Criar e gerenciar módulos personalizados do Event Threat Detection

Nesta página, explicamos como criar e gerenciar módulos personalizados do Event Threat Detection.

Antes de começar

Esta seção descreve os requisitos para o uso de módulos personalizados do Event Threat Detection.

Security Command Center Premium e Event Threat Detection

Para usar módulos personalizados do Event Threat Detection, ele precisa estar ativado. Para ativar o Event Threat Detection, consulte Ativar ou desativar um serviço integrado.

Permissões e papéis do IAM necessários

Os papéis do IAM determinam as ações que podem ser realizadas com os módulos personalizados do Event Threat Detection.

A tabela a seguir contém uma lista de permissões personalizadas do módulo Event Threat Detection que são necessárias, bem como os papéis predefinidos do IAM que as incluem.

É possível usar o console Google Cloud ou a API Security Command Center para aplicar esses papéis no nível da organização, da pasta ou do projeto.

Permissões necessárias Papel
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete		 roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate		 roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Se você encontrar erros de acesso no Security Command Center, peça ajuda ao administrador. Consulte uma das seguintes páginas, dependendo do nível em que você ativou o Security Command Center:

Registros obrigatórios

Verifique se os registros relevantes estão ativados para sua organização, pastas e projetos. Para mais informações sobre quais registros são obrigatórios a cada tipo de módulo personalizado, consulte a tabela em Módulos personalizados e modelos.

Não é possível usar registros de fontes fora de Google Cloud .

Níveis de módulos personalizados

Este documento usa os seguintes termos para descrever o nível em que um módulo personalizado foi criado:

Módulo residencial
O módulo foi criado na visualização ou no escopo atual. Por exemplo, se você estiver na visualização da organização do console Google Cloud , os módulos residenciais serão aqueles criados no nível da organização.
Módulo herdado
O módulo foi criado em uma visualização da família ou escopo. Por exemplo, um módulo criado no nível da organização é um módulo herdado em qualquer nível de pasta ou projeto.
Módulo descendente
O módulo foi criado em um modo infantil ou escopo. Por exemplo, um módulo criado no nível de uma pasta ou projeto é um módulo descendente no nível da organização.

Criar módulos personalizados

É possível criar módulos personalizados do Event Threat Detection pelo console doGoogle Cloud ou modificando um modelo JSON e enviando-o pela CLI gcloud. Você só precisa de modelos JSON quando planeja usar a gcloud CLI para criar módulos personalizados.

Para ver uma lista de modelos de módulo compatíveis, consulte Módulos personalizados e modelos.

Estrutura do modelo

Os modelos definem os parâmetros que os módulos personalizados usam para identificar ameaças nos seus registros. Os modelos são escritos em JSON e têm estrutura semelhante às descobertas geradas pelo Security Command Center. Você precisa configurar um modelo JSON apenas quando planeja usar a gcloud CLI para criar um módulo personalizado.

Cada modelo contém campos personalizáveis:

  • severity: a gravidade ou o nível de risco que você quer atribuir às descobertas desse tipo, LOW, MEDIUM, HIGH ou CRITICAL.
  • description: a descrição do módulo personalizado.
  • recommendation: ações recomendadas para abordar descobertas geradas pelo módulo personalizado.
  • Parâmetros de detecção: as variáveis usadas para avaliar os registros e acionar as descobertas. Os parâmetros de detecção são diferentes para cada módulo, mas incluem um ou mais de um dos campos a seguir:
    • domains: domínios da Web que serão monitorados
    • ips: endereços IP que serão monitorados
    • permissions: permissões que serão monitoradas
    • regions: regiões em que novas instâncias do Compute Engine serão permitidas
    • roles: papéis que serão monitorados
    • accounts: contas que serão monitoradas
    • Parâmetros que definem os tipos de instância permitidos do Compute Engine, por exemplo, series, cpus e ram_mb.
    • Expressões regulares para verificar propriedades, por exemplo, caller_pattern e resource_pattern.

O exemplo de código a seguir é um modelo de exemplo para Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

No exemplo anterior, o módulo personalizado gera uma descoberta de baixa gravidade quando os registros indicam um recurso conectado ao endereço IP 192.0.2.1 ou 192.0.2.0/24.

Modificar um modelo de módulo

Para criar módulos, escolha e modifique um modelo de módulo.

Se você planeja usar a Google Cloud CLI para criar o módulo personalizado, é necessário executar esta tarefa.

Se você planeja usar o console do Google Cloud para criar o módulo personalizado, pule esta tarefa. Você usará as opções apresentadas na tela para modificar os parâmetros do modelo.

  1. Escolha um modelo em Módulos personalizados e modelos.
  2. Copie o código para um arquivo local.
  3. Atualize os parâmetros que você quer usar para avaliar os registros.
  4. Salve o arquivo como JSON.
  5. Crie um módulo personalizado usando a CLI gcloud com o arquivo JSON.

Criar um módulo personalizado

Nesta seção, descrevemos como criar um módulo personalizado usando o consoleGoogle Cloud , a CLI gcloud, a API REST e o Terraform. Cada módulo personalizado de detecção de ameaças a eventos tem um limite de tamanho de 6 MB.

Para criar um módulo personalizado, siga estas etapas:

Console

  1. Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
  2. Clique em Criar módulo.
  3. Clique no modelo do módulo que você quer usar.
  4. Clique em Selecionar.
  5. Em Nome do módulo, insira um nome de exibição para o novo modelo. O nome não pode ter mais de 128 caracteres e precisa conter apenas caracteres alfanuméricos e sublinhados, por exemplo, example_custom_module.
  6. Selecione ou adicione os valores de parâmetro solicitados. Os parâmetros são diferentes para cada módulo. Por exemplo, se você selecionou o modelo de módulo Configurable allowed Compute Engine region, selecione uma ou mais regiões. Se preferir, forneça a lista no formato JSON.
  7. Clique em Next.
  8. Em Gravidade, insira o nível de gravidade que você quer atribuir às descobertas geradas pelo novo módulo personalizado.
  9. Em Descrição, insira uma descrição para o novo módulo personalizado.
  10. Em Próximas etapas, insira as ações recomendadas em formato de texto simples. Todas as quebras de parágrafo que você adicionar serão ignoradas.
  11. Clique em Criar.

gcloud

O comando gcloud scc manage custom-modules etd create cria um módulo personalizado do Event Threat Detection para uma organização, pasta ou projeto.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a que os módulos personalizados pertencem (organization, folder ou project).
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto do módulo personalizado. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • MODULE_CONFIG: as configurações de configuração do módulo personalizado. Use um modelo de módulo personalizado como ponto de partida.
  • MODULE_TYPE: o tipo de módulo personalizado. Para uma lista de tipos compatíveis, consulte Módulos e modelos personalizados.
  • MODULE_DISPLAY_NAME: o nome de exibição legível para o módulo personalizado. Ele pode conter letras, números e sublinhados (_) e ter até 128 caracteres.

Salve o conteúdo a seguir em um arquivo chamado request.json: 

{
  MODULE_CONFIG
}

Execute o comando gcloud scc manage custom-modules etd create:

Linux, macOS ou Cloud Shell

gcloud scc manage custom-modules etd create \
    --RESOURCE_TYPE=RESOURCE_ID \
    --custom-config-file=request.json \
    --display-name=MODULE_DISPLAY_NAME \
    --module-type=MODULE_TYPE \
    --enablement-state=ENABLED

Windows (PowerShell)

gcloud scc manage custom-modules etd create `
    --RESOURCE_TYPE=RESOURCE_ID `
    --custom-config-file=request.json `
    --display-name=MODULE_DISPLAY_NAME `
    --module-type=MODULE_TYPE `
    --enablement-state=ENABLED

Windows (cmd.exe)

gcloud scc manage custom-modules etd create ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --custom-config-file=request.json ^
    --display-name=MODULE_DISPLAY_NAME ^
    --module-type=MODULE_TYPE ^
    --enablement-state=ENABLED

REST

O método RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.create da API Security Command Center Management cria um módulo personalizado do Event Threat Detection para uma organização, pasta ou projeto.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso a que o módulo personalizado pertence (organizations, folders ou projects).
  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota.
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto do módulo personalizado. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • MODULE_CONFIG: as configurações de configuração do módulo personalizado. Use um modelo de módulo personalizado como ponto de partida.
  • MODULE_TYPE: o tipo de módulo personalizado. Para uma lista de tipos compatíveis, consulte Módulos e modelos personalizados.
  • MODULE_DISPLAY_NAME: o nome de exibição legível para o módulo personalizado. Ele pode conter letras, números e sublinhados (_) e ter até 128 caracteres.

Método HTTP e URL: 

POST https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Corpo JSON da solicitação:

{
  "config": MODULE_CONFIG,
  "enablementState": "ENABLED",
  "type": "MODULE_TYPE",
  "displayName": "MODULE_DISPLAY_NAME"
}

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "ENABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-16T19:44:58.588134Z"
}

Terraform

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform. Para mais informações, consulte a documentação de referência do provedor Terraform. 

resource "google_scc_management_organization_event_threat_detection_custom_module" "example" {
  organization = "123456789"
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  type = "CONFIGURABLE_BAD_IP"
  description = "My Event Threat Detection Custom Module"
  config = jsonencode({
    "metadata": {
      "severity": "LOW",
      "description": "Flagged by Forcepoint as malicious",
      "recommendation": "Contact the owner of the relevant project."
    },
    "ips": [
      "192.0.2.1",
      "192.0.2.0/24"
    ]
  })
}

Seu módulo personalizado é criado e começa a fazer a verificação. Para excluir um módulo, consulte Excluir um módulo personalizado.

O nome da categoria do módulo personalizado contém a categoria de descoberta do tipo de módulo e o nome de exibição do módulo que você definiu. Por exemplo, o nome da categoria de um módulo personalizado pode ser Unexpected Compute Engine Region: example_custom_module. No console do Google Cloud , os sublinhados são exibidos como espaços. No entanto, você precisa incluir os sublinhados nas suas consultas.

As cotas regem o uso de módulos personalizados do Event Threat Detection.

Detecção de latência

A latência de detecção do Event Threat Detection e de todos os outros serviços integrados do Security Command Center está descrita em Latência de verificação.

Analisar resultados

As descobertas geradas por módulos personalizados podem ser visualizadas no Google Cloud console ou usando a CLI gcloud ou a API REST.

Console

  1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

    Acessar descobertas

  2. Selecione Google Cloud o projeto ou a organização.
  3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Módulos personalizados do Event Threat Detection. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para visualizar os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

gcloud

Encontrar o ID da fonte

O comando gcloud scc sources describe mostra informações sobre uma fonte de descobertas do Security Command Center.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a que a origem pertence (organizations, folders ou projects).
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto. Para projetos, também é possível usar o ID do projeto alfanumérico.

Execute o comando gcloud scc sources describe:

Linux, macOS ou Cloud Shell

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID \
    --source-display-name="Event Threat Detection Custom Modules"

Windows (PowerShell)

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID `
    --source-display-name="Event Threat Detection Custom Modules"

Windows (cmd.exe)

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID ^
    --source-display-name="Event Threat Detection Custom Modules"

Você receberá uma resposta semelhante a esta:

canonicalName: organizations/123456789012/sources/98765432109876543210
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: organizations/123456789012/sources/98765432109876543210

O ID da origem é o valor numérico no final dos campos canonicalName e name. Por exemplo, 98765432109876543210.

Listar todas as descobertas dos módulos personalizados do Event Threat Detection

O comando gcloud scc findings list lista as descobertas de uma origem em um local específico.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a ser recebido (organizations, folders ou projects).
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • LOCATION: o local do Security Command Center a ser usado, como eu. Se a residência de dados não estiver ativada, use global.
  • SOURCE_ID: o identificador numérico da origem das descobertas.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION

Windows (PowerShell)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION

A resposta contém uma lista de descobertas.

Listar descobertas de um módulo personalizado específico

O comando gcloud scc findings list lista as descobertas de uma origem em um local específico.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a ser recebido (organizations, folders ou projects).
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • LOCATION: o local do Security Command Center a ser usado, como eu. Se a residência de dados não estiver ativada, use global.
  • SOURCE_ID: o identificador numérico da origem das descobertas.
  • CUSTOM_MODULE_CATEGORY_NAME: o nome da categoria do módulo personalizado, composto pela categoria de descoberta do módulo (conforme listado em Módulos e modelos personalizados), dois pontos, um espaço e o nome de exibição do módulo com espaços substituídos por sublinhados. Por exemplo, Unexpected Compute Engine region: example_custom_module.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION \
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

Windows (PowerShell)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION `
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

Windows (cmd.exe)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION ^
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

A resposta contém uma lista de descobertas.

REST

Encontrar o ID da fonte

O método RESOURCE_TYPE.sources.list da API Security Command Center lista informações sobre as fontes de descobertas do Security Command Center.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso pai (organizations, folders ou projects).
  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota.
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto. Para projetos, também é possível usar o ID do projeto alfanumérico.

Método HTTP e URL: 

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources

Para enviar a solicitação, expanda uma destas opções:

A resposta contém uma lista de descobertas.

{
  "sources": [
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Security Command Center",
      "description": "Detector for misconfigurations within the Security Command Center platform.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    },
    {
      "name": "organizations/123456789012/sources/8765432109876543210",
      "displayName": "Application Design Center",
      "description": "Provides vulnerabilities on ADC resources.",
      "canonicalName": "organizations/123456789012/sources/8765432109876543210"
    },
    {
      "name": "organizations/123456789012/sources/7654321098765432109",
      "displayName": "Cloud Anomaly Detection",
      "description": "Provider used by Cloud Anomaly Detection",
      "canonicalName": "organizations/123456789012/sources/7654321098765432109"
    },
    {
      "name": "organizations/123456789012/sources/6543210987654321098",
      "displayName": "Vulnerability Assessment",
      "description": "Provider for Vulnerability Assessment.",
      "canonicalName": "organizations/123456789012/sources/6543210987654321098"
    },
    {
      "name": "organizations/123456789012/sources/5432109876543210987",
      "displayName": "Data Security Posture Management",
      "description": "Service to detect drift and post findings",
      "canonicalName": "organizations/123456789012/sources/5432109876543210987"
    },
    {
      "name": "organizations/123456789012/sources/4321098765432109876",
      "displayName": "Notebook Security Scanner",
      "description": "Provider for the Notebook Security Scanner",
      "canonicalName": "organizations/123456789012/sources/4321098765432109876"
    },
    {
      "name": "organizations/123456789012/sources/3210987654321098765",
      "displayName": "GKE Security Posture",
      "description": "Provides actionable security issues on GKE.",
      "canonicalName": "organizations/123456789012/sources/3210987654321098765"
    },
    {
      "name": "organizations/123456789012/sources/2109876543210987654",
      "displayName": "Integrated Vulnerability Scanner",
      "description": "Provider for Integrated Vulnerability Scanner.",
      "canonicalName": "organizations/123456789012/sources/2109876543210987654"
    },
    {
      "name": "organizations/123456789012/sources/1098765432109876543",
      "displayName": "Event Threat Detection Custom Modules",
      "description": "Provider used by Event Threat Detection Custom Modules",
      "canonicalName": "organizations/123456789012/sources/1098765432109876543"
    },
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Serverless Vulnerability Detection",
      "description": "Provides vulnerability detection for serverless assets.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    }
  ]
}

O ID da origem é o valor numérico no final dos campos canonicalName e name.

Listar descobertas para módulos personalizados do Event Threat Detection

O método RESOURCE_TYPE.sources.locations.findings.list da API Security Command Center lista as descobertas de uma fonte em um local específico.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota.
  • RESOURCE_TYPE: o tipo de recurso a ser recebido (organizations, folders ou projects).
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • LOCATION: o local do Security Command Center a ser usado, como eu. Se a residência de dados não estiver ativada, use global.
  • SOURCE_ID: o identificador numérico da origem das descobertas.

Método HTTP e URL: 

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings

Para enviar a solicitação, expanda uma destas opções:

A resposta contém uma lista de descobertas.

Para saber mais sobre como filtrar descobertas, consulte Como listar descobertas de segurança.

As descobertas geradas por módulos personalizados podem ser gerenciadas como todas as descobertas no Security Command Center. Para ver mais informações, consulte os seguintes tópicos:

Gerenciar módulos personalizados do Event Threat Detection

Nesta seção, descrevemos como ver, listar, atualizar e excluir módulos personalizados do Event Threat Detection.

Ver ou listar módulos personalizados

Por padrão, ao listar os módulos personalizados do Event Threat Detection, você vê todos os seguintes itens:

  • Todos os módulos personalizados do Event Threat Detection que pertencem à organização, pasta ou projeto.
  • Todos os módulos personalizados herdados do Event Threat Detection. Por exemplo, se você estiver visualizando um projeto, os módulos personalizados criados na organização e nas pastas principais desse projeto serão incluídos nos resultados.
  • Todos os módulos personalizados do Event Threat Detection criados em recursos filhos. Por exemplo, se você estiver na visualização da organização, os módulos personalizados nas pastas e projetos da organização serão incluídos nos resultados.

Console

  1. Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
  2. Opcional: para ver apenas os módulos personalizados, na caixa Filtro, insira Type:Custom.

gcloud

O comando gcloud scc manage custom-modules etd list lista todos os módulos personalizados do Event Threat Detection para uma organização, pasta ou projeto.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a que os módulos personalizados pertencem (organization, folder ou project).
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID do projeto alfanumérico.

Execute o comando gcloud scc manage custom-modules etd list:

Linux, macOS ou Cloud Shell

gcloud scc manage custom-modules etd list \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage custom-modules etd list `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage custom-modules etd list ^
    --RESOURCE_TYPE=RESOURCE_ID

Você receberá uma resposta semelhante a esta:

- config:
    metadata:
      description: There is a Compute Engine instance in a region that's not allowed.
      recommendation: Delete the instance. If necessary, create a new instance in
        an allowed region.
      severity: MEDIUM
    regions:
    - region: northamerica-northeast1
  displayName: compute_instance_prohibited_region
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321
  type: CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
  updateTime: '2026-02-19T01:23:10.237946Z'
- config:
    metadata:
      description: An IAM custom role contains permissions that aren't allowed.
      recommendation: Remove the permissions from the custom role.
      severity: MEDIUM
    permissions:
    - accessapproval.requests.get
    - accessapproval.requests.invalidate
    - accessapproval.requests.list
    - accessapproval.settings.delete
  displayName: iam_custom_role_prohibited_permissions
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
  type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
  updateTime: '2025-12-23T06:54:15.618430Z'

REST

O método RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.list da API Security Command Center Management lista todos os módulos personalizados da Event Threat Detection para uma organização, pasta ou projeto.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso a que os módulos personalizados pertencem (organizations, folders ou projects).
  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota.
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID do projeto alfanumérico.

Método HTTP e URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

[
  {
    "config": {
      "metadata": {
        "description": "There is a Compute Engine instance in a region that's not allowed.",
        "recommendation": "Delete the instance. If necessary, create a new instance in an allowed region.",
        "severity": "MEDIUM"
      },
      "regions": [
        {
          "region": "northamerica-northeast1"
        }
      ]
    },
    "displayName": "compute_instance_prohibited_region",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321",
    "type": "CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION",
    "updateTime": "2026-02-19T01:23:10.237946Z"
  },
  {
    "config": {
      "metadata": {
        "description": "An IAM custom role contains permissions that aren't allowed.",
        "recommendation": "Remove the permissions from the custom role.",
        "severity": "MEDIUM"
      },
      "permissions": [
        "accessapproval.requests.get",
        "accessapproval.requests.invalidate",
        "accessapproval.requests.list",
        "accessapproval.settings.delete"
      ]
    },
    "displayName": "iam_custom_role_prohibited_permissions",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
    "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
    "updateTime": "2025-12-23T06:54:15.618430Z"
  }
]

Ativar ou desativar um módulo personalizado

Quando você ativa ou desativa um módulo personalizado, essa mudança se aplica à organização, pasta ou projeto a que o módulo pertence. Esse recurso é o pai do módulo personalizado.

A mudança também pode ser herdada por pastas ou projetos descendentes do recurso pai do módulo personalizado. Por exemplo, se você criar um módulo personalizado em uma pasta, os projetos dentro dela poderão herdar o estado do módulo.

Se o pai de um módulo personalizado for uma pasta ou um projeto, você precisará ativar ou desativar o módulo personalizado no mesmo nível da hierarquia de recursos ou em um nível inferior. Por exemplo, se o pai de um módulo personalizado for um projeto, não será possível ativar ou desativar o módulo para uma organização ou pasta. Esses tipos de recursos são sempre ancestrais de projetos.

Console

Consulte Ver e editar os módulos de um serviço.

gcloud

O comando gcloud scc manage custom-modules etd update atualiza o estado de um módulo personalizado do Event Threat Detection.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a ser atualizado (organization, folder ou project).
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto do módulo personalizado. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • MODULE_ID: o identificador numérico do módulo
  • NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo; ou INHERITED para herdar o status de ativação do recurso pai (válido apenas para projetos e pastas).

Execute o comando gcloud scc manage custom-modules etd update:

Linux, macOS ou Cloud Shell

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state="NEW_STATE"

Windows (PowerShell)

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state="NEW_STATE"

Windows (cmd.exe)

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state="NEW_STATE"

Você receberá uma resposta semelhante a esta:

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: DISABLED
name: projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2026-03-20T16:52:27.046766Z'

REST

O método RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.patch da API Management do Security Command Center atualiza o estado de um módulo personalizado para o Event Threat Detection.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso a ser atualizado (organizations, folders ou projects).
  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota.
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto do módulo personalizado. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • MODULE_ID: o identificador numérico do módulo
  • NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo; ou INHERITED para herdar o status de ativação do recurso pai (válido apenas para projetos e pastas).
  • FIELDS_TO_UPDATE: opcional. Uma lista separada por vírgulas de campos a serem atualizados. Se omitido, todos os campos serão atualizados.

Método HTTP e URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState

Corpo JSON da solicitação:

{
  "enablementState": "NEW_STATE"
}

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "DISABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-20T16:52:27.046766Z"
}

Atualizar a definição de um módulo personalizado

Nesta seção, descrevemos como atualizar um módulo personalizado usando o console doGoogle Cloud e a CLI gcloud. Cada módulo personalizado de detecção de ameaças a eventos tem um limite de tamanho de 6 MB.

Não é possível atualizar o tipo de um módulo personalizado.

Para atualizar um módulo personalizado, siga estas etapas:

Console

Só é possível editar módulos personalizados residenciais. Por exemplo, se você estiver na visualização da organização, só poderá editar os módulos personalizados criados no nível da organização.

  1. Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
  2. Localize o módulo personalizado que você quer editar.
  3. Para esse módulo personalizado, clique em Ações > Editar.
  4. Edite o módulo personalizado conforme necessário.
  5. Clique em Save.

gcloud

Para atualizar um módulo, execute o seguinte comando e inclua o JSON atualizado do modelo de módulo:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Substitua:

  • CUSTOM_MODULE_ID: o ID numérico do módulo personalizado do Event Threat Detection (por exemplo, 1234567890). É possível encontrar o ID numérico no campo name do módulo personalizado relevante ao visualizar a lista de módulos personalizados.
  • RESOURCE_FLAG: o escopo do recurso pai em que o módulo personalizado reside; um de organization, folder ou project.
  • RESOURCE_ID: o ID do recurso pai, ou seja, o ID da organização, da pasta ou do ID do projeto.
  • PATH_TO_JSON_FILE: o arquivo JSON que contém a definição em JSON do módulo personalizado.

Verificar o status de um único módulo personalizado

Console

  1. Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.

  2. Encontre o módulo personalizado na lista.

    O status do módulo personalizado é mostrado na coluna Status.

gcloud

O comando gcloud scc manage custom-modules etd describe recebe um módulo personalizado do Event Threat Detection para uma organização, pasta ou projeto.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a que o módulo personalizado pertence (organization, folder ou project).
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • MODULE_ID: o identificador numérico do módulo personalizado.

Execute o comando gcloud scc manage custom-modules etd describe:

Linux, macOS ou Cloud Shell

gcloud scc manage custom-modules etd describe MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage custom-modules etd describe MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage custom-modules etd describe MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Você receberá uma resposta semelhante a esta:

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: ENABLED
name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2025-12-23T06:54:15.618430Z'

REST

O método RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.get da API Security Command Center Management recebe um módulo personalizado do Event Threat Detection para uma organização, pasta ou projeto.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso a que o módulo personalizado pertence (organizations, folders ou projects).
  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota.
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • MODULE_ID: o identificador numérico do módulo personalizado.

Método HTTP e URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "config": {
    "metadata": {
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role.",
      "severity": "MEDIUM"
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "displayName": "iam_custom_role_prohibited_permissions",
  "enablementState": "ENABLED",
  "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "updateTime": "2025-12-23T06:54:15.618430Z"
}

Excluir um módulo personalizado

Quando você exclui um módulo personalizado do Event Threat Detection, as descobertas que ele gerou não são modificadas e continuam disponíveis no Security Command Center. Em contrapartida, quando você exclui um módulo personalizado da Análise de integridade da segurança, as descobertas geradas são marcadas como inativas.

Não é possível recuperar um módulo personalizado excluído.

Console

Não é possível excluir módulos personalizados herdados. Por exemplo, se você estiver na visualização do projeto, não será possível excluir módulos personalizados criados no nível da pasta ou da organização.

Para excluir um módulo personalizado usando o Google Cloud console, faça o seguinte:

  1. Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
  2. Localize o módulo personalizado que você quer excluir.
  3. Para esse módulo personalizado, clique em Ações > Excluir. Uma mensagem será exibida solicitando para confirmar a exclusão.
  4. Clique em Excluir.

gcloud

O comando gcloud scc manage custom-modules etd delete cria um módulo personalizado do Event Threat Detection para uma organização, pasta ou projeto.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a que os módulos personalizados pertencem (organization, folder ou project).
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto do módulo personalizado. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • MODULE_ID: o identificador numérico do módulo personalizado.

Execute o comando gcloud scc manage custom-modules etd delete:

Linux, macOS ou Cloud Shell

gcloud scc manage custom-modules etd delete MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage custom-modules etd delete MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage custom-modules etd delete MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Você receberá uma resposta semelhante a esta:

Deleted [projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210].

REST

O método RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.delete da API Security Command Center Management cria um módulo personalizado do Event Threat Detection para uma organização, pasta ou projeto.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso a que o módulo personalizado vai pertencer (organizations, folders ou projects).
  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota.
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto do módulo personalizado. Para projetos, também é possível usar o ID do projeto alfanumérico.
  • MODULE_ID: o identificador numérico do módulo personalizado.

Método HTTP e URL: 

DELETE https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{}

Clonar um módulo personalizado

Quando você clona um módulo personalizado, o módulo resultante é criado como um residente do recurso que você está visualizando. Por exemplo, se você clonar um módulo personalizado que seu projeto herdou da organização, o novo módulo personalizado será um módulo residencial no projeto.

Não é possível clonar um módulo personalizado descendente.

Para clonar um módulo personalizado usando o console Google Cloud , faça o seguinte:

  1. Veja os módulos do serviço Event Threat Detection. Os módulos personalizados e predefinidos aparecem em uma lista.
  2. Localize o módulo personalizado que você quer clonar.
  3. Para esse módulo personalizado, clique em Ações > Clonar.
  4. Edite o módulo personalizado conforme necessário.
  5. Clique em Criar.

A seguir