Ringkasan latensi Security Command Center

Halaman ini memberikan ringkasan proses aktivasi yang terjadi saat Anda mengaktifkan Security Command Center. Tujuannya adalah untuk menjawab pertanyaan umum:

  • Apa yang terjadi jika Security Command Center diaktifkan?
  • Mengapa ada penundaan sebelum pemindaian pertama dimulai?
  • Berapa runtime yang diharapkan untuk pemindaian pertama dan pemindaian yang sedang berlangsung?
  • Bagaimana perubahan resource dan setelan akan memengaruhi performa?

Ringkasan

Saat Anda pertama kali mengaktifkan Security Command Center, proses aktivasi harus diselesaikan sebelum Security Command Center dapat mulai memindai resource Anda. Kemudian, pemindaian harus selesai sebelum Anda melihat kumpulan temuan lengkap untuk lingkungan Google Cloud Anda.

Waktu yang diperlukan untuk menyelesaikan proses aktivasi dan pemindaian bergantung pada sejumlah faktor, termasuk jumlah aset dan resource di lingkungan Anda, serta apakah Security Command Center diaktifkan di level organisasi atau level project.

Dengan aktivasi tingkat organisasi, Security Command Center harus mengulangi langkah-langkah tertentu pada proses aktivasi untuk setiap project di organisasi. Bergantung pada jumlah project dalam organisasi, waktu yang diperlukan untuk proses aktivasi dapat berkisar dari menit hingga jam. Untuk organisasi yang memiliki lebih dari 100.000 project, banyak resource di setiap project, dan faktor rumit lainnya, pengaktifan dan pemindaian awal dapat memerlukan waktu hingga 24 jam atau lebih.

Dengan aktivasi Security Command Center tingkat project, proses aktivasi jauh lebih cepat, karena prosesnya terbatas pada satu project dengan Security Command Center diaktifkan.

Faktor-faktor yang dapat menimbulkan latensi saat memulai pemindaian, memproses perubahan pada setelan, dan runtime pemindaian dibahas di bagian berikut.

Topologi

Gambar di bawah memberikan ilustrasi tingkat tinggi tentang proses orientasi dan pengaktifan.

Ilustrasi orientasi Security Command Center (klik untuk memperbesar)
Ilustrasi aktivasi Security Command Center (klik untuk memperbesar)

Latensi dalam orientasi

Sebelum pemindaian dimulai, Security Command Center akan menemukan dan mengindeks resource Anda.

Layanan yang diindeks mencakup App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management, serta Google Kubernetes Engine.

Untuk aktivasi Security Command Center tingkat project, penemuan dan pengindeksan dibatasi pada satu project yang mengaktifkan Security Command Center.

Untuk aktivasi tingkat organisasi, Security Command Center akan menemukan dan mengindeks resource di seluruh organisasi Anda.

Selama proses orientasi ini, ada dua langkah penting.

Pemindaian aset

Security Command Center melakukan pemindaian aset awal untuk mengidentifikasi jumlah total, lokasi, dan status project, folder, file, cluster, identitas, kebijakan akses, pengguna terdaftar, dan resource lainnya. Proses ini biasanya selesai dalam beberapa menit.

Aktivasi API

Saat resource ditemukan, Security Command Center mengaktifkan bagian Google Cloud yang diperlukan untuk Security Health Analytics, Event Threat Detection, Container Threat Detection, dan Web Security Scanner untuk beroperasi. Beberapa layanan deteksi memerlukan API tertentu diaktifkan pada project yang dilindungi agar dapat berfungsi.

Saat Anda mengaktifkan Security Command Center di level project, aktivasi API biasanya memerlukan waktu kurang dari satu menit.

Dengan aktivasi tingkat organisasi, Security Command Center melakukan iterasi ke semua project yang Anda pilih untuk dipindai guna mengaktifkan API yang diperlukan.

Jumlah project dalam organisasi sebagian besar menentukan durasi proses orientasi dan pengaktifan. Karena API harus diaktifkan untuk project satu per satu, aktivasi API biasanya merupakan tugas yang paling memakan waktu, terutama untuk organisasi yang memiliki lebih dari 100.000 project.

Waktu yang diperlukan untuk mengaktifkan layanan di seluruh project diskalakan secara linear. Artinya, secara umum, perlu waktu dua kali lebih lama untuk mengaktifkan setelan layanan dan keamanan di organisasi yang memiliki 30.000 project daripada organisasi dengan 15.000 project.

Untuk organisasi yang memiliki 100.000 project, orientasi dan pengaktifan paket Premium dapat diselesaikan dalam waktu kurang dari lima jam. Waktu Anda dapat bervariasi, bergantung pada banyak faktor, termasuk jumlah project atau container yang Anda gunakan dan jumlah layanan Security Command Center yang Anda pilih untuk diaktifkan.

Latensi pemindaian

Saat menyiapkan Security Command Center, Anda memutuskan layanan bawaan dan terintegrasi mana yang akan diaktifkan, dan memilih resource Google Cloud yang ingin dianalisis, atau dipindai, untuk mendeteksi ancaman dan kerentanan. Saat API diaktifkan untuk project, layanan yang dipilih akan memulai pemindaiannya. Durasi pemindaian ini juga bergantung pada jumlah project di organisasi.

Temuan dari layanan bawaan tersedia saat pemindaian awal selesai. Layanan mengalami latensi seperti yang dijelaskan di bawah ini.

  • Container Threat Detection memiliki latensi berikut:
    • Latensi aktivasi hingga 3,5 jam untuk project atau organisasi yang baru diaktivasi.
    • Latensi aktivasi dalam hitungan menit untuk cluster yang baru dibuat.
    • Latensi deteksi dalam hitungan menit untuk ancaman di cluster yang telah diaktifkan.
  • Aktivasi Event Threat Detection terjadi dalam hitungan detik untuk pendeteksi bawaan. Untuk pendeteksi kustom baru atau yang diperbarui, perlu waktu hingga 15 menit agar perubahan diterapkan. Dalam praktiknya, proses ini biasanya memerlukan waktu kurang dari 5 menit.

    Untuk detektor bawaan atau kustom, latensi deteksi umumnya kurang dari 15 menit, sejak saat log ditulis saat temuan tersedia di Security Command Center.

  • Deteksi Kerentanan Cepat mulai memindai project dan menampilkan temuan dalam waktu 24 jam setelah diaktifkan untuk project tersebut.

  • Pemindaian Security Health Analytics dimulai sekitar satu jam setelah layanan diaktifkan. Pemindaian Security Health Analytics pertama dapat memerlukan waktu hingga 12 jam. Setelah itu, sebagian besar deteksi dijalankan secara real time terhadap perubahan konfigurasi aset (pengecualian dijelaskan dalam Latensi Deteksi Security Health Analytics).

  • VM Threat Detection memiliki latensi aktivasi hingga 48 jam untuk organisasi yang baru bergabung. Untuk project, latensi aktivasi hingga 15 menit.

  • Pemindaian Web Security Scanner dapat memerlukan waktu hingga 24 jam untuk dimulai setelah layanan diaktifkan dan berjalan setiap minggu setelah pemindaian pertama.

Security Command Center menjalankan detektor error, yang mendeteksi error konfigurasi yang terkait dengan Security Command Center dan layanannya. Pendeteksi error ini diaktifkan secara default dan tidak dapat dinonaktifkan. Latensi deteksi bervariasi bergantung pada detektor error. Untuk informasi selengkapnya, lihat Error pada Security Command Center.

Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari peran Security Command Center lebih lanjut, lihat Kontrol akses.

Temuan awal

Anda mungkin melihat beberapa temuan di Konsol Google Cloud saat pemindaian awal berlangsung, tetapi sebelum proses orientasi selesai.

Temuan awal akurat dan dapat ditindaklanjuti, tetapi tidak komprehensif. Menggunakan temuan ini untuk penilaian kepatuhan dalam 24 jam pertama tidak direkomendasikan.

Pemindaian berikutnya

Perubahan yang dibuat dalam organisasi atau project Anda, seperti memindahkan resource atau, untuk aktivasi tingkat organisasi, menambahkan folder dan project baru, biasanya tidak akan memengaruhi waktu penemuan resource atau runtime pemindaian secara signifikan. Namun, beberapa pemindaian dilakukan sesuai jadwal yang ditetapkan, yang menentukan seberapa cepat Security Command Center dapat mendeteksi perubahan.

  • Event Threat Detection dan Container Threat Detection: layanan ini berjalan secara real time saat diaktifkan dan segera mendeteksi resource baru atau yang diubah, seperti cluster, bucket, atau log, dalam project yang diaktifkan.
  • Deteksi Kerentanan Cepat melakukan pemindaian berikutnya setiap minggu sejak tanggal pemindaian pertama. Jika resource baru ditambahkan ke project di sela-sela pemindaian, kerentanan apa pun tidak akan ditemukan hingga pemindaian berikutnya.
  • Security Health Analytics: Security Health Analytics berjalan secara real time saat diaktifkan dan mendeteksi resource baru atau yang diubah dalam hitungan menit, tidak termasuk deteksi yang tercantum di bawah.
  • VM Threat Detection: Untuk pemindaian memori, VM Threat Detection memindai setiap instance VM segera setelah instance dibuat. Selain itu, VM Threat Detection memindai setiap instance VM setiap 30 menit.
    • Untuk deteksi penambangan mata uang kripto, VM Threat Detection menghasilkan satu temuan per proses, per VM, per hari. Setiap temuan hanya mencakup ancaman yang terkait dengan proses yang diidentifikasi oleh temuan tersebut. Jika VM Threat Detection menemukan ancaman, tetapi tidak dapat mengaitkannya dengan proses apa pun, maka, untuk setiap VM, Deteksi Ancaman VM mengelompokkan semua ancaman yang tidak terkait ke dalam satu temuan yang muncul sekali per periode 24 jam. Untuk ancaman yang bertahan lebih dari 24 jam, Deteksi Ancaman VM menghasilkan temuan baru setiap 24 jam sekali.
    • Untuk deteksi rootkit mode kernel, yang ada di Pratinjau, Deteksi Ancaman VM menghasilkan satu temuan per kategori, per VM, setiap tiga hari.

    Untuk pemindaian persistent disk, yang mendeteksi keberadaan malware yang diketahui, VM Threat Detection akan memindai setiap instance VM setidaknya setiap hari.

  • Web Security Scanner: Web Security Scanner berjalan setiap minggu, pada hari yang sama dengan pemindaian awal. Karena berjalan setiap minggu, Web Security Scanner tidak akan mendeteksi perubahan secara real time. Jika Anda memindahkan resource atau mengubah aplikasi, perubahan tersebut mungkin tidak akan terdeteksi hingga satu minggu. Anda dapat menjalankan pemindaian on demand untuk memeriksa resource baru atau yang diubah di antara pemindaian terjadwal.

Pendeteksi error Security Command Center berjalan secara berkala dalam mode batch. Frekuensi pemindaian batch bervariasi bergantung pada detektor error. Untuk mengetahui informasi selengkapnya, lihat Error pada Security Command Center.

Latensi Deteksi Analisis Kondisi Keamanan

Deteksi Security Health Analytics dijalankan secara berkala dalam mode batch setelah layanan diaktifkan, serta saat konfigurasi aset yang terkait berubah. Setelah Security Health Analytics diaktifkan, perubahan konfigurasi resource yang relevan akan menghasilkan pembaruan temuan kesalahan konfigurasi. Dalam beberapa kasus, update dapat memerlukan waktu beberapa menit, bergantung pada jenis aset dan perubahan.

Beberapa detektor Security Health Analytics tidak mendukung mode pemindaian langsung jika, misalnya, deteksi dijalankan terhadap informasi di luar konfigurasi resource. Deteksi ini, yang tercantum dalam tabel di bawah, berjalan secara berkala dan mengidentifikasi kesalahan konfigurasi dalam waktu 12 jam. Baca Kerentanan dan temuan untuk mengetahui detail selengkapnya tentang pendeteksi Analisis Kesehatan Keamanan.

Mendeteksi Security Health Analytics yang tidak mendukung mode pemindaian real-time
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
MFA_NOT_ENFORCED (sebelumnya bernama 2SV_NOT_ENFORCED)
OS_LOGIN_DISABLED
SQL_NO_ROOT_PASSWORD
SQL_WEAK_ROOT_PASSWORD

Simulasi jalur serangan

Simulasi jalur serangan berjalan kira-kira setiap enam jam. Seiring bertambahnya ukuran atau kompleksitas organisasi Google Cloud, waktu antarinterval dapat meningkat.

Saat Anda pertama kali mengaktifkan Security Command Center, simulasi jalur serangan akan menggunakan set resource bernilai tinggi default, yang mencakup semua jenis resource yang didukung dalam organisasi Anda.

Saat mulai menentukan set resource bernilai tinggi dengan membuat konfigurasi nilai resource, Anda mungkin akan melihat penurunan waktu antara interval simulasi jika jumlah instance resource dalam set resource bernilai tinggi lebih rendah daripada set default.

Langkah selanjutnya