Übersicht über benutzerdefinierte Module für Event Threat Detection

Auf dieser Seite finden Sie eine Übersicht über benutzerdefinierte Module für Event Threat Detection.

Sie können Module, auch Detektoren genannt, so konfigurieren, dass sie Ihren Cloud Logging-Stream verarbeiten und anhand der von Ihnen angegebenen Parameter Bedrohungen erkennen. Dieses Feature erweitert die Monitoringfunktionen von Event Threat Detection und ermöglicht das Hinzufügen von Modulen mit Ihren eigenen Erkennungsparametern, Richtlinien zur Korrektur und Schweregradkennzeichnungen für Konfigurationen, die von den integrierten Detektoren möglicherweise nicht unterstützt werden.

Benutzerdefinierte Module sind nützlich, wenn Sie Module mit Erkennungsregeln benötigen, die den speziellen Anforderungen Ihrer Organisation entsprechen. Sie können beispielsweise ein benutzerdefiniertes Modul hinzufügen, das Ergebnisse erstellt, wenn Logeinträge zeigen, dass eine Ressource mit bestimmten IP-Adressen verbunden ist oder in einer eingeschränkten Region erstellt wurde.

Funktionsweise benutzerdefinierter Module für Event Threat Detection

Benutzerdefinierte Module sind eine ausgewählte Gruppe von Event Threat Detection-Detektoren, die Sie mit Ihren eigenen Erkennungsparametern konfigurieren können. Sie können ein benutzerdefiniertes Event Threat Detection-Modul über die Google Cloud Konsole erstellen. Alternativ können Sie ein benutzerdefiniertes Modul erstellen, indem Sie eine benutzerdefinierte Modulvorlage aktualisieren und das benutzerdefinierte Modul über die Google Cloud CLI an Security Command Center senden. Informationen zu verfügbaren Vorlagen finden Sie unter Benutzerdefinierte Module und Vorlagen.

Benutzerdefinierte Modulvorlagen werden in JSON geschrieben. Damit können Sie Erkennungsparameter definieren, die steuern, welche Ereignisse in Logeinträgen Ergebnisse auslösen sollen. Der integrierte Detektor Malware: Bad IP prüft beispielsweise Virtual Private Cloud-Flusslogs auf Hinweise auf Verbindungen zu bekannten verdächtigen IP-Adressen. Sie können das benutzerdefinierte Modul Configurable Bad IP jedoch mit einer Liste verdächtiger IP-Adressen aktivieren und ändern, die Sie selbst verwalten. Wenn Ihre Logs eine Verbindung zu einer Ihrer angegebenen IP-Adressen aufweisen, wird ein Ergebnis generiert und in Security Command Center geschrieben.

Mit Modulvorlagen können Sie auch den Schweregrad von Bedrohungen definieren und benutzerdefinierte Abhilfemaßnahmen bereitstellen, damit Ihre Sicherheitsteams Probleme beheben können.

Mit benutzerdefinierten Modulen haben Sie mehr Kontrolle darüber, wie Event Threat Detection Bedrohungen erkennt und Ergebnisse meldet. Benutzerdefinierte Module enthalten die von Ihnen angegebenen Parameter, nutzen aber weiterhin die proprietäre Erkennungslogik und Threat Intelligence von Event Threat Detection, einschließlich des Abgleichs von Tripwire-Indikatoren. Sie können eine Vielzahl von Bedrohungsmodellen implementieren, die auf die individuellen Anforderungen Ihrer Organisation zugeschnitten sind.

Benutzerdefinierte Module von Event Threat Detection werden neben den integrierten Detektoren ausgeführt. Aktivierte Module werden im Echtzeitmodus ausgeführt, der Scans auslöst, wenn neue Protokolle erstellt werden.

Benutzerdefinierte Module und Vorlagen

Die folgende Tabelle enthält eine Liste der unterstützten benutzerdefinierten Modultypen, Beschreibungen, erforderlichen Logs und JSON-Modulvorlagen.

Sie benötigen diese JSON-Modulvorlagen, wenn Sie die gcloud CLI zum Erstellen oder Aktualisieren benutzerdefinierter Module verwenden möchten. Wenn Sie eine Vorlage aufrufen möchten, klicken Sie neben dem Namen auf das Symbol zum Maximieren . Informationen zur Verwendung benutzerdefinierter Module finden Sie unter Benutzerdefinierte Module konfigurieren und verwalten.

Ergebniskategorie Modultyp Logquelltypen Beschreibung
Konfigurierbare fehlerhafte IP-Adresse CONFIGURABLE_BAD_IP VPC-Flusslogs
Firewallregel-Logs 		Erkennt eine Verbindung zu einer angegebenen IP-Adresse
Vorlage: Konfigurierbare fehlerhafte IP-Adresse
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul generiert werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die explanation-Property jedes von diesem Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um die Property nextSteps jedes von diesem Modul generierten Ergebnisses zu füllen.
  • IP_ADDRESS_1: Eine öffentlich routingfähige IPv4- oder IPv6-Adresse oder ein CIDR-Block, der überwacht werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24.
  • IP_ADDRESS_2: Optional. Eine öffentlich routingfähige IPv4- oder IPv6-Adresse oder ein CIDR-Block, nach dem gesucht werden soll, z. B. 192.0.2.1 oder 192.0.2.0/24.
Konfigurierbare fehlerhafte Domain CONFIGURABLE_BAD_DOMAIN Cloud DNS-Logs Erkennt eine Verbindung zu einem angegebenen Domainnamen
Vorlage: Konfigurierbare fehlerhafte Domain
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul generiert werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die explanation-Property jedes von diesem Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um die Property nextSteps jedes von diesem Modul generierten Ergebnisses zu füllen.
  • DOMAIN_1: Ein Domainname, nach dem gesucht werden soll, z. B. example.com. Der Wert localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Beispiel: 例子.example und xn--fsqu00a.example sind gleichwertig.
  • DOMAIN_2: Optional. Ein Domainname, der beobachtet werden soll, z. B. example.com. Der Wert localhost ist nicht zulässig. Unicode- und Punycode-Domainnamen werden normalisiert. Beispiel: 例子.example und xn--fsqu00a.example sind äquivalent.
Unerwarteter Compute Engine-Instanztyp CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud-Audit-Logs:
Administratoraktivitätslogs 		Erkennt das Erstellen von Compute Engine-Instanzen, die nicht einem angegebenen Instanztyp oder einer angegebenen Konfiguration entsprechen.
Vorlage: Unerwarteter Compute Engine-Instanztyp
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul generiert werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die explanation-Property jedes von diesem Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um die Property nextSteps jedes von diesem Modul generierten Ergebnisses zu füllen.
  • SERIES: Optional. Die Compute Engine-Maschinenserie, z. B. C2. Wenn das Feld leer ist, sind alle Serien zulässig. Weitere Informationen finden Sie im Leitfaden zu Ressourcen und Vergleichen für Maschinenfamilien.
  • MINIMUM_NUMBER_OF_CPUS: Optional. Die Mindestanzahl der zulässigen CPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_CPUS: Optional. Die maximale Anzahl an zulässigen CPUs. Wenn nicht vorhanden, gibt es kein Maximum. Muss größer oder gleich minimum und kleiner oder gleich 1.000 sein.
  • MINIMUM_RAM_SIZE: Optional. Die Mindestgröße des RAM in Megabyte, die zulässig ist. Wenn nicht vorhanden, gibt es keine Mindestanzahl.
  • MAXIMUM_RAM_SIZE: Optional. Die maximal zulässige RAM-Größe in Megabyte. Falls nicht angegeben, gibt es keine maximale Anzahl. Muss größer oder gleich minimum und kleiner oder gleich 10.000.000 sein.
  • MINIMUM_NUMBER_OF_GPUS: Optional. Die Mindestanzahl der zulässigen GPUs. Wenn nicht vorhanden, gibt es keine Mindestanzahl. Darf nicht negativ sein.
  • MAXIMUM_NUMBER_OF_GPUS: Optional. Die maximale Anzahl von zulässigen GPUs. Wenn nicht vorhanden, gibt es kein Maximum. Muss größer oder gleich minimum und kleiner oder gleich 100 sein.
  • PROJECT_ID_1: Optional. Die ID eines Projekts, auf das Sie dieses Modul anwenden möchten, z. B. projects/example-project. Wenn das Feld leer ist oder nicht festgelegt wurde, wird das Modul auf Instanzen angewendet, die in allen Projekten im aktuellen Bereich erstellt wurden.
  • PROJECT_ID_2: Optional. Die ID eines Projekts, auf das Sie dieses Modul anwenden möchten, z. B. projects/example-project.
  • REGION_1: Optional. Eine Region, in der Sie dieses Modul anwenden möchten, z. B. us-central1. Wenn das Feld leer oder nicht festgelegt ist, wird das Modul auf Instanzen angewendet, die in allen Regionen erstellt wurden.
  • REGION_2: Optional. Eine Region, in der Sie dieses Modul anwenden möchten, z. B. us-central1.
Unerwartetes Compute Engine-Quell-Image CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud-Audit-Logs:
Administratoraktivitätslogs 		Erkennt das Erstellen einer Compute Engine-Instanz mit einem Image oder einer Image-Familie, die bzw. das nicht einer angegebenen Liste entspricht
Vorlage: Unerwartetes Compute Engine-Quell-Image
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul generiert werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die explanation-Property jedes von diesem Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um die Property nextSteps jedes von diesem Modul generierten Ergebnisses zu füllen.
  • PATTERN_1: Ein RE2-regulärer Ausdruck, mit dem Bilder verglichen werden, z. B. debian-image-1. Wenn ein Bild zum Erstellen einer Compute Engine-Instanz verwendet wird und der Name dieses Bildes mit keinem der angegebenen regulären Ausdrücke übereinstimmt, wird ein Ergebnis generiert.
  • NAME_1: Ein aussagekräftiger Name für dieses Muster, z. B. first-image.
  • PATTERN_2: Optional. Ein weiterer regulärer RE2-Ausdruck, mit dem Bilder verglichen werden sollen, z. B. debian-image-2.
  • NAME_2: Optional. Ein aussagekräftiger Name für das zweite Muster, z. B. second-image.
Unerwartete Compute Engine-Region CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Cloud-Audit-Logs:
Administratoraktivitätslogs 		Erkennt das Erstellen einer Compute Engine-Instanz in einer Region, die nicht in einer angegebenen Liste enthalten ist
Vorlage: Unerwartete Compute Engine-Region
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul generiert werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die explanation-Property jedes von diesem Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um die Property nextSteps jedes von diesem Modul generierten Ergebnisses zu füllen.
  • REGION_1: Der Name einer Region, die zugelassen werden soll, z. B. us-west1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, generiert Event Threat Detection einen Befund.
  • REGION_2: Optional. Der Name einer Region, die zugelassen werden soll, z. B. us-central1. Wenn eine Compute Engine-Instanz in einer Region erstellt wird, die nicht in der Liste angegeben ist, wird von Event Threat Detection ein Ergebnis generiert.
Verwendetes Break-Glass-Konto CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Cloud-Audit-Logs:
Administratoraktivitätslogs
Datenzugriffslogs (optional)		 Erkennt die Nutzung eines Notfallzugriffskontos (Break-Glass)
Vorlage: Break-Glass-Konto verwendet
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul generiert werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die explanation-Property jedes von diesem Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um die Property nextSteps jedes von diesem Modul generierten Ergebnisses zu füllen.
  • BREAKGLASS_ACCOUNT_1: Ein Break-Glass-Konto, das überwacht werden soll, z. B. test@example.com. Ein Ergebnis wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logs-Eintrag aufgezeichnet wird.
  • BREAKGLASS_ACCOUNT_2: Optional. Ein Break-Glass-Konto, das Sie im Blick behalten sollten, z. B. test@example.com. Eine Erkenntnis wird generiert, wenn dieses Konto für eine Aktion verwendet wird, die in einem Cloud-Audit-Logeintrag aufgezeichnet wird.
Unerwartete Rollenzuweisung CONFIGURABLE_UNEXPECTED_ROLE_GRANT Cloud-Audit-Logs:
Administratoraktivitätslogs 		Erkennt, wenn einem Nutzer eine angegebene Rolle gewährt wird
Vorlage: Unerwartete Rollenzuweisung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul generiert werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die explanation-Property jedes von diesem Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um die Property nextSteps jedes von diesem Modul generierten Ergebnisses zu füllen.
  • ROLE_1: Eine IAM-Rolle, die überwacht werden soll, z. B. roles/owner. Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
  • ROLE_2: Optional. Eine IAM-Rolle, die überwacht werden soll, z. B. roles/editor. Wenn diese Rolle gewährt wird, wird ein Ergebnis generiert.
Benutzerdefinierte Rolle mit unzulässiger Berechtigung CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Cloud-Audit-Logs:
Administratoraktivitätslogs 		Erkennt, wenn eine benutzerdefinierte Rolle mit einer der angegebenen IAM-Berechtigungen erstellt oder aktualisiert wird.
Vorlage: Benutzerdefinierte Rolle mit unzulässiger Berechtigung
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul generiert werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die explanation-Property jedes von diesem Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um die Property nextSteps jedes von diesem Modul generierten Ergebnisses zu füllen.
  • PERMISSION_1: Eine IAM-Berechtigung, die überwacht werden soll, z. B. storage.buckets.list. Event Threat Detection generiert ein Ergebnis, wenn einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung zugewiesen wird.
  • PERMISSION_2: Optional. Eine IAM-Berechtigung, die überwacht werden soll, z. B. storage.buckets.get. Event Threat Detection generiert ein Ergebnis, wenn einem Hauptkonto eine benutzerdefinierte IAM-Rolle mit dieser Berechtigung zugewiesen wird.
Unerwarteter Cloud API-Aufruf CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Cloud-Audit-Logs:
Administratoraktivitätslogs
Datenzugriffslogs (optional)		 Erkennt, wenn ein angegebenes Hauptkonto eine angegebene Methode für eine angegebene Ressource aufruft. Ein Ergebnis wird nur generiert, wenn alle regulären Ausdrücke in einem einzelnen Logeintrag übereinstimmen.
Vorlage: Unerwarteter Cloud API-Aufruf
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

Ersetzen Sie Folgendes:

  • SEVERITY: Die Schwere der Ergebnisse, die von diesem Modul generiert werden sollen. Gültige Werte sind LOW, MEDIUM, HIGH und CRITICAL.
  • DESCRIPTION: Eine Beschreibung der Bedrohung, die vom benutzerdefinierten Modul erkannt wird. Diese Beschreibung wird verwendet, um die explanation-Property jedes von diesem Modul generierten Ergebnisses zu füllen.
  • RECOMMENDATION: Eine Erläuterung der empfohlenen Schritte, die Sicherheitsteams unternehmen können, um das erkannte Problem zu beheben. Diese Erklärung wird verwendet, um die Property nextSteps jedes von diesem Modul generierten Ergebnisses zu füllen.
  • CALLER_PATTERN: Ein RE2-regulärer Ausdruck, mit dem Principals verglichen werden. Beispiel: .* entspricht einem beliebigen Prinzipal.
  • METHOD_PATTERN: Ein regulärer RE2-Ausdruck, mit dem Methoden verglichen werden sollen, z. B. ^cloudsql\\.instances\\.export$.
  • RESOURCE_PATTERN: Ein regulärer RE2-Ausdruck, mit dem Ressourcen geprüft werden sollen, z. B. example-project.

Preise und Kontingente

Dieses Feature ist für Kunden von Security Command Center Premium kostenlos.

Benutzerdefinierte Module für Event Threat Detection unterliegen Kontingentlimits.

Das Standardkontingentlimit für die Erstellung benutzerdefinierter Module beträgt 200.

Für API-Aufrufe von benutzerdefinierten Modulmethoden gelten ebenfalls Kontingentlimits. In der folgenden Tabelle sind die Standardkontingentlimits für API-Aufrufe für benutzerdefinierte Module aufgeführt.

API-Aufruftyp Limit
Get, List 1.000 API-Aufrufe pro Minute pro Organisation
Erstellen, aktualisieren, löschen 60 API-Aufrufe pro Minute pro Organisation

Größenbeschränkungen für Module

Jedes benutzerdefinierte Modul von Event Threat Detection hat eine Größenbeschränkung von 6 MB.

Ratenlimits

Es gelten die folgenden Ratenbegrenzungen:

  • 30 Ergebnisse pro benutzerdefiniertem Modul pro Stunde.
  • 200 Ergebnisse für benutzerdefinierte Module pro übergeordneter Ressource (Organisation oder Projekt) pro Stunde. Jedes Ergebnis wird entweder für eine Organisation oder ein Projekt gezählt, je nachdem, auf welcher Ebene das benutzerdefinierte Quellmodul erstellt wurde.

Diese Limits können nicht erhöht werden.

Nächste Schritte