Benutzerdefinierte Module für Event Threat Detection erstellen und verwalten

Console

1. Module des Dienstes Event Threat Detection ansehen. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
2. Klicken Sie auf Modul erstellen.
3. Klicken Sie auf die gewünschte Modulvorlage.
4. Klicken Sie auf Auswählen.
5. Geben Sie unter Modulname einen Anzeigenamen für die neue Vorlage ein. Der Name darf maximal 128 Zeichen lang sein und darf nur alphanumerische Zeichen und Unterstriche enthalten, z. B. example_custom_module.
6. Wählen Sie die erforderlichen Parameterwerte aus oder fügen Sie sie hinzu. Die Parameter sind für jedes Modul unterschiedlich. Wenn Sie beispielsweise die Modulvorlage Configurable allowed Compute Engine region ausgewählt haben, wählen Sie eine oder mehrere Regionen aus. Alternativ können Sie die Liste im JSON-Format bereitstellen.
7. Klicken Sie auf Weiter.
8. Geben Sie für Schweregrad den Schweregrad ein, den Sie den Ergebnissen zuweisen möchten, die vom neuen benutzerdefinierten Modul generiert werden.
9. Geben Sie unter Beschreibung eine Beschreibung für das neue benutzerdefinierte Modul ein.
10. Geben Sie unter Nächste Schritte die empfohlenen Maßnahmen im Nur-Text-Format ein. Absatzumbrüche, die Sie hinzufügen, werden ignoriert.
11. Klicken Sie auf Erstellen.

gcloud

Mit dem Befehl gcloud scc manage custom-modules etd create wird ein benutzerdefiniertes Modul für Event Threat Detection für eine Organisation, einen Ordner oder ein Projekt erstellt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Ressourcentyp, zu dem die benutzerdefinierten Module gehören (organization, folder oder project)
• RESOURCE_ID: Die numerische Kennzeichnung für die Organisation, den Ordner oder das Projekt für das benutzerdefinierte Modul. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• MODULE_CONFIG: Die Konfigurationseinstellungen für das benutzerdefinierte Modul. Verwenden Sie eine benutzerdefinierte Modulvorlage als Ausgangspunkt.
• MODULE_TYPE: Der Typ des benutzerdefinierten Moduls. Eine Liste der unterstützten Typen finden Sie unter Benutzerdefinierte Module und Vorlagen.
• MODULE_DISPLAY_NAME: Der für Menschen lesbare Anzeigename des benutzerdefinierten Moduls. Er kann Buchstaben, Zahlen und Unterstriche (_) enthalten und bis zu 128 Zeichen lang sein.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  MODULE_CONFIG
}

Führen Sie den Befehl gcloud scc manage custom-modules etd create aus:

gcloud scc manage custom-modules etd create \
    --RESOURCE_TYPE=RESOURCE_ID \
    --custom-config-file=request.json \
    --display-name=MODULE_DISPLAY_NAME \
    --module-type=MODULE_TYPE \
    --enablement-state=ENABLED

gcloud scc manage custom-modules etd create `
    --RESOURCE_TYPE=RESOURCE_ID `
    --custom-config-file=request.json `
    --display-name=MODULE_DISPLAY_NAME `
    --module-type=MODULE_TYPE `
    --enablement-state=ENABLED

gcloud scc manage custom-modules etd create ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --custom-config-file=request.json ^
    --display-name=MODULE_DISPLAY_NAME ^
    --module-type=MODULE_TYPE ^
    --enablement-state=ENABLED

REST

Mit der Methode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.create der Security Command Center Management API wird ein benutzerdefiniertes Event Threat Detection-Modul für eine Organisation, einen Ordner oder ein Projekt erstellt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Ressourcentyp, zu dem das benutzerdefinierte Modul gehört (organizations, folders oder projects).
• QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll.
• RESOURCE_ID: Die numerische Kennzeichnung für die Organisation, den Ordner oder das Projekt für das benutzerdefinierte Modul. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• MODULE_CONFIG: Die Konfigurationseinstellungen für das benutzerdefinierte Modul. Verwenden Sie eine benutzerdefinierte Modulvorlage als Ausgangspunkt.
• MODULE_TYPE: Der Typ des benutzerdefinierten Moduls. Eine Liste der unterstützten Typen finden Sie unter Benutzerdefinierte Module und Vorlagen.
• MODULE_DISPLAY_NAME: Der für Menschen lesbare Anzeigename des benutzerdefinierten Moduls. Er kann Buchstaben, Zahlen und Unterstriche (_) enthalten und bis zu 128 Zeichen lang sein.

HTTP-Methode und URL:

POST https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

JSON-Text anfordern:

{
  "config": MODULE_CONFIG,
  "enablementState": "ENABLED",
  "type": "MODULE_TYPE",
  "displayName": "MODULE_DISPLAY_NAME"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "ENABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-16T19:44:58.588134Z"
}

Terraform

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle. Weitere Informationen finden Sie in der Referenzdokumentation des Anbieters zu Terraform.

resource "google_scc_management_organization_event_threat_detection_custom_module" "example" {
  organization = "123456789"
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  type = "CONFIGURABLE_BAD_IP"
  description = "My Event Threat Detection Custom Module"
  config = jsonencode({
    "metadata": {
      "severity": "LOW",
      "description": "Flagged by Forcepoint as malicious",
      "recommendation": "Contact the owner of the relevant project."
    },
    "ips": [
      "192.0.2.1",
      "192.0.2.0/24"
    ]
  })
}

Console

1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

   Zu Ergebnissen

2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Benutzerdefinierte Module für die Event Threat Detection aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

gcloud

Quell-ID finden

Der Befehl gcloud scc sources describe zeigt Informationen zu einer Ergebnisquelle für Security Command Center an.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Ressourcentyp, zu dem die Quelle gehört (organizations, folders oder projects).
• RESOURCE_ID: Die numerische Kennzeichnung für die Organisation, den Ordner oder das Projekt. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.

Führen Sie den Befehl gcloud scc sources describe aus:

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID \
    --source-display-name="Event Threat Detection Custom Modules"

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID `
    --source-display-name="Event Threat Detection Custom Modules"

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID ^
    --source-display-name="Event Threat Detection Custom Modules"

Sie sollten eine Antwort ähnlich der folgenden erhalten:

canonicalName: organizations/123456789012/sources/98765432109876543210
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: organizations/123456789012/sources/98765432109876543210

Die Quell-ID ist der numerische Wert am Ende der Felder canonicalName und name, z. B. 98765432109876543210.

Alle Ergebnisse für benutzerdefinierte Module von Event Threat Detection auflisten

Mit dem Befehl gcloud scc findings list werden Ergebnisse für eine Quelle an einem bestimmten Speicherort aufgelistet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: der abzurufende Ressourcentyp (organizations, folders oder projects).
• RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• LOCATION: Der Security Command Center-Standort, der verwendet werden soll, z. B. eu. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie global.
• SOURCE_ID: Die numerische Kennzeichnung für die Quelle der Ergebnisse.

Führen Sie folgenden Befehl aus:

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION

Die Antwort enthält eine Liste mit Ergebnissen.

Ergebnisse für ein bestimmtes benutzerdefiniertes Modul auflisten

Mit dem Befehl gcloud scc findings list werden Ergebnisse für eine Quelle an einem bestimmten Speicherort aufgelistet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: der abzurufende Ressourcentyp (organizations, folders oder projects).
• RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• LOCATION: Der Security Command Center-Standort, der verwendet werden soll, z. B. eu. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie global.
• SOURCE_ID: Die numerische Kennzeichnung für die Quelle der Ergebnisse.
• CUSTOM_MODULE_CATEGORY_NAME: Der Kategoriename des benutzerdefinierten Moduls, der sich aus der Ergebniskategorie des Moduls (wie in Benutzerdefinierte Module und Vorlagen aufgeführt), einem Doppelpunkt, einem Leerzeichen und dem Anzeigenamen des Moduls zusammensetzt, wobei Leerzeichen durch Unterstriche ersetzt werden. Beispiel: Unexpected Compute Engine region: example_custom_module

Führen Sie folgenden Befehl aus:

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION \
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION `
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION ^
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

Die Antwort enthält eine Liste mit Ergebnissen.

REST

Quell-ID finden

Mit der Methode RESOURCE_TYPE.sources.list der Security Command Center API werden Informationen zu Security Command Center-Ergebnisquellen aufgelistet.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: der Typ der übergeordneten Ressource (organizations, folders oder projects).
• QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll.
• RESOURCE_ID: Die numerische Kennzeichnung für die Organisation, den Ordner oder das Projekt. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.

HTTP-Methode und URL:

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources" | Select-Object -Expand Content

Die Antwort enthält eine Liste mit Ergebnissen.

{
  "sources": [
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Security Command Center",
      "description": "Detector for misconfigurations within the Security Command Center platform.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    },
    {
      "name": "organizations/123456789012/sources/8765432109876543210",
      "displayName": "Application Design Center",
      "description": "Provides vulnerabilities on ADC resources.",
      "canonicalName": "organizations/123456789012/sources/8765432109876543210"
    },
    {
      "name": "organizations/123456789012/sources/7654321098765432109",
      "displayName": "Cloud Anomaly Detection",
      "description": "Provider used by Cloud Anomaly Detection",
      "canonicalName": "organizations/123456789012/sources/7654321098765432109"
    },
    {
      "name": "organizations/123456789012/sources/6543210987654321098",
      "displayName": "Vulnerability Assessment",
      "description": "Provider for Vulnerability Assessment.",
      "canonicalName": "organizations/123456789012/sources/6543210987654321098"
    },
    {
      "name": "organizations/123456789012/sources/5432109876543210987",
      "displayName": "Data Security Posture Management",
      "description": "Service to detect drift and post findings",
      "canonicalName": "organizations/123456789012/sources/5432109876543210987"
    },
    {
      "name": "organizations/123456789012/sources/4321098765432109876",
      "displayName": "Notebook Security Scanner",
      "description": "Provider for the Notebook Security Scanner",
      "canonicalName": "organizations/123456789012/sources/4321098765432109876"
    },
    {
      "name": "organizations/123456789012/sources/3210987654321098765",
      "displayName": "GKE Security Posture",
      "description": "Provides actionable security issues on GKE.",
      "canonicalName": "organizations/123456789012/sources/3210987654321098765"
    },
    {
      "name": "organizations/123456789012/sources/2109876543210987654",
      "displayName": "Integrated Vulnerability Scanner",
      "description": "Provider for Integrated Vulnerability Scanner.",
      "canonicalName": "organizations/123456789012/sources/2109876543210987654"
    },
    {
      "name": "organizations/123456789012/sources/1098765432109876543",
      "displayName": "Event Threat Detection Custom Modules",
      "description": "Provider used by Event Threat Detection Custom Modules",
      "canonicalName": "organizations/123456789012/sources/1098765432109876543"
    },
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Serverless Vulnerability Detection",
      "description": "Provides vulnerability detection for serverless assets.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    }
  ]
}

Die Quell-ID ist der numerische Wert am Ende der Felder canonicalName und name.

Ergebnisse für benutzerdefinierte Event Threat Detection-Module auflisten

Mit der Methode RESOURCE_TYPE.sources.locations.findings.list der Security Command Center API werden Ergebnisse für eine Quelle an einem bestimmten Standort aufgeführt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll.
• RESOURCE_TYPE: der abzurufende Ressourcentyp (organizations, folders oder projects).
• RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• LOCATION: Der Security Command Center-Standort, der verwendet werden soll, z. B. eu. Wenn der Datenstandort nicht aktiviert ist, verwenden Sie global.
• SOURCE_ID: Die numerische Kennzeichnung für die Quelle der Ergebnisse.

HTTP-Methode und URL:

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings" | Select-Object -Expand Content

Die Antwort enthält eine Liste mit Ergebnissen.

Console

1. Module für den Event Threat Detection-Dienst ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
2. Optional: Wenn Sie nur die benutzerdefinierten Module sehen möchten, geben Sie im Feld Filter Type:Custom ein.

gcloud

Mit dem Befehl gcloud scc manage custom-modules etd list werden alle benutzerdefinierten Event Threat Detection-Module für eine Organisation, einen Ordner oder ein Projekt aufgelistet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Ressourcentyp, zu dem die benutzerdefinierten Module gehören (organization, folder oder project).
• RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.

Führen Sie den Befehl gcloud scc manage custom-modules etd list aus:

gcloud scc manage custom-modules etd list \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd list `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd list ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

- config:
    metadata:
      description: There is a Compute Engine instance in a region that's not allowed.
      recommendation: Delete the instance. If necessary, create a new instance in
        an allowed region.
      severity: MEDIUM
    regions:
    - region: northamerica-northeast1
  displayName: compute_instance_prohibited_region
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321
  type: CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
  updateTime: '2026-02-19T01:23:10.237946Z'
- config:
    metadata:
      description: An IAM custom role contains permissions that aren't allowed.
      recommendation: Remove the permissions from the custom role.
      severity: MEDIUM
    permissions:
    - accessapproval.requests.get
    - accessapproval.requests.invalidate
    - accessapproval.requests.list
    - accessapproval.settings.delete
  displayName: iam_custom_role_prohibited_permissions
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
  type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
  updateTime: '2025-12-23T06:54:15.618430Z'

REST

Mit der Methode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.list der Security Command Center Management API werden alle benutzerdefinierten Event Threat Detection-Module für eine Organisation, einen Ordner oder ein Projekt aufgelistet.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Ressourcentyp, zu dem die benutzerdefinierten Module gehören (organizations, folders oder projects).
• QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll.
• RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.

HTTP-Methode und URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

[
  {
    "config": {
      "metadata": {
        "description": "There is a Compute Engine instance in a region that's not allowed.",
        "recommendation": "Delete the instance. If necessary, create a new instance in an allowed region.",
        "severity": "MEDIUM"
      },
      "regions": [
        {
          "region": "northamerica-northeast1"
        }
      ]
    },
    "displayName": "compute_instance_prohibited_region",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321",
    "type": "CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION",
    "updateTime": "2026-02-19T01:23:10.237946Z"
  },
  {
    "config": {
      "metadata": {
        "description": "An IAM custom role contains permissions that aren't allowed.",
        "recommendation": "Remove the permissions from the custom role.",
        "severity": "MEDIUM"
      },
      "permissions": [
        "accessapproval.requests.get",
        "accessapproval.requests.invalidate",
        "accessapproval.requests.list",
        "accessapproval.settings.delete"
      ]
    },
    "displayName": "iam_custom_role_prohibited_permissions",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
    "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
    "updateTime": "2025-12-23T06:54:15.618430Z"
  }
]

Console

Weitere Informationen

gcloud

Mit dem Befehl gcloud scc manage custom-modules etd update wird der Status eines benutzerdefinierten Moduls für Event Threat Detection aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organization, folder oder project).
• RESOURCE_ID: Die numerische Kennzeichnung für die Organisation, den Ordner oder das Projekt für das benutzerdefinierte Modul. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• MODULE_ID: die numerische Kennung für das Modul
• NEW_STATE: ENABLED zum Aktivieren des Moduls, DISABLED zum Deaktivieren des Moduls oder INHERITED zum Übernehmen des Aktivierungsstatus der übergeordneten Ressource (nur für Projekte und Ordner gültig).

Führen Sie den Befehl gcloud scc manage custom-modules etd update aus:

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state="NEW_STATE"

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state="NEW_STATE"

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state="NEW_STATE"

Sie sollten eine Antwort ähnlich der folgenden erhalten:

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: DISABLED
name: projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2026-03-20T16:52:27.046766Z'

REST

Mit der Methode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.patch der Security Command Center Management API wird der Status eines benutzerdefinierten Moduls für Event Threat Detection aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organizations, folders oder projects).
• QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll.
• RESOURCE_ID: Die numerische Kennzeichnung für die Organisation, den Ordner oder das Projekt für das benutzerdefinierte Modul. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• MODULE_ID: die numerische Kennung für das Modul
• NEW_STATE: ENABLED zum Aktivieren des Moduls, DISABLED zum Deaktivieren des Moduls oder INHERITED zum Übernehmen des Aktivierungsstatus der übergeordneten Ressource (nur für Projekte und Ordner gültig).
• FIELDS_TO_UPDATE: optional. Eine durch Kommas getrennte Liste der Felder, die aktualisiert werden sollen. Wenn sie weggelassen wird, werden alle Felder aktualisiert.

HTTP-Methode und URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState

JSON-Text anfordern:

{
  "enablementState": "NEW_STATE"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "DISABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-20T16:52:27.046766Z"
}

Console

Sie können nur benutzerdefinierte Module für Wohngebäude bearbeiten. Wenn Sie sich beispielsweise in der Organisationsansicht befinden, können Sie nur die benutzerdefinierten Module bearbeiten, die auf Organisationsebene erstellt wurden.

1. Module des Event Threat Detection-Dienstes ansehen Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
2. Suchen Sie das benutzerdefinierte Modul, das Sie bearbeiten möchten.
3. Klicken Sie für dieses benutzerdefinierte Modul auf more_vert Aktionen > Bearbeiten.
4. Bearbeiten Sie das benutzerdefinierte Modul nach Bedarf.
5. Klicken Sie auf Speichern.

gcloud

Wenn Sie ein Modul aktualisieren möchten, führen Sie den folgenden Befehl aus und fügen Sie das aktualisierte JSON-Modul-Template ein:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Ersetzen Sie Folgendes:

• CUSTOM_MODULE_ID: die numerische ID des benutzerdefinierten Event Threat Detection-Moduls, z. B. 1234567890. Sie können die numerische ID aus dem Feld name des entsprechenden benutzerdefinierten Moduls abrufen, wenn Sie die Liste der benutzerdefinierten Module aufrufen.
• RESOURCE_FLAG: Der Bereich der übergeordneten Ressource, in der sich das benutzerdefinierte Modul befindet. Dies kann einer der folgenden Werte sein: organization, folder oder project.
• RESOURCE_ID: Die ID der übergeordneten Ressource, d. h. die Organisations-ID, Ordner-ID oder Projekt-ID.
• PATH_TO_JSON_FILE: Die JSON-Datei mit der JSON-Definition des benutzerdefinierten Moduls.

Console

1. Module des Dienstes Event Threat Detection ansehen. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.

2. Suchen Sie in der Liste nach dem benutzerdefinierten Modul.

   Der Status des benutzerdefinierten Moduls wird in der Spalte Status angezeigt.

gcloud

Mit dem Befehl gcloud scc manage custom-modules etd describe wird ein benutzerdefiniertes Modul von Event Threat Detection für eine Organisation, einen Ordner oder ein Projekt abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Ressourcentyp, zu dem das benutzerdefinierte Modul gehört (organization, folder oder project).
• RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• MODULE_ID: Die numerische Kennung für das benutzerdefinierte Modul.

Führen Sie den Befehl gcloud scc manage custom-modules etd describe aus:

gcloud scc manage custom-modules etd describe MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd describe MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd describe MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: ENABLED
name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2025-12-23T06:54:15.618430Z'

REST

Die Methode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.get der Security Command Center Management API ruft ein benutzerdefiniertes Event Threat Detection-Modul für eine Organisation, einen Ordner oder ein Projekt ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Ressourcentyp, zu dem das benutzerdefinierte Modul gehört (organizations, folders oder projects).
• QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll.
• RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• MODULE_ID: Die numerische Kennung für das benutzerdefinierte Modul.

HTTP-Methode und URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "config": {
    "metadata": {
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role.",
      "severity": "MEDIUM"
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "displayName": "iam_custom_role_prohibited_permissions",
  "enablementState": "ENABLED",
  "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "updateTime": "2025-12-23T06:54:15.618430Z"
}

Console

Übernommene benutzerdefinierte Module können nicht gelöscht werden. Wenn Sie sich beispielsweise in der Projektansicht befinden, können Sie keine benutzerdefinierten Module löschen, die auf Ordner- oder Organisationsebene erstellt wurden.

So löschen Sie ein benutzerdefiniertes Modul über die Google Cloud Console:

1. Module des Dienstes Event Threat Detection ansehen. Die vordefinierten und benutzerdefinierten Module werden in einer Liste angezeigt.
2. Suchen Sie das benutzerdefinierte Modul, das Sie löschen möchten.
3. Klicken Sie für dieses benutzerdefinierte Modul auf more_vert Aktionen > Löschen. Sie werden aufgefordert, den Löschvorgang zu bestätigen.
4. Klicken Sie auf Löschen.

gcloud

Mit dem Befehl gcloud scc manage custom-modules etd delete wird ein benutzerdefiniertes Modul für Event Threat Detection für eine Organisation, einen Ordner oder ein Projekt erstellt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Ressourcentyp, zu dem die benutzerdefinierten Module gehören (organization, folder oder project).
• RESOURCE_ID: Die numerische Kennzeichnung für die Organisation, den Ordner oder das Projekt für das benutzerdefinierte Modul. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• MODULE_ID: Die numerische Kennung für das benutzerdefinierte Modul.

Führen Sie den Befehl gcloud scc manage custom-modules etd delete aus:

gcloud scc manage custom-modules etd delete MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd delete MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd delete MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Deleted [projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210].

REST

Mit der Methode RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.delete der Security Command Center Management API wird ein benutzerdefiniertes Event Threat Detection-Modul für eine Organisation, einen Ordner oder ein Projekt erstellt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Ressourcentyp, zu dem das benutzerdefinierte Modul gehört (organizations, folders oder projects).
• QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll.
• RESOURCE_ID: Die numerische Kennzeichnung für die Organisation, den Ordner oder das Projekt für das benutzerdefinierte Modul. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
• MODULE_ID: Die numerische Kennung für das benutzerdefinierte Modul.

HTTP-Methode und URL:

DELETE https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{}