בדף הזה מוסבר איך ליצור ולנהל מודולים בהתאמה אישית ל-Event Threat Detection.
לפני שמתחילים
בקטע הזה מתוארות הדרישות לשימוש במודולים מותאמים אישית ל-Event Threat Detection.
Security Command Center Premium ו-Event Threat Detection
כדי להשתמש במודולים מותאמים אישית של Event Threat Detection, צריך להפעיל את Event Threat Detection. במאמר הפעלה או השבתה של שירות מובנה מוסבר איך להפעיל את Event Threat Detection.
התפקידים וההרשאות הנדרשים ב-IAM
תפקידי IAM קובעים את הפעולות שאפשר לבצע באמצעות מודולים מותאמים אישית של Event Threat Detection.
בטבלה הבאה מפורטות ההרשאות שנדרשות למודול מותאם אישית של Event Threat Detection, וגם תפקידי IAM שמוגדרים מראש וכוללים את ההרשאות האלה.
אפשר להשתמש במסוף Google Cloud או ב-Security Command Center API כדי להחיל את התפקידים האלה ברמת הארגון, התיקייה או הפרויקט. Google Cloud
| ההרשאות הנדרשות | תפקיד |
|---|---|
securitycentermanagement.eventThreatDetectionCustomModules.createsecuritycentermanagement.eventThreatDetectionCustomModules.updatesecuritycentermanagement.eventThreatDetectionCustomModules.delete |
roles/securitycentermanagement.etdCustomModulesEditorroles/securitycenter.settingsEditorroles/securitycenter.admin |
securitycentermanagement.eventThreatDetectionCustomModules.listsecuritycentermanagement.eventThreatDetectionCustomModules.getsecuritycentermanagement.effectiveEventThreatDetectionCustomModules.listsecuritycentermanagement.effectiveEventThreatDetectionCustomModules.getsecuritycentermanagement.eventThreatDetectionCustomModules.validate |
roles/securitycentermanagement.etdCustomModulesViewerroles/securitycentermanagement.etdCustomModulesEditorroles/securitycenter.adminViewerroles/securitycenter.admin |
אם נתקלתם בשגיאות גישה ב-Security Command Center, פנו לאדמין לקבלת עזרה. בדפים הבאים מוסבר איך לבצע את הפעולות הבאות, בהתאם לרמה שבה הפעלתם את Security Command Center:
יומנים נדרשים
חשוב לוודא שהיומנים הרלוונטיים מופעלים בארגון, בתיקיות ובפרויקטים. בטבלה שבמאמר תבניות ומודולים בהתאמה אישית מפורט אילו יומנים נדרשים לכל סוג של מודול בהתאמה אישית.
אין תמיכה ביומנים ממקורות מחוץ ל- Google Cloud .
רמות מודול בהתאמה אישית
במסמך הזה נעשה שימוש במונחים הבאים כדי לתאר את הרמה שבה נוצר מודול בהתאמה אישית:
- מודול מגורים
- המודול נוצר בתצוגה או בהיקף הנוכחיים. לדוגמה, אם אתם בתצוגת הארגון במסוף Google Cloud , המודולים למגורים הם המודולים שנוצרו ברמת הארגון.
- מודול שעבר בירושה
- המודול נוצר בתצוגה להורה או בהיקף של תצוגה להורה. לדוגמה, מודול שנוצר ברמת הארגון הוא מודול שעובר בירושה בכל רמה של תיקייה או פרויקט.
- מודול צאצא
- המודול נוצר בתצוגה לילדים או בהיקף. לדוגמה, מודול שנוצר ברמת התיקייה או הפרויקט הוא מודול צאצא ברמת הארגון.
יצירת מודולים בהתאמה אישית
אפשר ליצור מודולים מותאמים אישית של Event Threat Detection דרך מסוףGoogle Cloud או על ידי שינוי תבנית JSON ושליחתה דרך ה-CLI של gcloud. צריך תבניות JSON רק אם מתכננים להשתמש ב-CLI של gcloud כדי ליצור מודולים בהתאמה אישית.
רשימה של תבניות מודולים נתמכות זמינה במאמר תבניות ומודולים בהתאמה אישית.
מבנה התבנית
התבניות מגדירות את הפרמטרים שבהם המודולים המותאמים אישית משתמשים כדי לזהות איומים ביומנים. תבניות נכתבות ב-JSON והמבנה שלהן דומה לממצאים שנוצרים על ידי Security Command Center. צריך להגדיר תבנית JSON רק אם מתכננים להשתמש ב-CLI של gcloud כדי ליצור מודול בהתאמה אישית.
כל תבנית מכילה שדות שאפשר להתאים אישית:
-
severity: רמת החומרה או הסיכון שרוצים להקצות לממצאים מהסוג הזה:LOW, MEDIUM, HIGHאוCRITICAL. -
description: תיאור המודול בהתאמה אישית. -
recommendation: פעולות מומלצות לטיפול בממצאים שנוצרו על ידי המודול המותאם אישית. - פרמטרים של זיהוי: המשתנים שמשמשים להערכת יומנים ולהפעלת ממצאים. פרמטרי הזיהוי שונים בכל מודול, אבל הם כוללים אחד או יותר מהפרמטרים הבאים:
-
domains: דומיינים באינטרנט שצריך לעקוב אחריהם -
ips: כתובות IP למעקב -
permissions: הרשאות לצפייה -
regions: אזורים שבהם מותר ליצור מכונות חדשות של Compute Engine -
roles: תפקידים שצריך לשים לב אליהם accounts: חשבונות למעקב- פרמטרים שמגדירים את הסוגים המותרים של מכונות Compute Engine – לדוגמה,
series,cpusו-ram_mb. - ביטויים רגולריים לבדיקת מאפיינים – לדוגמה,
caller_patternו-resource_pattern.
-
דוגמת קוד JSON לתבנית Configurable Bad IP:
{
"metadata": {
"severity": "LOW",
"description": "Flagged by Cymbal as malicious",
"recommendation": "Contact the owner of the relevant project."
},
"ips": [
"192.0.2.1",
"192.0.2.0/24"
]
}
בדוגמה הקודמת, המודול המותאם אישית יוצר ממצא ברמת חומרה נמוכה אם היומנים מציינים משאב שמחובר לכתובת ה-IP 192.0.2.1 או 192.0.2.0/24.
שינוי תבנית של מודול
כדי ליצור מודולים, בוחרים תבנית מודול ומשנים אותה.
אם אתם מתכננים להשתמש ב-Google Cloud CLI כדי ליצור את המודול המותאם אישית, אתם צריכים לבצע את המשימה הזו.
אם אתם מתכננים להשתמש במסוף Google Cloud כדי ליצור את המודול המותאם אישית, דלגו על המשימה הזו. משתמשים באפשרויות שמוצגות במסך כדי לשנות את הפרמטרים של התבנית.
- בוחרים תבנית מתוך תבניות ומודולים בהתאמה אישית.
- מעתיקים את הקוד לקובץ מקומי.
- מעדכנים את הפרמטרים שרוצים להשתמש בהם כדי להעריך את היומנים.
- שומרים את הקובץ כקובץ JSON.
- יוצרים מודול בהתאמה אישית באמצעות ה-CLI של gcloud באמצעות קובץ ה-JSON.
יצירת מודול בהתאמה אישית
בקטע הזה מוסבר איך ליצור מודול בהתאמה אישית באמצעות מסוףGoogle Cloud , ה-CLI של gcloud, API בארכיטקטורת REST ו-Terraform. הגודל של כל מודול מותאם אישית של Event Threat Detection מוגבל ל-6 MB.
כדי ליצור מודול בהתאמה אישית:
המסוף
- צפייה במודולים של השירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
- לוחצים על יצירת מודול.
- לוחצים על תבנית המודול שבה רוצים להשתמש.
- לוחצים על בחירה.
- בקטע שם המודול, מזינים שם לתבנית החדשה. השם לא יכול להיות ארוך מ-128 תווים, והוא יכול להכיל רק תווים אלפאנומריים וקווים תחתונים – לדוגמה,
example_custom_module. - בוחרים או מוסיפים את ערכי הפרמטר המבוקשים. הפרמטרים שונים בכל מודול. לדוגמה, אם בחרתם בתבנית המודול
Configurable allowed Compute Engine region, אתם בוחרים אזור אחד או יותר. אפשרות אחרת היא לספק את הרשימה בפורמט JSON. - לוחצים על הבא.
- בשדה Severity (חומרה), מזינים את רמת החומרה שרוצים להקצות לממצאים שנוצרו על ידי המודול המותאם אישית החדש.
- בקטע תיאור, מזינים תיאור למודול המותאם אישית החדש.
- בקטע השלבים הבאים, מזינים את ההמלצות לפעולות בפורמט טקסט רגיל. המערכת מתעלמת ממעברי פסקאות שמוסיפים.
- לוחצים על יצירה.
gcloud
הפקודה
gcloud scc manage custom-modules etd create
יוצרת מודול בהתאמה אישית של Event Threat Detection לארגון, לתיקייה או לפרויקט.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שאליו שייכים המודולים המותאמים אישית (organization, folderאוproject) -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט של המודול המותאם אישית. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
MODULE_CONFIG: הגדרות התצורה של המודול בהתאמה אישית. משתמשים בתבנית מודול בהתאמה אישית כנקודת התחלה. -
MODULE_TYPE: סוג המודול בהתאמה אישית. רשימת הסוגים הנתמכים מופיעה במאמר תבניות ומודולים בהתאמה אישית. -
MODULE_DISPLAY_NAME: השם המוצג של המודול המותאם אישית שקריא לאנשים. הוא יכול להכיל אותיות, מספרים וקווים תחתונים (_). האורך שלו יכול להיות עד 128 תווים.
שומרים את התוכן הבא בקובץ בשם request.json:
{ MODULE_CONFIG }
מריצים את הפקודה gcloud scc manage custom-modules etd create:
Linux, macOS או Cloud Shell
gcloud scc manage custom-modules etd create \ --RESOURCE_TYPE=RESOURCE_ID \ --custom-config-file=request.json \ --display-name=MODULE_DISPLAY_NAME \ --module-type=MODULE_TYPE \ --enablement-state=ENABLED
Windows (PowerShell)
gcloud scc manage custom-modules etd create ` --RESOURCE_TYPE=RESOURCE_ID ` --custom-config-file=request.json ` --display-name=MODULE_DISPLAY_NAME ` --module-type=MODULE_TYPE ` --enablement-state=ENABLED
Windows (cmd.exe)
gcloud scc manage custom-modules etd create ^ --RESOURCE_TYPE=RESOURCE_ID ^ --custom-config-file=request.json ^ --display-name=MODULE_DISPLAY_NAME ^ --module-type=MODULE_TYPE ^ --enablement-state=ENABLED
REST
ה-method RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.create של Security Command Center Management API יוצר מודול בהתאמה אישית של Event Threat Detection לארגון, לתיקייה או לפרויקט.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שאליו שייך המודול המותאם אישית (organizations,foldersאוprojects). -
QUOTA_PROJECT: מזהה הפרויקט שמשמש לחיוב ולמעקב אחר מכסות. -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט של המודול המותאם אישית. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
MODULE_CONFIG: הגדרות התצורה של המודול בהתאמה אישית. משתמשים בתבנית מודול בהתאמה אישית כנקודת התחלה. -
MODULE_TYPE: סוג המודול בהתאמה אישית. רשימת הסוגים הנתמכים מופיעה במאמר תבניות ומודולים בהתאמה אישית. -
MODULE_DISPLAY_NAME: השם המוצג של המודול המותאם אישית שקריא לאנשים. הוא יכול להכיל אותיות, מספרים וקווים תחתונים (_). האורך שלו יכול להיות עד 128 תווים.
ה-method של ה-HTTP וכתובת ה-URL:
POST https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules
תוכן בקשת JSON:
{
"config": MODULE_CONFIG,
"enablementState": "ENABLED",
"type": "MODULE_TYPE",
"displayName": "MODULE_DISPLAY_NAME"
}
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
"config": {
"metadata": {
"severity": "MEDIUM",
"description": "An IAM custom role contains permissions that aren't allowed.",
"recommendation": "Remove the permissions from the custom role."
},
"permissions": [
"accessapproval.requests.get",
"accessapproval.requests.invalidate",
"accessapproval.requests.list",
"accessapproval.settings.delete"
]
},
"enablementState": "ENABLED",
"type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
"displayName": "iam_custom_role_prohibited_permissions",
"updateTime": "2026-03-16T19:44:58.588134Z"
}
Terraform
כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. למידע נוסף, ראו את מאמרי העזרה לספקים של Terraform.
המודול המותאם אישית נוצר ומתחיל לסרוק. כדי למחוק מודול, אפשר לעיין במאמר בנושא מחיקת מודול בהתאמה אישית.
שם הקטגוריה של המודול המותאם אישית מכיל את קטגוריית הממצאים של
סוג המודול
ואת השם המוצג של המודול שהגדרתם. לדוגמה, שם הקטגוריה של מודול בהתאמה אישית יכול להיות Unexpected Compute Engine Region: example_custom_module.
במסוף Google Cloud , קווים תחתונים מוצגים כרווחים. עם זאת, בשאילתות שלכם, אתם צריכים לכלול את הקווים התחתונים.
מכסות קובעות את השימוש שלכם במודולים מותאמים אישית של Event Threat Detection.
זמן האחזור של הזיהוי
זמן האחזור של Event Threat Detection ושל כל שאר השירותים המובנים של Security Command Center מתואר במאמר זמן האחזור של הסריקה.
בדיקת הממצאים
אפשר לראות את הממצאים שנוצרו על ידי מודולים בהתאמה אישית במסוף Google Cloud או באמצעות ה-CLI של gcloud או API בארכיטקטורת REST.
המסוף
-
נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .
- בוחרים את הפרויקט או הארגון. Google Cloud
- בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות Event Threat Detection Custom Modules. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
- כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
- בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
- אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.
gcloud
איך מוצאים את מזהה המקור
הפקודה
gcloud scc sources describe
מציגה מידע על מקור הממצאים ב-Security Command Center.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שאליו שייך המקור (organizations,foldersאוprojects). -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
מריצים את הפקודה gcloud scc sources describe:
Linux, macOS או Cloud Shell
gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID \ --source-display-name="Event Threat Detection Custom Modules"
Windows (PowerShell)
gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID ` --source-display-name="Event Threat Detection Custom Modules"
Windows (cmd.exe)
gcloud scc sources describe RESOURCE_TYPE/RESOURCE_ID ^ --source-display-name="Event Threat Detection Custom Modules"
אמורים לקבל תגובה שדומה לזו:
canonicalName: organizations/123456789012/sources/98765432109876543210 description: Provider used by Event Threat Detection Custom Modules displayName: Event Threat Detection Custom Modules name: organizations/123456789012/sources/98765432109876543210
מזהה המקור הוא הערך המספרי בסוף השדות canonicalName ו-name – לדוגמה, 98765432109876543210.
רשימה של כל הממצאים במודולים מותאמים אישית של Event Threat Detection
הפקודה
gcloud scc findings list
מציגה את הממצאים של מקור במיקום ספציפי.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שרוצים לקבל (organizations,foldersאוprojects). -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
LOCATION: המיקום של Security Command Center שבו רוצים להשתמש, למשלeu. אם לא הפעלתם את התכונה 'מיקום הנתונים', השתמשו בערךglobal. -
SOURCE_ID: המזהה המספרי של מקור הממצאים.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \ --source=SOURCE_ID \ --location=LOCATION
Windows (PowerShell)
gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ` --source=SOURCE_ID ` --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^ --source=SOURCE_ID ^ --location=LOCATION
התשובה תכיל רשימה של ממצאים.
הצגת ממצאים של מודול מותאם אישית ספציפי
הפקודה
gcloud scc findings list
מציגה את הממצאים של מקור במיקום ספציפי.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שרוצים לקבל (organizations,foldersאוprojects). -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
LOCATION: המיקום של Security Command Center שבו רוצים להשתמש, למשלeu. אם לא הפעלתם את התכונה 'מיקום הנתונים', השתמשו בערךglobal. -
SOURCE_ID: המזהה המספרי של מקור הממצאים. -
CUSTOM_MODULE_CATEGORY_NAME: שם הקטגוריה של המודול המותאם אישית, שמורכב מקטגוריית הממצאים של המודול (כפי שמופיעה במודולים ובתבניות בהתאמה אישית), נקודתיים, רווח ושם התצוגה של המודול עם קווים תחתונים במקום רווחים. לדוגמה,Unexpected Compute Engine region: example_custom_module.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID \ --source=SOURCE_ID \ --location=LOCATION \ --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""
Windows (PowerShell)
gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ` --source=SOURCE_ID ` --location=LOCATION ` --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""
Windows (cmd.exe)
gcloud scc findings list RESOURCE_TYPE/RESOURCE_ID ^ --source=SOURCE_ID ^ --location=LOCATION ^ --filter="category=\"CUSTOM_MODULE_CATEGORY_NAME\""
התשובה תכיל רשימה של ממצאים.
REST
איך מוצאים את מזהה המקור
השיטה RESOURCE_TYPE.sources.list ב-Security Command Center API מציגה מידע על מקורות הממצאים ב-Security Command Center.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג משאב האב (organizations,foldersאוprojects). -
QUOTA_PROJECT: מזהה הפרויקט שמשמש לחיוב ולמעקב אחר מכסות. -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה תכיל רשימה של ממצאים.
{
"sources": [
{
"name": "organizations/123456789012/sources/9876543210987654321",
"displayName": "Security Command Center",
"description": "Detector for misconfigurations within the Security Command Center platform.",
"canonicalName": "organizations/123456789012/sources/9876543210987654321"
},
{
"name": "organizations/123456789012/sources/8765432109876543210",
"displayName": "Application Design Center",
"description": "Provides vulnerabilities on ADC resources.",
"canonicalName": "organizations/123456789012/sources/8765432109876543210"
},
{
"name": "organizations/123456789012/sources/7654321098765432109",
"displayName": "Cloud Anomaly Detection",
"description": "Provider used by Cloud Anomaly Detection",
"canonicalName": "organizations/123456789012/sources/7654321098765432109"
},
{
"name": "organizations/123456789012/sources/6543210987654321098",
"displayName": "Vulnerability Assessment",
"description": "Provider for Vulnerability Assessment.",
"canonicalName": "organizations/123456789012/sources/6543210987654321098"
},
{
"name": "organizations/123456789012/sources/5432109876543210987",
"displayName": "Data Security Posture Management",
"description": "Service to detect drift and post findings",
"canonicalName": "organizations/123456789012/sources/5432109876543210987"
},
{
"name": "organizations/123456789012/sources/4321098765432109876",
"displayName": "Notebook Security Scanner",
"description": "Provider for the Notebook Security Scanner",
"canonicalName": "organizations/123456789012/sources/4321098765432109876"
},
{
"name": "organizations/123456789012/sources/3210987654321098765",
"displayName": "GKE Security Posture",
"description": "Provides actionable security issues on GKE.",
"canonicalName": "organizations/123456789012/sources/3210987654321098765"
},
{
"name": "organizations/123456789012/sources/2109876543210987654",
"displayName": "Integrated Vulnerability Scanner",
"description": "Provider for Integrated Vulnerability Scanner.",
"canonicalName": "organizations/123456789012/sources/2109876543210987654"
},
{
"name": "organizations/123456789012/sources/1098765432109876543",
"displayName": "Event Threat Detection Custom Modules",
"description": "Provider used by Event Threat Detection Custom Modules",
"canonicalName": "organizations/123456789012/sources/1098765432109876543"
},
{
"name": "organizations/123456789012/sources/9876543210987654321",
"displayName": "Serverless Vulnerability Detection",
"description": "Provides vulnerability detection for serverless assets.",
"canonicalName": "organizations/123456789012/sources/9876543210987654321"
}
]
}
מזהה המקור הוא הערך המספרי בסוף השדות canonicalName ו-name.
רשימת הממצאים של מודולים מותאמים אישית של Event Threat Detection
השיטה RESOURCE_TYPE.sources.locations.findings.list ב-Security Command Center API מציגה רשימה של ממצאים ממקור במיקום ספציפי.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
QUOTA_PROJECT: מזהה הפרויקט שמשמש לחיוב ולמעקב אחר מכסות. -
RESOURCE_TYPE: סוג המשאב שרוצים לקבל (organizations,foldersאוprojects). -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
LOCATION: המיקום של Security Command Center שבו רוצים להשתמש, למשלeu. אם לא הפעלתם את התכונה 'מיקום הנתונים', השתמשו בערךglobal. -
SOURCE_ID: המזהה המספרי של מקור הממצאים.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://securitycenter.googleapis.com/v2/RESOURCE_TYPE/RESOURCE_ID/sources/SOURCE_ID/locations/LOCATION/findings
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה תכיל רשימה של ממצאים.
מידע נוסף על סינון הממצאים זמין במאמר הצגת ממצאי אבטחה.
אפשר לנהל את הממצאים שנוצרו על ידי מודולים מותאמים אישית כמו כל הממצאים ב-Security Command Center. למידע נוסף, קראו את המאמרים הבאים:
ניהול מודולים מותאמים אישית של Event Threat Detection
בקטע הזה נסביר איך לצפות במודולים מותאמים אישית של Event Threat Detection, לפרט אותם, לעדכן אותם ולמחוק אותם.
הצגה או רשימה של מודולים בהתאמה אישית
כברירת מחדל, כשמציגים רשימה של מודולים מותאמים אישית ל-Event Threat Detection, מוצגים כל המודולים הבאים:
- כל המודולים המותאמים אישית של Event Threat Detection ששייכים לארגון, לתיקייה או לפרויקט.
- כל המודולים המותאמים אישית של Event Threat Detection שעברו בירושה. לדוגמה, אם אתם צופים בפרויקט, המודולים המותאמים אישית שנוצרו בארגון ובתיקיות של פרויקט האב נכללים בתוצאות.
- כל המודולים המותאמים אישית של Event Threat Detection שנוצרו במשאבי צאצא. לדוגמה, אם אתם בתצוגת הארגון, התוצאות יכללו את המודולים המותאמים אישית בתיקיות ובפרויקטים של הארגון.
המסוף
- כאן אפשר לראות את המודולים של שירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
- אופציונלי: כדי לראות רק את המודולים המותאמים אישית, בתיבה Filter (סינון) מזינים
Type:Custom.
gcloud
הפקודה gcloud scc manage custom-modules etd list מציגה רשימה של כל המודולים המותאמים אישית של Event Threat Detection בארגון, בתיקייה או בפרויקט.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שאליו שייכים המודולים המותאמים אישית (organization,folderאוproject). -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
מריצים את הפקודה gcloud scc manage custom-modules etd list:
Linux, macOS או Cloud Shell
gcloud scc manage custom-modules etd list \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage custom-modules etd list ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage custom-modules etd list ^ --RESOURCE_TYPE=RESOURCE_ID
אמורים לקבל תגובה שדומה לזו:
- config:
metadata:
description: There is a Compute Engine instance in a region that's not allowed.
recommendation: Delete the instance. If necessary, create a new instance in
an allowed region.
severity: MEDIUM
regions:
- region: northamerica-northeast1
displayName: compute_instance_prohibited_region
enablementState: ENABLED
name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321
type: CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION
updateTime: '2026-02-19T01:23:10.237946Z'
- config:
metadata:
description: An IAM custom role contains permissions that aren't allowed.
recommendation: Remove the permissions from the custom role.
severity: MEDIUM
permissions:
- accessapproval.requests.get
- accessapproval.requests.invalidate
- accessapproval.requests.list
- accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: ENABLED
name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2025-12-23T06:54:15.618430Z'
REST
השיטה RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.list ב-Security Command Center Management API מציגה רשימה של כל המודולים המותאמים אישית של Event Threat Detection בארגון, בתיקייה או בפרויקט.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שאליו שייכים המודולים המותאמים אישית (organizations,foldersאוprojects). -
QUOTA_PROJECT: מזהה הפרויקט שמשמש לחיוב ולמעקב אחר מכסות. -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
[
{
"config": {
"metadata": {
"description": "There is a Compute Engine instance in a region that's not allowed.",
"recommendation": "Delete the instance. If necessary, create a new instance in an allowed region.",
"severity": "MEDIUM"
},
"regions": [
{
"region": "northamerica-northeast1"
}
]
},
"displayName": "compute_instance_prohibited_region",
"enablementState": "ENABLED",
"name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/9876543210987654321",
"type": "CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION",
"updateTime": "2026-02-19T01:23:10.237946Z"
},
{
"config": {
"metadata": {
"description": "An IAM custom role contains permissions that aren't allowed.",
"recommendation": "Remove the permissions from the custom role.",
"severity": "MEDIUM"
},
"permissions": [
"accessapproval.requests.get",
"accessapproval.requests.invalidate",
"accessapproval.requests.list",
"accessapproval.settings.delete"
]
},
"displayName": "iam_custom_role_prohibited_permissions",
"enablementState": "ENABLED",
"name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
"type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
"updateTime": "2025-12-23T06:54:15.618430Z"
}
]
הפעלה או השבתה של מודול בהתאמה אישית
כשמפעילים או משביתים מודול מותאם אישית, השינוי חל על הארגון, התיקייה או הפרויקט שאליהם המודול המותאם אישית משויך. המשאב הזה הוא הורה של המודול בהתאמה אישית.
השינוי יכול לעבור בירושה גם לתיקיות או לפרויקטים שהם צאצאים של ההורה של המודול המותאם אישית. לדוגמה, אם יוצרים מודול בהתאמה אישית בתיקייה, פרויקטים בתוך התיקייה הזו יכולים לרשת את המצב של המודול בהתאמה אישית.
אם ההורה של מודול בהתאמה אישית הוא תיקייה או פרויקט, צריך להפעיל או להשבית את המודול בהתאמה אישית באותה רמה של היררכיית המשאבים, או ברמה נמוכה יותר. לדוגמה, אם ישות האב של מודול בהתאמה אישית היא פרויקט, אי אפשר להפעיל או להשבית את המודול בהתאמה אישית עבור ארגון או תיקייה. סוגי המשאבים האלה הם תמיד ישויות אב של פרויקטים.
המסוף
במאמר איך צופים במודולים של שירות ועורכים אותם מוסבר איך עושים את זה.
gcloud
הפקודה
gcloud scc manage custom-modules etd update
מעדכנת את המצב של מודול מותאם אישית ל-Event Threat Detection.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב לעדכון (organization,folderאוproject). -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט של המודול המותאם אישית. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
MODULE_ID: המזהה המספרי של המודול -
NEW_STATE:ENABLEDכדי להפעיל את המודול,DISABLEDכדי להשבית את המודול אוINHERITEDכדי לרשת את סטטוס ההפעלה של משאב האב (תקף רק לפרויקטים ולתיקיות).
מריצים את הפקודה gcloud scc manage custom-modules etd update:
Linux, macOS או Cloud Shell
gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state="NEW_STATE"
Windows (PowerShell)
gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state="NEW_STATE"
Windows (cmd.exe)
gcloud scc manage custom-modules etd update event-threat-detection MODULE_ID ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state="NEW_STATE"
אמורים לקבל תגובה שדומה לזו:
config:
metadata:
description: An IAM custom role contains permissions that aren't allowed.
recommendation: Remove the permissions from the custom role.
severity: MEDIUM
permissions:
- accessapproval.requests.get
- accessapproval.requests.invalidate
- accessapproval.requests.list
- accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: DISABLED
name: projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2026-03-20T16:52:27.046766Z'
REST
השיטה RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.patch
של Security Command Center Management API מעדכנת את המצב של מודול מותאם אישית ל-Event Threat Detection.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב לעדכון (organizations,foldersאוprojects). -
QUOTA_PROJECT: מזהה הפרויקט שמשמש לחיוב ולמעקב אחר מכסות. -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט של המודול המותאם אישית. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
MODULE_ID: המזהה המספרי של המודול -
NEW_STATE:ENABLEDכדי להפעיל את המודול,DISABLEDכדי להשבית את המודול אוINHERITEDכדי לרשת את סטטוס ההפעלה של משאב האב (תקף רק לפרויקטים ולתיקיות). -
FIELDS_TO_UPDATE: אופציונלי. רשימה מופרדת בפסיקים של שדות שרוצים לעדכן. אם לא מציינים ערך, כל השדות מתעדכנים.
ה-method של ה-HTTP וכתובת ה-URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID?updateMask=enablementState
תוכן בקשת JSON:
{
"enablementState": "NEW_STATE"
}
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name": "projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210",
"config": {
"metadata": {
"severity": "MEDIUM",
"description": "An IAM custom role contains permissions that aren't allowed.",
"recommendation": "Remove the permissions from the custom role."
},
"permissions": [
"accessapproval.requests.get",
"accessapproval.requests.invalidate",
"accessapproval.requests.list",
"accessapproval.settings.delete"
]
},
"enablementState": "DISABLED",
"type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
"displayName": "iam_custom_role_prohibited_permissions",
"updateTime": "2026-03-20T16:52:27.046766Z"
}
עדכון ההגדרה של מודול בהתאמה אישית
בקטע הזה מוסבר איך לעדכן מודול בהתאמה אישית דרך מסוףGoogle Cloud ודרך ה-CLI של gcloud. הגודל של כל מודול מותאם אישית של Event Threat Detection מוגבל ל-6 MB.
אי אפשר לעדכן את סוג המודול של מודול בהתאמה אישית.
כדי לעדכן מודול בהתאמה אישית:
המסוף
אפשר לערוך רק מודולים מותאמים אישית למגורים. לדוגמה, אם אתם בתצוגת הארגון, אתם יכולים לערוך רק את המודולים המותאמים אישית שנוצרו ברמת הארגון.
- צפייה במודולים של שירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
- מוצאים את המודול המותאם אישית שרוצים לערוך.
- במודול המותאם אישית, לוחצים על פעולות > עריכה.
- עורכים את המודול המותאם אישית לפי הצורך.
- לוחצים על Save.
gcloud
כדי לעדכן מודול, מריצים את הפקודה הבאה וכוללים את קובץ ה-JSON של תבנית המודול המעודכן:
gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
--RESOURCE_FLAG=RESOURCE_ID \
--enablement-state="ENABLED" \
--custom-config-from-file=PATH_TO_JSON_FILE
מחליפים את מה שכתוב בשדות הבאים:
-
CUSTOM_MODULE_ID: המזהה המספרי של המודול המותאם אישית של Event Threat Detection, לדוגמה:1234567890. אפשר לקבל את מזהה המספר מnameהשדה של המודול הרלוונטי בהתאמה אישית כשמציגים את רשימת המודולים בהתאמה אישית. -
RESOURCE_FLAG: ההיקף של משאב האב שבו נמצא המודול המותאם אישית. הערך יכול להיותorganization, folderאוproject. -
RESOURCE_ID: המזהה של משאב האב, כלומר מזהה הארגון, מזהה התיקייה או מזהה הפרויקט. -
PATH_TO_JSON_FILE: קובץ ה-JSON שמכיל את הגדרת ה-JSON של המודול המותאם אישית.
בדיקת הסטטוס של מודול מותאם אישית יחיד
המסוף
- צפייה במודולים של השירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
מוצאים את המודול המותאם אישית ברשימה.
הסטטוס של המודול המותאם אישית מוצג בעמודה סטטוס.
gcloud
הפקודה gcloud scc manage custom-modules etd describe מאחזרת מודול בהתאמה אישית של Event Threat Detection לארגון, לתיקייה או לפרויקט.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שאליו שייך המודול המותאם אישית (organization,folderאוproject). -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
MODULE_ID: המזהה המספרי של המודול המותאם אישית.
מריצים את הפקודה gcloud scc manage custom-modules etd describe:
Linux, macOS או Cloud Shell
gcloud scc manage custom-modules etd describe MODULE_ID \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage custom-modules etd describe MODULE_ID ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage custom-modules etd describe MODULE_ID ^ --RESOURCE_TYPE=RESOURCE_ID
אמורים לקבל תגובה שדומה לזו:
config:
metadata:
description: An IAM custom role contains permissions that aren't allowed.
recommendation: Remove the permissions from the custom role.
severity: MEDIUM
permissions:
- accessapproval.requests.get
- accessapproval.requests.invalidate
- accessapproval.requests.list
- accessapproval.settings.delete
displayName: iam_custom_role_prohibited_permissions
enablementState: ENABLED
name: organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210
type: CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION
updateTime: '2025-12-23T06:54:15.618430Z'
REST
ה-method RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.get של Security Command Center Management API מקבל מודול מותאם אישית של Event Threat Detection לארגון, לתיקייה או לפרויקט.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שאליו שייך המודול המותאם אישית (organizations,foldersאוprojects). -
QUOTA_PROJECT: מזהה הפרויקט שמשמש לחיוב ולמעקב אחר מכסות. -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
MODULE_ID: המזהה המספרי של המודול המותאם אישית.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"config": {
"metadata": {
"description": "An IAM custom role contains permissions that aren't allowed.",
"recommendation": "Remove the permissions from the custom role.",
"severity": "MEDIUM"
},
"permissions": [
"accessapproval.requests.get",
"accessapproval.requests.invalidate",
"accessapproval.requests.list",
"accessapproval.settings.delete"
]
},
"displayName": "iam_custom_role_prohibited_permissions",
"enablementState": "ENABLED",
"name": "organizations/123456789012/locations/global/eventThreatDetectionCustomModules/8765432109876543210",
"type": "CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION",
"updateTime": "2025-12-23T06:54:15.618430Z"
}
מחיקה של מודול בהתאמה אישית
כשמוחקים מודול מותאם אישית של Event Threat Detection, הממצאים שהוא יצר לא משתנים ונשארים זמינים ב-Security Command Center. לעומת זאת, כשמוחקים מודול מותאם אישית של Security Health Analytics, הממצאים שנוצרו מסומנים כלא פעילים.
אי אפשר לשחזר מודול בהתאמה אישית שנמחק.
המסוף
אי אפשר למחוק מודולים מותאמים אישית שעברו בירושה. לדוגמה, אם אתם בתצוגת הפרויקט, לא תוכלו למחוק מודולים בהתאמה אישית שנוצרו ברמת התיקייה או הארגון.
כדי למחוק מודול בהתאמה אישית דרך Google Cloud המסוף:
- צפייה במודולים של השירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
- מאתרים את המודול המותאם אישית שרוצים למחוק.
- במודול המותאם אישית, לוחצים על פעולות > מחיקה. תוצג הודעה שבה תתבקשו לאשר את המחיקה.
- לוחצים על Delete.
gcloud
הפקודה
gcloud scc manage custom-modules etd delete
יוצרת מודול בהתאמה אישית של Event Threat Detection לארגון, לתיקייה או לפרויקט.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שאליו שייכים המודולים המותאמים אישית (organization,folderאוproject). -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט של המודול המותאם אישית. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
MODULE_ID: המזהה המספרי של המודול המותאם אישית.
מריצים את הפקודה gcloud scc manage custom-modules etd delete:
Linux, macOS או Cloud Shell
gcloud scc manage custom-modules etd delete MODULE_ID \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage custom-modules etd delete MODULE_ID ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage custom-modules etd delete MODULE_ID ^ --RESOURCE_TYPE=RESOURCE_ID
אמורים לקבל תגובה שדומה לזו:
Deleted [projects/1234567890123/locations/global/eventThreatDetectionCustomModules/98765432109876543210].
REST
ה-method RESOURCE_TYPE.locations.eventThreatDetectionCustomModules.delete של Security Command Center Management API יוצר מודול בהתאמה אישית של Event Threat Detection לארגון, לתיקייה או לפרויקט.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב שהמודול המותאם אישית ישתייך אליו (organizations,foldersאוprojects) -
QUOTA_PROJECT: מזהה הפרויקט שמשמש לחיוב ולמעקב אחר מכסות. -
RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט של המודול המותאם אישית. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי. -
MODULE_ID: המזהה המספרי של המודול המותאם אישית.
ה-method של ה-HTTP וכתובת ה-URL:
DELETE https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/eventThreatDetectionCustomModules/MODULE_ID
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{}
שיבוט של מודול בהתאמה אישית
כשמשכפלים מודול בהתאמה אישית, המודול החדש נוצר כחלק מהמשאב שמוצג. לדוגמה, אם משכפלים מודול מותאם אישית שהפרויקט ירש מהארגון, המודול המותאם אישית החדש הוא מודול למגורים בפרויקט.
אי אפשר לשכפל מודול מותאם אישית שהוא צאצא.
כדי לשכפל מודול בהתאמה אישית דרך מסוף Google Cloud :
- צפייה במודולים של השירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
- מוצאים את המודול המותאם אישית שרוצים לשכפל.
- במודול המותאם אישית, לוחצים על פעולות > שיבוט.
- עורכים את המודול המותאם אישית לפי הצורך.
- לוחצים על יצירה.