Crea y administra módulos personalizados para Event Threat Detection

Console

1. Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.
2. Haz clic en Crear módulo.
3. Haz clic en la plantilla de módulo que deseas usar.
4. Haz clic en Seleccionar.
5. En Nombre del módulo, ingresa un nombre visible para la plantilla nueva. El nombre no debe superar los 128 caracteres y solo debe contener caracteres alfanuméricos y guiones bajos, por ejemplo, example_custom_module.
6. Selecciona o agrega los valores de los parámetros solicitados. Los parámetros difieren para cada módulo. Por ejemplo, si seleccionaste la plantilla del módulo Configurable allowed Compute Engine region, debes seleccionar una o más regiones. De manera alternativa, proporciona la lista en formato JSON.
7. Haz clic en Siguiente.
8. En Gravedad, ingresa el nivel de gravedad que deseas asignar a los hallazgos generados por el nuevo módulo personalizado.
9. En Descripción, ingresa una descripción para el nuevo módulo personalizado.
10. En Próximos pasos, ingresa las acciones recomendadas en formato de texto sin formato. Se ignorarán los saltos de párrafo que agregues.
11. Haz clic en Crear.

gcloud

El comando gcloud scc manage custom-modules etd create crea un módulo personalizado de Event Threat Detection para una organización, una carpeta o un proyecto.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso al que pertenecen los módulos personalizados (organization, folder o project).
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto del módulo personalizado. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• MODULE_CONFIG: Es la configuración del módulo personalizado. Usa una plantilla de módulo personalizado como punto de partida.
• MODULE_TYPE: Es el tipo de módulo personalizado. Para obtener una lista de los tipos admitidos, consulta Módulos y plantillas personalizados.
• MODULE_DISPLAY_NAME: Es el nombre visible legible del módulo personalizado. Puede contener letras, números y guiones bajos (_), y tener hasta 128 caracteres.

Guarda el siguiente código en un archivo llamado request.json.

{
  MODULE_CONFIG
}

Ejecuta el comando gcloud scc manage custom-modules etd create:

gcloud scc manage custom-modules etd create \
    --RESOURCE_TYPE=RESOURCE_ID \
    --custom-config-file=request.json \
    --display-name=MODULE_DISPLAY_NAME \
    --module-type=MODULE_TYPE \
    --enablement-state=ENABLED

gcloud scc manage custom-modules etd create `
    --RESOURCE_TYPE=RESOURCE_ID `
    --custom-config-file=request.json `
    --display-name=MODULE_DISPLAY_NAME `
    --module-type=MODULE_TYPE `
    --enablement-state=ENABLED

gcloud scc manage custom-modules etd create ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --custom-config-file=request.json ^
    --display-name=MODULE_DISPLAY_NAME ^
    --module-type=MODULE_TYPE ^
    --enablement-state=ENABLED

REST

El método RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.create de la API de Security Command Center Management crea un módulo personalizado de Event Threat Detection para una organización, una carpeta o un proyecto.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso al que pertenece el módulo personalizado (organizations, folders o projects).
• QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto del módulo personalizado. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• MODULE_CONFIG: Es la configuración del módulo personalizado. Usa una plantilla de módulo personalizado como punto de partida.
• MODULE_TYPE: Es el tipo de módulo personalizado. Para obtener una lista de los tipos admitidos, consulta Módulos y plantillas personalizados.
• MODULE_DISPLAY_NAME: Es el nombre visible legible del módulo personalizado. Puede contener letras, números y guiones bajos (_), y tener hasta 128 caracteres.

Método HTTP y URL:

POST https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Cuerpo JSON de la solicitud:

{
  "config": MODULE_CONFIG,
  "enablementState": "ENABLED",
  "type": "MODULE_TYPE",
  "displayName": "MODULE_DISPLAY_NAME"
}

Para enviar tu solicitud, expande una de estas opciones:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "ENABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-16T19:44:58.588134Z"
}

Terraform

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor de Terraform.

resource "google_scc_management_organization_event_threat_detection_custom_module" "example" {
  organization = "123456789"
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  type = "CONFIGURABLE_BAD_IP"
  description = "My Event Threat Detection Custom Module"
  config = jsonencode({
    "metadata": {
      "severity": "LOW",
      "description": "Flagged by Forcepoint as malicious",
      "recommendation": "Contact the owner of the relevant project."
    },
    "ips": [
      "192.0.2.1",
      "192.0.2.0/24"
    ]
  })
}

Console

1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

   Acceder a Hallazgos

2. Selecciona tu Google Cloud organización o proyecto.
3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Módulos personalizados de Event Threat Detection. Los resultados de la consulta de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
6. Opcional: Para ver la definición completa de JSON del hallazgo, haz clic en la pestaña JSON.

gcloud

Cómo encontrar el ID de la fuente

El comando gcloud scc sources describe muestra información sobre una fuente de hallazgos de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso al que pertenece la fuente (organizations, folders o projects).
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Ejecuta el comando gcloud scc sources describe:

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID \
    --source-display-name="Event Threat Detection Custom Modules"

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID `
    --source-display-name="Event Threat Detection Custom Modules"

gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID ^
    --source-display-name="Event Threat Detection Custom Modules"

Deberías recibir una respuesta similar a la que figura a continuación:

canonicalName: organizations/123456789012/sources/98765432109876543210
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: organizations/123456789012/sources/98765432109876543210

El ID de la fuente es el valor numérico que se encuentra al final de los campos canonicalName y name, por ejemplo, 98765432109876543210.

Enumera todos los hallazgos de los módulos personalizados de Event Threat Detection

El comando gcloud scc findings list enumera los resultados de una fuente en una ubicación específica.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso que se obtendrá (organizations, folders o projects).
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• LOCATION: Es la ubicación de Security Command Center que se usará, como eu. Si la residencia de datos no está habilitada, usa global.
• SOURCE_ID: Es el identificador numérico de la fuente de los hallazgos.

Ejecuta el siguiente comando:

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION

La respuesta contiene una lista de hallazgos.

Enumera los hallazgos de un módulo personalizado específico

El comando gcloud scc findings list enumera los resultados de una fuente en una ubicación específica.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso que se obtendrá (organizations, folders o projects).
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• LOCATION: Es la ubicación de Security Command Center que se usará, como eu. Si la residencia de datos no está habilitada, usa global.
• SOURCE_ID: Es el identificador numérico de la fuente de los hallazgos.
• CUSTOM_MODULE_CATEGORY_NAME: Es el nombre de la categoría del módulo personalizado, compuesto por la categoría de hallazgo del módulo (como se indica en Módulos y plantillas personalizados), dos puntos, un espacio y el nombre visible del módulo con espacios reemplazados por guiones bajos. Por ejemplo, Unexpected Compute Engine region: example_custom_module.

Ejecuta el siguiente comando:

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \
    --source=SOURCE_ID \
    --location=LOCATION \
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID `
    --source=SOURCE_ID `
    --location=LOCATION `
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^
    --source=SOURCE_ID ^
    --location=LOCATION ^
    --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""

La respuesta contiene una lista de hallazgos.

REST

Cómo encontrar el ID de la fuente

El método RESOURCE_TYPE.sources.list de la API de Security Command Center muestra información sobre las fuentes de resultados de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso principal (organizations, folders o projects).
• QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Método HTTP y URL:

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources

Para enviar tu solicitud, expande una de estas opciones:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources" | Select-Object -Expand Content

La respuesta contiene una lista de hallazgos.

{
  "sources": [
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Security Command Center",
      "description": "Detector for misconfigurations within the Security Command Center platform.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    },
    {
      "name": "organizations/123456789012/sources/8765432109876543210",
      "displayName": "Application Design Center",
      "description": "Provides vulnerabilities on ADC resources.",
      "canonicalName": "organizations/123456789012/sources/8765432109876543210"
    },
    {
      "name": "organizations/123456789012/sources/7654321098765432109",
      "displayName": "Cloud Anomaly Detection",
      "description": "Provider used by Cloud Anomaly Detection",
      "canonicalName": "organizations/123456789012/sources/7654321098765432109"
    },
    {
      "name": "organizations/123456789012/sources/6543210987654321098",
      "displayName": "Vulnerability Assessment",
      "description": "Provider for Vulnerability Assessment.",
      "canonicalName": "organizations/123456789012/sources/6543210987654321098"
    },
    {
      "name": "organizations/123456789012/sources/5432109876543210987",
      "displayName": "Data Security Posture Management",
      "description": "Service to detect drift and post findings",
      "canonicalName": "organizations/123456789012/sources/5432109876543210987"
    },
    {
      "name": "organizations/123456789012/sources/4321098765432109876",
      "displayName": "Notebook Security Scanner",
      "description": "Provider for the Notebook Security Scanner",
      "canonicalName": "organizations/123456789012/sources/4321098765432109876"
    },
    {
      "name": "organizations/123456789012/sources/3210987654321098765",
      "displayName": "GKE Security Posture",
      "description": "Provides actionable security issues on GKE.",
      "canonicalName": "organizations/123456789012/sources/3210987654321098765"
    },
    {
      "name": "organizations/123456789012/sources/2109876543210987654",
      "displayName": "Integrated Vulnerability Scanner",
      "description": "Provider for Integrated Vulnerability Scanner.",
      "canonicalName": "organizations/123456789012/sources/2109876543210987654"
    },
    {
      "name": "organizations/123456789012/sources/1098765432109876543",
      "displayName": "Event Threat Detection Custom Modules",
      "description": "Provider used by Event Threat Detection Custom Modules",
      "canonicalName": "organizations/123456789012/sources/1098765432109876543"
    },
    {
      "name": "organizations/123456789012/sources/9876543210987654321",
      "displayName": "Serverless Vulnerability Detection",
      "description": "Provides vulnerability detection for serverless assets.",
      "canonicalName": "organizations/123456789012/sources/9876543210987654321"
    }
  ]
}

El ID de la fuente es el valor numérico que se encuentra al final de los campos canonicalName y name.

Enumera los hallazgos de los módulos personalizados de Event Threat Detection

El método RESOURCE_TYPE.sources.locations.findings.list de la API de Security Command Center enumera los resultados de una fuente en una ubicación específica.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

• QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
• RESOURCE_TYPE: Es el tipo de recurso que se obtendrá (organizations, folders o projects).
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• LOCATION: Es la ubicación de Security Command Center que se usará, como eu. Si la residencia de datos no está habilitada, usa global.
• SOURCE_ID: Es el identificador numérico de la fuente de los hallazgos.

Método HTTP y URL:

GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings

Para enviar tu solicitud, expande una de estas opciones:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings" | Select-Object -Expand Content

La respuesta contiene una lista de hallazgos.

Console

1. Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.
2. Opcional: Para ver solo los módulos personalizados, en la casilla Filtro, ingresa Type:Custom.

gcloud

El comando gcloud scc manage custom-modules etd list enumera todos los módulos personalizados de Event Threat Detection para una organización, una carpeta o un proyecto.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso al que pertenecen los módulos personalizados (organization, folder o project).
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Ejecuta el comando gcloud scc manage custom-modules etd list:

gcloud scc manage custom-modules etd list \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd list `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd list ^
    --RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la que figura a continuación:

- config:
    metadata:
      description: There is a Compute Engine instance in a region that's not allowed.
      recommendation: Delete the instance. If necessary, create a new instance in
        an allowed region.
      severity: MEDIUM
    regions:
    - region: northamerica-northeast1
  displayName: compute_instance_prohibited_region
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321
  type: CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
  updateTime: '2026-02-19T01:23:10.237946Z'
- config:
    metadata:
      description: An IAM custom role contains permissions that aren't allowed.
      recommendation: Remove the permissions from the custom role.
      severity: MEDIUM
    permissions:
    - accessapproval.requests.get
    - accessapproval.requests.invalidate
    - accessapproval.requests.list
    - accessapproval.settings.delete
  displayName: iam_custom_role_prohibited_permissions
  enablementState: ENABLED
  name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
  type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
  updateTime: '2025-12-23T06:54:15.618430Z'

REST

El método RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.list de la API de Security Command Center Management enumera todos los módulos personalizados de Event Threat Detection para una organización, una carpeta o un proyecto.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso al que pertenecen los módulos personalizados (organizations, folders o projects).
• QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Método HTTP y URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules

Para enviar tu solicitud, expande una de estas opciones:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

[
  {
    "config": {
      "metadata": {
        "description": "There is a Compute Engine instance in a region that's not allowed.",
        "recommendation": "Delete the instance. If necessary, create a new instance in an allowed region.",
        "severity": "MEDIUM"
      },
      "regions": [
        {
          "region": "northamerica-northeast1"
        }
      ]
    },
    "displayName": "compute_instance_prohibited_region",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321",
    "type": "CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION",
    "updateTime": "2026-02-19T01:23:10.237946Z"
  },
  {
    "config": {
      "metadata": {
        "description": "An IAM custom role contains permissions that aren't allowed.",
        "recommendation": "Remove the permissions from the custom role.",
        "severity": "MEDIUM"
      },
      "permissions": [
        "accessapproval.requests.get",
        "accessapproval.requests.invalidate",
        "accessapproval.requests.list",
        "accessapproval.settings.delete"
      ]
    },
    "displayName": "iam_custom_role_prohibited_permissions",
    "enablementState": "ENABLED",
    "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
    "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
    "updateTime": "2025-12-23T06:54:15.618430Z"
  }
]

Console

Consulta Cómo ver y editar los módulos de un servicio.

gcloud

El comando gcloud scc manage custom-modules etd update actualiza el estado de un módulo personalizado para Event Threat Detection.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso que se actualizará (organization, folder o project).
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto del módulo personalizado. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• MODULE_ID: Es el identificador numérico del módulo.
• NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas).

Ejecuta el comando gcloud scc manage custom-modules etd update:

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state="NEW_STATE"

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state="NEW_STATE"

gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state="NEW_STATE"

Deberías recibir una respuesta similar a la que figura a continuación:

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: DISABLED
name: projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2026-03-20T16:52:27.046766Z'

REST

El método RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.patch de la API de Security Command Center Management actualiza el estado de un módulo personalizado para Event Threat Detection.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso que se actualizará (organizations, folders o projects).
• QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto del módulo personalizado. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• MODULE_ID: Es el identificador numérico del módulo.
• NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas).
• FIELDS_TO_UPDATE: es opcional. Lista de campos separados por comas que se actualizarán. Si se omite, se actualizan todos los campos.

Método HTTP y URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState

Cuerpo JSON de la solicitud:

{
  "enablementState": "NEW_STATE"
}

Para enviar tu solicitud, expande una de estas opciones:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
  "config": {
    "metadata": {
      "severity": "MEDIUM",
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role."
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "enablementState": "DISABLED",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "displayName": "iam_custom_role_prohibited_permissions",
  "updateTime": "2026-03-20T16:52:27.046766Z"
}

Console

Solo puedes editar los módulos personalizados residenciales. Por ejemplo, si estás en la vista de la organización, solo puedes editar los módulos personalizados que se crearon a nivel de la organización.

1. Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.
2. Busca el módulo personalizado que deseas editar.
3. En ese módulo personalizado, haz clic en more_vert Acciones > Editar.
4. Edita el módulo personalizado según sea necesario.
5. Haz clic en Guardar.

gcloud

Para actualizar un módulo, ejecuta el siguiente comando y, luego, incluye la plantilla JSON del módulo actualizado:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Reemplaza lo siguiente:

• CUSTOM_MODULE_ID: Es el ID numérico del módulo personalizado de Event Threat Detection, por ejemplo, 1234567890. Puedes obtener el ID numérico en el campo name del módulo personalizado pertinente cuando consultes la lista de módulos personalizados.
• RESOURCE_FLAG: Es el alcance del recurso principal en el que reside el módulo personalizado; puede ser organization, folder o project.
• RESOURCE_ID: Es el ID del recurso principal, es decir, el ID de la organización, el ID de la carpeta o el ID del proyecto.
• PATH_TO_JSON_FILE: Es el archivo JSON que contiene la definición en formato JSON del módulo personalizado.

Console

1. Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.

2. Busca el módulo personalizado en la lista.

   El estado del módulo personalizado se muestra en la columna Estado.

gcloud

El comando gcloud scc manage custom-modules etd describe obtiene un módulo personalizado de Event Threat Detection para una organización, una carpeta o un proyecto.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso al que pertenece el módulo personalizado (organization, folder o project).
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• MODULE_ID: Es el identificador numérico del módulo personalizado.

Ejecuta el comando gcloud scc manage custom-modules etd describe:

gcloud scc manage custom-modules etd describe MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd describe MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd describe MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la que figura a continuación:

config:
  metadata:
    description: An IAM custom role contains permissions that aren't allowed.
    recommendation: Remove the permissions from the custom role.
    severity: MEDIUM
  permissions:
  - accessapproval.requests.get
  - accessapproval.requests.invalidate
  - accessapproval.requests.list
  - accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: ENABLED
name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2025-12-23T06:54:15.618430Z'

REST

El método RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.get de la API de Security Command Center Management obtiene un módulo personalizado de Event Threat Detection para una organización, una carpeta o un proyecto.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso al que pertenece el módulo personalizado (organizations, folders o projects).
• QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• MODULE_ID: Es el identificador numérico del módulo personalizado.

Método HTTP y URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Para enviar tu solicitud, expande una de estas opciones:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "config": {
    "metadata": {
      "description": "An IAM custom role contains permissions that aren't allowed.",
      "recommendation": "Remove the permissions from the custom role.",
      "severity": "MEDIUM"
    },
    "permissions": [
      "accessapproval.requests.get",
      "accessapproval.requests.invalidate",
      "accessapproval.requests.list",
      "accessapproval.settings.delete"
    ]
  },
  "displayName": "iam_custom_role_prohibited_permissions",
  "enablementState": "ENABLED",
  "name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
  "type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
  "updateTime": "2025-12-23T06:54:15.618430Z"
}

Console

No puedes borrar módulos personalizados heredados. Por ejemplo, si estás en la vista del proyecto, no puedes borrar los módulos personalizados que se crearon a nivel de la carpeta o la organización.

Para borrar un módulo personalizado a través de la consola de Google Cloud , haz lo siguiente:

1. Consulta los módulos del servicio Event Threat Detection. Los módulos predefinidos y personalizados aparecen en una lista.
2. Busca el módulo personalizado que quieres borrar.
3. En ese módulo personalizado, haz clic en more_vert Acciones > Borrar. Aparecerá un mensaje en el que se te pedirá que confirmes la eliminación.
4. Haz clic en Borrar.

gcloud

El comando gcloud scc manage custom-modules etd delete crea un módulo personalizado de Event Threat Detection para una organización, una carpeta o un proyecto.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso al que pertenecen los módulos personalizados (organization, folder o project).
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto del módulo personalizado. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• MODULE_ID: Es el identificador numérico del módulo personalizado.

Ejecuta el comando gcloud scc manage custom-modules etd delete:

gcloud scc manage custom-modules etd delete MODULE_ID \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd delete MODULE_ID `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud scc manage custom-modules etd delete MODULE_ID ^
    --RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la que figura a continuación:

Deleted [projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210].

REST

El método RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.delete de la API de Security Command Center Management crea un módulo personalizado de Event Threat Detection para una organización, una carpeta o un proyecto.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo de recurso al que pertenecerá el módulo personalizado (organizations, folders o projects).
• QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
• RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto del módulo personalizado. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
• MODULE_ID: Es el identificador numérico del módulo personalizado.

Método HTTP y URL:

DELETE https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID

Para enviar tu solicitud, expande una de estas opciones:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{}