Crie e faça a gestão de módulos personalizados para a Deteção de ameaças de eventos

Esta página explica como criar e gerir módulos personalizados para a Deteção de ameaças de eventos.

Antes de começar

Esta secção descreve os requisitos para usar módulos personalizados para a Deteção de ameaças de eventos.

Security Command Center Premium e Event Threat Detection

Para usar módulos personalizados da Deteção de ameaças de eventos, a Deteção de ameaças de eventos tem de estar ativada. Para ativar a Deteção de ameaças de eventos, consulte o artigo Ative ou desative um serviço integrado.

Funções e autorizações de IAM necessárias

As funções da IAM determinam as ações que pode realizar com módulos personalizados da Deteção de ameaças de eventos.

A tabela seguinte contém uma lista das autorizações do módulo personalizado de deteção de ameaças de eventos necessárias, bem como as funções de IAM predefinidas que as incluem.

Pode usar a Google Cloud consola ou a API Security Command Center para aplicar estas funções ao nível da organização, da pasta ou do projeto.

Autorizações necessárias Função
securitycentermanagement.eventThreatDetectionCustomModules.create
securitycentermanagement.eventThreatDetectionCustomModules.update
securitycentermanagement.eventThreatDetectionCustomModules.delete		 roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycentermanagement.eventThreatDetectionCustomModules.list
securitycentermanagement.eventThreatDetectionCustomModules.get
securitycentermanagement.effectiveEventThreatDetectionCustomModules.list
securitycentermanagement.effectiveEventThreatDetectionCustomModules.get
securitycentermanagement.eventThreatDetectionCustomModules.validate		 roles/securitycentermanagement.etdCustomModulesViewer
roles/securitycentermanagement.etdCustomModulesEditor
roles/securitycenter.adminViewer
roles/securitycenter.admin

Se encontrar erros de acesso no Security Command Center, peça assistência ao seu administrador. Consulte uma das seguintes páginas, consoante o nível em que ativou o Security Command Center:

Registos necessários

Certifique-se de que os registos relevantes estão ativados para a sua organização, pastas e projetos. Para ver informações sobre os registos necessários para cada tipo de módulo personalizado, consulte a tabela em Modelos e módulos personalizados.

Os registos de origens fora de Google Cloud não são suportados.

Níveis de módulos personalizados

Este documento usa os seguintes termos para descrever o nível ao qual um módulo personalizado foi criado:

Módulo residencial
O módulo foi criado na vista ou no âmbito atual. Por exemplo, se estiver na vista de organização da consola Google Cloud , os módulos residenciais são os módulos que foram criados ao nível da organização.
Módulo herdado
O módulo foi criado numa visualização de propriedade ou num âmbito principal. Por exemplo, um módulo criado ao nível da organização é um módulo herdado ao nível de qualquer pasta ou projeto.
Módulo descendente
O módulo foi criado numa vista ou num âmbito secundário. Por exemplo, um módulo criado ao nível de uma pasta ou de um projeto é um módulo descendente ao nível da organização.

Crie módulos personalizados

Pode criar módulos personalizados de deteção de ameaças de eventos através da Google Cloud consola ou modificando um modelo JSON e enviando-o através da CLI gcloud. Só precisa de modelos JSON se planear usar a CLI gcloud para criar módulos personalizados.

Para ver uma lista de modelos de módulos suportados, consulte o artigo Modelos e módulos personalizados.

Estrutura do modelo

Os modelos definem os parâmetros que os módulos personalizados usam para identificar ameaças nos seus registos. Os modelos são escritos em JSON e têm uma estrutura semelhante à das descobertas geradas pelo Security Command Center. Só precisa de configurar um modelo JSON se planear usar a CLI gcloud para criar um módulo personalizado.

Cada modelo contém campos personalizáveis:

  • severity: a gravidade ou o nível de risco que quer atribuir às descobertas deste tipo: LOW, MEDIUM, HIGH ou CRITICAL.
  • description: a descrição do módulo personalizado.
  • recommendation: ações recomendadas para resolver as conclusões geradas pelo módulo personalizado.
  • Parâmetros de deteção: as variáveis usadas para avaliar registos e acionar descobertas. Os parâmetros de deteção diferem para cada módulo, mas incluem um ou mais dos seguintes:
    • domains: domínios Web a ter em atenção
    • ips: endereços IP a monitorizar
    • permissions: autorizações a ter em atenção
    • regions: regiões onde são permitidas novas instâncias do Compute Engine
    • roles: funções a ter em atenção
    • accounts: contas a ter em atenção
    • Parâmetros que definem os tipos de instâncias do Compute Engine permitidos, por exemplo, series, cpus e ram_mb.
    • Expressões regulares para verificar as propriedades, por exemplo, caller_pattern e resource_pattern.

O seguinte exemplo de código é um modelo JSON de exemplo para Configurable Bad IP.

{
  "metadata": {
    "severity": "LOW",
    "description": "Flagged by Cymbal as malicious",
    "recommendation": "Contact the owner of the relevant project."
  },
  "ips": [
    "192.0.2.1",
    "192.0.2.0/24"
  ]
}

No exemplo anterior, o módulo personalizado gera uma descoberta de gravidade baixa se os seus registos indicarem um recurso ligado ao endereço IP 192.0.2.1 ou 192.0.2.0/24.

Modifique um modelo de módulo

Para criar módulos, escolhe um modelo de módulo e modifica-o.

Se planeia usar a Google Cloud CLI para criar o seu módulo personalizado, tem de realizar esta tarefa.

Se planeia usar a Google Cloud consola para criar o seu módulo personalizado, ignore esta tarefa. Vai usar as opções apresentadas no ecrã para modificar os parâmetros do modelo.

  1. Escolha um modelo em Modelos e módulos personalizados.
  2. Copie o código para um ficheiro local.
  3. Atualize os parâmetros que quer usar para avaliar os registos.
  4. Guarde o ficheiro como um ficheiro JSON.
  5. Crie um módulo personalizado através da CLI gcloud com o ficheiro JSON.

Crie um módulo personalizado

Esta secção descreve como criar um módulo personalizado através da Google Cloud consola, da CLI gcloud e do Terraform. Cada módulo personalizado de deteção de ameaças de eventos tem um limite de tamanho de 6 MB.

Para criar um módulo personalizado, siga estes passos:

Consola

  1. Veja os módulos do serviço Event Threat Detection. Os módulos predefinidos e personalizados aparecem numa lista.
  2. Clique em Criar módulo.
  3. Clique no modelo de módulo que quer usar.
  4. Clique em Selecionar.
  5. Em Nome do módulo, introduza um nome a apresentar para o novo modelo. O nome não pode exceder 128 carateres e tem de conter apenas carateres alfanuméricos e sublinhados, por exemplo, example_custom_module.
  6. Selecione ou adicione os valores dos parâmetros pedidos. Os parâmetros diferem para cada módulo. Por exemplo, se selecionou o modelo de módulo Configurable allowed Compute Engine region, seleciona uma ou mais regiões. Em alternativa, faculte a lista no formato JSON.
  7. Clicar em Seguinte.
  8. Para Gravidade, introduza o nível de gravidade que quer atribuir às descobertas geradas pelo novo módulo personalizado.
  9. Em Descrição, introduza uma descrição para o novo módulo personalizado.
  10. Para Passos seguintes, introduza as ações recomendadas no formato de texto simples. As quebras de parágrafo que adicionar são ignoradas.
  11. Clique em Criar.

gcloud

  1. Crie um ficheiro JSON com a definição do módulo personalizado. Use os modelos em Modelos e módulos personalizados como guia.

  2. Crie o módulo personalizado enviando o ficheiro JSON num comando gcloud:

 gcloud alpha scc custom-modules etd create \
     --RESOURCE_FLAG=RESOURCE_ID \
     --display-name="DISPLAY_NAME" \
     --module-type="MODULE_TYPE" \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Substitua o seguinte:

  • RESOURCE_FLAG: o âmbito do recurso principal onde o módulo personalizado vai ser criado; um de organization, folder ou project.
  • RESOURCE_ID: o ID do recurso principal, ou seja, o ID da organização, o ID da pasta ou o ID do projeto.
  • DISPLAY_NAME: um nome a apresentar para o novo modelo. O nome não pode exceder 128 carateres e só pode conter carateres alfanuméricos e sublinhados.
  • MODULE_TYPE: o tipo de módulo personalizado que quer criar, por exemplo, CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION.
  • PATH_TO_JSON_FILE: o ficheiro JSON que contém a definição JSON do módulo personalizado com base no modelo de módulo.

Terraform 

resource "google_scc_management_organization_event_threat_detection_custom_module" "example" {
  organization = "123456789"
  location = "global"
  display_name = "basic_custom_module"
  enablement_state = "ENABLED"
  type = "CONFIGURABLE_BAD_IP"
  description = "My Event Threat Detection Custom Module"
  config = jsonencode({
    "metadata": {
      "severity": "LOW",
      "description": "Flagged by Forcepoint as malicious",
      "recommendation": "Contact the owner of the relevant project."
    },
    "ips": [
      "192.0.2.1",
      "192.0.2.0/24"
    ]
  })
}

O módulo personalizado é criado e começa a ser analisado. Para eliminar um módulo, consulte o artigo Elimine um módulo personalizado.

O nome da categoria do módulo personalizado contém a categoria de deteção do tipo de módulo e o nome a apresentar do módulo que definiu. Por exemplo, o nome da categoria de um módulo personalizado pode ser Unexpected Compute Engine Region: example_custom_module. Na Google Cloud consola, os sublinhados são apresentados como espaços. No entanto, nas suas consultas, tem de incluir os sublinhados.

As quotas regem a sua utilização de módulos personalizados para a Deteção de ameaças de eventos.

Latência de deteção

A latência de deteção da Deteção de ameaças de eventos e de todos os outros serviços incorporados do Security Command Center é descrita na latência de análise.

Reveja as conclusões

As descobertas geradas por módulos personalizados podem ser vistas na Google Cloud consola ou através da CLI gcloud.

Consola

  1. Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.

    Aceda a Conclusões

  2. Selecione o seu Google Cloud projeto ou organização.
  3. Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione Módulos personalizados de deteção de ameaças de eventos. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
  4. Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
  5. No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
  6. Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.

gcloud

Para usar a CLI gcloud para ver as descobertas, faça o seguinte:

  1. Abra uma janela de terminal.

  2. Obtenha o ID da origem para módulos personalizados da Deteção de ameaças de eventos. O comando depende de ter ativado o Security Command Center ao nível da organização ou do projeto:

    gcloud scc sources describe RESOURCE_LEVEL/RESOURCE_ID \
    --source-display-name='Event Threat Detection Custom Modules'

    Substitua o seguinte:

    • RESOURCE_LEVEL: o nível de ativação da sua instância do Security Command Center; um de organizations ou projects.
    • RESOURCE_ID: o ID do recurso da sua organização ou projeto.

    O resultado é semelhante ao seguinte. SOURCE_ID é um ID atribuído pelo servidor para origens de segurança.

    canonicalName: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID
description: Provider used by Event Threat Detection Custom Modules
displayName: Event Threat Detection Custom Modules
name: RESOURCE_LEVEL/RESOURCE_ID/sources/SOURCE_ID

  3. Para apresentar uma lista de todas as descobertas para módulos personalizados de deteção de ameaças de eventos, execute o seguinte comando com o ID de origem do passo anterior:

    gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID

    Substitua o seguinte:

    • RESOURCE_LEVEL: o nível de recurso no qual quer listar as descobertas; um de organizations, folders ou projects.
    • RESOURCE_ID: o ID do recurso, ou seja, o ID da organização, o ID da pasta ou o ID do projeto.
    • SOURCE_ID: o ID de origem para módulos personalizados da deteção de ameaças de eventos.

  4. Para apresentar uma lista de resultados de um módulo personalizado específico, execute o seguinte comando:

    MODULE="CUSTOM_MODULE_CATEGORY_NAME"
FILTER="category=\"$MODULE\""
gcloud scc findings list RESOURCE_LEVEL/RESOURCE_ID --source=SOURCE_ID --filter="$FILTER"

    Substitua o seguinte:

    • CUSTOM_MODULE_CATEGORY_NAME: o nome da categoria do módulo personalizado. Este nome é composto pela categoria de deteção do tipo de módulo (conforme indicado em Módulos personalizados e modelos) e o nome a apresentar do módulo com carateres de sublinhado em vez de espaços. Por exemplo, o nome da categoria de um módulo personalizado pode ser Unexpected Compute Engine region: example_custom_module.
    • RESOURCE_LEVEL: o nível de recurso no qual quer listar as descobertas; um de organizations, folders ou projects.
    • RESOURCE_ID: o ID do recurso, ou seja, o ID da organização, o ID da pasta ou o ID do projeto.
    • SOURCE_ID: o ID de origem dos seus módulos personalizados de deteção de ameaças de eventos.

Para saber como filtrar as conclusões, consulte o artigo Liste as conclusões de segurança.

As conclusões geradas por módulos personalizados podem ser geridas como todas as conclusões no Security Command Center. Para mais informações, consulte o seguinte:

Faça a gestão de módulos personalizados da Deteção de ameaças de eventos

Esta secção descreve como ver, listar, atualizar e eliminar módulos personalizados da Deteção de ameaças de eventos.

Veja ou liste módulos personalizados

Consola

  1. Veja os módulos do serviço Event Threat Detection. Os módulos predefinidos e personalizados aparecem numa lista.
  2. Opcional: para ver apenas os módulos personalizados, no campo Filtro, introduza Tipo:Personalizado.

Os resultados incluem o seguinte:

  • Todos os módulos personalizados de deteção de ameaças de eventos residenciais.
  • Todos os módulos personalizados de Deteção de ameaças de eventos herdados. Por exemplo, se estiver na vista de projeto, os módulos personalizados criados nas pastas principais e na organização desse projeto são incluídos nos resultados.
  • Todos os módulos personalizados de deteção de ameaças de eventos descendentes criados em recursos secundários. Por exemplo, se estiver na vista de organização, os módulos personalizados que foram criados em pastas e projetos nessa organização são incluídos nos resultados.

gcloud

gcloud alpha scc custom-modules etd list \
    --RESOURCE_FLAG=RESOURCE_ID

Substitua o seguinte:

  • RESOURCE_FLAG: o âmbito no qual quer listar módulos personalizados; um de organization, folder ou project.
  • RESOURCE_ID: o ID do recurso, ou seja, o ID da organização, o ID da pasta ou o ID do projeto.

Os resultados incluem o seguinte:

  • Todos os módulos personalizados de deteção de ameaças de eventos residenciais.
  • Todos os módulos personalizados de Deteção de ameaças de eventos herdados. Por exemplo, quando lista módulos personalizados ao nível do projeto, os módulos personalizados criados nas pastas principais e na organização desse projeto são incluídos nos resultados.

Cada item nos resultados inclui o nome, o estado e as propriedades do módulo. As propriedades diferem para cada módulo.

O nome de cada módulo contém o respetivo ID do módulo personalizado. Muitas operações nesta página requerem o ID do módulo personalizado.gcloud

name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID

Desative um módulo personalizado

Consola

Consulte o artigo Ative ou desative um módulo.

Quando desativa um módulo personalizado herdado, as alterações são aplicadas apenas ao nível de recurso atual. O módulo personalizado original residente ao nível principal não é afetado. Por exemplo, se estiver ao nível do projeto e desativar um módulo personalizado que foi herdado da pasta principal, o módulo personalizado só é desativado ao nível do projeto.

Não pode desativar um módulo personalizado descendente. Por exemplo, se estiver na vista de organização, não pode desativar um módulo personalizado que foi criado ao nível do projeto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="DISABLED"

Substitua o seguinte:

  • CUSTOM_MODULE_ID: o ID numérico do módulo personalizado de deteção de ameaças de eventos, por exemplo, 1234567890. Pode obter o ID numérico no campo name do módulo personalizado relevante quando vê a lista de módulos personalizados.
  • RESOURCE_FLAG: o âmbito do recurso principal onde o módulo personalizado reside; um de organization, folder ou project.
  • RESOURCE_ID: o ID do recurso principal, ou seja, o ID da organização, o ID da pasta ou o ID do projeto.

Ative um módulo personalizado

Consola

Consulte o artigo Ative ou desative um módulo.

Quando ativa um módulo personalizado herdado, as alterações são aplicadas apenas ao nível de recurso atual. O módulo personalizado original residente ao nível principal não é afetado. Por exemplo, se estiver ao nível do projeto e ativar um módulo personalizado herdado da pasta principal, o módulo personalizado só é ativado ao nível do projeto.

Não pode ativar um módulo personalizado descendente. Por exemplo, se estiver na vista de organização, não pode ativar um módulo personalizado que foi criado ao nível do projeto.

gcloud

gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
    --RESOURCE_FLAG=RESOURCE_ID \
    --enablement-state="ENABLED"

Substitua o seguinte:

  • CUSTOM_MODULE_ID: o ID numérico do módulo personalizado de deteção de ameaças de eventos, por exemplo, 1234567890. Pode obter o ID numérico no campo name do módulo personalizado relevante quando vê a lista de módulos personalizados.
  • RESOURCE_FLAG: o âmbito do recurso principal onde o módulo personalizado reside; um de organization, folder ou project.
  • RESOURCE_ID: o ID do recurso principal, ou seja, o ID da organização, o ID da pasta ou o ID do projeto.

Atualize a definição de um módulo personalizado

Esta secção descreve como atualizar um módulo personalizado através da Google Cloud consola e da CLI gcloud. Cada módulo personalizado de deteção de ameaças de eventos tem um limite de tamanho de 6 MB.

Não é possível atualizar o tipo de módulo de um módulo personalizado.

Para atualizar um módulo personalizado, siga estes passos:

Consola

Só pode editar módulos personalizados residenciais. Por exemplo, se estiver na vista de organização, só pode editar os módulos personalizados que foram criados ao nível da organização.

  1. Veja os módulos do serviço Event Threat Detection. Os módulos predefinidos e personalizados aparecem numa lista.
  2. Encontre o módulo personalizado que quer editar.
  3. Para esse módulo personalizado, clique em Ações > Editar.
  4. Edite o módulo personalizado conforme necessário.
  5. Clique em Guardar.

gcloud

Para atualizar um módulo, execute o seguinte comando e inclua o JSON do modelo do módulo atualizado:

 gcloud alpha scc custom-modules etd update CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID \
     --enablement-state="ENABLED" \
     --custom-config-from-file=PATH_TO_JSON_FILE

Substitua o seguinte:

  • CUSTOM_MODULE_ID: o ID numérico do módulo personalizado de deteção de ameaças de eventos, por exemplo, 1234567890. Pode obter o ID numérico no campo name do módulo personalizado relevante quando vê a lista de módulos personalizados.
  • RESOURCE_FLAG: o âmbito do recurso principal onde o módulo personalizado reside; um de organization, folder ou project.
  • RESOURCE_ID: o ID do recurso principal, ou seja, o ID da organização, o ID da pasta ou o ID do projeto.
  • PATH_TO_JSON_FILE: o ficheiro JSON que contém a definição JSON do módulo personalizado.

Verifique o estado de um único módulo personalizado

Consola

  1. Veja os módulos do serviço Event Threat Detection. Os módulos predefinidos e personalizados aparecem numa lista.
  2. Encontre o módulo personalizado na lista.

O estado do módulo personalizado é apresentado na coluna Estado.

gcloud

 gcloud alpha scc custom-modules etd get CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Substitua o seguinte:

  • CUSTOM_MODULE_ID: o ID numérico do módulo personalizado de deteção de ameaças de eventos, por exemplo, 1234567890. Pode obter o ID numérico no campo name do módulo personalizado relevante quando vê a lista de módulos personalizados.
  • RESOURCE_FLAG: o âmbito do recurso principal onde o módulo personalizado reside; um de organization, folder ou project.
  • RESOURCE_ID: o ID do recurso principal, ou seja, o ID da organização, o ID da pasta ou o ID do projeto.

A saída é semelhante à seguinte e inclui o estado e as propriedades do módulo. As propriedades diferem para cada módulo.

config:
metadata:
  description: DESCRIPTION
  recommendation: RECOMMENDATION
  severity: SEVERITY
regions:
- region: REGION
displayName: USER_SPECIFIED_DISPLAY_NAME
enablementState: STATUS
lastEditor: LAST_EDITOR
name: RESOURCE_LEVEL/RESOURCE_ID/eventThreatDetectionSettings/customModules/CUSTOM_MODULE_ID
type: MODULE_TYPE
updateTime: 'UPDATE_TIME'

Elimine um módulo personalizado

Quando elimina um módulo personalizado de Event Threat Detection, as conclusões que gerou não são modificadas e permanecem disponíveis no Security Command Center. Por outro lado, quando elimina um módulo personalizado do Security Health Analytics, as respetivas conclusões geradas são marcadas como inativas.

Não é possível recuperar um módulo personalizado eliminado.

Consola

Não pode eliminar módulos personalizados herdados. Por exemplo, se estiver na vista de projeto, não pode eliminar módulos personalizados criados ao nível da pasta ou da organização.

Para eliminar um módulo personalizado através da Google Cloud consola, faça o seguinte:

  1. Veja os módulos do serviço Event Threat Detection. Os módulos predefinidos e personalizados aparecem numa lista.
  2. Encontre o módulo personalizado que quer eliminar.
  3. Para esse módulo personalizado, clique em Ações > Eliminar. É apresentada uma mensagem a pedir-lhe que confirme a eliminação.
  4. Clique em Eliminar.

gcloud

 gcloud alpha scc custom-modules etd delete CUSTOM_MODULE_ID \
     --RESOURCE_FLAG=RESOURCE_ID

Substitua o seguinte:

  • CUSTOM_MODULE_ID: o ID numérico do módulo personalizado de deteção de ameaças de eventos, por exemplo, 1234567890. Pode obter o ID numérico no campo name do módulo personalizado relevante quando vê a lista de módulos personalizados.
  • RESOURCE_FLAG: o âmbito do recurso principal onde o módulo personalizado reside; um de organization, folder ou project.
  • RESOURCE_ID: o ID do recurso principal, ou seja, o ID da organização, o ID da pasta ou o ID do projeto.

Clone um módulo personalizado

Quando clona um módulo personalizado, o módulo personalizado resultante é criado como residente do recurso que está a ver. Por exemplo, se clonar um módulo personalizado que o seu projeto herdou da organização, o novo módulo personalizado é um módulo residencial no projeto.

Não pode clonar um módulo personalizado descendente.

Para clonar um módulo personalizado através da Google Cloud consola, faça o seguinte:

  1. Veja os módulos do serviço Event Threat Detection. Os módulos predefinidos e personalizados aparecem numa lista.
  2. Encontre o módulo personalizado que quer clonar.
  3. Para esse módulo personalizado, clique em Ações > Clonar.
  4. Edite o módulo personalizado conforme necessário.
  5. Clique em Criar.

O que se segue?