Halaman ini memberikan ringkasan tentang proses aktivasi yang terjadi saat Anda mengaktifkan Security Command Center. Panduan ini bertujuan untuk menjawab pertanyaan umum:
- Apa yang terjadi jika Security Command Center diaktifkan?
- Mengapa ada penundaan sebelum pemindaian pertama dimulai?
- Berapa runtime yang diharapkan untuk pemindaian pertama dan pemindaian yang sedang berlangsung?
- Bagaimana pengaruh perubahan resource dan setelan terhadap performa?
Ringkasan
Saat Anda pertama kali mengaktifkan Security Command Center, proses aktivasi harus selesai sebelum Security Command Center dapat mulai memindai resource Anda. Kemudian, pemindaian harus selesai sebelum Anda melihat kumpulan temuan lengkap untuk lingkungan Google Cloud Anda.
Durasi proses aktivasi dan pemindaian untuk diselesaikan bergantung pada sejumlah faktor, termasuk jumlah aset dan resource di lingkungan Anda serta apakah Security Command Center diaktifkan di level organisasi atau level project.
Dengan aktivasi level organisasi, Security Command Center harus mengulangi langkah-langkah tertentu dari proses aktivasi untuk setiap project dalam organisasi. Bergantung pada jumlah project dalam organisasi, waktu yang diperlukan untuk proses aktivasi dapat berkisar dari beberapa menit hingga beberapa jam. Untuk organisasi dengan lebih dari 100.000 project, banyak resource di setiap project, dan faktor rumit lainnya, pengaktifan dan pemindaian awal dapat memerlukan waktu hingga 24 jam atau lebih untuk diselesaikan.
Dengan aktivasi level project Security Command Center, proses aktivasi jauh lebih cepat, karena prosesnya terbatas pada satu project tempat Security Command Center diaktifkan.
Faktor yang dapat menyebabkan latensi dalam memulai pemindaian, memproses perubahan pada setelan, dan runtime pemindaian akan dibahas di bagian berikut.
Topologi
Gambar di bawah ini memberikan ilustrasi umum tentang proses aktivasi dan orientasi.
Latensi dalam orientasi
Sebelum pemindaian dimulai, Security Command Center akan menemukan dan mengindeks resource Anda.
Layanan yang diindeks mencakup App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management, dan Google Kubernetes Engine.
Untuk aktivasi level project Security Command Center, penemuan dan pengindeksan terbatas pada satu project tempat Security Command Center diaktifkan.
Untuk aktivasi level organisasi, Security Command Center menemukan dan mengindeks resource di seluruh organisasi Anda.
Selama proses aktivasi ini, ada dua langkah penting yang dilakukan.
Pemindaian aset
Security Command Center melakukan pemindaian aset awal untuk mengidentifikasi jumlah total, lokasi, dan status project, folder, file, cluster, identitas, kebijakan akses, pengguna yang terdaftar, dan resource lainnya. Proses ini biasanya selesai dalam beberapa menit.
Aktivasi API
Saat resource ditemukan, Security Command Center akan mengaktifkan bagian-bagian Google Cloud yang diperlukan untuk Security Health Analytics, Event Threat Detection, Container Threat Detection, dan Web Security Scanner agar dapat beroperasi. Beberapa layanan deteksi memerlukan API tertentu agar diaktifkan di project yang dilindungi agar dapat berfungsi.
Saat Anda mengaktifkan Security Command Center di level project, aktivasi API biasanya memerlukan waktu kurang dari satu menit.
Dengan aktivasi level organisasi, Security Command Center akan melakukan iterasi pada semua project yang Anda pilih untuk pemindaian guna mengaktifkan API yang diperlukan.
Jumlah project dalam organisasi sebagian besar menentukan durasi proses aktivasi dan orientasi. Karena API harus diaktifkan untuk project satu per satu, aktivasi API biasanya merupakan tugas yang paling memakan waktu, terutama untuk organisasi dengan lebih dari 100.000 project.
Waktu yang diperlukan untuk mengaktifkan layanan di seluruh project diskalakan secara linear. Artinya, umumnya, diperlukan waktu dua kali lebih lama untuk mengaktifkan setelan layanan dan keamanan di organisasi dengan 30.000 project daripada organisasi dengan 15.000 project.
Untuk organisasi dengan 100.000 project, aktivasi dan aktivasi tingkat Premium harus diselesaikan dalam waktu kurang dari lima jam. Waktu Anda dapat bervariasi bergantung pada banyak faktor, termasuk jumlah project atau penampung yang Anda gunakan dan jumlah layanan Security Command Center yang Anda pilih untuk diaktifkan.
Latensi pemindaian
Saat menyiapkan Security Command Center, Anda dapat menentukan layanan bawaan dan terintegrasi mana yang akan diaktifkan, dan memilih resource Google Cloud yang ingin Anda analisis, atau pindai, untuk menemukan ancaman dan kerentanan. Saat API diaktifkan untuk project, layanan yang dipilih akan memulai pemindaian. Durasi pemindaian ini juga bergantung pada jumlah project dalam organisasi.
Temuan dari layanan bawaan tersedia setelah pemindaian awal selesai. Layanan mengalami latensi seperti yang dijelaskan di bawah.
- Container Threat Detection memiliki latensi berikut:
- Latensi aktivasi hingga 3,5 jam untuk project atau organisasi yang baru diaktifkan.
- Latensi aktivasi menit untuk cluster yang baru dibuat.
- Latensi deteksi dalam hitungan menit untuk ancaman di cluster yang telah diaktifkan.
Pengaktifan Event Threat Detection terjadi dalam hitungan detik untuk detector bawaan. Untuk detektor kustom baru atau yang diperbarui, perlu waktu hingga 15 menit agar perubahan Anda diterapkan. Dalam praktiknya, biasanya hanya memerlukan waktu kurang dari 5 menit.
Untuk detektor bawaan dan kustom, latensi deteksi umumnya kurang dari 15 menit, mulai dari saat log ditulis hingga saat temuan tersedia di Security Command Center.
Pemindaian Security Health Analytics dimulai sekitar satu jam setelah layanan diaktifkan. Pemindaian Security Health Analytics pertama dapat memerlukan waktu hingga 12 jam untuk selesai. Setelah itu, sebagian besar deteksi berjalan secara real time terhadap perubahan konfigurasi aset (pengecualian dijelaskan dalam Latensi Deteksi Security Health Analytics).
Deteksi Ancaman VM memiliki latensi aktivasi hingga 48 jam untuk organisasi yang baru diaktifkan. Untuk project, latensi aktivasi dapat mencapai 15 menit.
Penilaian Kerentanan untuk Amazon Web Services (AWS) mulai memindai resource di akun AWS sekitar 15 menit setelah template CloudFormation yang diperlukan pertama kali di-deploy di akun. Saat kerentanan software terdeteksi di akun AWS, temuan yang sesuai akan tersedia di Security Command Center sekitar 10 menit kemudian.
Waktu yang diperlukan untuk menyelesaikan pemindaian bergantung pada jumlah instance EC2. Biasanya, pemindaian satu instance EC2 memerlukan waktu kurang dari 5 menit.
Pemindaian Web Security Scanner dapat memerlukan waktu hingga 24 jam untuk dimulai setelah layanan diaktifkan dan dijalankan setiap minggu setelah pemindaian pertama.
Security Command Center menjalankan pendeteksi error, yang mendeteksi error konfigurasi yang terkait dengan Security Command Center dan layanannya. Detektor error ini diaktifkan secara default dan tidak dapat dinonaktifkan. Latensi deteksi bervariasi bergantung pada pendeteksi error. Untuk informasi selengkapnya, lihat Error Security Command Center.
Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang Anda terima. Untuk mempelajari peran Security Command Center lebih lanjut, lihat Kontrol akses.
Temuan awal
Anda mungkin melihat beberapa temuan di konsol Google Cloud saat pemindaian awal sedang berlangsung, tetapi sebelum proses aktivasi selesai.
Temuan awal akurat dan dapat ditindaklanjuti, tetapi tidak komprehensif. Penggunaan temuan ini untuk penilaian kepatuhan dalam 24 jam pertama tidak direkomendasikan.
Pemindaian berikutnya
Perubahan yang dilakukan dalam organisasi atau project Anda, seperti memindahkan resource atau, untuk aktivasi tingkat organisasi, menambahkan folder dan project baru, biasanya tidak akan memengaruhi waktu penemuan resource atau runtime pemindaian secara signifikan. Namun, beberapa pemindaian dilanjutkan sesuai jadwal yang ditetapkan, yang menentukan seberapa cepat Security Command Center mendeteksi perubahan.
- Event Threat Detection dan Container Threat Detection: layanan ini berjalan secara real time saat diaktifkan dan segera mendeteksi resource baru atau yang diubah, seperti cluster, bucket, atau log, dalam project yang diaktifkan.
- Security Health Analytics: Security Health Analytics berjalan secara real time saat diaktifkan dan mendeteksi resource baru atau yang telah diubah dalam hitungan menit, tidak termasuk deteksi yang tercantum di bawah.
- VM Threat Detection: Untuk pemindaian memori, VM Threat Detection memindai setiap instance VM
segera setelah
instance dibuat. Selain itu, Deteksi Ancaman VM memindai setiap instance VM setiap 30 menit.
- Untuk deteksi penambangan mata uang kripto, Deteksi Ancaman VM menghasilkan satu temuan per proses, per VM, per hari. Setiap temuan hanya menyertakan ancaman yang terkait dengan proses yang diidentifikasi oleh temuan. Jika Virtual Machine Threat Detection menemukan ancaman, tetapi tidak dapat mengaitkannya dengan proses apa pun, maka, untuk setiap VM, Virtual Machine Threat Detection akan mengelompokkan semua ancaman yang tidak terkait ke dalam satu temuan yang dikeluarkan sekali per periode 24 jam. Untuk ancaman yang bertahan lebih dari 24 jam, Deteksi Ancaman VM akan menghasilkan temuan baru sekali setiap 24 jam.
- Untuk deteksi rootkit mode kernel, yang masih dalam Pratinjau, Deteksi Ancaman VM menghasilkan satu temuan per kategori, per VM, setiap tiga hari.
Untuk pemindaian disk persisten, yang mendeteksi keberadaan malware yang diketahui, Deteksi Ancaman VM memindai setiap instance VM setidaknya setiap hari.
Penilaian Kerentanan untuk AWS menjalankan pemindaian tiga kali sehari.
Waktu yang diperlukan untuk menyelesaikan pemindaian bergantung pada jumlah instance EC2. Biasanya, pemindaian satu instance EC2 memerlukan waktu kurang dari 5 menit.
Saat kerentanan software terdeteksi di akun AWS, temuan yang sesuai akan tersedia di Security Command Center sekitar 10 menit kemudian.
Web Security Scanner: Web Security Scanner berjalan setiap minggu, pada hari yang sama dengan pemindaian awal. Karena berjalan setiap minggu, Web Security Scanner tidak akan mendeteksi perubahan secara real time. Jika Anda memindahkan resource atau mengubah aplikasi, perubahan tersebut mungkin tidak terdeteksi hingga seminggu. Anda dapat menjalankan pemindaian on demand untuk memeriksa resource baru atau yang diubah di antara pemindaian terjadwal.
Pendeteksi error Security Command Center berjalan secara berkala dalam mode batch. Frekuensi pemindaian batch bervariasi bergantung pada pendeteksi error. Untuk informasi selengkapnya, lihat Error Security Command Center.
Latensi Deteksi Security Health Analytics
Deteksi Security Health Analytics berjalan secara berkala dalam mode batch setelah layanan diaktifkan, serta saat konfigurasi aset terkait berubah. Setelah Security Health Analytics diaktifkan, setiap perubahan konfigurasi resource yang relevan akan menghasilkan temuan kesalahan konfigurasi yang diperbarui. Dalam beberapa kasus, pembaruan mungkin memerlukan waktu beberapa menit, bergantung pada jenis dan perubahan aset.
Beberapa detektor Security Health Analytics tidak mendukung mode pemindaian langsung jika, misalnya, deteksi berjalan terhadap informasi di luar konfigurasi resource. Deteksi ini, yang tercantum dalam tabel di bawah, berjalan secara berkala dan mengidentifikasi kesalahan konfigurasi dalam waktu 12 jam. Baca Kerentanan dan temuan untuk mengetahui detail selengkapnya tentang detektor Security Health Analytics.
| Deteksi Security Health Analytics yang tidak mendukung mode pemindaian real-time |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (sebelumnya bernama 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
Simulasi jalur serangan
Simulasi jalur serangan berjalan kira-kira setiap enam jam. Seiring dengan meningkatnya ukuran atau kompleksitas organisasi Google Cloud Anda, waktu antar-interval dapat meningkat.
Saat Anda pertama kali mengaktifkan Security Command Center, simulasi jalur serangan akan menggunakan kumpulan resource bernilai tinggi default, yang mencakup semua jenis resource yang didukung di organisasi Anda.
Saat mulai menentukan kumpulan resource bernilai tinggi Anda sendiri dengan membuat konfigurasi nilai resource, Anda mungkin melihat waktu antara interval simulasi menurun jika jumlah instance resource dalam kumpulan resource bernilai tinggi Anda secara signifikan lebih rendah dari kumpulan default.
Langkah selanjutnya
- Pelajari cara menggunakan Security Command Center di konsol Google Cloud.
- Pelajari layanan deteksi.