Halaman ini menunjukkan cara membuat, mengedit, menghapus, dan melihat konfigurasi nilai resource.
Gunakan konfigurasi nilai resource untuk membuat set resource bernilai tinggi. Kumpulan resource bernilai tinggi Anda menentukan instance resource mana (disebut sebagai resource) yang dianggap sebagai resource bernilai tinggi oleh simulasi jalur serangan.
Anda dapat menentukan konfigurasi nilai resource untuk resource di Google Cloud atau, jika Anda memiliki tingkat Enterprise Security Command Center, untuk resource di penyedia layanan cloud lain yang terhubung ke Security Command Center.
Saat dijalankan, simulasi jalur serangan akan mengidentifikasi jalur serangan dan
menghitung skor eksposur serangan untuk resource yang ditetapkan sebagai
resource bernilai tinggi dan untuk temuan class Vulnerability, class
Misconfiguration, dan class Toxic combination.
Simulasi jalur serangan dapat berjalan hingga empat kali sehari (setiap enam jam). Seiring berkembangnya organisasi, simulasi akan memerlukan waktu lebih lama, tetapi akan selalu berjalan setidaknya sekali sehari. Simulasi yang dijalankan tidak dipicu oleh pembuatan, perubahan, atau penghapusan resource atau konfigurasi nilai resource.
Untuk pengantar set resource bernilai tinggi dan konfigurasi nilai resource, lihat Set resource bernilai tinggi.
Sebelum memulai
Untuk mendapatkan izin yang diperlukan guna melihat dan menggunakan konfigurasi nilai resource, minta administrator untuk memberi Anda peran IAM berikut di organisasi Anda:
-
Editor konfigurasi nilai resource (
roles/securitycenter.resourceValueConfigEditor) -
Pemilih konfigurasi nilai resource (
roles/securitycenter.resourceValueConfigsViewer) -
Security Center Settings Editor (
roles/securitycenter.settingsEditor)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Membuat konfigurasi nilai resource
Anda membuat konfigurasi nilai resource menggunakan tab Simulasi jalur serangan di halaman Setelan Security Command Center di konsol Google Cloud.
Untuk membuat konfigurasi nilai resource, klik tab untuk penyedia layanan cloud Anda dan ikuti langkah-langkahnya:
Google Cloud
Buka halaman Simulasi jalur serangan di Setelan Security Command Center:
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka.
Klik Buat konfigurasi baru. Panel Create resource value configuration akan terbuka.
Di kolom Name, tentukan nama untuk konfigurasi nilai resource ini.
Opsional: Masukkan deskripsi konfigurasi.
Di bagian Penyedia cloud, pilih Google Cloud.
Di kolom Select scope, klik Select dan gunakan browser project untuk memilih project, folder, atau organisasi. Konfigurasi ini hanya berlaku untuk instance resource dalam cakupan yang ditentukan.
Di kolom Select resource type, klik di kolom untuk menampilkan menu drop-down, lalu pilih jenis resource atau Any. Konfigurasi ini berlaku untuk instance jenis resource yang ditentukan atau, jika Anda memilih Any, untuk instance semua jenis resource yang didukung. Semua adalah defaultnya.
Opsional: Di bagian Label, klik Add label untuk menentukan satu atau beberapa label. Jika label ditentukan, konfigurasi hanya berlaku untuk resource yang menyertakan label dalam metadatanya.
Jika Anda menerapkan label baru ke resource apa pun, perlu waktu beberapa jam sebelum label tersedia untuk dicocokkan dengan konfigurasi.
Opsional: Di bagian Tag, klik Add tag untuk menentukan satu atau beberapa tag. Jika tag ditentukan, konfigurasi hanya berlaku untuk resource yang menyertakan tag dalam metadata-nya.
Jika Anda menentukan tag baru untuk resource apa pun, perlu waktu beberapa jam sebelum tag tersedia untuk dicocokkan dengan konfigurasi.
Tetapkan nilai prioritas untuk resource yang cocok dengan menentukan salah satu opsi berikut:
Opsional: Jika Anda menggunakan layanan penemuan Perlindungan Data Sensitif, aktifkan Security Command Center untuk menetapkan nilai prioritas resource data yang didukung secara otomatis berdasarkan klasifikasi sensitivitas data dari Perlindungan Data Sensitif:
- Klik penggeser di samping Sertakan insight penemuan dari Perlindungan Data Sensitif.
- Di kolom Tetapkan nilai resource pertama, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data dengan sensitivitas tinggi.
- Di kolom Tetapkan nilai resource kedua, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data dengan sensitivitas sedang.
Di kolom Select resource value, pilih nilai yang akan ditetapkan ke instance resource. Nilai ini relatif terhadap instance resource lainnya dalam set resource bernilai tinggi Anda. Nilai ini digunakan selama penghitungan skor eksposur serangan.
Klik Simpan.
AWS
Sebelum Security Command Center dapat menampilkan skor eksposur serangan dan jalur serangan untuk resource yang Anda tentukan dalam konfigurasi nilai resource, Security Command Center harus terhubung ke AWS. Untuk mengetahui informasi selengkapnya, lihat Dukungan multi-cloud.
Buka halaman Simulasi jalur serangan di Setelan Security Command Center:
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka.
Klik Buat konfigurasi baru. Panel Create resource value configuration akan terbuka.
Di kolom Name, tentukan nama untuk konfigurasi nilai resource ini.
Opsional: Masukkan deskripsi konfigurasi.
Di bagian Cloud provider, pilih Amazon Web Services.
Opsional: Di kolom Account ID, masukkan ID akun AWS 12 digit. Jika tidak ditentukan, konfigurasi nilai resource berlaku untuk semua akun AWS yang ditentukan dalam konfigurasi koneksi AWS.
Opsional: Di kolom Region, masukkan region AWS. Contoh,
us-east-1. Jika tidak ditentukan, konfigurasi nilai resource akan berlaku untuk semua region AWS.Di kolom Select resource type, klik di kolom untuk menampilkan menu drop-down, lalu pilih jenis resource atau Any. Konfigurasi ini berlaku untuk instance jenis resource yang ditentukan atau, jika Anda memilih Any, untuk instance semua jenis resource AWS yang didukung. Any adalah defaultnya.
Opsional: Di bagian Tag, klik Add tag untuk menentukan satu atau beberapa tag. Jika tag ditentukan, konfigurasi hanya berlaku untuk resource yang menyertakan tag dalam metadata-nya.
Jika Anda menentukan tag baru untuk resource apa pun, perlu waktu beberapa jam sebelum tag tersedia untuk dicocokkan dengan konfigurasi.
Tetapkan nilai prioritas untuk resource yang cocok dengan menentukan salah satu opsi berikut:
Opsional: Jika Anda menggunakan layanan penemuan Sensitive Data Protection, aktifkan Security Command Center untuk menetapkan nilai prioritas resource data AWS yang didukung secara otomatis berdasarkan klasifikasi sensitivitas data dari Sensitive Data Protection:
- Klik penggeser di samping Sertakan insight penemuan dari Perlindungan Data Sensitif.
- Di kolom Tetapkan nilai resource pertama, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data dengan sensitivitas tinggi.
- Di kolom Tetapkan nilai resource kedua, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data dengan sensitivitas sedang.
Di kolom Select resource value, pilih nilai yang akan ditetapkan ke instance resource. Nilai ini relatif terhadap instance resource lainnya dalam set resource bernilai tinggi Anda. Nilai ini digunakan selama penghitungan skor eksposur serangan.
Klik Simpan.
Konfigurasi baru akan tercermin dalam skor eksposur serangan dan jalur serangan hanya setelah simulasi jalur serangan berikutnya berjalan.
Saat melihat set resource bernilai tinggi, Anda dapat melihat konfigurasi nilai resource yang cocok dengan resource dalam set. Untuk mengetahui informasi selengkapnya, lihat Melihat konfigurasi yang cocok dengan resource bernilai tinggi.
Mengedit konfigurasi
Kecuali nama, Anda dapat memperbarui spesifikasi apa pun dalam konfigurasi nilai resource.
Langkah-langkah ini mengasumsikan bahwa Anda mengetahui nama konfigurasi nilai resource yang ingin diedit. Jika Anda hanya mengetahui nama resource yang relevan, lihat Melihat konfigurasi yang cocok dengan resource bernilai tinggi.
Untuk memperbarui konfigurasi nilai resource yang ada, ikuti langkah-langkah berikut:
Buka halaman Simulasi jalur serangan di Setelan Security Command Center:
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka dengan konfigurasi yang ada ditampilkan.
Di kolom Configuration name, klik nama konfigurasi yang perlu Anda perbarui. Halaman Edit resource value configuration akan terbuka.
Perbarui spesifikasi dalam konfigurasi sesuai kebutuhan.
Opsional: Klik Pratinjau resource yang cocok untuk melihat jumlah resource yang cocok dengan kecocokan konfigurasi yang diperbarui dan daftar setiap instance resource yang cocok.
Klik Simpan.
Perubahan ini hanya tercermin dalam skor eksposur serangan dan jalur serangan setelah simulasi jalur serangan berikutnya berjalan.
Menghapus konfigurasi
Untuk menghapus konfigurasi nilai resource, ikuti langkah-langkah berikut:
Buka halaman Simulasi jalur serangan di Setelan Security Command Center:
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka.
Di bagian Resource value configurations di sebelah kanan baris untuk konfigurasi yang perlu Anda hapus, tampilkan menu tindakan dengan mengklik titik vertikal. Jika Anda tidak melihat titik vertikal, scroll ke kanan.
Dari menu tindakan yang ditampilkan, pilih Hapus.
Pada dialog konfirmasi, pilih Konfirmasi.
Konfigurasi akan dihapus.
Melihat konfigurasi
Anda dapat melihat semua konfigurasi nilai resource yang ada di halaman Simulasi jalur serangan di Setelan Security Command Center.
Untuk melihat konfigurasi nilai resource tertentu, buka halaman Simulasi jalur serangan
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka.
Di bagian Konfigurasi nilai resource pada halaman Simulasi jalur serangan, scroll daftar konfigurasi nilai resource hingga Anda menemukan konfigurasi yang Anda perlukan.
Untuk melihat properti konfigurasi, klik nama konfigurasi. Properti ditampilkan di halaman Edit konfigurasi nilai resource.
Melihat konfigurasi yang cocok dengan resource bernilai tinggi
Anda dapat melihat semua konfigurasi yang cocok dengan resource yang ada dalam kumpulan resource bernilai tinggi. Fitur ini berguna jika Anda ingin meninjau aturan yang menentukan nilai resource set resource bernilai tinggi.
Untuk melihat konfigurasi yang cocok dengan resource bernilai tinggi, ikuti langkah-langkah berikut:
- Lihat kumpulan resource bernilai tinggi.
- Temukan resource yang konfigurasinya ingin Anda lihat. Konfigurasi
yang cocok untuk resource tersebut tercantum di kolom Konfigurasi
yang cocok. Konfigurasi tercantum dalam urutan menurun
berdasarkan nilai resource yang ditetapkan ke resource—
High,Medium, atauLow. Untuk melihat properti konfigurasi, klik namanya. Properti tersebut ditampilkan di halaman Edit konfigurasi nilai resource.
Konfigurasi yang baru saja dihapus tetap terlihat—tetapi tidak dapat diklik—hingga simulasi jalur serangan berikutnya dijalankan.
Opsional: Edit konfigurasi, lalu klik Simpan.
Pemecahan masalah
Jika Anda menerima error setelah membuat, mengedit, atau menghapus konfigurasi nilai resource, periksa temuan class SCC Error di konsol Google Cloud dengan mengikuti langkah-langkah berikut:
Buka halaman Temuan di konsol Google Cloud:
Di panel Quick filters, scroll ke bagian Finding class dan pilih SCC Error.
Di panel Findings query results, periksa temuan untuk menemukan
SCC Errorberikut, lalu klik nama kategori:APS no resource value configs match any resourcesAPS resource value assignment limit exceeded
Panel detail temuan akan terbuka.
Di panel detail temuan, tinjau informasi di bagian Langkah berikutnya.
Untuk meninjau petunjuk perbaikan temuan simulasi jalur serangan
SCC Error dalam dokumentasi, lihat:
- APS tidak ada konfigurasi nilai resource yang cocok dengan resource apa pun
- Batas penetapan nilai resource APS terlampaui
Langkah selanjutnya
Untuk informasi tentang cara menangani temuan Security Command Center, lihat Meninjau dan mengelola temuan.