Halaman ini diterjemahkan oleh Cloud Translation API.

Kontrol Detektif

Last reviewed 2023-12-20 UTC

Kemampuan pemantauan dan deteksi ancaman disediakan menggunakan kombinasi kontrol keamanan bawaan dari Security Command Center dan solusi kustom yang memungkinkan Anda mendeteksi dan merespons peristiwa keamanan.

Logging terpusat untuk keamanan dan audit

Blueprint mengonfigurasi kemampuan logging untuk melacak dan menganalisis perubahan pada resource Google Cloud Anda dengan log yang digabungkan ke satu project.

Diagram berikut menunjukkan cara blueprint menggabungkan log dari beberapa sumber di beberapa project ke dalam sink log terpusat.

Struktur logging untuk example.com.

Diagram ini menjelaskan hal berikut:

Sink log dikonfigurasi di node organisasi untuk menggabungkan log dari semua project dalam hierarki resource.
Beberapa sink log dikonfigurasi untuk mengirim log yang cocok dengan filter ke berbagai tujuan untuk penyimpanan dan analisis.
Project prj-c-logging berisi semua resource untuk penyimpanan dan analitik log.
Jika ingin, Anda dapat mengonfigurasi alat tambahan untuk mengekspor log ke SIEM.

Blueprint menggunakan sumber log yang berbeda dan menyertakan log ini dalam filter sink log sehingga log dapat diekspor ke tujuan terpusat. Tabel berikut menjelaskan sumber log.

Sumber log	Deskripsi
Log audit Aktivitas Admin	Anda tidak dapat mengonfigurasi, menonaktifkan, atau mengecualikan log audit Aktivitas Admin.
Log audit Peristiwa Sistem	Anda tidak dapat mengonfigurasi, menonaktifkan, atau mengecualikan log audit Peristiwa Sistem.
Log audit Kebijakan Ditolak	Anda tidak dapat mengonfigurasi atau menonaktifkan log audit Kebijakan Ditolak, tetapi Anda dapat mengecualikannya secara opsional dengan filter pengecualian.
Log audit Akses Data	Secara default, blueprint tidak mengaktifkan log akses data karena volume dan biaya log ini dapat menjadi tinggi. Untuk menentukan apakah Anda harus mengaktifkan log akses data, evaluasi tempat beban kerja Anda menangani data sensitif dan pertimbangkan apakah Anda memiliki persyaratan untuk mengaktifkan log akses data untuk setiap layanan dan lingkungan yang menangani data sensitif.
VPC Flow Logs	Blueprint ini mengaktifkan Log Aliran VPC untuk setiap subnet. Blueprint ini mengonfigurasi pengambilan sampel log untuk mengambil sampel 50% log guna mengurangi biaya. Jika membuat subnet tambahan, Anda harus memastikan bahwa Log Aliran VPC diaktifkan untuk setiap subnet.
Firewall Rules Logging	Blueprint ini mengaktifkan Firewall Rules Logging untuk setiap aturan kebijakan firewall. Jika membuat aturan kebijakan firewall tambahan untuk workload, Anda harus memastikan bahwa Firewall Rules Logging diaktifkan untuk setiap aturan baru.
Pembuatan log Cloud DNS	Blueprint ini mengaktifkan log Cloud DNS untuk zona terkelola. Jika membuat zona terkelola tambahan, Anda harus mengaktifkan log DNS tersebut.
Logging audit Google Workspace	Memerlukan langkah pengaktifan satu kali yang tidak diotomatiskan oleh blueprint. Untuk mengetahui informasi selengkapnya, lihat Berbagi data dengan layanan Google Cloud.
Log Transparansi Akses	Memerlukan langkah pengaktifan satu kali yang tidak diotomatiskan oleh blueprint. Untuk informasi selengkapnya, lihat Mengaktifkan Transparansi Akses.

Tabel berikut menjelaskan sink log dan cara penggunaannya dengan tujuan yang didukung dalam blueprint.

Sink	Tujuan	Tujuan
`sk-c-logging-la`	Log yang dirutekan ke bucket Cloud Logging dengan Log Analytics dan set data BigQuery tertaut diaktifkan	Menganalisis log secara aktif. Jalankan investigasi ad hoc menggunakan Logs Explorer di konsol, atau tulis kueri, laporan, dan tampilan SQL menggunakan set data BigQuery tertaut.
`sk-c-logging-bkt`	Log yang dirutekan ke Cloud Storage	Menyimpan log dalam jangka panjang untuk tujuan kepatuhan, audit, dan pelacakan insiden. Secara opsional, jika Anda memiliki persyaratan kepatuhan untuk retensi data wajib, sebaiknya konfigurasikan juga Bucket Lock.
`sk-c-logging-pub`	Log yang dirutekan ke Pub/Sub	Mengekspor log ke platform eksternal seperti SIEM yang ada. Hal ini memerlukan pekerjaan tambahan untuk berintegrasi dengan SIEM Anda, seperti mekanisme berikut: Untuk banyak alat, integrasi pihak ketiga dengan Pub/Sub adalah metode yang lebih disukai untuk menyerap log. Untuk Google Security Operations, Anda dapat menyerap data Google Cloud ke Google Security Operations tanpa menyediakan infrastruktur tambahan. Untuk Splunk, Anda dapat mengalirkan log dari Google Cloud ke Splunk menggunakan Dataflow.

Sink

Tujuan

sk-c-logging-la

Log yang dirutekan ke bucket Cloud Logging dengan Log Analytics dan set data BigQuery tertaut diaktifkan

Menganalisis log secara aktif. Jalankan investigasi ad hoc menggunakan Logs Explorer di konsol, atau tulis kueri, laporan, dan tampilan SQL menggunakan set data BigQuery tertaut.

sk-c-logging-bkt

Log yang dirutekan ke Cloud Storage

Menyimpan log dalam jangka panjang untuk tujuan kepatuhan, audit, dan pelacakan insiden.

Secara opsional, jika Anda memiliki persyaratan kepatuhan untuk retensi data wajib, sebaiknya konfigurasikan juga Bucket Lock.

sk-c-logging-pub

Log yang dirutekan ke Pub/Sub

Mengekspor log ke platform eksternal seperti SIEM yang ada.

Hal ini memerlukan pekerjaan tambahan untuk berintegrasi dengan SIEM Anda, seperti mekanisme berikut:

Untuk banyak alat, integrasi pihak ketiga dengan Pub/Sub adalah metode yang lebih disukai untuk menyerap log.
Untuk Google Security Operations, Anda dapat menyerap data Google Cloud ke Google Security Operations tanpa menyediakan infrastruktur tambahan.
Untuk Splunk, Anda dapat mengalirkan log dari Google Cloud ke Splunk menggunakan Dataflow.

Untuk panduan mengaktifkan jenis log tambahan dan menulis filter sink log, lihat alat cakupan log.

Pemantauan ancaman dengan Security Command Center

Sebaiknya aktifkan Security Command Center Premium untuk organisasi Anda agar dapat mendeteksi ancaman, kerentanan, dan konfigurasi yang salah secara otomatis di resource Google Cloud Anda. Security Command Center membuat temuan keamanan dari beberapa sumber, termasuk yang berikut:

Security Health Analytics: mendeteksi kerentanan umum dan kesalahan konfigurasi di seluruh resource Google Cloud.
Eksposur jalur serangan: menampilkan simulasi jalur tentang cara penyerang dapat mengeksploitasi resource bernilai tinggi Anda, berdasarkan kerentanan dan kesalahan konfigurasi yang terdeteksi oleh sumber Security Command Center lainnya.
Event Threat Detection: menerapkan logika deteksi dan kecerdasan ancaman eksklusif terhadap log Anda untuk mengidentifikasi ancaman hampir secara real time.
Container Threat Detection: mendeteksi serangan runtime container yang umum.
Virtual Machine Threat Detection: mendeteksi aplikasi yang berpotensi berbahaya yang berjalan di virtual machine.
Web Security Scanner: memindai kerentanan OWASP Top Ten di aplikasi yang ditampilkan di web Anda di Compute Engine, App Engine, atau Google Kubernetes Engine.

Untuk informasi selengkapnya tentang kerentanan dan ancaman yang ditangani oleh Security Command Center, lihat Sumber Security Command Center.

Anda harus mengaktifkan Security Command Center setelah men-deploy blueprint. Untuk mendapatkan petunjuk, lihat Mengaktifkan Security Command Center untuk organisasi.

Setelah mengaktifkan Security Command Center, sebaiknya ekspor temuan yang dihasilkan oleh Security Command Center ke alat atau proses yang ada untuk menentukan prioritas dan merespons ancaman. Blueprint membuat project prj-c-scc dengan topik Pub/Sub yang akan digunakan untuk integrasi ini. Bergantung pada alat yang ada, gunakan salah satu metode berikut untuk mengekspor temuan:

Jika Anda menggunakan konsol untuk mengelola temuan keamanan langsung di Security Command Center, konfigurasikan peran level folder dan level project untuk Security Command Center agar tim dapat melihat dan mengelola temuan keamanan hanya untuk project yang menjadi tanggung jawab mereka.
Jika Anda menggunakan Google SecOps sebagai SIEM, transfer data Google Cloud ke Google SecOps.
Jika Anda menggunakan alat SIEM atau SOAR dengan integrasi ke Security Command Center, bagikan data dengan Cortex XSOAR, Elastic Stack, ServiceNow, Splunk, atau QRadar.
Jika Anda menggunakan alat eksternal yang dapat menyerap temuan dari Pub/Sub, konfigurasikan ekspor berkelanjutan ke Pub/Sub dan konfigurasikan alat yang ada untuk menyerap temuan dari topik Pub/Sub.

Solusi kustom untuk analisis log otomatis

Anda mungkin memiliki persyaratan untuk membuat pemberitahuan peristiwa keamanan yang didasarkan pada kueri kustom terhadap log. Kueri kustom dapat membantu melengkapi kemampuan SIEM dengan menganalisis log di Google Cloud dan hanya mengekspor peristiwa yang layak diselidiki, terutama jika Anda tidak memiliki kapasitas untuk mengekspor semua log cloud ke SIEM.

Blueprint ini membantu mengaktifkan analisis log ini dengan menyiapkan sumber log terpusat yang dapat Anda kueri menggunakan set data BigQuery tertaut. Untuk mengotomatiskan kemampuan ini, Anda harus menerapkan contoh kode di bq-log-alerting dan memperluas kemampuan fondasi. Kode contoh memungkinkan Anda membuat kueri secara rutin pada sumber log dan mengirim temuan kustom ke Security Command Center.

Diagram berikut memperkenalkan alur tingkat tinggi analisis log otomatis.

Analisis logging otomatis.

Diagram ini menunjukkan konsep analisis log otomatis berikut:

Log dari berbagai sumber digabungkan ke dalam bucket log terpusat dengan analisis log dan set data BigQuery tertaut.
Tampilan BigQuery dikonfigurasi untuk mengkueri log peristiwa keamanan yang ingin Anda pantau.
Cloud Scheduler mengirim peristiwa ke topik Pub/Sub setiap 15 menit dan memicu fungsi Cloud Run.
Fungsi Cloud Run membuat kueri tampilan untuk peristiwa baru. Jika menemukan peristiwa, Cloud Function akan mendorongnya ke Security Command Center sebagai temuan kustom.
Security Command Center memublikasikan notifikasi tentang temuan baru ke topik Pub/Sub lain.
Alat eksternal seperti SIEM berlangganan topik Pub/Sub untuk menyerap temuan baru.

Sampel ini memiliki beberapa kasus penggunaan untuk membuat kueri perilaku yang berpotensi mencurigakan. Contohnya mencakup login dari daftar admin super atau akun dengan hak istimewa tinggi lainnya yang Anda tentukan, perubahan pada setelan logging, atau perubahan pada rute jaringan. Anda dapat memperluas kasus penggunaan dengan menulis tampilan kueri baru untuk persyaratan Anda. Tulis kueri Anda sendiri atau lihat analisis log keamanan untuk library kueri SQL guna membantu Anda menganalisis log Google Cloud.

Solusi kustom untuk merespons perubahan aset

Untuk merespons peristiwa secara real time, sebaiknya gunakan Inventaris Aset Cloud untuk memantau perubahan aset. Dalam solusi kustom ini, feed aset dikonfigurasi untuk memicu notifikasi ke Pub/Sub tentang perubahan pada resource secara real time, lalu fungsi Cloud Run menjalankan kode kustom untuk menerapkan logika bisnis Anda sendiri berdasarkan apakah perubahan tersebut harus diizinkan.

Blueprint ini memiliki contoh solusi tata kelola kustom yang memantau perubahan IAM yang menambahkan peran yang sangat sensitif, termasuk Admin Organisasi, Pemilik, dan Editor. Diagram berikut menjelaskan solusi ini.

Secara otomatis mengembalikan perubahan kebijakan IAM dan mengirim notifikasi.

Diagram sebelumnya menunjukkan konsep berikut:

Perubahan dilakukan pada kebijakan izin.
Feed Inventaris Aset Cloud mengirimkan notifikasi real-time tentang perubahan kebijakan izin ke Pub/Sub.
Pub/Sub memicu fungsi.
Fungsi Cloud Run menjalankan kode kustom untuk menerapkan kebijakan Anda. Contoh fungsi ini memiliki logika untuk menilai apakah perubahan telah menambahkan peran Admin, Pemilik, atau Editor Organisasi ke kebijakan izin. Jika demikian, fungsi akan membuat temuan keamanan kustom dan mengirimkannya ke Security Command Center.
Secara opsional, Anda dapat menggunakan model ini untuk mengotomatiskan upaya perbaikan. Tulis logika bisnis tambahan di fungsi Cloud Run untuk otomatis mengambil tindakan atas temuan tersebut, seperti mengembalikan kebijakan izin ke statusnya sebelumnya.

Selain itu, Anda dapat memperluas infrastruktur dan logika yang digunakan oleh solusi contoh ini untuk menambahkan respons kustom ke peristiwa lain yang penting bagi bisnis Anda.

Langkah selanjutnya

Baca artikel tentang kontrol pencegahan (dokumen berikutnya dalam rangkaian ini).