Event Threat Detection 自訂模組總覽

本頁面提供 Event Threat Detection 自訂模組的總覽。

您可以設定模組 (也稱為「偵測器」),處理 Cloud Logging 串流,並根據您指定的參數偵測威脅。這項功能擴充了 Event Threat Detection 的監控功能,讓您新增模組,並為內建偵測器可能不支援的設定,加入自己的偵測參數、補救措施指引和嚴重程度指定。

如果需要含有偵測規則的模組,以滿足貴機構的獨特需求,自訂模組就非常實用。舉例來說,您可以新增自訂模組,在記錄項目顯示資源連線至特定 IP 位址,或是在受限區域中建立資源時,建立發現項目。

Event Threat Detection 自訂模組的運作方式

自訂模組是一組精選的 Event Threat Detection 偵測器,您可以設定自己的偵測參數。您可以透過 Google Cloud 控制台建立 Event Threat Detection 自訂模組。此外,您也可以更新自訂模組範本,然後透過 Google Cloud CLI 將自訂模組傳送至 Security Command Center,藉此建立自訂模組。如要瞭解可用的範本,請參閱「自訂模組和範本」。

自訂模組範本是以 JSON 格式編寫,可讓您定義偵測參數,指定應觸發發現項目的記錄項目事件。舉例來說,內建的 Malware: Bad IP 偵測工具會檢查虛擬私有雲流量記錄,找出連線至已知可疑 IP 位址的證據。不過,您可以啟用並修改 Configurable Bad IP 自訂模組,使用您維護的可疑 IP 位址清單。如果記錄顯示連線至您提供的任何 IP 位址,系統就會產生發現項目並寫入 Security Command Center。

您也可以透過模組範本定義威脅的嚴重程度,並提供自訂的補救步驟,協助安全團隊修正問題。

透過自訂模組,您可以進一步控管 Event Threat Detection 偵測威脅及回報發現結果的方式。自訂模組包含您提供的參數,但仍會運用 Event Threat Detection 的專屬偵測邏輯和威脅情報,包括觸發線指標比對。您可以根據貴機構的獨特需求,實作各種威脅模型。

Event Threat Detection 自訂模組會與內建偵測工具並行運作。啟用模組後,系統會以即時模式執行,每當建立新記錄時,就會觸發掃描作業。

自訂模組和範本

下表列出支援的自訂模組類型、說明、必要記錄和 JSON 模組範本。

如要使用 gcloud CLI 建立或更新自訂模組,您需要這些 JSON 模組範本。如要查看範本,請按一下名稱旁邊的展開圖示 。如要瞭解如何使用自訂模組,請參閱「設定及管理自訂模組」。

發現項目類別 模組類型 記錄來源類型 說明
可設定的無效 IP CONFIGURABLE_BAD_IP 虛擬私有雲流程記錄檔
防火牆規則記錄 		偵測連至指定 IP 位址的連線
範本:可設定的無效 IP
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "ips": [
    "IP_ADDRESS_1",
    "IP_ADDRESS_2"
  ]
}

更改下列內容:

  • SEVERITY:這個模組要產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這項說明會用於填入這個模組產生的每個發現項目的 explanation 屬性。
  • RECOMMENDATION:說明資安團隊可採取的建議步驟,以解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • IP_ADDRESS_1:要監控的公開可路由 IPv4 或 IPv6 位址或 CIDR 區塊,例如 192.0.2.1192.0.2.0/24
  • IP_ADDRESS_2:選用。要監控的公開可路由 IPv4 或 IPv6 位址或 CIDR 區塊,例如 192.0.2.1192.0.2.0/24
可設定的無效網域 CONFIGURABLE_BAD_DOMAIN Cloud DNS 記錄 偵測連至指定網域名稱的連線
範本:可設定的無效網域
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "domains": [
    "DOMAIN_1","DOMAIN_2"
  ]
}

更改下列內容:

  • SEVERITY:這個模組要產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這項說明會用於填入這個模組產生的每個發現項目的 explanation 屬性。
  • RECOMMENDATION:說明資安團隊可採取的建議步驟,以解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • DOMAIN_1:要監控的網域名稱,例如 example.com。不允許使用 localhost 值。系統會將 Unicode 和 Punycode 網域名稱正規化。舉例來說,例子.example 和 xn--fsqu00a.example 是等效的。
  • DOMAIN_2:選用。要監控的網域名稱,例如 example.com。不允許 localhost 值。Unicode 和 Punycode 網域名稱會經過正規化。舉例來說,例子.example 和 xn--fsqu00a.example 作用相同。
未預期的 Compute Engine 執行個體類型 CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE Cloud 稽核記錄:
管理員活動記錄 		在建立 Compute Engine 執行個體時,偵測是否有與指定執行個體類型或設定不符的情形。
範本:非預期的 Compute Engine 執行個體類型
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "instances": [
    {
      "series": "SERIES",
      "cpus": {
        "minimum": MINIMUM_NUMBER_OF_CPUS,
        "maximum": MAXIMUM_NUMBER_OF_CPUS
      },
      "ram_mb": {
        "minimum": MINIMUM_RAM_SIZE,
        "maximum": MAXIMUM_RAM_SIZE
      },
      "gpus": {
        "minimum": MINIMUM_NUMBER_OF_GPUS,
        "maximum": MAXIMUM_NUMBER_OF_GPUS
      },
      "projects": [
        "PROJECT_ID_1",
        "PROJECT_ID_2"
      ],
      "regions": [
        "REGION_1",
        "REGION_2"
      ]
    },
    {
      "series": " ... ",
      ...
      "regions": [ ... ]
    }
  ]
}

更改下列內容:

  • SEVERITY:這個模組要產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這項說明會用於填入這個模組產生的每個發現項目的 explanation 屬性。
  • RECOMMENDATION:說明資安團隊可採取的建議步驟,以解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • SERIES:選用。Compute Engine 機器系列,例如 C2。如果留空,模組會允許所有系列。詳情請參閱機器系列資源和比較指南
  • MINIMUM_NUMBER_OF_CPUS:選用。允許的 CPU 數量下限。如未提供,則沒有下限。不得為負數。
  • MAXIMUM_NUMBER_OF_CPUS:選用。允許的 CPU 數量上限。如未提供,則無上限。 必須大於或等於 minimum,且小於或等於 1,000。
  • MINIMUM_RAM_SIZE:選用。允許的 RAM 大小下限 (以 MB 為單位)。如未提供,則沒有下限。
  • MAXIMUM_RAM_SIZE:選用。允許的 RAM 大小上限 (以 MB 為單位)。如未提供,則沒有上限。必須大於或等於 minimum,且小於或等於 10,000,000。
  • MINIMUM_NUMBER_OF_GPUS:選用。允許的 GPU 數量下限。如未提供,則沒有下限。不得為負數。
  • MAXIMUM_NUMBER_OF_GPUS:選用。允許的 GPU 數量上限。如未提供,則沒有上限。必須大於或等於 minimum,且小於或等於 100。
  • PROJECT_ID_1:選用。要套用這個模組的專案 ID,例如 projects/example-project。如果留空或未設定,模組會套用至目前範圍內所有專案中建立的執行個體。
  • PROJECT_ID_2:選用。您要套用這個模組的專案 ID,例如 projects/example-project
  • REGION_1:選用。要套用這個模組的區域,例如 us-central1。如果留空或未設定,模組會套用至所有區域中建立的執行個體。
  • REGION_2:選用。要套用這個模組的區域,例如 us-central1
未預期的 Compute Engine 來源映像檔 CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE Cloud 稽核記錄:
管理員活動記錄 		在建立 Compute Engine 執行個體時,偵測是否有與指定清單不符的映像檔或映像檔系列
範本:未預期的 Compute Engine 來源映像檔
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "patterns": [
    {

      "pattern": "PATTERN_1",
      "name": "NAME_1"
    },
    {
      "pattern": "PATTERN_2",
      "name": "NAME_2"
    }
  ]
}

更改下列內容:

  • SEVERITY:這個模組要產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這項說明會用於填入這個模組產生的每個發現項目的 explanation 屬性。
  • RECOMMENDATION:說明資安團隊可採取的建議步驟,以解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • PATTERN_1:用於檢查圖片的 RE2 規則運算式,例如 debian-image-1。如果映像檔用於建立 Compute Engine 執行個體,且該映像檔的名稱與任何指定的規則運算式都不相符,系統就會產生發現項目。
  • NAME_1:這個圖案的說明名稱,例如 first-image
  • PATTERN_2:選用。另一個用來檢查圖片的 RE2 規則運算式,例如 debian-image-2
  • NAME_2:選用。第二個模式的描述性名稱,例如 second-image
未預期的 Compute Engine 區域 CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION Cloud 稽核記錄:
管理員活動記錄 		在建立 Compute Engine 執行個體時,偵測是否有在指定清單外的區域
範本:未預期的 Compute Engine 區域
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "regions": [
    {
      "region": "REGION_1"
    },
    {
      "region": "REGION_2"
    }
  ]
}

更改下列內容:

  • SEVERITY:這個模組要產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這項說明會用於填入這個模組產生的每個發現項目的 explanation 屬性。
  • RECOMMENDATION:說明資安團隊可採取的建議步驟,以解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • REGION_1:要允許的區域名稱,例如 us-west1。如果建立的 Compute Engine 執行個體位於清單未指定的區域,Event Threat Detection 就會產生發現項目。
  • REGION_2:選用。允許的區域名稱,例如 us-central1。如果建立的 Compute Engine 執行個體位於清單中未指定的區域,Event Threat Detection 就會產生發現項目。
使用了急用權限帳戶 CONFIGURABLE_BREAKGLASS_ACCOUNT_USED Cloud 稽核記錄:
管理員活動記錄
資料存取記錄 (選用)		 偵測緊急存取 (急用權限) 帳戶使用情形
範本:使用了急用權限帳戶
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "accounts": [
    "BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
  ]
}

更改下列內容:

  • SEVERITY:這個模組要產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這項說明會用於填入這個模組產生的每個發現項目的 explanation 屬性。
  • RECOMMENDATION:說明資安團隊可採取的建議步驟,以解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • BREAKGLASS_ACCOUNT_1:要監控的緊急存取帳戶,例如 test@example.com。如果這個帳戶用於 Cloud Audit Logs 項目中記錄的動作,系統就會產生發現項目。
  • BREAKGLASS_ACCOUNT_2:選用。要監控的急用權限帳戶,例如 test@example.com。如果這個帳戶用於記錄在 Cloud 稽核記錄項目的動作,系統就會產生發現項目。
未預期的角色授予項目 CONFIGURABLE_UNEXPECTED_ROLE_GRANT Cloud 稽核記錄:
管理員活動記錄 		偵測是否有使用者獲得指定角色
範本:未預期的角色授予項目
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "roles": ["ROLE_1", "ROLE_2"]
}

更改下列內容:

  • SEVERITY:這個模組要產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這項說明會用於填入這個模組產生的每個發現項目的 explanation 屬性。
  • RECOMMENDATION:說明資安團隊可採取的建議步驟,以解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • ROLE_1:要監控的 IAM 角色,例如 roles/owner。如果授予這個角色,系統就會產生發現項目。
  • ROLE_2:選用。要監控的 IAM 角色,例如 roles/editor。如果授予這個角色,系統就會產生發現項目。
具備禁用權限的自訂角色 CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION Cloud 稽核記錄:
管理員活動記錄 		偵測是否建立或更新具備任一指定 IAM 權限的自訂角色。
範本:具備禁用權限的自訂角色
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "permissions": [
    "PERMISSION_1",
    "PERMISSION_2"
  ]
}

更改下列內容:

  • SEVERITY:這個模組要產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這項說明會用於填入這個模組產生的每個發現項目的 explanation 屬性。
  • RECOMMENDATION:說明資安團隊可採取的建議步驟,以解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • PERMISSION_1:要監控的IAM 權限,例如 storage.buckets.list。如果主體獲授包含這項權限的自訂 IAM 角色,Event Threat Detection 就會產生發現項目。
  • PERMISSION_2:選用。要監看的 IAM 權限,例如 storage.buckets.get。如果將包含這項權限的自訂 IAM 角色授予主體,Event Threat Detection 就會產生發現項目。
未預期的 Cloud API 呼叫 CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL Cloud 稽核記錄:
管理員活動記錄
資料存取記錄 (選用)		 偵測指定主體是否針對指定資源呼叫指定方法。只有在單一記錄項目中符合所有規則運算式時,系統才會產生發現項目。
範本:未預期的 Cloud API 呼叫
{
  "metadata": {
    "severity": "SEVERITY",
    "description": "DESCRIPTION",
    "recommendation": "RECOMMENDATION"
  },
  "caller_pattern": "CALLER_PATTERN",
  "method_pattern": "METHOD_PATTERN",
  "resource_pattern": "RESOURCE_PATTERN"
}

更改下列內容:

  • SEVERITY:這個模組要產生的發現項目嚴重程度。有效值為 LOWMEDIUMHIGHCRITICAL
  • DESCRIPTION:自訂模組偵測到的威脅說明。這項說明會用於填入這個模組產生的每個發現項目的 explanation 屬性。
  • RECOMMENDATION:說明資安團隊可採取的建議步驟,以解決偵測到的問題。這項說明會用於填入這個模組產生的每項發現的 nextSteps 屬性。
  • CALLER_PATTERN:用於檢查主體的 RE2 規則運算式。舉例來說,.* 可與任何主體相符。
  • METHOD_PATTERN:用於檢查方法的 RE2 規則運算式,例如 ^cloudsql\\.instances\\.export$
  • RESOURCE_PATTERN:用於檢查資源的 RE2 規則運算式,例如 example-project

定價與配額

Security Command Center Premium 客戶可免費使用這項功能。

Event Threat Detection 自訂模組有配額限制。

建立自訂模組的預設配額上限為 200。

呼叫自訂模組方法的 API 也會受到配額限制。下表列出自訂模組 API 呼叫的預設配額限制。

API 呼叫類型 限制
Get、List 每個機構每分鐘 1,000 次 API 呼叫
建立、更新、刪除 每個機構每分鐘 60 次 API 呼叫

模組大小限制

每個 Event Threat Detection 自訂模組的大小上限為 6 MB。

頻率限制

適用下列速率限制:

  • 每小時每個自訂模組 30 個發現項目。
  • 每小時每個父項資源 (機構或專案) 200 項自訂模組發現項目。每個發現項目會計入機構或專案,視來源自訂模組的建立層級而定。

這些上限無法提高。

後續步驟