Membuat dan mengelola modul kustom untuk Event Threat Detection

Halaman ini menjelaskan cara membuat dan mengelola modul kustom untuk Event Threat Detection.

Sebelum memulai

Bagian ini menjelaskan persyaratan untuk menggunakan modul kustom untuk Event Threat Detection.

Security Command Center Premium dan Event Threat Detection

Untuk menggunakan modul kustom Event Threat Detection, Event Threat Detection harus diaktifkan. Untuk mengaktifkan Event Threat Detection, lihat Mengaktifkan atau menonaktifkan layanan bawaan.

Peran dan izin IAM yang diperlukan

Peran IAM menentukan tindakan yang dapat Anda lakukan dengan modul kustom Event Threat Detection.

Tabel berikut berisi daftar izin modul kustom Event Threat Detection yang diperlukan serta peran IAM bawaan yang menyertakannya.

Anda dapat menggunakan konsol Google Cloud atau Security Command Center API untuk menerapkan peran ini di tingkat organisasi, folder, atau project.

Izin diperlukan Peran
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete		 roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate		 roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Jika Anda mengalami error akses di Security Command Center, minta bantuan administrator Anda. Lihat salah satu halaman berikut, bergantung pada level tempat Anda mengaktifkan Security Command Center:

Log yang diperlukan

Pastikan log yang relevan diaktifkan untuk organisasi, folder, dan project Anda. Untuk mengetahui informasi tentang log yang diperlukan oleh setiap jenis modul kustom, lihat tabel di Modul dan template kustom.

Log dari sumber di luar Google Cloud tidak didukung.

Tingkat modul kustom

Dokumen ini menggunakan istilah berikut untuk menjelaskan tingkat pembuatan modul kustom:

Modul residensial
Modul dibuat di tampilan atau cakupan saat ini. Misalnya, jika Anda berada di tampilan organisasi konsol Google Cloud , modul residensial adalah modul yang dibuat di tingkat organisasi.
Modul turunan
Modul dibuat di tampilan atau cakupan induk. Misalnya, modul yang dibuat di tingkat organisasi adalah modul yang diwarisi di tingkat folder atau project mana pun.
Modul turunan
Modul dibuat pada tampilan atau cakupan turunan. Misalnya, modul yang dibuat di level folder atau project adalah modul turunan di level organisasi.

Membuat modul kustom

Anda dapat membuat modul kustom Event Threat Detection melalui KonsolGoogle Cloud atau dengan mengubah template JSON dan mengirimkannya melalui gcloud CLI. Anda hanya memerlukan template JSON jika berencana menggunakan gcloud CLI untuk membuat modul kustom.

Untuk mengetahui daftar template modul yang didukung, lihat Modul dan template kustom.

Struktur template

Template menentukan parameter yang digunakan modul kustom untuk mengidentifikasi ancaman dalam log Anda. Template ditulis dalam JSON dan memiliki struktur yang serupa dengan temuan yang dihasilkan oleh Security Command Center. Anda hanya perlu mengonfigurasi template JSON jika berencana menggunakan gcloud CLI untuk membuat modul kustom.

Setiap template berisi kolom yang dapat disesuaikan:

  • severity: tingkat keparahan atau risiko yang ingin Anda tetapkan ke temuan jenis ini, LOW, MEDIUM, HIGH, atau CRITICAL.
  • description: deskripsi modul kustom.
  • recommendation: tindakan yang direkomendasikan untuk mengatasi temuan yang dihasilkan oleh modul kustom.
  • Parameter deteksi: variabel yang digunakan untuk mengevaluasi log dan memicu temuan. Parameter deteksi berbeda untuk setiap modul, tetapi mencakup satu atau beberapa hal berikut:
    • domains: domain web yang akan dipantau
    • ips: Alamat IP yang harus diperhatikan
    • permissions: izin yang harus diperhatikan
    • regions: region tempat instance Compute Engine baru diizinkan
    • roles: peran yang akan dipantau
    • accounts: akun yang akan dipantau
    • Parameter yang menentukan jenis instance Compute Engine yang diizinkan—misalnya, series, cpus, dan ram_mb.
    • Ekspresi reguler untuk memeriksa properti—misalnya, caller_pattern dan resource_pattern.

Contoh kode berikut adalah contoh template JSON untuk Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

Pada contoh sebelumnya, modul kustom menghasilkan temuan tingkat rendah jika log Anda menunjukkan resource yang terhubung ke alamat IP 192.0.2.1 atau 192.0.2.0/24.

Mengubah template modul

Untuk membuat modul, Anda memilih template modul dan mengubahnya.

Jika Anda berencana menggunakan Google Cloud CLI untuk membuat modul kustom, Anda harus melakukan tugas ini.

Jika Anda berencana menggunakan konsol Google Cloud untuk membuat modul kustom, lewati tugas ini. Anda akan menggunakan opsi yang ditampilkan di layar untuk mengubah parameter template.

  1. Pilih template dari Modul dan template kustom.
  2. Salin kode ke file lokal.
  3. Perbarui parameter yang ingin Anda gunakan untuk mengevaluasi log.
  4. Simpan file sebagai file JSON.
  5. Buat modul kustom melalui gcloud CLI menggunakan file JSON.

Membuat modul kustom

Bagian ini menjelaskan cara membuat modul kustom melalui konsolGoogle Cloud , gcloud CLI, REST API, dan Terraform. Setiap modul kustom Event Threat Detection memiliki batas ukuran 6 MB.

Untuk membuat modul kustom, ikuti langkah-langkah berikut:

Konsol

  1. Lihat modul layanan Event Threat Detection. Modul kustom dan yang telah ditetapkan sebelumnya akan muncul dalam daftar.
  2. Klik Create module.
  3. Klik template modul yang ingin Anda gunakan.
  4. Klik Pilih.
  5. Untuk Module name, masukkan nama tampilan untuk template baru. Nama tidak boleh melebihi 128 karakter dan hanya boleh berisi karakter alfanumerik dan garis bawah—misalnya, example_custom_module.
  6. Pilih atau tambahkan nilai parameter yang diminta. Parameter berbeda untuk setiap modul. Misalnya, jika Anda memilih template modul Configurable allowed Compute Engine region, Anda memilih satu atau beberapa region. Atau, berikan daftar dalam format JSON.
  7. Klik Berikutnya.
  8. Untuk Keparahan, masukkan tingkat keparahan yang ingin Anda tetapkan ke temuan yang dihasilkan oleh modul kustom baru.
  9. Untuk Deskripsi, masukkan deskripsi untuk modul kustom baru.
  10. Untuk Langkah berikutnya, masukkan tindakan yang disarankan dalam format teks biasa. Setiap jeda paragraf yang Anda tambahkan akan diabaikan.
  11. Klik Create.

gcloud

Perintah gcloud scc manage custom-modules etd create membuat modul kustom Event Threat Detection untuk organisasi, folder, atau project.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang menjadi bagian dari modul kustom (organization, folder, atau project)
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project untuk modul kustom. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • MODULE_CONFIG: setelan konfigurasi untuk modul kustom. Gunakan template modul kustom sebagai titik awal.
  • MODULE_TYPE: jenis modul kustom. Untuk mengetahui daftar jenis yang didukung, lihat Modul dan template kustom.
  • MODULE_DISPLAY_NAME: nama tampilan yang mudah dibaca untuk modul kustom. Nama ini dapat berisi huruf, angka, dan garis bawah (_). Panjangnya bisa mencapai 128 karakter.

Simpan konten berikut ini dalam file yang bernama request.json: 

{
  MODULE_CONFIG
}

Jalankan perintah gcloud scc manage custom-modules etd create:

Linux, macOS, atau Cloud Shell

gcloud scc manage custom-modules etd create \
    --RESOURCE_TYPE=RESOURCE_ID \
    --custom-config-file=request.json \
    --display-name=MODULE_DISPLAY_NAME \
    --module-type=MODULE_TYPE \
    --enablement-state=ENABLED

Windows (PowerShell)

gcloud scc manage custom-modules etd create `
    --RESOURCE_TYPE=RESOURCE_ID `
    --custom-config-file=request.json `
    --display-name=MODULE_DISPLAY_NAME `
    --module-type=MODULE_TYPE `
    --enablement-state=ENABLED

Windows (cmd.exe)

gcloud scc manage custom-modules etd create ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --custom-config-file=request.json ^
    --display-name=MODULE_DISPLAY_NAME ^
    --module-type=MODULE_TYPE ^
    --enablement-state=ENABLED

REST

Metode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.create Security Command Center Management API membuat modul kustom Event Threat Detection untuk organisasi, folder, atau project.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang menjadi bagian dari modul kustom (organizations, folders, atau projects).
  • QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota.
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project untuk modul kustom. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • MODULE_CONFIG: setelan konfigurasi untuk modul kustom. Gunakan template modul kustom sebagai titik awal.
  • MODULE_TYPE: jenis modul kustom. Untuk mengetahui daftar jenis yang didukung, lihat Modul dan template kustom.
  • MODULE_DISPLAY_NAME: nama tampilan yang mudah dibaca untuk modul kustom. Nama ini dapat berisi huruf, angka, dan garis bawah (_). Panjangnya bisa mencapai 128 karakter.

Metode HTTP dan URL: 

POST https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Meminta isi JSON: 

{
  "config": MODULE_CONFIG,
  "enablementState": "ENABLED",
  "type": "MODULE_TYPE",
  "displayName": "MODULE_DISPLAY_NAME"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "ENABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-16T19:44:58.588134Z"
}

Terraform

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi penyedia Terraform. 

resource "google_scc_management_organization_event_threat_detection_custom_module" "example" {
  organization = "123456789"
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  type = "CONFIGURABLE_BAD_IP"
  description = "My Event Threat Detection Custom Module"
  config = jsonencode({
    "metadata": {
      "severity": "LOW",
      "description": "Flagged by Forcepoint as malicious",
      "recommendation": "Contact the owner of the relevant project."
    },
    "ips": [
      "192.0.2.1",
      "192.0.2.0/24"
    ]
  })
}

Modul kustom Anda dibuat dan mulai memindai. Untuk menghapus modul, lihat Menghapus modul kustom.

Nama kategori modul kustom berisi kategori temuan jenis modul dan nama tampilan modul yang Anda tetapkan. Misalnya, nama kategori modul kustom dapat berupa Unexpected Compute Engine Region: example_custom_module. Di konsol Google Cloud , garis bawah ditampilkan sebagai spasi. Namun, dalam kueri, Anda harus menyertakan garis bawah.

Kuota mengatur penggunaan modul kustom untuk Event Threat Detection.

Latensi deteksi

Latensi deteksi untuk Event Threat Detection dan semua layanan Security Command Center bawaan lainnya dijelaskan dalam Latensi pemindaian.

Meninjau temuan

Temuan yang dihasilkan oleh modul kustom dapat dilihat di konsol Google Cloud atau menggunakan gcloud CLI atau REST API.

Konsol

  1. Di konsol Google Cloud , buka halaman Findings di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Anda. Google Cloud
  3. Di bagian Quick filters, di subbagian Source display name, pilih Event Threat Detection Custom Modules. Hasil kueri temuan diperbarui untuk menampilkan hanya temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Summary.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap temuan, klik tab JSON.

gcloud

Menemukan ID sumber

Perintah gcloud scc sources describe menampilkan informasi tentang sumber temuan untuk Security Command Center.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang dimiliki sumber (organizations, folders, atau projects).
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.

Jalankan perintah gcloud scc sources describe:

Linux, macOS, atau Cloud Shell

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID \
    --source-display-name="Event Threat Detection Custom Modules"

Windows (PowerShell)

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID `
    --source-display-name="Event Threat Detection Custom Modules"

Windows (cmd.exe)

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID ^
    --source-display-name="Event Threat Detection Custom Modules"

Anda akan melihat respons seperti berikut:

canonicalName: organizations/123456789012/sources/98765432109876543210
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: organizations/123456789012/sources/98765432109876543210

ID sumber adalah nilai numerik di akhir kolom canonicalName dan name—misalnya, 98765432109876543210.

Mencantumkan semua temuan untuk modul kustom Event Threat Detection

Perintah gcloud scc findings list mencantumkan temuan untuk sumber di lokasi tertentu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang akan didapatkan (organizations, folders, atau projects).
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan didapatkan. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • LOCATION: lokasi Security Command Center yang akan digunakan, seperti eu. Jika residensi data tidak diaktifkan, gunakan global.
  • SOURCE_ID: ID numerik untuk sumber temuan.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION

Windows (PowerShell)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION

Respons berisi daftar temuan.

Mencantumkan temuan untuk modul kustom tertentu

Perintah gcloud scc findings list mencantumkan temuan untuk sumber di lokasi tertentu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang akan didapatkan (organizations, folders, atau projects).
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan didapatkan. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • LOCATION: lokasi Security Command Center yang akan digunakan, seperti eu. Jika residensi data tidak diaktifkan, gunakan global.
  • SOURCE_ID: ID numerik untuk sumber temuan.
  • CUSTOM_MODULE_CATEGORY_NAME: nama kategori modul kustom, yang terdiri dari kategori temuan modul (seperti yang tercantum dalam Modul dan template kustom); titik dua; spasi; dan nama tampilan modul dengan spasi diganti dengan garis bawah. Misalnya, Unexpected Compute Engine region: example_custom_module.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION \
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

Windows (PowerShell)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION `
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

Windows (cmd.exe)

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION ^
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

Respons berisi daftar temuan.

REST

Menemukan ID sumber

Metode RESOURCE_TYPE.sources.list Security Command Center API mencantumkan informasi tentang sumber temuan Security Command Center.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource induk (organizations, folders, atau projects).
  • QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota.
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.

Metode HTTP dan URL: 

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Respons berisi daftar temuan.

{
  "sources": [
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Security Command Center",
      "description": "Detector for misconfigurations within the Security Command Center platform.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    },
    {
      "name": "organizations/123456789012/sources/8765432109876543210",
      "displayName": "Application Design Center",
      "description": "Provides vulnerabilities on ADC resources.",
      "canonicalName": "organizations/123456789012/sources/8765432109876543210"
    },
    {
      "name": "organizations/123456789012/sources/7654321098765432109",
      "displayName": "Cloud Anomaly Detection",
      "description": "Provider used by Cloud Anomaly Detection",
      "canonicalName": "organizations/123456789012/sources/7654321098765432109"
    },
    {
      "name": "organizations/123456789012/sources/6543210987654321098",
      "displayName": "Vulnerability Assessment",
      "description": "Provider for Vulnerability Assessment.",
      "canonicalName": "organizations/123456789012/sources/6543210987654321098"
    },
    {
      "name": "organizations/123456789012/sources/5432109876543210987",
      "displayName": "Data Security Posture Management",
      "description": "Service to detect drift and post findings",
      "canonicalName": "organizations/123456789012/sources/5432109876543210987"
    },
    {
      "name": "organizations/123456789012/sources/4321098765432109876",
      "displayName": "Notebook Security Scanner",
      "description": "Provider for the Notebook Security Scanner",
      "canonicalName": "organizations/123456789012/sources/4321098765432109876"
    },
    {
      "name": "organizations/123456789012/sources/3210987654321098765",
      "displayName": "GKE Security Posture",
      "description": "Provides actionable security issues on GKE.",
      "canonicalName": "organizations/123456789012/sources/3210987654321098765"
    },
    {
      "name": "organizations/123456789012/sources/2109876543210987654",
      "displayName": "Integrated Vulnerability Scanner",
      "description": "Provider for Integrated Vulnerability Scanner.",
      "canonicalName": "organizations/123456789012/sources/2109876543210987654"
    },
    {
      "name": "organizations/123456789012/sources/1098765432109876543",
      "displayName": "Event Threat Detection Custom Modules",
      "description": "Provider used by Event Threat Detection Custom Modules",
      "canonicalName": "organizations/123456789012/sources/1098765432109876543"
    },
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Serverless Vulnerability Detection",
      "description": "Provides vulnerability detection for serverless assets.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    }
  ]
}

ID sumber adalah nilai numerik di akhir kolom canonicalName dan name.

Mencantumkan temuan untuk modul kustom Event Threat Detection

Metode RESOURCE_TYPE.sources.locations.findings.list Security Command Center API mencantumkan temuan untuk sumber di lokasi tertentu.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota.
  • RESOURCE_TYPE: jenis resource yang akan didapatkan (organizations, folders, atau projects).
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan didapatkan. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • LOCATION: lokasi Security Command Center yang akan digunakan, seperti eu. Jika residensi data tidak diaktifkan, gunakan global.
  • SOURCE_ID: ID numerik untuk sumber temuan.

Metode HTTP dan URL: 

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Respons berisi daftar temuan.

Untuk mempelajari lebih lanjut cara memfilter temuan, lihat Mencantumkan temuan keamanan.

Temuan yang dihasilkan oleh modul kustom dapat dikelola seperti semua temuan di Security Command Center. Untuk informasi selengkapnya, lihat referensi berikut:

Mengelola modul kustom Event Threat Detection

Bagian ini menjelaskan cara melihat, mencantumkan, mengupdate, dan menghapus modul kustom Event Threat Detection.

Melihat atau mencantumkan modul kustom

Secara default, saat mencantumkan modul kustom untuk Event Threat Detection, Anda akan melihat semua hal berikut:

  • Semua modul kustom Event Threat Detection yang termasuk dalam organisasi, folder, atau project.
  • Semua modul kustom Event Threat Detection yang diwarisi. Misalnya, jika Anda melihat project, modul kustom yang dibuat di organisasi dan folder induk project tersebut akan disertakan dalam hasil.
  • Semua modul kustom Event Threat Detection yang dibuat di resource turunan. Misalnya, jika Anda berada di tampilan organisasi, modul kustom di folder dan project organisasi akan disertakan dalam hasil.

Konsol

  1. Lihat modul untuk layanan Event Threat Detection. Modul kustom dan yang telah ditetapkan sebelumnya akan muncul dalam daftar.
  2. Opsional: Untuk hanya melihat modul kustom, di kotak Filter, masukkan Type:Custom.

gcloud

Perintah gcloud scc manage custom-modules etd list mencantumkan semua modul kustom Event Threat Detection untuk organisasi, folder, atau project.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang menjadi bagian dari modul kustom (organization, folder, atau project).
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan didapatkan. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.

Jalankan perintah gcloud scc manage custom-modules etd list:

Linux, macOS, atau Cloud Shell

gcloud scc manage custom-modules etd list \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage custom-modules etd list `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage custom-modules etd list ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

- config:
    metadata:
      description: There is a Compute Engine instance in a region that's not allowed.
      recommendation: Delete the instance. If necessary, create a new instance in
        an allowed region.
      severity: MEDIUM
    regions:
    - region: northamerica-northeast1
  displayName: compute_instance_prohibited_region
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321
  type: CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
  updateTime: '2026-02-19T01:23:10.237946Z'
- config:
    metadata:
      description: An IAM custom role contains permissions that aren't allowed.
      recommendation: Remove the permissions from the custom role.
      severity: MEDIUM
    permissions:
    - accessapproval.requests.get
    - accessapproval.requests.invalidate
    - accessapproval.requests.list
    - accessapproval.settings.delete
  displayName: iam_custom_role_prohibited_permissions
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
  type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
  updateTime: '2025-12-23T06:54:15.618430Z'

REST

Metode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.list Security Command Center Management API mencantumkan semua modul kustom Event Threat Detection untuk organisasi, folder, atau project.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang menjadi bagian dari modul kustom (organizations, folders, atau projects).
  • QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota.
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan didapatkan. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.

Metode HTTP dan URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

[
  {
    "config": {
      "metadata": {
        "description": "There is a Compute Engine instance in a region that's not allowed.",
        "recommendation": "Delete the instance. If necessary, create a new instance in an allowed region.",
        "severity": "MEDIUM"
      },
      "regions": [
        {
          "region": "northamerica-northeast1"
        }
      ]
    },
    "displayName": "compute_instance_prohibited_region",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321",
    "type": "CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION",
    "updateTime": "2026-02-19T01:23:10.237946Z"
  },
  {
    "config": {
      "metadata": {
        "description": "An IAM custom role contains permissions that aren't allowed.",
        "recommendation": "Remove the permissions from the custom role.",
        "severity": "MEDIUM"
      },
      "permissions": [
        "accessapproval.requests.get",
        "accessapproval.requests.invalidate",
        "accessapproval.requests.list",
        "accessapproval.settings.delete"
      ]
    },
    "displayName": "iam_custom_role_prohibited_permissions",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
    "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
    "updateTime": "2025-12-23T06:54:15.618430Z"
  }
]

Mengaktifkan atau menonaktifkan modul kustom

Saat Anda mengaktifkan atau menonaktifkan modul kustom, perubahan tersebut berlaku untuk organisasi, folder, atau project tempat modul kustom berada. Resource ini adalah induk modul kustom.

Perubahan juga dapat diwariskan oleh folder atau project apa pun yang merupakan turunan dari induk modul kustom. Misalnya, jika Anda membuat modul kustom dalam folder, project dalam folder tersebut dapat mewarisi status modul kustom.

Jika induk modul kustom adalah folder atau project, Anda harus mengaktifkan atau menonaktifkan modul kustom di tingkat hierarki resource yang sama, atau di tingkat yang lebih rendah. Misalnya, jika induk modul kustom adalah project, maka Anda tidak dapat mengaktifkan atau menonaktifkan modul kustom untuk organisasi atau folder; jenis resource ini selalu menjadi induk project.

Konsol

Lihat Melihat dan mengedit modul layanan.

gcloud

Perintah gcloud scc manage custom-modules etd update memperbarui status modul kustom untuk Event Threat Detection.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang akan diupdate (organization, folder, atau project).
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project untuk modul kustom. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • MODULE_ID: ID numerik untuk modul
  • NEW_STATE: ENABLED untuk mengaktifkan modul; DISABLED untuk menonaktifkan modul; atau INHERITED untuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder).

Jalankan perintah gcloud scc manage custom-modules etd update:

Linux, macOS, atau Cloud Shell

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state="NEW_STATE"

Windows (PowerShell)

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state="NEW_STATE"

Windows (cmd.exe)

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state="NEW_STATE"

Anda akan melihat respons seperti berikut:

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: DISABLED
name: projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2026-03-20T16:52:27.046766Z'

REST

Metode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.patch Security Command Center Management API memperbarui status modul kustom untuk Event Threat Detection.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang akan diupdate (organizations, folders, atau projects).
  • QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota.
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project untuk modul kustom. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • MODULE_ID: ID numerik untuk modul
  • NEW_STATE: ENABLED untuk mengaktifkan modul; DISABLED untuk menonaktifkan modul; atau INHERITED untuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder).
  • FIELDS_TO_UPDATE: optional. Daftar kolom yang dipisahkan koma untuk diperbarui. Jika tidak ada, semua kolom akan diperbarui.

Metode HTTP dan URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState

Meminta isi JSON: 

{
  "enablementState": "NEW_STATE"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "DISABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-20T16:52:27.046766Z"
}

Memperbarui definisi modul kustom

Bagian ini menjelaskan cara memperbarui modul kustom melalui konsolGoogle Cloud dan melalui gcloud CLI. Setiap modul kustom Event Threat Detection memiliki batas ukuran 6 MB.

Anda tidak dapat memperbarui jenis modul kustom.

Untuk memperbarui modul kustom, ikuti langkah-langkah berikut:

Konsol

Anda hanya dapat mengedit modul kustom residensial. Misalnya, jika Anda berada di tampilan organisasi, Anda hanya dapat mengedit modul kustom yang dibuat di tingkat organisasi.

  1. Lihat modul layanan Event Threat Detection. Modul kustom dan yang telah ditetapkan sebelumnya akan muncul dalam daftar.
  2. Temukan modul kustom yang ingin Anda edit.
  3. Untuk modul kustom tersebut, klik Tindakan > Edit.
  4. Edit modul kustom sesuai kebutuhan.
  5. Klik Simpan.

gcloud

Untuk mengupdate modul, jalankan perintah berikut dan sertakan JSON template modul yang diupdate:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ganti kode berikut:

  • CUSTOM_MODULE_ID: ID numerik modul kustom Event Threat Detection—misalnya, 1234567890. Anda bisa mendapatkan ID numerik dari kolom name pada modul kustom yang relevan saat Anda melihat daftar modul kustom.
  • RESOURCE_FLAG: cakupan resource induk tempat modul kustom berada; salah satu dari organization, folder, atau project.
  • RESOURCE_ID: ID resource induk; yaitu, ID organisasi, ID folder, atau ID project.
  • PATH_TO_JSON_FILE: file JSON yang berisi definisi JSON modul kustom.

Memeriksa status satu modul kustom

Konsol

  1. Lihat modul layanan Event Threat Detection. Modul kustom dan yang telah ditetapkan sebelumnya akan muncul dalam daftar.

  2. Temukan modul kustom dalam daftar.

    Status modul kustom ditampilkan di kolom Status.

gcloud

Perintah gcloud scc manage custom-modules etd describe mendapatkan modul kustom Event Threat Detection untuk organisasi, folder, atau project.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang menjadi bagian dari modul kustom (organization, folder, atau project).
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan didapatkan. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • MODULE_ID: ID numerik untuk modul kustom.

Jalankan perintah gcloud scc manage custom-modules etd describe:

Linux, macOS, atau Cloud Shell

gcloud scc manage custom-modules etd describe MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage custom-modules etd describe MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage custom-modules etd describe MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: ENABLED
name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2025-12-23T06:54:15.618430Z'

REST

Metode Security Command Center Management API RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.get mendapatkan modul kustom Event Threat Detection untuk organisasi, folder, atau project.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang menjadi bagian dari modul kustom (organizations, folders, atau projects).
  • QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota.
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project yang akan didapatkan. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • MODULE_ID: ID numerik untuk modul kustom.

Metode HTTP dan URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "config": {
    "metadata": {
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role.",
      "severity": "MEDIUM"
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "displayName": "iam_custom_role_prohibited_permissions",
  "enablementState": "ENABLED",
  "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "updateTime": "2025-12-23T06:54:15.618430Z"
}

Menghapus modul kustom

Jika Anda menghapus modul kustom Event Threat Detection, temuan yang telah dibuatnya tidak akan diubah dan tetap tersedia di Security Command Center. Sebaliknya, saat Anda menghapus modul kustom Security Health Analytics, temuan yang dihasilkan akan ditandai sebagai tidak aktif.

Anda tidak dapat memulihkan modul kustom yang dihapus.

Konsol

Anda tidak dapat menghapus modul kustom yang diwarisi. Misalnya, jika Anda berada di tampilan project, Anda tidak dapat menghapus modul kustom yang dibuat di tingkat folder atau organisasi.

Untuk menghapus modul kustom melalui konsol Google Cloud , lakukan hal berikut:

  1. Lihat modul layanan Event Threat Detection. Modul kustom dan yang telah ditetapkan sebelumnya akan muncul dalam daftar.
  2. Temukan modul kustom yang ingin Anda hapus.
  3. Untuk modul kustom tersebut, klik Tindakan > Hapus. Pesan akan muncul untuk meminta Anda mengonfirmasi penghapusan.
  4. Klik Hapus.

gcloud

Perintah gcloud scc manage custom-modules etd delete membuat modul kustom Event Threat Detection untuk organisasi, folder, atau project.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang menjadi bagian dari modul kustom (organization, folder, atau project).
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project untuk modul kustom. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • MODULE_ID: ID numerik untuk modul kustom.

Jalankan perintah gcloud scc manage custom-modules etd delete:

Linux, macOS, atau Cloud Shell

gcloud scc manage custom-modules etd delete MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage custom-modules etd delete MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage custom-modules etd delete MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

Deleted [projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210].

REST

Metode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.delete Security Command Center Management API membuat modul kustom Event Threat Detection untuk organisasi, folder, atau project.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource yang akan menjadi bagian dari modul kustom (organizations, folders, atau projects)
  • QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota.
  • RESOURCE_ID: ID numerik untuk organisasi, folder, atau project untuk modul kustom. Untuk project, Anda juga dapat menggunakan ID project alfanumerik.
  • MODULE_ID: ID numerik untuk modul kustom.

Metode HTTP dan URL: 

DELETE https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{}

Meng-clone modul kustom

Saat Anda meng-clone modul kustom, modul kustom yang dihasilkan akan dibuat sebagai bagian dari resource yang Anda lihat. Misalnya, jika Anda meng-clone modul kustom yang diwarisi project Anda dari organisasi, modul kustom baru adalah modul residensial dalam project.

Anda tidak dapat meng-clone modul kustom turunan.

Untuk meng-clone modul kustom melalui konsol Google Cloud , lakukan hal berikut:

  1. Lihat modul layanan Event Threat Detection. Modul kustom dan yang telah ditetapkan sebelumnya akan muncul dalam daftar.
  2. Temukan modul kustom yang ingin Anda kloning.
  3. Untuk modul kustom tersebut, klik Tindakan > Kloning.
  4. Edit modul kustom sesuai kebutuhan.
  5. Klik Create.

Langkah berikutnya