Menyelidiki temuan identitas dan akses

Halaman ini menjelaskan cara menggunakan temuan untuk masalah keamanan yang terkait dengan identitas dan akses (temuan identitas dan akses) di konsol Google Cloud untuk menyelidiki dan mengidentifikasi potensi kesalahan konfigurasi.

Sebagai bagian dari kemampuan Cloud Infrastructure Entitlement Management (CIEM) yang ditawarkan dengan tingkat Enterprise, Security Command Center menghasilkan temuan identitas dan akses serta membuatnya mudah diakses di halaman Ringkasan Risiko Security Command Center. Temuan ini dipilih dan dikategorikan di panel Temuan identitas dan akses.

Sebelum memulai

Pastikan Anda telah menyelesaikan tugas berikut sebelum melanjutkan:

Melihat ringkasan temuan identitas dan akses

Panel Temuan identitas dan akses di halaman Ringkasan Risiko Security Command Center memberikan gambaran umum tentang temuan identitas dan akses teratas di seluruh lingkungan cloud Anda, seperti Google Cloud dan Amazon Web Services (AWS). Panel terdiri dari tabel yang mengatur temuan di tiga kolom:

  • Keparahan: Keparahan temuan adalah indikator umum tentang seberapa penting untuk memperbaiki kategori temuan, yang dapat diklasifikasikan sebagai Critical, High, Medium, atau Low.
  • Kategori temuan: Jenis miskonfigurasi identitas dan akses yang ditemukan.
  • Penyedia cloud: Lingkungan cloud tempat kesalahan konfigurasi ditemukan.
  • Total temuan: Jumlah total kesalahan konfigurasi identitas dan akses yang ditemukan dalam kategori pada klasifikasi tingkat keparahan tertentu.

Untuk menjelajahi temuan di panel, Anda dapat mengurutkannya berdasarkan tingkat keparahan, kategori temuan, atau jumlah total temuan dengan mengklik header masing-masing. Anda juga dapat mengubah jumlah baris yang ditampilkan panel (hingga 200) dan berpindah antarhalaman menggunakan panah navigasi di bagian bawah tabel.

Anda dapat mengklik judul kategori atau jumlah total temuan yang sesuai untuk memeriksa temuan tertentu secara lebih mendetail di halaman Temuan Security Command Center. Untuk informasi selengkapnya, lihat Memeriksa temuan identitas dan akses secara mendetail.

Komponen berikut di bawah tabel temuan membantu memberikan konteks tambahan kepada temuan identitas dan akses Anda:

  • Label Sumber menunjukkan sumber tempat Security Command Center menyerap data untuk menghasilkan temuan. Temuan identitas dan akses dapat diterapkan ke lingkungan Google Cloud dan AWS serta dapat berasal dari berbagai detektor seperti CIEM, perekomendasikan IAM, dan Security Health Analytics. Security Command Center hanya menampilkan temuan identitas dan akses untuk AWS jika Anda telah menghubungkan instance AWS dan mengonfigurasi penyerapan log AWS untuk CIEM.
  • Link Lihat semua temuan identitas dan akses memungkinkan Anda membuka halaman Temuan Security Command Center untuk melihat semua konfigurasi salah akses dan identitas yang terdeteksi, terlepas dari kategori atau tingkat keparahannya.
  • Link Tinjau akses dengan Policy Analyzer untuk Google Cloud memberikan akses cepat ke alat Policy Analyzer, yang memungkinkan Anda melihat siapa yang memiliki akses ke resource Google Cloud tertentu berdasarkan kebijakan izin IAM Anda.

Melihat temuan akses dan identitas di halaman Temuan

Panel Temuan identitas dan akses menawarkan beberapa titik entri ke halaman Temuan Security Command Center untuk memeriksa temuan identitas dan akses secara mendetail:

  • Klik nama temuan di bagian Kategori temuan atau jumlah total temuannya di bagian Total temuan untuk otomatis membuat kueri kategori temuan dan rating keparahan tertentu tersebut.
  • Klik Lihat semua temuan identitas dan akses untuk membuat kueri semua temuan tanpa urutan tertentu.

Security Command Center memilih filter cepat tertentu yang membuat kueri temuan khusus untuk miskonfigurasi identitas dan akses. Opsi filter cepat berubah berdasarkan apakah Anda mengkueri satu atau semua temuan identitas dan akses. Anda dapat mengedit kueri ini sesuai kebutuhan. Kategori dan opsi filter cepat tertentu yang menarik untuk tujuan CIEM mencakup:

  • Kategori: Filter untuk membuat kueri hasil berdasarkan kategori temuan tertentu yang ingin Anda pelajari lebih lanjut. Opsi filter cepat yang tercantum dalam kategori ini akan berubah berdasarkan apakah Anda mengkueri satu atau semua temuan identitas dan akses.
  • Project ID: Filter untuk membuat kueri hasil guna menemukan temuan yang terkait dengan project tertentu.
  • Jenis resource: Memfilter untuk membuat kueri hasil untuk temuan yang terkait dengan jenis resource tertentu.
  • Keparahan: Filter untuk membuat kueri hasil guna menemukan keparahan tertentu.
  • Nama tampilan sumber: Filter untuk membuat kueri hasil temuan yang terdeteksi oleh layanan tertentu yang mendeteksi kesalahan konfigurasi.
  • Penyedia cloud: Memfilter untuk membuat kueri hasil untuk temuan yang berasal dari platform cloud tertentu.

Panel Hasil kueri temuan terdiri dari beberapa kolom yang memberikan detail tentang temuan. Di antaranya, kolom berikut menarik untuk tujuan CIEM:

  • Keparahan: Menampilkan tingkat keparahan temuan tertentu untuk membantu Anda memprioritaskan perbaikan.
  • Nama tampilan resource: Menampilkan resource tempat penemuan terdeteksi.
  • Nama tampilan sumber: Menampilkan layanan yang mendeteksi temuan. Sumber yang menghasilkan temuan terkait identitas mencakup CIEM, rekomendasi IAM, dan Security Health Analytics.
  • Penyedia cloud: Menampilkan lingkungan cloud tempat temuan terdeteksi, seperti Google Cloud dan AWS.
  • Pemberian akses yang melanggar: Menampilkan link untuk meninjau akun utama yang berpotensi diberi peran yang tidak pantas.
  • ID Kasus: Menampilkan nomor ID kasus yang terkait dengan temuan.

Untuk informasi selengkapnya tentang cara menangani temuan, lihat Meninjau dan mengelola temuan.

Menyelidiki temuan identitas dan akses untuk berbagai platform cloud

Security Command Center memungkinkan Anda menyelidiki temuan kesalahan konfigurasi identitas dan akses untuk lingkungan AWS dan Google Cloud di halaman Temuan Security Command Center.

Banyak layanan deteksi Security Command Center yang berbeda, seperti CIEM, perekomendasikan IAM, dan Security Health Analytics, menghasilkan kategori temuan khusus CIEM yang mendeteksi potensi masalah keamanan identitas dan akses untuk platform cloud Anda.

Layanan deteksi CIEM Security Command Center menghasilkan temuan khusus untuk lingkungan AWS Anda, dan layanan deteksi Rekomendasi IAM dan Security Health Analytics menghasilkan temuan khusus untuk lingkungan Google Cloud Anda.

Untuk hanya melihat temuan yang terdeteksi oleh layanan tertentu, pilih layanan tersebut dari kategori filter cepat Nama tampilan sumber. Misalnya, jika Anda ingin hanya melihat temuan yang terdeteksi oleh layanan deteksi CIEM, pilih CIEM.

Tabel berikut menjelaskan semua temuan yang dianggap sebagai bagian dari kemampuan CIEM Security Command Center.

Cloud Platform Menemukan kategori Deskripsi Sumber
AWS Assumed identity has excessive permissions (ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) Peran IAM yang diasumsikan terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk informasi selengkapnya, lihat temuan CIEM. CIEM
AWS Group has excessive permissions (GROUP_HAS_EXCESSIVE_PERMISSIONS) Grup IAM terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk informasi selengkapnya, lihat temuan CIEM. CIEM
AWS User has excessive permissions (USER_HAS_EXCESSIVE_PERMISSIONS) Pengguna IAM terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk informasi selengkapnya, lihat temuan CIEM. CIEM
AWS User is inactive (INACTIVE_USER) Pengguna IAM yang tidak aktif terdeteksi di lingkungan AWS Anda. Untuk informasi selengkapnya, lihat temuan CIEM. CIEM
AWS Group is inactive (INACTIVE_GROUP) Grup IAM yang terdeteksi di lingkungan AWS Anda tidak aktif. Untuk informasi selengkapnya, lihat temuan CIEM. CIEM
AWS Assumed identity is inactive (INACTIVE_ASSUMED_IDENTITY) Peran IAM yang diasumsikan yang terdeteksi di lingkungan AWS Anda tidak aktif. Untuk informasi selengkapnya, lihat temuan CIEM. CIEM
AWS Overly permissive trust policy enforced on assumed identity (OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) Kebijakan kepercayaan yang diterapkan pada peran IAM yang diasumsikan sangat permisif. Untuk informasi selengkapnya, lihat temuan CIEM. CIEM
AWS Assumed identity has lateral movement risk (ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) Satu atau beberapa identitas dapat berpindah secara lateral di lingkungan AWS Anda melalui peniruan identitas peran. Untuk informasi selengkapnya, lihat temuan CIEM. CIEM
Google Cloud MFA not enforced (MFA_NOT_ENFORCED) Ada pengguna yang tidak menggunakan Verifikasi 2 Langkah. Untuk mengetahui informasi selengkapnya, lihat Temuan autentikasi multi-faktor. Security Health Analytics
Google Cloud Custom role not monitored (CUSTOM_ROLE_NOT_MONITORED) Notifikasi dan metrik log tidak dikonfigurasi untuk memantau perubahan Peran Khusus. Untuk mengetahui informasi selengkapnya, lihat Memantau temuan kerentanan. Security Health Analytics
Google Cloud KMS role separation (KMS_ROLE_SEPARATION) Pemisahan tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu peran Cloud Key Management Service berikut secara bersamaan: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. Security Health Analytics
Google Cloud Primitive roles used (PRIMITIVE_ROLES_USED) Pengguna memiliki salah satu peran dasar berikut: Pemilik (roles/owner), Editor (roles/editor), atau Pelihat (roles/viewer). Untuk informasi selengkapnya, lihat temuan kerentanan IAM. Security Health Analytics
Google Cloud Redis role used on org (REDIS_ROLE_USED_ON_ORG) Peran IAM Redis ditetapkan di level organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. Security Health Analytics
Google Cloud Service account role separation (SERVICE_ACCOUNT_ROLE_SEPARATION) Pengguna telah diberi peran Service Account Admin dan Service Account User. Hal ini melanggar prinsip "Pemisahan Tugas". Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. Security Health Analytics
Google Cloud Non org IAM member (NON_ORG_IAM_MEMBER) Ada pengguna yang tidak menggunakan kredensial organisasi. Berdasarkan CIS Google Cloud Foundations 1.0, hanya identitas dengan alamat email @gmail.com yang memicu detektor ini. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. Security Health Analytics
Google Cloud Open group IAM member (OPEN_GROUP_IAM_MEMBER) Akun Google Grup yang dapat diikuti tanpa persetujuan digunakan sebagai akun utama kebijakan izin IAM. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. Security Health Analytics
Google Cloud Unused IAM role (UNUSED_IAM_ROLE) Pemberi rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang tidak digunakan dalam 90 hari terakhir. Untuk mengetahui informasi selengkapnya, lihat temuan pemberi rekomendasi IAM. Pemberi rekomendasi IAM
Google Cloud IAM role has excessive permissions (IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) Rekomendasi IAM mendeteksi akun layanan yang memiliki satu atau beberapa peran IAM yang memberikan izin berlebihan ke akun pengguna. Untuk mengetahui informasi selengkapnya, lihat temuan pemberi rekomendasi IAM. Pemberi rekomendasi IAM
Google Cloud Service agent role replaced with basic role (SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) Rekomendasi IAM mendeteksi bahwa peran IAM default asli yang diberikan kepada agen layanan telah diganti dengan salah satu peran IAM dasar: Pemilik, Editor, atau Pelihat. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Untuk informasi selengkapnya, lihat temuan pemberi rekomendasi IAM. Pemberi rekomendasi IAM
Google Cloud Service agent granted basic role (SERVICE_AGENT_GRANTED_BASIC_ROLE) Rekomendasi IAM mendeteksi IAM bahwa agen layanan diberi salah satu peran IAM dasar: Pemilik, Editor, atau Pelihat. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Untuk informasi selengkapnya, lihat temuan pemberi rekomendasi IAM. Pemberi rekomendasi IAM
Google Cloud Admin service account (ADMIN_SERVICE_ACCOUNT) Akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini tidak boleh ditetapkan ke akun layanan yang dibuat pengguna. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. Security Health Analytics
Google Cloud Default service account used (DEFAULT_SERVICE_ACCOUNT_USED) Instance dikonfigurasi untuk menggunakan akun layanan default. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan instance compute. Security Health Analytics
Google Cloud Over privileged account (OVER_PRIVILEGED_ACCOUNT) Akun layanan memiliki akses project yang terlalu luas di cluster. Untuk informasi selengkapnya, lihat Temuan vulnerability container. Security Health Analytics
Google Cloud Over privileged service account user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) Pengguna memiliki peran Service Account User atau Service Account Token Creator di tingkat project, bukan untuk akun layanan tertentu. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. Security Health Analytics
Google Cloud Service account key not rotated (SERVICE_ACCOUNT_KEY_NOT_ROTATED) Kunci akun layanan belum dirotasi selama lebih dari 90 hari. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. Security Health Analytics
Google Cloud Over privileged scopes (OVER_PRIVILEGED_SCOPES) Akun layanan node memiliki cakupan akses yang luas. Untuk informasi selengkapnya, lihat Temuan vulnerability container. Security Health Analytics
Google Cloud KMS public key (KMS_PUBLIC_KEY) Kunci kriptografis Cloud KMS dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS. Security Health Analytics
Google Cloud Public bucket ACL (PUBLIC_BUCKET_ACL) Bucket Cloud Storage dapat diakses secara publik. Untuk mengetahui informasi selengkapnya, lihat Temuan vulnerability penyimpanan. Security Health Analytics
Google Cloud Public log bucket (PUBLIC_LOG_BUCKET) Bucket penyimpanan yang digunakan sebagai sink log dapat diakses secara publik. Untuk mengetahui informasi selengkapnya, lihat Temuan vulnerability penyimpanan. Security Health Analytics
Google Cloud User managed service account key (USER_MANAGED_SERVICE_ACCOUNT_KEY) Pengguna mengelola kunci akun layanan. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. Security Health Analytics
Google Cloud Too many KMS users (TOO_MANY_KMS_USERS) Ada lebih dari tiga pengguna kunci kriptografis. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS. Security Health Analytics
Google Cloud KMS project has owner (KMS_PROJECT_HAS_OWNER) Pengguna memiliki izin Pemilik di project yang memiliki kunci kriptografis. Untuk informasi selengkapnya, lihat Temuan kerentanan KMS. Security Health Analytics
Google Cloud Owner not monitored (OWNER_NOT_MONITORED) Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project. Untuk mengetahui informasi selengkapnya, lihat Memantau temuan kerentanan. Security Health Analytics

Memfilter temuan identitas dan akses menurut platform cloud

Dari panel Hasil kueri temuan, Anda dapat mengetahui temuan yang terkait dengan platform cloud tertentu dengan memeriksa konten kolom Penyedia cloud, Nama tampilan resource, atau Jenis resource.

Hasil kueri Penemuan menampilkan temuan identitas dan akses untuk lingkungan Google Cloud dan AWS secara default. Untuk mengedit hasil kueri temuan default agar hanya menampilkan temuan untuk platform cloud tertentu, pilih Amazon Web Services atau Google Cloud Platform dari kategori filter cepat Cloud provider.

Memeriksa temuan identitas dan akses secara mendetail

Untuk mempelajari lebih lanjut temuan identitas dan akses, buka tampilan mendetail tentang temuan dengan mengklik nama temuan di kolom Kategori di panel Hasil kueri temuan. Untuk mengetahui informasi selengkapnya tentang tampilan detail temuan, lihat Melihat detail temuan.

Bagian berikut di tab Ringkasan pada tampilan detail akan membantu untuk menyelidiki temuan identitas dan akses.

Pemberian akses yang bermasalah

Di tab Ringkasan pada panel detail temuan, baris Pemberian akses yang melanggar menyediakan cara untuk memeriksa akun utama dengan cepat, termasuk identitas gabungan, dan aksesnya ke resource Anda. Informasi ini hanya muncul untuk temuan saat perekomendasikan IAM mendeteksi prinsipal di resource Google Cloud dengan peran yang sangat permisif, dasar, dan tidak digunakan.

Klik Tinjau pemberian akses yang bermasalah untuk membuka panel Tinjau pemberian akses yang bermasalah, yang berisi informasi berikut:

  • Nama akun utama. Akun utama yang ditampilkan di kolom ini dapat berupa gabungan akun pengguna, grup, identitas gabungan, dan akun layanan Google Cloud.
  • Nama peran yang diberikan kepada akun utama.
  • Tindakan yang direkomendasikan yang dapat Anda lakukan untuk memperbaiki akses yang melanggar.

Informasi kasus

Di tab Ringkasan pada halaman detail temuan, bagian Informasi kasus akan ditampilkan jika ada kasus atau tiket yang sesuai dengan temuan tertentu. Kasus dan tiket dibuat secara otomatis untuk temuan dengan klasifikasi tingkat keparahan Critical atau High.

Bagian Informasi kasus menyediakan cara untuk melacak upaya perbaikan untuk temuan tertentu. Halaman ini memberikan detail tentang kasus yang sesuai, seperti link ke kasus yang sesuai dan tiket sistem pemberian tiket (Jira atau ServiceNow), penerima tugas, status kasus, dan prioritas kasus.

  • Untuk mengakses kasus yang sesuai dengan temuan, klik nomor ID kasus di baris Case ID.

  • Untuk mengakses tiket Jira atau ServiceNow yang sesuai dengan temuan, klik nomor ID tiket di baris ID Tiket.

Untuk menghubungkan sistem pemberian tiket dengan Security Command Center Enterprise, lihat Mengintegrasikan Security Command Center Enterprise dengan sistem pemberian tiket.

Untuk informasi selengkapnya tentang cara meninjau kasus yang sesuai, lihat Meninjau kasus temuan identitas dan akses.

Langkah berikutnya

Di tab Ringkasan pada halaman detail temuan, bagian Langkah berikutnya memberikan panduan langkah demi langkah tentang cara segera memperbaiki masalah yang terdeteksi. Rekomendasi ini disesuaikan dengan temuan spesifik yang Anda lihat.

Langkah selanjutnya