Kontrol Detektif

Last reviewed 2023-12-20 UTC

Kemampuan deteksi dan pemantauan ancaman disediakan menggunakan kombinasi kontrol keamanan bawaan dari Security Command Center dan solusi kustom yang memungkinkan Anda mendeteksi dan merespons peristiwa keamanan.

Logging terpusat untuk keamanan dan audit

Blueprint mengonfigurasi kemampuan logging untuk melacak dan menganalisis perubahan pada resource Google Cloud Anda dengan log yang digabungkan ke satu project.

Diagram berikut menunjukkan cara blueprint menggabungkan log dari beberapa sumber di beberapa project ke dalam sink log terpusat.

Struktur logging untuk example.com.

Diagram menjelaskan hal berikut:

Sink log dikonfigurasi pada node organisasi untuk menggabungkan log dari semua project dalam hierarki resource.
Beberapa sink log dikonfigurasi untuk mengirim log yang cocok dengan filter ke tujuan yang berbeda untuk penyimpanan dan analisis.
Project prj-c-logging berisi semua resource untuk penyimpanan dan analisis log.
Secara opsional, Anda dapat mengonfigurasi alat tambahan untuk mengekspor log ke SIEM.

Blueprint menggunakan berbagai sumber log dan menyertakan log tersebut dalam filter sink log sehingga log dapat diekspor ke tujuan terpusat. Tabel berikut menjelaskan sumber log.

Sumber log	Deskripsi
Log audit Aktivitas Admin	Anda tidak dapat mengonfigurasi, menonaktifkan, atau mengecualikan log audit Aktivitas Admin.
Log audit Peristiwa Sistem	Anda tidak dapat mengonfigurasi, menonaktifkan, atau mengecualikan log audit Peristiwa Sistem.
Kebijakan Log audit yang Ditolak	Anda tidak dapat mengonfigurasi atau menonaktifkan log audit Kebijakan Ditolak, tetapi Anda dapat memilih untuk mengecualikannya dengan filter pengecualian.
Log audit Akses Data	Secara default, cetak biru tidak mengaktifkan log akses data karena volume dan biaya log ini bisa tinggi. Untuk menentukan apakah Anda harus mengaktifkan log akses data, evaluasi tempat beban kerja Anda menangani data sensitif, dan pertimbangkan apakah Anda memiliki persyaratan untuk mengaktifkan log akses data untuk setiap layanan dan lingkungan yang bekerja dengan data sensitif.
VPC Flow Logs	Blueprint akan mengaktifkan VPC Flow Logs untuk setiap subnet. Blueprint mengonfigurasi sampling log untuk mengambil sampel 50% log guna mengurangi biaya. Jika membuat subnet tambahan, Anda harus memastikan bahwa Log Aliran VPC diaktifkan untuk setiap subnet.
Firewall Rules Logging	Blueprint akan mengaktifkan Logging Aturan Firewall untuk setiap aturan kebijakan firewall. Jika membuat aturan kebijakan firewall tambahan untuk beban kerja, Anda harus memastikan bahwa Logging Aturan Firewall diaktifkan untuk setiap aturan baru.
Logging Cloud DNS	Blueprint mengaktifkan log Cloud DNS untuk zona terkelola. Jika membuat zona terkelola tambahan, Anda harus mengaktifkan log DNS tersebut.
Logging audit Google Workspace	Memerlukan langkah pengaktifan satu kali yang tidak diotomatiskan oleh blueprint. Untuk mengetahui informasi selengkapnya, lihat Berbagi data dengan layanan Google Cloud.
Log Transparansi Akses	Memerlukan langkah pengaktifan satu kali yang tidak diotomatiskan oleh blueprint. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan Transparansi Akses.

Tabel berikut menjelaskan sink log dan cara penggunaannya dengan tujuan yang didukung dalam blueprint.

Sink	Tujuan	Tujuan
`sk-c-logging-la`	Log yang dirutekan ke bucket Cloud Logging dengan Log Analytics dan set data BigQuery tertaut diaktifkan	Menganalisis log secara aktif. Jalankan investigasi ad hoc menggunakan Logs Explorer di konsol, atau tulis kueri, laporan, dan tampilan SQL menggunakan set data BigQuery tertaut.
`sk-c-logging-bkt`	Log yang dirutekan ke Cloud Storage	Simpan log dalam jangka panjang untuk tujuan kepatuhan, audit, dan pelacakan insiden. Secara opsional, jika Anda memiliki persyaratan kepatuhan untuk retensi data wajib, sebaiknya Anda juga mengonfigurasi Kunci Bucket.
`sk-c-logging-pub`	Log yang dirutekan ke Pub/Sub	Ekspor log ke platform eksternal seperti SIEM yang ada. Tindakan ini memerlukan upaya tambahan untuk berintegrasi dengan SIEM Anda, seperti mekanisme berikut: Bagi banyak alat, integrasi pihak ketiga dengan Pub/Sub adalah metode yang disarankan untuk menyerap log. Untuk Google Chronicle, Anda dapat menyerap data Google Cloud ke Chronicle tanpa menyediakan infrastruktur tambahan. Untuk Splunk, Anda dapat melakukan streaming log dari Google Cloud ke Splunk menggunakan Dataflow.

Sink

Tujuan

sk-c-logging-la

Log yang dirutekan ke bucket Cloud Logging dengan Log Analytics dan set data BigQuery tertaut diaktifkan

Menganalisis log secara aktif. Jalankan investigasi ad hoc menggunakan Logs Explorer di konsol, atau tulis kueri, laporan, dan tampilan SQL menggunakan set data BigQuery tertaut.

sk-c-logging-bkt

Log yang dirutekan ke Cloud Storage

Simpan log dalam jangka panjang untuk tujuan kepatuhan, audit, dan pelacakan insiden.

Secara opsional, jika Anda memiliki persyaratan kepatuhan untuk retensi data wajib, sebaiknya Anda juga mengonfigurasi Kunci Bucket.

sk-c-logging-pub

Log yang dirutekan ke Pub/Sub

Ekspor log ke platform eksternal seperti SIEM yang ada.

Tindakan ini memerlukan upaya tambahan untuk berintegrasi dengan SIEM Anda, seperti mekanisme berikut:

Bagi banyak alat, integrasi pihak ketiga dengan Pub/Sub adalah metode yang disarankan untuk menyerap log.
Untuk Google Chronicle, Anda dapat menyerap data Google Cloud ke Chronicle tanpa menyediakan infrastruktur tambahan.
Untuk Splunk, Anda dapat melakukan streaming log dari Google Cloud ke Splunk menggunakan Dataflow.

Untuk mendapatkan panduan cara mengaktifkan jenis log tambahan dan menulis filter sink log, lihat alat cakupan log.

Pemantauan ancaman dengan Security Command Center

Sebaiknya aktifkan Security Command Center Premium untuk organisasi Anda agar dapat otomatis mendeteksi ancaman, kerentanan, dan kesalahan konfigurasi di resource Google Cloud Anda. Security Command Center membuat temuan keamanan dari beberapa sumber, termasuk:

Security Health Analytics: mendeteksi kerentanan dan kesalahan konfigurasi umum di seluruh resource Google Cloud.
Eksposur jalur serangan: menunjukkan jalur simulasi cara penyerang mengeksploitasi resource bernilai tinggi Anda, berdasarkan kerentanan dan kesalahan konfigurasi yang terdeteksi oleh sumber Security Command Center lainnya.
Event Threat Detection: menerapkan logika deteksi dan inteligensi ancaman eksklusif terhadap log Anda untuk mengidentifikasi ancaman secara hampir real time.
Container Threat Detection: mendeteksi serangan runtime container yang umum.
Virtual Machine Threat Detection: mendeteksi aplikasi berpotensi berbahaya yang berjalan di virtual machine.
Web Security Scanner: memindai Sepuluh Teratas kerentanan OWASP di aplikasi yang berinteraksi dengan web Anda di Compute Engine, App Engine, atau Google Kubernetes Engine.

Untuk mengetahui informasi selengkapnya tentang kerentanan dan ancaman yang ditangani oleh Security Command Center, lihat Sumber Security Command Center.

Anda harus mengaktifkan Security Command Center setelah men-deploy blueprint. Untuk mengetahui petunjuknya, lihat Mengaktifkan Security Command Center untuk organisasi.

Setelah mengaktifkan Security Command Center, sebaiknya ekspor temuan yang dihasilkan oleh Security Command Center ke alat atau proses yang sudah ada untuk menanggulangi dan merespons ancaman. Blueprint akan membuat project prj-c-scc dengan topik Pub/Sub yang akan digunakan untuk integrasi ini. Bergantung pada alat yang sudah ada, gunakan salah satu metode berikut untuk mengekspor temuan:

Jika Anda menggunakan konsol untuk mengelola temuan keamanan langsung di Security Command Center, konfigurasikan peran level folder dan level project untuk Security Command Center agar tim dapat melihat dan mengelola temuan keamanan hanya untuk project yang menjadi tanggung jawab mereka.
Jika Anda menggunakan Chronicle sebagai SIEM, serap data Google Cloud ke Chronicle.
Jika Anda menggunakan alat SIEM atau SOAR dengan integrasi ke Security Command Center, bagikan data dengan Cortex XSOAR, Elastic Stack, ServiceNow, Splunk, atau QRadar.
Jika Anda menggunakan alat eksternal yang dapat menyerap temuan dari Pub/Sub, konfigurasikan ekspor berkelanjutan ke Pub/Sub dan konfigurasikan alat yang ada untuk menyerap temuan dari topik Pub/Sub.

Pemberitahuan tentang metrik berbasis log dan metrik performa

Saat Anda mulai men-deploy beban kerja di atas fondasi Anda, sebaiknya gunakan Cloud Monitoring untuk mengukur metrik performa.

Blueprint akan membuat project pemantauan seperti prj-p-monitoring untuk setiap lingkungan. Project ini dikonfigurasi sebagai project cakupan untuk mengumpulkan metrik performa gabungan di beberapa project. Blueprint men-deploy contoh dengan metrik berbasis log dan kebijakan pemberitahuan untuk menghasilkan notifikasi email jika ada perubahan pada kebijakan IAM yang diterapkan pada bucket Cloud Storage. Hal ini membantu memantau aktivitas yang mencurigakan pada resource sensitif seperti bucket dalam project prj-b-seed yang berisi status Terraform.

Secara lebih umum, Anda juga dapat menggunakan Cloud Monitoring untuk mengukur metrik performa dan kondisi aplikasi beban kerja Anda. Bergantung pada tanggung jawab operasional untuk mendukung dan memantau aplikasi di organisasi, Anda dapat membuat project pemantauan yang lebih terperinci untuk tim yang berbeda. Gunakan project pemantauan ini untuk melihat metrik performa, membuat dasbor kondisi aplikasi, dan memicu pemberitahuan saat SLO yang Anda harapkan tidak terpenuhi.

Diagram berikut menunjukkan tampilan tingkat tinggi tentang cara Cloud Monitoring menggabungkan metrik performa.

Pemantauan performa.

Untuk panduan cara memantau beban kerja secara efektif untuk keandalan dan ketersediaan, lihat buku Site Reliability Engineering oleh Google, khususnya bab tentang pemantauan sistem terdistribusi.

Solusi kustom untuk analisis log otomatis

Anda mungkin memiliki persyaratan untuk membuat pemberitahuan peristiwa keamanan yang didasarkan pada kueri kustom terhadap log. Kueri kustom dapat membantu melengkapi kemampuan SIEM Anda dengan menganalisis log di Google Cloud dan hanya mengekspor peristiwa yang perlu diselidiki, terutama jika Anda tidak memiliki kapasitas untuk mengekspor semua log cloud ke SIEM.

Cetak biru ini membantu mengaktifkan analisis log ini dengan menyiapkan sumber log terpusat yang dapat Anda kueri menggunakan set data BigQuery tertaut. Untuk mengotomatiskan kemampuan ini, Anda harus menerapkan contoh kode di bq-log-alerting dan memperluas kemampuan dasar. Kode contoh memungkinkan Anda membuat kueri sumber log secara rutin dan mengirim temuan kustom ke Security Command Center.

Diagram berikut memperkenalkan alur tingkat tinggi dari analisis log otomatis.

Analisis logging otomatis.

Diagram menunjukkan konsep analisis log otomatis berikut:

Log dari berbagai sumber digabungkan ke dalam bucket log terpusat dengan analisis log dan set data BigQuery yang tertaut.
Tampilan BigQuery dikonfigurasi untuk mengkueri log peristiwa keamanan yang ingin Anda pantau.
Cloud Scheduler mengirim peristiwa ke topik Pub/Sub setiap 15 menit dan memicu Cloud Functions.
Cloud Functions mengkueri tampilan untuk peristiwa baru. Jika ditemukan, peristiwa, akan mendorongnya ke Security Command Center sebagai temuan kustom.
Security Command Center memublikasikan notifikasi tentang temuan baru ke topik Pub/Sub lain.
Alat eksternal seperti SIEM berlangganan topik Pub/Sub untuk menyerap temuan baru.

Contoh ini memiliki beberapa kasus penggunaan untuk mengkueri perilaku yang berpotensi mencurigakan. Contohnya meliputi login dari daftar admin super atau akun dengan hak istimewa tinggi lainnya yang Anda tentukan, perubahan pada setelan logging, atau perubahan pada rute jaringan. Anda dapat memperluas kasus penggunaan dengan menulis tampilan kueri baru untuk persyaratan Anda. Tulis kueri Anda sendiri atau baca analisis log keamanan untuk mendapatkan library kueri SQL guna membantu Anda menganalisis log Google Cloud.

Solusi kustom untuk merespons perubahan aset

Untuk merespons peristiwa secara real time, sebaiknya gunakan Inventaris Aset Cloud untuk memantau perubahan aset. Dalam solusi kustom ini, feed aset dikonfigurasi untuk memicu notifikasi tentang perubahan resource secara real time ke Pub/Sub, lalu Cloud Functions akan menjalankan kode kustom untuk menerapkan logika bisnis Anda sendiri berdasarkan apakah perubahan diizinkan atau tidak.

Blueprint tersebut memiliki contoh solusi tata kelola kustom ini yang memantau perubahan IAM yang menambahkan peran sangat sensitif, termasuk Admin Organisasi, Pemilik, dan Editor. Diagram berikut menjelaskan solusi ini.

Otomatis mengembalikan perubahan kebijakan IAM dan mengirim notifikasi.

Diagram sebelumnya menunjukkan konsep ini:

Perubahan dibuat pada kebijakan izinkan.
Feed Inventaris Aset Cloud mengirimkan notifikasi secara real-time tentang perubahan kebijakan izin ke Pub/Sub.
Pub/Sub memicu fungsi.
Cloud Functions menjalankan kode kustom untuk menerapkan kebijakan Anda. Fungsi contoh memiliki logika untuk menilai apakah perubahan telah menambahkan peran Admin Organisasi, Pemilik, atau Editor ke kebijakan izinkan. Jika demikian, fungsi tersebut membuat temuan keamanan kustom dan mengirimkannya ke Security Command Center.
Atau, Anda dapat menggunakan model ini untuk mengotomatiskan upaya perbaikan. Tulis logika bisnis tambahan di Cloud Functions untuk mengambil tindakan secara otomatis atas temuan tersebut, seperti mengembalikan kebijakan izinkan ke status sebelumnya.

Selain itu, Anda dapat memperluas infrastruktur dan logika yang digunakan oleh contoh solusi ini untuk menambahkan respons kustom ke peristiwa lain yang penting bagi bisnis Anda.

Langkah selanjutnya

Baca kontrol pencegahan (dokumen berikutnya dalam rangkaian ini).