Créer et gérer des modules personnalisés pour Event Threat Detection

Console

1. Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent dans une liste.
2. Cliquez sur Créer un module.
3. Cliquez sur le modèle de module que vous souhaitez utiliser.
4. Cliquez sur Sélectionner.
5. Dans le champ Nom du module, saisissez un nom à afficher pour le nouveau modèle. Le nom ne doit pas dépasser 128 caractères et ne doit contenir que des caractères alphanumériques et des traits de soulignement (par exemple, example_custom_module).
6. Sélectionnez ou ajoutez les valeurs de paramètre demandées. Les paramètres diffèrent pour chaque module. Par exemple, si vous avez sélectionné le modèle de module Configurable allowed Compute Engine region, vous devez sélectionner une ou plusieurs régions. Vous pouvez également fournir la liste au format JSON.
7. Cliquez sur Suivant.
8. Pour Gravité, saisissez le niveau de gravité que vous souhaitez attribuer aux résultats générés par le nouveau module personnalisé.
9. Dans le champ Description, saisissez une description pour le nouveau module personnalisé.
10. Dans Étapes suivantes, saisissez les actions recommandées au format texte brut. Les sauts de ligne que vous ajoutez sont ignorés.
11. Cliquez sur Créer.

gcloud

La commande gcloud scc manage custom-modules etd create crée un module personnalisé Event Threat Detection pour une organisation, un dossier ou un projet.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource auquel appartiennent les modules personnalisés (organization, folder ou project)
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet pour le module personnalisé. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• MODULE_CONFIG : paramètres de configuration du module personnalisé. Utilisez un modèle de module personnalisé comme point de départ.
• MODULE_TYPE : type de module personnalisé. Pour obtenir la liste des types acceptés, consultez Modules et modèles personnalisés.
• MODULE_DISPLAY_NAME : nom à afficher lisible pour le module personnalisé. Il peut contenir des lettres, des chiffres et des traits de soulignement (_), et ne peut pas comporter plus de 128 caractères.

Enregistrez le code suivant dans un fichier nommé request.json :

{
  MODULE_CONFIG
}

Exécutez la commande gcloud scc manage custom-modules etd create :

gcloud scc manage custom-modules etd create \
    --RESOURCE_TYPE=RESOURCE_ID \
    --custom-config-file=request.json \
    --display-name=MODULE_DISPLAY_NAME \
    --module-type=MODULE_TYPE \
    --enablement-state=ENABLED

gcloud scc manage custom-modules etd create `
    --RESOURCE_TYPE=RESOURCE_ID `
    --custom-config-file=request.json `
    --display-name=MODULE_DISPLAY_NAME `
    --module-type=MODULE_TYPE `
    --enablement-state=ENABLED

gcloud scc manage custom-modules etd create ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --custom-config-file=request.json ^
    --display-name=MODULE_DISPLAY_NAME ^
    --module-type=MODULE_TYPE ^
    --enablement-state=ENABLED

REST

La méthode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.create de l'API Security Command Center Management crée un module personnalisé Event Threat Detection pour une organisation, un dossier ou un projet.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource à laquelle appartient le module personnalisé (organizations, folders ou projects).
• QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas.
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet pour le module personnalisé. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• MODULE_CONFIG : paramètres de configuration du module personnalisé. Utilisez un modèle de module personnalisé comme point de départ.
• MODULE_TYPE : type de module personnalisé. Pour obtenir la liste des types acceptés, consultez Modules et modèles personnalisés.
• MODULE_DISPLAY_NAME : nom à afficher lisible pour le module personnalisé. Il peut contenir des lettres, des chiffres et des traits de soulignement (_), et ne peut pas comporter plus de 128 caractères.

Méthode HTTP et URL :

POST https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Corps JSON de la requête :

{
  "config": MODULE_CONFIG,
  "enablementState": "ENABLED",
  "type": "MODULE_TYPE",
  "displayName": "MODULE_DISPLAY_NAME"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "ENABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-16T19:44:58.588134Z"
}

Terraform

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base. Pour en savoir plus, lisez la documentation de référence du fournisseur Terraform.

resource "google_scc_management_organization_event_threat_detection_custom_module" "example" {
  organization = "123456789"
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  type = "CONFIGURABLE_BAD_IP"
  description = "My Event Threat Detection Custom Module"
  config = jsonencode({
    "metadata": {
      "severity": "LOW",
      "description": "Flagged by Forcepoint as malicious",
      "recommendation": "Contact the owner of the relevant project."
    },
    "ips": [
      "192.0.2.1",
      "192.0.2.0/24"
    ]
  })
}

Console

1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

   Accéder aux résultats

2. Sélectionnez votre projet ou votre organisation Google Cloud .
3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Modules personnalisés Event Threat Detection. Les résultats de la requête sont mis à jour pour n'afficher que les résultats provenant de cette source.
4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
5. Dans l'onglet Résumé, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

gcloud

Trouver l'ID de la source

La commande gcloud scc sources describe affiche des informations sur une source de résultats pour Security Command Center.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource à laquelle appartient la source (organizations, folders ou projects).
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.

Exécutez la commande gcloud scc sources describe  :

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID \
    --source-display-name="Event Threat Detection Custom Modules"

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID `
    --source-display-name="Event Threat Detection Custom Modules"

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID ^
    --source-display-name="Event Threat Detection Custom Modules"

Vous devriez obtenir un résultat semblable à celui-ci :

canonicalName: organizations/123456789012/sources/98765432109876543210
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: organizations/123456789012/sources/98765432109876543210

L'ID de source correspond à la valeur numérique à la fin des champs canonicalName et name (par exemple, 98765432109876543210).

Lister tous les résultats des modules personnalisés Event Threat Detection

La commande gcloud scc findings list liste les résultats pour une source à un emplacement spécifique.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource à obtenir (organizations, folders ou projects).
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• LOCATION : emplacement Security Command Center à utiliser, par exemple eu. Si la résidence des données n'est pas activée, utilisez global.
• SOURCE_ID : identifiant numérique de la source des résultats.

Exécutez la commande suivante :

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION

La réponse contient une liste de résultats.

Lister les résultats d'un module personnalisé spécifique

La commande gcloud scc findings list liste les résultats pour une source à un emplacement spécifique.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource à obtenir (organizations, folders ou projects).
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• LOCATION : emplacement Security Command Center à utiliser, par exemple eu. Si la résidence des données n'est pas activée, utilisez global.
• SOURCE_ID : identifiant numérique de la source des résultats.
• CUSTOM_MODULE_CATEGORY_NAME : nom de la catégorie du module personnalisé, composé de la catégorie de résultat du module (telle qu'indiquée dans Modules et modèles personnalisés), d'un deux-points, d'un espace et du nom à afficher du module avec les espaces remplacés par des traits de soulignement. Par exemple, Unexpected Compute Engine region: example_custom_module.

Exécutez la commande suivante :

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION \
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION `
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION ^
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

La réponse contient une liste de résultats.

REST

Trouver l'ID de la source

La méthode RESOURCE_TYPE.sources.list de l'API Security Command Center liste les informations sur les sources de résultats Security Command Center.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource parente (organizations, folders ou projects).
• QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas.
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.

Méthode HTTP et URL :

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources

Pour envoyer votre requête, développez l'une des options suivantes :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources" | Select-Object -Expand Content

La réponse contient une liste de résultats.

{
  "sources": [
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Security Command Center",
      "description": "Detector for misconfigurations within the Security Command Center platform.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    },
    {
      "name": "organizations/123456789012/sources/8765432109876543210",
      "displayName": "Application Design Center",
      "description": "Provides vulnerabilities on ADC resources.",
      "canonicalName": "organizations/123456789012/sources/8765432109876543210"
    },
    {
      "name": "organizations/123456789012/sources/7654321098765432109",
      "displayName": "Cloud Anomaly Detection",
      "description": "Provider used by Cloud Anomaly Detection",
      "canonicalName": "organizations/123456789012/sources/7654321098765432109"
    },
    {
      "name": "organizations/123456789012/sources/6543210987654321098",
      "displayName": "Vulnerability Assessment",
      "description": "Provider for Vulnerability Assessment.",
      "canonicalName": "organizations/123456789012/sources/6543210987654321098"
    },
    {
      "name": "organizations/123456789012/sources/5432109876543210987",
      "displayName": "Data Security Posture Management",
      "description": "Service to detect drift and post findings",
      "canonicalName": "organizations/123456789012/sources/5432109876543210987"
    },
    {
      "name": "organizations/123456789012/sources/4321098765432109876",
      "displayName": "Notebook Security Scanner",
      "description": "Provider for the Notebook Security Scanner",
      "canonicalName": "organizations/123456789012/sources/4321098765432109876"
    },
    {
      "name": "organizations/123456789012/sources/3210987654321098765",
      "displayName": "GKE Security Posture",
      "description": "Provides actionable security issues on GKE.",
      "canonicalName": "organizations/123456789012/sources/3210987654321098765"
    },
    {
      "name": "organizations/123456789012/sources/2109876543210987654",
      "displayName": "Integrated Vulnerability Scanner",
      "description": "Provider for Integrated Vulnerability Scanner.",
      "canonicalName": "organizations/123456789012/sources/2109876543210987654"
    },
    {
      "name": "organizations/123456789012/sources/1098765432109876543",
      "displayName": "Event Threat Detection Custom Modules",
      "description": "Provider used by Event Threat Detection Custom Modules",
      "canonicalName": "organizations/123456789012/sources/1098765432109876543"
    },
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Serverless Vulnerability Detection",
      "description": "Provides vulnerability detection for serverless assets.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    }
  ]
}

L'ID de source correspond à la valeur numérique à la fin des champs canonicalName et name.

Lister les résultats des modules personnalisés Event Threat Detection

La méthode RESOURCE_TYPE.sources.locations.findings.list de l'API Security Command Center liste les résultats d'une source dans un emplacement spécifique.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

• QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas.
• RESOURCE_TYPE : type de ressource à obtenir (organizations, folders ou projects).
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• LOCATION : emplacement Security Command Center à utiliser, par exemple eu. Si la résidence des données n'est pas activée, utilisez global.
• SOURCE_ID : identifiant numérique de la source des résultats.

Méthode HTTP et URL :

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings

Pour envoyer votre requête, développez l'une des options suivantes :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings" | Select-Object -Expand Content

La réponse contient une liste de résultats.

Console

1. Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent dans une liste.
2. Facultatif : Pour n'afficher que les modules personnalisés, saisissez Type:Custom dans la zone Filtre.

gcloud

La commande gcloud scc manage custom-modules etd list liste tous les modules personnalisés Event Threat Detection pour une organisation, un dossier ou un projet.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource auquel appartiennent les modules personnalisés (organization, folder ou project).
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.

Exécutez la commande gcloud scc manage custom-modules etd list :

gcloud scc manage custom-modules etd list \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd list `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd list ^
    --RESOURCE_TYPE=RESOURCE_ID

Vous devriez obtenir un résultat semblable à celui-ci :

- config:
    metadata:
      description: There is a Compute Engine instance in a region that's not allowed.
      recommendation: Delete the instance. If necessary, create a new instance in
        an allowed region.
      severity: MEDIUM
    regions:
    - region: northamerica-northeast1
  displayName: compute_instance_prohibited_region
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321
  type: CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
  updateTime: '2026-02-19T01:23:10.237946Z'
- config:
    metadata:
      description: An IAM custom role contains permissions that aren't allowed.
      recommendation: Remove the permissions from the custom role.
      severity: MEDIUM
    permissions:
    - accessapproval.requests.get
    - accessapproval.requests.invalidate
    - accessapproval.requests.list
    - accessapproval.settings.delete
  displayName: iam_custom_role_prohibited_permissions
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
  type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
  updateTime: '2025-12-23T06:54:15.618430Z'

REST

La méthode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.list de l'API Security Command Center Management répertorie tous les modules personnalisés Event Threat Detection pour une organisation, un dossier ou un projet.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource auquel appartiennent les modules personnalisés (organizations, folders ou projects).
• QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas.
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.

Méthode HTTP et URL :

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Pour envoyer votre requête, développez l'une des options suivantes :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

[
  {
    "config": {
      "metadata": {
        "description": "There is a Compute Engine instance in a region that's not allowed.",
        "recommendation": "Delete the instance. If necessary, create a new instance in an allowed region.",
        "severity": "MEDIUM"
      },
      "regions": [
        {
          "region": "northamerica-northeast1"
        }
      ]
    },
    "displayName": "compute_instance_prohibited_region",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321",
    "type": "CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION",
    "updateTime": "2026-02-19T01:23:10.237946Z"
  },
  {
    "config": {
      "metadata": {
        "description": "An IAM custom role contains permissions that aren't allowed.",
        "recommendation": "Remove the permissions from the custom role.",
        "severity": "MEDIUM"
      },
      "permissions": [
        "accessapproval.requests.get",
        "accessapproval.requests.invalidate",
        "accessapproval.requests.list",
        "accessapproval.settings.delete"
      ]
    },
    "displayName": "iam_custom_role_prohibited_permissions",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
    "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
    "updateTime": "2025-12-23T06:54:15.618430Z"
  }
]

Console

Consultez Afficher et modifier les modules d'un service.

gcloud

La commande gcloud scc manage custom-modules etd update met à jour l'état d'un module personnalisé pour Event Threat Detection.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource à mettre à jour (organization, folder ou project).
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet pour le module personnalisé. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• MODULE_ID : identifiant numérique du module
• NEW_STATE : ENABLED pour activer le module, DISABLED pour le désactiver ou INHERITED pour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers).

Exécutez la commande gcloud scc manage custom-modules etd update :

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state="NEW_STATE"

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state="NEW_STATE"

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state="NEW_STATE"

Vous devriez obtenir un résultat semblable à celui-ci :

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: DISABLED
name: projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2026-03-20T16:52:27.046766Z'

REST

La méthode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.patch de l'API Security Command Center Management met à jour l'état d'un module personnalisé pour Event Threat Detection.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource à mettre à jour (organizations, folders ou projects).
• QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas.
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet pour le module personnalisé. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• MODULE_ID : identifiant numérique du module
• NEW_STATE : ENABLED pour activer le module, DISABLED pour le désactiver ou INHERITED pour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers).
• FIELDS_TO_UPDATE (facultatif) : Liste de champs à mettre à jour, séparés par une virgule. Si ce paramètre est omis, tous les champs sont mis à jour.

Méthode HTTP et URL :

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState

Corps JSON de la requête :

{
  "enablementState": "NEW_STATE"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "DISABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-20T16:52:27.046766Z"
}

Console

Vous ne pouvez modifier que les modules personnalisés résidentiels. Par exemple, si vous êtes dans la vue de l'organisation, vous ne pouvez modifier que les modules personnalisés créés au niveau de l'organisation.

1. Consultez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent dans une liste.
2. Recherchez le module personnalisé que vous souhaitez modifier.
3. Pour ce module personnalisé, cliquez sur more_vert Actions > Modifier.
4. Modifiez le module personnalisé selon vos besoins.
5. Cliquez sur Enregistrer.

gcloud

Pour mettre à jour un module, exécutez la commande suivante et incluez le modèle JSON du module mis à jour :

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Remplacez les éléments suivants :

• CUSTOM_MODULE_ID : ID numérique du module personnalisé Event Threat Detection, par exemple 1234567890. Vous pouvez obtenir l'ID numérique à partir du champ name du module personnalisé concerné lorsque vous affichez la liste des modules personnalisés.
• RESOURCE_FLAG : champ d'application de la ressource parente dans laquelle réside le module personnalisé (organization, folder ou project).
• RESOURCE_ID : ID de la ressource parente, c'est-à-dire l'ID de l'organisation, du dossier ou du projet.
• PATH_TO_JSON_FILE : fichier JSON contenant la définition JSON du module personnalisé.

Console

1. Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent dans une liste.

2. Recherchez le module personnalisé dans la liste.

   L'état du module personnalisé est indiqué dans la colonne État.

gcloud

La commande gcloud scc manage custom-modules etd describe permet d'obtenir un module personnalisé Event Threat Detection pour une organisation, un dossier ou un projet.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource à laquelle appartient le module personnalisé (organization, folder ou project).
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• MODULE_ID : identifiant numérique du module personnalisé.

Exécutez la commande gcloud scc manage custom-modules etd describe :

gcloud scc manage custom-modules etd describe MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd describe MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd describe MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Vous devriez obtenir un résultat semblable à celui-ci :

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: ENABLED
name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2025-12-23T06:54:15.618430Z'

REST

La méthode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.get de l'API Security Command Center Management permet d'obtenir un module personnalisé Event Threat Detection pour une organisation, un dossier ou un projet.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource à laquelle appartient le module personnalisé (organizations, folders ou projects).
• QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas.
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• MODULE_ID : identifiant numérique du module personnalisé.

Méthode HTTP et URL :

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Pour envoyer votre requête, développez l'une des options suivantes :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "config": {
    "metadata": {
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role.",
      "severity": "MEDIUM"
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "displayName": "iam_custom_role_prohibited_permissions",
  "enablementState": "ENABLED",
  "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "updateTime": "2025-12-23T06:54:15.618430Z"
}

Console

Vous ne pouvez pas supprimer les modules personnalisés hérités. Par exemple, si vous êtes dans la vue du projet, vous ne pouvez pas supprimer les modules personnalisés créés au niveau du dossier ou de l'organisation.

Pour supprimer un module personnalisé à l'aide de la console Google Cloud  :

1. Affichez les modules du service Event Threat Detection. Les modules prédéfinis et personnalisés s'affichent dans une liste.
2. Recherchez le module personnalisé que vous souhaitez supprimer.
3. Pour ce module personnalisé, cliquez sur more_vert Actions > Supprimer. Un message s'affiche pour vous inviter à confirmer la suppression.
4. Cliquez sur Supprimer.

gcloud

La commande gcloud scc manage custom-modules etd delete crée un module personnalisé Event Threat Detection pour une organisation, un dossier ou un projet.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource auquel appartiennent les modules personnalisés (organization, folder ou project).
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet pour le module personnalisé. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• MODULE_ID : identifiant numérique du module personnalisé.

Exécutez la commande gcloud scc manage custom-modules etd delete :

gcloud scc manage custom-modules etd delete MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd delete MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd delete MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Vous devriez obtenir un résultat semblable à celui-ci :

Deleted [projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210].

REST

La méthode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.delete de l'API Security Command Center Management crée un module personnalisé Event Threat Detection pour une organisation, un dossier ou un projet.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

• RESOURCE_TYPE : type de ressource à laquelle le module personnalisé appartiendra (organizations, folders ou projects)
• QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas.
• RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet pour le module personnalisé. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
• MODULE_ID : identifiant numérique du module personnalisé.

Méthode HTTP et URL :

DELETE https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Pour envoyer votre requête, développez l'une des options suivantes :

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{}