יצירה וניהול של מודולים מותאמים אישית ל-Event Threat Detection

בדף הזה מוסבר איך ליצור ולנהל מודולים בהתאמה אישית ל-Event Threat Detection.

לפני שמתחילים

בקטע הזה מתוארות הדרישות לשימוש במודולים מותאמים אישית עבור Event Threat Detection.

‫Security Command Center Premium ו-Event Threat Detection

כדי להשתמש במודולים מותאמים אישית של Event Threat Detection, צריך להפעיל את Event Threat Detection. במאמר הפעלה או השבתה של שירות מובנה מוסבר איך להפעיל את Event Threat Detection.

תפקידים והרשאות נדרשים ב-IAM

תפקידי IAM קובעים את הפעולות שאפשר לבצע באמצעות מודולים מותאמים אישית של Event Threat Detection.

בטבלה הבאה מפורטות ההרשאות שנדרשות למודול מותאם אישית של Event Threat Detection, וגם התפקידים המוגדרים מראש ב-IAM שכוללים את ההרשאות האלה.

אפשר להשתמש במסוף Google Cloud או ב-Security Command Center API כדי להקצות את התפקידים האלה ברמת הארגון, התיקייה או הפרויקט. Google Cloud

ההרשאות הנדרשות תפקיד
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete		 roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate		 roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

אם נתקלתם בשגיאות גישה ב-Security Command Center, פנו לאדמין שלכם לקבלת עזרה. בדפים הבאים מוסבר איך לבצע את הפעולות הבאות, בהתאם לרמה שבה הפעלתם את Security Command Center:

יומנים נדרשים

חשוב לוודא שהיומנים הרלוונטיים מופעלים בארגון, בתיקיות ובפרויקטים. בטבלה שבמאמר תבניות ומודולים בהתאמה אישית מפורט אילו יומנים נדרשים לכל סוג של מודול בהתאמה אישית.

אין תמיכה ביומנים ממקורות מחוץ ל- Google Cloud .

רמות מותאמות אישית של מודולים

במסמך הזה נעשה שימוש במונחים הבאים כדי לתאר את הרמה שבה נוצר מודול מותאם אישית:

מודול מגורים
המודול נוצר בתצוגה או בהיקף הנוכחיים. לדוגמה, אם אתם בתצוגת הארגון במסוף Google Cloud , המודולים של מבני המגורים הם המודולים שנוצרו ברמת הארגון.
מודול שעובר בירושה
המודול נוצר בתצוגה להורה או בהיקף. לדוגמה, מודול שנוצר ברמת הארגון הוא מודול שעובר בירושה בכל רמה של תיקייה או פרויקט.
מודול צאצא
המודול נוצר בתצוגה לילדים או בהיקף של ילד. לדוגמה, מודול שנוצר ברמת התיקייה או הפרויקט הוא מודול צאצא ברמת הארגון.

יצירת מודולים בהתאמה אישית

אפשר ליצור מודולים מותאמים אישית של Event Threat Detection דרךGoogle Cloud המסוף או על ידי שינוי תבנית JSON ושליחתה דרך ה-CLI של gcloud. צריך תבניות JSON רק אם מתכננים להשתמש ב-CLI של gcloud כדי ליצור מודולים בהתאמה אישית.

רשימה של תבניות מודולים נתמכות זמינה במאמר תבניות ומודולים בהתאמה אישית.

מבנה התבנית

התבניות מגדירות את הפרמטרים שמשמשים מודולים בהתאמה אישית לזיהוי איומים ביומנים. תבניות נכתבות ב-JSON והמבנה שלהן דומה לממצאים שנוצרים על ידי Security Command Center. צריך להגדיר תבנית JSON רק אם מתכננים להשתמש ב-CLI של gcloud כדי ליצור מודול בהתאמה אישית.

כל תבנית מכילה שדות שאפשר להתאים אישית:

  • severity: רמת החומרה או הסיכון שרוצים להקצות לממצאים מהסוג הזה, LOW, ‏MEDIUM, ‏HIGH או CRITICAL.
  • description: תיאור המודול בהתאמה אישית.
  • recommendation: פעולות מומלצות לטיפול בממצאים שנוצרו על ידי המודול המותאם אישית.
  • פרמטרים של זיהוי: המשתנים שמשמשים להערכת יומנים ולהפעלת ממצאים. פרמטרי הזיהוי שונים בכל מודול, אבל הם כוללים אחד או יותר מהפרמטרים הבאים:
    • domains: דומיינים באינטרנט שכדאי לעקוב אחריהם
    • ips: כתובות IP למעקב
    • permissions: הרשאות לצפייה
    • regions: אזורים שבהם מותר ליצור מכונות חדשות של Compute Engine
    • roles: תפקידים שצריך לשים לב אליהם
    • accounts: חשבונות למעקב
    • פרמטרים שמגדירים את הסוגים המותרים של מכונות Compute Engine – לדוגמה, series,‏ cpus ו-ram_mb.
    • ביטויים רגולריים לבדיקת מאפיינים – לדוגמה, caller_pattern ו-resource_pattern.

דוגמת קוד של תבנית JSON ל-Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

בדוגמה הקודמת, המודול המותאם אישית יוצר ממצא ברמת חומרה נמוכה אם היומנים מציינים משאב שמחובר לכתובת ה-IP‏ 192.0.2.1 או 192.0.2.0/24.

שינוי תבנית של מודול

כדי ליצור מודולים, בוחרים תבנית מודול ומשנים אותה.

אם אתם מתכננים להשתמש ב-Google Cloud CLI כדי ליצור את המודול המותאם אישית, אתם צריכים לבצע את המשימה הזו.

אם אתם מתכננים להשתמש במסוף Google Cloud כדי ליצור את המודול המותאם אישית, דלגו על המשימה הזו. משתמשים באפשרויות שמוצגות במסך כדי לשנות את הפרמטרים של התבנית.

  1. בוחרים תבנית מתוך תבניות ומודולים בהתאמה אישית.
  2. מעתיקים את הקוד לקובץ מקומי.
  3. מעדכנים את הפרמטרים שרוצים להשתמש בהם כדי להעריך את היומנים.
  4. שומרים את הקובץ כקובץ JSON.
  5. יוצרים מודול בהתאמה אישית באמצעות ה-CLI של gcloud באמצעות קובץ ה-JSON.

יצירת מודול בהתאמה אישית

בקטע הזה מוסבר איך ליצור מודול בהתאמה אישית באמצעות מסוףGoogle Cloud , ה-CLI של gcloud ו-Terraform. הגודל של כל מודול מותאם אישית של Event Threat Detection מוגבל ל-6 MB.

כדי ליצור מודול בהתאמה אישית:

המסוף

  1. צפייה במודולים של שירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
  2. לוחצים על Create module (יצירת מודול).
  3. לוחצים על תבנית המודול שבה רוצים להשתמש.
  4. לוחצים על בחירה.
  5. בשדה שם המודול, מזינים שם לתבנית החדשה. השם לא יכול להיות ארוך מ-128 תווים, והוא יכול להכיל רק תווים אלפאנומריים וקווים תחתונים – לדוגמה, example_custom_module.
  6. בוחרים או מוסיפים את ערכי הפרמטר המבוקשים. הפרמטרים שונים בכל מודול. לדוגמה, אם בחרתם בתבנית המודול Configurable allowed Compute Engine region, אתם בוחרים אזור אחד או יותר. אפשרות אחרת היא לספק את הרשימה בפורמט JSON.
  7. לוחצים על הבא.
  8. בשדה Severity, מזינים את רמת החומרה שרוצים להקצות לממצאים שנוצרו על ידי המודול המותאם אישית החדש.
  9. בקטע תיאור, מזינים תיאור למודול המותאם אישית החדש.
  10. בקטע השלבים הבאים, מזינים את ההמלצות לפעולות בפורמט טקסט רגיל. המערכת מתעלמת ממעברי פסקאות שמוסיפים.
  11. לוחצים על יצירה.

gcloud

  1. יוצרים קובץ JSON שמכיל את ההגדרה של המודול המותאם אישית. אפשר להשתמש בתבניות שבקטע תבניות ומודולים בהתאמה אישית כהנחיה.

  2. יוצרים את המודול המותאם אישית על ידי שליחת קובץ ה-JSON בפקודה gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

מחליפים את מה שכתוב בשדות הבאים:

  • RESOURCE_FLAG: ההיקף של משאב האב שבו ייווצר המודול המותאם אישית. האפשרויות הן organization, ‏folder או project.
  • RESOURCE_ID: מזהה המשאב של משאב האב, כלומר מזהה הארגון, מזהה התיקייה או מזהה הפרויקט.
  • DISPLAY_NAME: שם מוצג לתבנית החדשה. השם לא יכול להיות ארוך מ-128 תווים, והוא יכול להכיל רק תווים אלפאנומריים וקווים תחתונים.
  • MODULE_TYPE: סוג המודול המותאם אישית שרוצים ליצור, לדוגמה, CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
  • PATH_TO_JSON_FILE: קובץ ה-JSON שמכיל את הגדרת ה-JSON של המודול המותאם אישית על סמך תבנית המודול.

Terraform 

resource "google_scc_management_organization_event_threat_detection_custom_module" "example" {
  organization = "123456789"
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  type = "CONFIGURABLE_BAD_IP"
  description = "My Event Threat Detection Custom Module"
  config = jsonencode({
    "metadata": {
      "severity": "LOW",
      "description": "Flagged by Forcepoint as malicious",
      "recommendation": "Contact the owner of the relevant project."
    },
    "ips": [
      "192.0.2.1",
      "192.0.2.0/24"
    ]
  })
}

המודול המותאם אישית נוצר ומתחיל לסרוק. כדי למחוק מודול, אפשר לעיין במאמר בנושא מחיקת מודול בהתאמה אישית.

שם הקטגוריה של המודול המותאם אישית מכיל את קטגוריית הממצאים של סוג המודול ואת השם המוצג של המודול שהגדרתם. לדוגמה, שם הקטגוריה של מודול בהתאמה אישית יכול להיות Unexpected Compute Engine Region: example_custom_module. ב Google Cloud מסוף, קווים תחתונים מוצגים כרווחים. עם זאת, בשאילתות צריך לכלול את הקווים התחתונים.

מכסות קובעות את השימוש שלכם במודולים מותאמים אישית של Event Threat Detection.

זמן האחזור של הזיהוי

זמן האחזור של זיהוי האיומים על אירועים ושל כל שאר השירותים המובנים של Security Command Center מתואר במאמר זמן האחזור של הסריקה.

בדיקת הממצאים

אפשר לראות את הממצאים שנוצרו על ידי מודולים בהתאמה אישית במסוף Google Cloud או באמצעות ה-CLI של gcloud.

המסוף

  1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

    כניסה לדף Findings

  2. בוחרים את הפרויקט או הארגון. Google Cloud
  3. בקטע Quick filters, בסעיף המשנה Source display name, בוחרים באפשרות Event Threat Detection Custom Modules. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
  4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
  5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
  6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

gcloud

כדי להשתמש ב-CLI של gcloud כדי להציג ממצאים, מבצעים את הפעולות הבאות:

  1. פותחים חלון טרמינל.

  2. קבלת מזהה המקור של מודולים מותאמים אישית של Event Threat Detection. הפקודה משתנה בהתאם להפעלה של Security Command Center ברמת הארגון או ברמת הפרויקט:

    gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'

    מחליפים את מה שכתוב בשדות הבאים:

    • RESOURCE_LEVEL: רמת ההפעלה של מופע Security Command Center; אחת מהאפשרויות organizations או projects.
    • RESOURCE_ID: מזהה המשאב של הארגון או הפרויקט.

    הפלט אמור להיראות כך: ‫SOURCE_ID הוא מזהה שהוקצה על ידי השרת למקורות אבטחה.

    canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID

  3. כדי להציג ברשימה את כל הממצאים של מודולים בהתאמה אישית של Event Threat Detection, מריצים את הפקודה הבאה עם מזהה המקור מהשלב הקודם:

    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID

    מחליפים את מה שכתוב בשדות הבאים:

    • RESOURCE_LEVEL: רמת המשאב שבה רוצים להציג את הממצאים. האפשרויות הן organizations, ‏folders או projects.
    • RESOURCE_ID: מזהה המשאב, כלומר מזהה הארגון, מזהה התיקייה או מזהה הפרויקט.
    • SOURCE_ID: מזהה המקור של מודולים מותאמים אישית של Event Threat Detection.

  4. כדי להציג את הממצאים של מודול ספציפי בהתאמה אישית, מריצים את הפקודה הבאה:

    MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"

    מחליפים את מה שכתוב בשדות הבאים:

    • CUSTOM_MODULE_CATEGORY_NAME: שם הקטגוריה של המודול בהתאמה אישית. השם הזה מורכב מקטגוריית הממצאים של סוג המודול (כפי שמופיע במודולים ותבניות בהתאמה אישית) ומהשם המוצג של המודול, עם קווים תחתונים במקום רווחים. לדוגמה, שם הקטגוריה של מודול בהתאמה אישית יכול להיות Unexpected Compute Engine region: example_custom_module.
    • RESOURCE_LEVEL: רמת המשאב שבה רוצים להציג את הממצאים. האפשרויות הן organizations, ‏folders או projects.
    • RESOURCE_ID: מזהה המשאב, כלומר מזהה הארגון, מזהה התיקייה או מזהה הפרויקט.
    • SOURCE_ID: מזהה המקור של המודולים המותאמים אישית של Event Threat Detection.

מידע נוסף על סינון הממצאים זמין במאמר הצגת ממצאי אבטחה.

אפשר לנהל את הממצאים שנוצרו על ידי מודולים בהתאמה אישית כמו כל הממצאים ב-Security Command Center. למידע נוסף, קראו את המאמרים הבאים:

ניהול מודולים מותאמים אישית של Event Threat Detection

בקטע הזה נסביר איך לצפות במודולים מותאמים אישית של Event Threat Detection, לפרט אותם, לעדכן אותם ולמחוק אותם.

הצגה או רשימה של מודולים בהתאמה אישית

המסוף

  1. צפייה במודולים של שירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
  2. אופציונלי: כדי לראות רק את המודולים המותאמים אישית, בשדה Filter מזינים Type:Custom.

התוצאות כוללות את:

  • כל המודולים המותאמים אישית של Event Threat Detection לשימוש ביתי.
  • כל המודולים המותאמים אישית של Event Threat Detection שעברו בירושה. לדוגמה, אם אתם בתצוגת הפרויקט, המודולים המותאמים אישית שנוצרו בתיקיות האב ובארגון של הפרויקט הזה נכללים בתוצאות.
  • כל המודולים המותאמים אישית של Event Threat Detection שנוצרו במשאבי צאצא. לדוגמה, אם אתם בתצוגת הארגון, התוצאות יכללו את המודולים בהתאמה אישית שנוצרו בתיקיות ובפרויקטים שמתחת לארגון הזה.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

מחליפים את מה שכתוב בשדות הבאים:

  • RESOURCE_FLAG: ההיקף שבו רוצים להציג רשימה של מודולים מותאמים אישית. האפשרויות הן organization, ‏folder או project.
  • RESOURCE_ID: מזהה המשאב, כלומר מזהה הארגון, מזהה התיקייה או מזהה הפרויקט.

התוצאות כוללות את:

  • כל המודולים המותאמים אישית של Event Threat Detection לשימוש ביתי.
  • כל המודולים המותאמים אישית של Event Threat Detection שעברו בירושה. לדוגמה, כשמציגים רשימה של מודולים בהתאמה אישית ברמת הפרויקט, התוצאות כוללות את המודולים בהתאמה אישית שנוצרו בתיקיות ובארגון שמעל הפרויקט בהיררכיית המשאבים.

כל פריט בתוצאות כולל את השם, הסטטוס והמאפיינים של המודול. המאפיינים שונים בכל מודול.

השם של כל מודול כולל את מזהה המודול המותאם אישית שלו. הרבה פעולות gcloud בדף הזה דורשות את מזהה המודול המותאם אישית.

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

השבתת מודול בהתאמה אישית

המסוף

איך מפעילים או משביתים מודול

כשמשביתים מודול מותאם אישית שעובר בירושה, השינויים חלים רק על רמת המשאב הנוכחית. המודול המותאם אישית המקורי שנמצא ברמת ההורה לא מושפע. לדוגמה, אם אתם ברמת הפרויקט ומשביתים מודול בהתאמה אישית שעבר בירושה מהתיקייה הראשית, המודול בהתאמה אישית מושבת רק ברמת הפרויקט.

אי אפשר להשבית מודול צאצא בהתאמה אישית. לדוגמה, אם אתם בתצוגת הארגון, לא תוכלו להשבית מודול בהתאמה אישית שנוצר ברמת הפרויקט.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

מחליפים את מה שכתוב בשדות הבאים:

  • CUSTOM_MODULE_ID: המזהה המספרי של המודול המותאם אישית של Event Threat Detection (זיהוי איומים באירועים) – לדוגמה, 1234567890. אפשר לקבל את המזהה המספרי מהשדה name של המודול הרלוונטי בהתאמה אישית כשמציגים את רשימת המודולים בהתאמה אישית.
  • RESOURCE_FLAG: ההיקף של משאב האב שבו נמצא המודול המותאם אישית. הערך יכול להיות organization, ‏folder או project.
  • RESOURCE_ID: המזהה של משאב האב, כלומר מזהה הארגון, מזהה התיקייה או מזהה הפרויקט.

הפעלת מודול בהתאמה אישית

המסוף

איך מפעילים או משביתים מודול

כשמפעילים מודול מותאם אישית שעובר בירושה, השינויים חלים רק על רמת המשאב הנוכחית. המודול המותאם אישית המקורי שנמצא ברמת ההורה לא מושפע. לדוגמה, אם אתם ברמת הפרויקט ומפעילים מודול בהתאמה אישית שעבר בירושה מהתיקייה הראשית, המודול בהתאמה אישית מופעל רק ברמת הפרויקט.

אי אפשר להפעיל מודול צאצא בהתאמה אישית. לדוגמה, אם אתם בתצוגת הארגון, לא תוכלו להפעיל מודול בהתאמה אישית שנוצר ברמת הפרויקט.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

מחליפים את מה שכתוב בשדות הבאים:

  • CUSTOM_MODULE_ID: המזהה המספרי של המודול המותאם אישית של Event Threat Detection, לדוגמה: 1234567890. אפשר לקבל את מזהה המספרי מהשדה name של המודול הרלוונטי בהתאמה אישית כשמציגים את רשימת המודולים בהתאמה אישית.
  • RESOURCE_FLAG: ההיקף של משאב האב שבו נמצא המודול המותאם אישית. הערך יכול להיות organization, ‏folder או project.
  • RESOURCE_ID: המזהה של משאב האב, כלומר מזהה הארגון, מזהה התיקייה או מזהה הפרויקט.

עדכון ההגדרה של מודול בהתאמה אישית

בקטע הזה מוסבר איך לעדכן מודול בהתאמה אישית דרך המסוףGoogle Cloud ודרך ה-CLI של gcloud. הגודל של כל מודול מותאם אישית של Event Threat Detection מוגבל ל-6 MB.

אי אפשר לעדכן את סוג המודול של מודול בהתאמה אישית.

כדי לעדכן מודול בהתאמה אישית:

המסוף

אפשר לערוך רק מודולים מותאמים אישית של מגורים. לדוגמה, אם אתם בתצוגת הארגון, אתם יכולים לערוך רק את המודולים המותאמים אישית שנוצרו ברמת הארגון.

  1. צפייה במודולים של שירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
  2. מוצאים את המודול המותאם אישית שרוצים לערוך.
  3. במודול המותאם אישית, לוחצים על פעולות > עריכה.
  4. עורכים את המודול המותאם אישית לפי הצורך.
  5. לוחצים על Save.

gcloud

כדי לעדכן מודול, מריצים את הפקודה הבאה וכוללים את קובץ ה-JSON של תבנית המודול המעודכן:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

מחליפים את מה שכתוב בשדות הבאים:

  • CUSTOM_MODULE_ID: המזהה המספרי של המודול המותאם אישית של Event Threat Detection, לדוגמה: 1234567890. אפשר לקבל את מזהה המספרי מהשדה name של המודול הרלוונטי בהתאמה אישית כשמציגים את רשימת המודולים בהתאמה אישית.
  • RESOURCE_FLAG: ההיקף של משאב האב שבו נמצא המודול המותאם אישית. הערך יכול להיות organization, ‏folder או project.
  • RESOURCE_ID: המזהה של משאב האב, כלומר מזהה הארגון, מזהה התיקייה או מזהה הפרויקט.
  • PATH_TO_JSON_FILE: קובץ ה-JSON שמכיל את הגדרת ה-JSON של המודול המותאם אישית.

בדיקת הסטטוס של מודול מותאם אישית יחיד

המסוף

  1. צפייה במודולים של שירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
  2. מוצאים את המודול המותאם אישית ברשימה.

הסטטוס של המודול המותאם אישית מוצג בעמודה סטטוס.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

מחליפים את מה שכתוב בשדות הבאים:

  • CUSTOM_MODULE_ID: המזהה המספרי של המודול המותאם אישית של Event Threat Detection (זיהוי איומים באירועים) – לדוגמה, 1234567890. אפשר לקבל את המזהה המספרי מהשדה name של המודול הרלוונטי בהתאמה אישית כשמציגים את רשימת המודולים בהתאמה אישית.
  • RESOURCE_FLAG: ההיקף של משאב האב שבו נמצא המודול המותאם אישית. הערך יכול להיות organization, ‏folder או project.
  • RESOURCE_ID: המזהה של משאב האב, כלומר מזהה הארגון, מזהה התיקייה או מזהה הפרויקט.

הפלט אמור להיראות כך ולכלול את הסטטוס והמאפיינים של המודול. המאפיינים שונים בכל מודול.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

מחיקה של מודול בהתאמה אישית

כשמוחקים מודול מותאם אישית של Event Threat Detection, הממצאים שהוא יצר לא משתנים ונשארים זמינים ב-Security Command Center. לעומת זאת, כשמוחקים מודול מותאם אישית של Security Health Analytics, הממצאים שנוצרו מסומנים כלא פעילים.

אי אפשר לשחזר מודול בהתאמה אישית שנמחק.

המסוף

אי אפשר למחוק מודולים מותאמים אישית שעברו בירושה. לדוגמה, אם אתם בתצוגת הפרויקט, אתם לא יכולים למחוק מודולים בהתאמה אישית שנוצרו ברמת התיקייה או הארגון.

כדי למחוק מודול בהתאמה אישית דרך Google Cloud המסוף, מבצעים את הפעולות הבאות:

  1. צפייה במודולים של שירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
  2. מאתרים את המודול המותאם אישית שרוצים למחוק.
  3. במודול המותאם אישית, לוחצים על פעולות > מחיקה. תוצג הודעה שבה תתבקשו לאשר את המחיקה.
  4. לוחצים על Delete.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

מחליפים את מה שכתוב בשדות הבאים:

  • CUSTOM_MODULE_ID: המזהה המספרי של המודול המותאם אישית של Event Threat Detection (זיהוי איומים באירועים) – לדוגמה, 1234567890. אפשר לקבל את המזהה המספרי מהשדה name של המודול הרלוונטי בהתאמה אישית כשמציגים את רשימת המודולים בהתאמה אישית.
  • RESOURCE_FLAG: ההיקף של משאב האב שבו נמצא המודול המותאם אישית. הערך יכול להיות organization, ‏folder או project.
  • RESOURCE_ID: המזהה של משאב האב, כלומר מזהה הארגון, מזהה התיקייה או מזהה הפרויקט.

שיבוט של מודול בהתאמה אישית

כשמשכפלים מודול בהתאמה אישית, המודול שנוצר הוא חלק מהמשאב שמוצג. לדוגמה, אם משכפלים מודול מותאם אישית שהפרויקט ירש מהארגון, המודול המותאם אישית החדש הוא מודול למגורים בפרויקט.

אי אפשר לשכפל מודול מותאם אישית שהוא צאצא.

כדי לשכפל מודול בהתאמה אישית דרך Google Cloud המסוף:

  1. צפייה במודולים של השירות Event Threat Detection. מודולים מוגדרים מראש ומודולים בהתאמה אישית מופיעים ברשימה.
  2. מוצאים את המודול המותאם אישית שרוצים לשכפל.
  3. במודול המותאם אישית, לוחצים על פעולות > שיבוט.
  4. עורכים את המודול המותאם אישית לפי הצורך.
  5. לוחצים על יצירה.

המאמרים הבאים