visualizza i moduli per il servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. (Facoltativo) Per visualizzare solo i moduli personalizzati, inserisci Type:Custom nella casella Filtro.

gcloud

Il comando gcloud scc manage custom-modules etd list elenca tutti i moduli personalizzati di Event Threat Detection per un'organizzazione, una cartella o un progetto.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa a cui appartengono i moduli personalizzati (organization, folder o project).
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.

Esegui il comando gcloud scc manage custom-modules etd list:

Linux, macOS o Cloud Shell

gcloud scc manage custom-modules etd list \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage custom-modules etd list `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage custom-modules etd list ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

- config:
    metadata:
      description: There is a Compute Engine instance in a region that's not allowed.
      recommendation: Delete the instance. If necessary, create a new instance in
        an allowed region.
      severity: MEDIUM
    regions:
    - region: northamerica-northeast1
  displayName: compute_instance_prohibited_region
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321
  type: CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
  updateTime: '2026-02-19T01:23:10.237946Z'
- config:
    metadata:
      description: An IAM custom role contains permissions that aren't allowed.
      recommendation: Remove the permissions from the custom role.
      severity: MEDIUM
    permissions:
    - accessapproval.requests.get
    - accessapproval.requests.invalidate
    - accessapproval.requests.list
    - accessapproval.settings.delete
  displayName: iam_custom_role_prohibited_permissions
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
  type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
  updateTime: '2025-12-23T06:54:15.618430Z'

REST

Il metodo RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.list dell'API Security Command Center Management elenca tutti i moduli personalizzati di Event Threat Detection per un'organizzazione, una cartella o un progetto.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa a cui appartengono i moduli personalizzati (organizations, folders o projects).
  • QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio delle quote.
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.

Metodo HTTP e URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

[
  {
    "config": {
      "metadata": {
        "description": "There is a Compute Engine instance in a region that's not allowed.",
        "recommendation": "Delete the instance. If necessary, create a new instance in an allowed region.",
        "severity": "MEDIUM"
      },
      "regions": [
        {
          "region": "northamerica-northeast1"
        }
      ]
    },
    "displayName": "compute_instance_prohibited_region",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321",
    "type": "CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION",
    "updateTime": "2026-02-19T01:23:10.237946Z"
  },
  {
    "config": {
      "metadata": {
        "description": "An IAM custom role contains permissions that aren't allowed.",
        "recommendation": "Remove the permissions from the custom role.",
        "severity": "MEDIUM"
      },
      "permissions": [
        "accessapproval.requests.get",
        "accessapproval.requests.invalidate",
        "accessapproval.requests.list",
        "accessapproval.settings.delete"
      ]
    },
    "displayName": "iam_custom_role_prohibited_permissions",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
    "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
    "updateTime": "2025-12-23T06:54:15.618430Z"
  }
]

Attivare o disattivare un modulo personalizzato

Quando abiliti o disabiliti un modulo personalizzato, la modifica viene applicata all'organizzazione, alla cartella o al progetto a cui appartiene il modulo personalizzato. Questa risorsa è il genitore del modulo personalizzato.

La modifica può essere ereditata anche da cartelle o progetti discendenti del modulo personalizzato principale. Ad esempio, se crei un modulo personalizzato in una cartella, i progetti all'interno di questa cartella possono ereditare lo stato del modulo personalizzato.

Se l'elemento padre di un modulo personalizzato è una cartella o un progetto, devi attivare o disattivare il modulo personalizzato allo stesso livello della gerarchia delle risorse o a un livello inferiore. Ad esempio, se l'elemento principale di un modulo personalizzato è un progetto, non puoi attivare o disattivare il modulo personalizzato per un'organizzazione o una cartella. Questi tipi di risorse sono sempre antenati dei progetti.

Console

Vedi Visualizzare e modificare i moduli di un servizio.

gcloud

Il comando gcloud scc manage custom-modules etd update aggiorna lo stato di un modulo personalizzato per Event Threat Detection.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa da aggiornare (organization, folder o project).
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto per il modulo personalizzato. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • MODULE_ID: l'identificatore numerico del modulo
  • NEW_STATE: ENABLED per attivare il modulo; DISABLED per disattivare il modulo; o INHERITED per ereditare lo stato di attivazione della risorsa padre (valido solo per progetti e cartelle).

Esegui il comando gcloud scc manage custom-modules etd update:

Linux, macOS o Cloud Shell

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state="NEW_STATE"

Windows (PowerShell)

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state="NEW_STATE"

Windows (cmd.exe)

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state="NEW_STATE"

Dovresti ricevere una risposta simile alla seguente:

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: DISABLED
name: projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2026-03-20T16:52:27.046766Z'

REST

Il metodo RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.patch dell'API Security Command Center Management aggiorna lo stato di un modulo personalizzato per Event Threat Detection.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa da aggiornare (organizations, folders o projects).
  • QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio delle quote.
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto per il modulo personalizzato. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • MODULE_ID: l'identificatore numerico del modulo
  • NEW_STATE: ENABLED per attivare il modulo; DISABLED per disattivare il modulo; o INHERITED per ereditare lo stato di attivazione della risorsa padre (valido solo per progetti e cartelle).
  • FIELDS_TO_UPDATE: facoltativo. Un elenco separato da virgole di campi da aggiornare. Se omesso, vengono aggiornati tutti i campi.

Metodo HTTP e URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState

Corpo JSON della richiesta: 

{
  "enablementState": "NEW_STATE"
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "DISABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-20T16:52:27.046766Z"
}

Aggiorna la definizione di un modulo personalizzato

Questa sezione descrive come aggiornare un modulo personalizzato tramite la consoleGoogle Cloud e tramite gcloud CLI. Ogni modulo personalizzato Event Threat Detection ha un limite di dimensioni di 6 MB.

Non puoi aggiornare il tipo di modulo di un modulo personalizzato.

Per aggiornare un modulo personalizzato:

Console

Puoi modificare solo i moduli personalizzati residenziali. Ad esempio, se ti trovi nella visualizzazione dell'organizzazione, puoi modificare solo i moduli personalizzati creati a livello di organizzazione.

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Trova il modulo personalizzato che vuoi modificare.
  3. Per il modulo personalizzato, fai clic su Azioni > Modifica.
  4. Modifica il modulo personalizzato in base alle esigenze.
  5. Fai clic su Salva.

gcloud

Per aggiornare un modulo, esegui il comando seguente e includi il JSON del modello di modulo aggiornato:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Sostituisci quanto segue:

  • CUSTOM_MODULE_ID: l'ID numerico del modulo personalizzato Event Threat Detection, ad esempio 1234567890. Puoi ottenere l'ID numerico dal campo name del modulo personalizzato pertinente quando visualizzi l'elenco dei moduli personalizzati.
  • RESOURCE_FLAG: l'ambito della risorsa principale in cui risiede il modulo personalizzato; uno tra organization, folder o project.
  • RESOURCE_ID: l'ID della risorsa padre, ovvero l'ID organizzazione, l'ID cartella o l'ID progetto.
  • PATH_TO_JSON_FILE: il file JSON contenente la definizione JSON del modulo personalizzato.

Controllare lo stato di un singolo modulo personalizzato

Console

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.

  2. Trova il modulo personalizzato nell'elenco.

    Lo stato del modulo personalizzato viene visualizzato nella colonna Stato.

gcloud

Il comando gcloud scc manage custom-modules etd describe recupera un modulo personalizzato Event Threat Detection per un'organizzazione, una cartella o un progetto.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa a cui appartiene il modulo personalizzato (organization, folder o project).
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • MODULE_ID: l'identificatore numerico del modulo personalizzato.

Esegui il comando gcloud scc manage custom-modules etd describe:

Linux, macOS o Cloud Shell

gcloud scc manage custom-modules etd describe MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage custom-modules etd describe MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage custom-modules etd describe MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: ENABLED
name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2025-12-23T06:54:15.618430Z'

REST

Il metodo RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.get dell'API Security Command Center Management recupera un modulo personalizzato di Event Threat Detection per un'organizzazione, una cartella o un progetto.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa a cui appartiene il modulo personalizzato (organizations, folders o projects).
  • QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio delle quote.
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • MODULE_ID: l'identificatore numerico del modulo personalizzato.

Metodo HTTP e URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "config": {
    "metadata": {
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role.",
      "severity": "MEDIUM"
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "displayName": "iam_custom_role_prohibited_permissions",
  "enablementState": "ENABLED",
  "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "updateTime": "2025-12-23T06:54:15.618430Z"
}

Eliminare un modulo personalizzato

Quando elimini un modulo personalizzato di Event Threat Detection, i risultati che ha generato non vengono modificati e rimangono disponibili in Security Command Center. Al contrario, quando elimini un modulo personalizzato di Security Health Analytics, i risultati generati vengono contrassegnati come non attivi.

Non puoi recuperare un modulo personalizzato eliminato.

Console

Non puoi eliminare i moduli personalizzati ereditati. Ad esempio, se ti trovi nella visualizzazione progetto, non puoi eliminare i moduli personalizzati creati a livello di cartella o organizzazione.

Per eliminare un modulo personalizzato tramite la console Google Cloud :

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Trova il modulo personalizzato che vuoi eliminare.
  3. Per il modulo personalizzato, fai clic su Azioni > Elimina. Viene visualizzato un messaggio che ti chiede di confermare l'eliminazione.
  4. Fai clic su Elimina.

gcloud

Il comando gcloud scc manage custom-modules etd delete crea un modulo personalizzato Event Threat Detection per un'organizzazione, una cartella o un progetto.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa a cui appartengono i moduli personalizzati (organization, folder o project).
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto per il modulo personalizzato. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • MODULE_ID: l'identificatore numerico del modulo personalizzato.

Esegui il comando gcloud scc manage custom-modules etd delete:

Linux, macOS o Cloud Shell

gcloud scc manage custom-modules etd delete MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage custom-modules etd delete MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage custom-modules etd delete MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

Deleted [projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210].

REST

Il metodo RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.delete dell'API Security Command Center Management crea un modulo personalizzato Event Threat Detection per un'organizzazione, una cartella o un progetto.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa a cui apparterrà il modulo personalizzato (organizations, folders o projects)
  • QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio delle quote.
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto per il modulo personalizzato. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
  • MODULE_ID: l'identificatore numerico del modulo personalizzato.

Metodo HTTP e URL: 

DELETE https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{}

Clonare un modulo personalizzato

Quando cloni un modulo personalizzato, il modulo personalizzato risultante viene creato come residente della risorsa che stai visualizzando. Ad esempio, se cloni un modulo personalizzato che il tuo progetto ha ereditato dall'organizzazione, il nuovo modulo personalizzato è un modulo residenziale nel progetto.

Non puoi clonare un modulo personalizzato discendente.

Per clonare un modulo personalizzato tramite la console Google Cloud :

  1. Visualizza i moduli del servizio Event Threat Detection. I moduli predefiniti e personalizzati vengono visualizzati in un elenco.
  2. Individua il modulo personalizzato che vuoi clonare.
  3. Per il modulo personalizzato, fai clic su Azioni > Clona.
  4. Modifica il modulo personalizzato in base alle esigenze.
  5. Fai clic su Crea.

Passaggi successivi