Halaman ini menyediakan ringkasan tentang Security Command Center, sebuah solusi manajemen risiko yang, dengan tingkat Enterprise, menggabungkan operasi keamanan cloud dan keamanan perusahaan, serta memberikan insight dari keahlian Mandiant dan kecerdasan buatan Gemini.
Security Command Center memungkinkan analis pusat operasi keamanan (SOC), analis kerentanan dan postur, pengelola kepatuhan, serta profesional keamanan lainnya untuk menilai, menyelidiki, dan menanggapi masalah keamanan di berbagai lingkungan cloud dengan cepat.
Setiap deployment cloud memiliki risiko unik. Security Command Center dapat membantu Anda memahami dan mengevaluasi permukaan serangan project atau organisasi Anda di Google Cloud, serta permukaan serangan di lingkungan cloud Anda yang lain. Security Command Center yang telah dikonfigurasi dengan benar untuk melindungi resource Anda dapat membantu memahami kerentanan dan ancaman yang terdeteksi di lingkungan cloud Anda, serta memprioritaskan perbaikannya.
Security Command Center terintegrasi dengan banyak layanan Google Cloud untuk mendeteksi masalah keamanan di berbagai lingkungan cloud. Layanan ini mendeteksi masalah dengan berbagai cara, seperti memindai metadata resource, memindai log cloud, memindai container, dan memindai virtual machine.
Beberapa layanan terintegrasi ini, seperti Chronicle Security Operations dan Mandiant, juga memberikan kemampuan dan informasi yang penting untuk memprioritaskan dan mengelola investigasi serta respons Anda terhadap masalah yang terdeteksi.
Mengelola ancaman
Security Command Center menggunakan layanan Google Cloud bawaan dan terintegrasi untuk mendeteksi ancaman. Layanan ini memindai log, container, dan virtual machine Google Cloud Anda untuk mencari indikator ancaman.
Saat beberapa layanan ini, seperti Event Threat Detection atau Container Threat Detection, mendeteksi indikator ancaman, layanan tersebut akan mengeluarkan temuan. Temuan adalah laporan atau catatan dari ancaman individu atau masalah lain yang ditemukan oleh layanan di lingkungan cloud Anda. Layanan yang menemukan masalah juga disebut sebagai sumber temuan.
Temuan memicu notifikasi yang, bergantung pada tingkat keparahan temuan, dapat menghasilkan kasus. Anda dapat menggunakan kasus dengan sistem tiket untuk menugaskan pemilik ke investigasi dan merespons satu atau beberapa pemberitahuan dalam kasus tersebut. Pembuatan pemberitahuan dan kasus di Security Command Center didukung oleh Chronicle SecOps.
Security Command Center dapat mendeteksi ancaman di berbagai lingkungan cloud. Untuk mendeteksi ancaman di platform cloud lainnya, Security Command Center menyerap log dari penyedia lain setelah Anda terhubung. Penyerapan log didukung oleh Chronicle SecOps.
Untuk informasi selengkapnya, lihat halaman berikut:
Fitur deteksi dan respons ancaman
Dengan Security Command Center, analis SOC dapat mencapai tujuan keamanan berikut:
- Deteksi peristiwa di lingkungan cloud Anda yang menunjukkan potensi ancaman dan lakukan triase terhadap temuan atau pemberitahuan terkait.
- Tetapkan pemilik dan lacak progres investigasi dan respons dengan alur kerja kasus yang terintegrasi. Anda dapat mengintegrasikan sistem tiket pilihan Anda, seperti Jira atau ServiceNow.
- Selidiki pemberitahuan ancaman dengan kemampuan penelusuran yang canggih dan referensi silang.
- Tentukan alur kerja respons dan otomatiskan tindakan untuk mengatasi potensi serangan di lingkungan cloud Anda. Untuk mengetahui informasi selengkapnya tentang cara menentukan alur kerja respons dan tindakan otomatis dengan playbook, yang didukung oleh Chronicle SecOps, lihat Bekerja dengan playbook.
- Menonaktifkan atau mengecualikan temuan atau notifikasi yang merupakan positif palsu.
- Fokus pada ancaman yang terkait dengan identitas yang disusupi dan izin akses.
- Gunakan Security Command Center untuk mendeteksi, menyelidiki, dan merespons potensi ancaman di lingkungan cloud Anda yang lain, seperti AWS.
Mengelola kerentanan
Security Command Center menyediakan kemampuan deteksi kerentanan yang komprehensif dengan memanfaatkan berbagai layanan Google Cloud untuk memindai resource di lingkungan Anda secara otomatis guna menemukan kerentanan software, kesalahan konfigurasi, dan jenis masalah keamanan lainnya yang mungkin membuat Anda rentan diserang. Secara keseluruhan, jenis masalah ini disebut secara kolektif sebagai kerentanan.
Security Command Center menggunakan layanan Google Cloud bawaan dan terintegrasi untuk mendeteksi masalah keamanan. Layanan yang mengeluarkan temuan juga disebut sebagai sumber temuan. Saat mendeteksi masalah, layanan akan mengeluarkan temuan untuk mencatat masalah tersebut.
Secara default, kasus dibuka secara otomatis untuk temuan kerentanan dengan tingkat keparahan tinggi dan keparahan kritis guna membantu Anda memprioritaskan perbaikannya. Anda dapat menetapkan pemilik dan melacak progres upaya perbaikan dengan kasus.
Untuk informasi selengkapnya:
Kerentanan software
Untuk membantu Anda mengidentifikasi, memahami, dan memprioritaskan kerentanan software, Security Command Center dapat menilai kerentanan pada virtual machine (VM) dan container di lingkungan cloud Anda. Untuk setiap kerentanan yang terdeteksi, Security Command Center memberikan informasi mendalam dalam penemuan atau data temuan. Informasi yang diberikan dengan temuan dapat mencakup:
- Detail resource yang terpengaruh
- Informasi tentang catatan CVE terkait, termasuk penilaian dari Mandiant terhadap dampak dan eksploitasi item CVE
- Skor paparan serangan untuk membantu Anda memprioritaskan perbaikan
- Representasi visual dari jalur yang mungkin diambil penyerang ke resource bernilai tinggi yang terekspos oleh kerentanan
Kesalahan Konfigurasi
Security Command Center memetakan detektor layanan yang memindai kesalahan konfigurasi ke kontrol standar kepatuhan industri umum. Selain menunjukkan standar kepatuhan yang dilanggar oleh kesalahan konfigurasi, pemetaan ini memungkinkan Anda melihat tingkat kepatuhan Anda terhadap berbagai standar, yang kemudian dapat Anda ekspor sebagai laporan.
Untuk informasi selengkapnya, lihat Menilai dan melaporkan kepatuhan.
Pelanggaran postur
Security Command Center tingkat Premium dan Enterprise mencakup layanan postur keamanan, yang mengeluarkan temuan saat resource cloud Anda melanggar kebijakan yang ditentukan dalam pos keamanan yang Anda deploy di lingkungan cloud.
Untuk informasi selengkapnya, lihat Layanan postur keamanan.
Memvalidasi infrastruktur sebagai kode
Anda dapat memverifikasi bahwa file Infrastructure-as-Code (IaC) sesuai dengan kebijakan yang Anda tentukan dalam organisasi Google Cloud, termasuk kebijakan yang Anda tetapkan dalam postur keamanan. Fitur ini membantu memastikan Anda tidak men-deploy resource yang akan melanggar standar organisasi. Setelah menentukan kebijakan organisasi dan, jika perlu, mengaktifkan layanan Security Health Analytics, Anda dapat menggunakan Google Cloud CLI untuk memvalidasi file paket Terraform, atau mengintegrasikan proses validasi ke dalam alur kerja developer Action GitHub atau Jenkins Anda. Untuk informasi selengkapnya, lihat Memvalidasi IaC terhadap kebijakan organisasi.
Mendeteksi kerentanan dan kesalahan konfigurasi pada platform cloud lainnya
Security Command Center Enterprise dapat mendeteksi kerentanan di berbagai lingkungan cloud. Untuk mendeteksi kerentanan di penyedia layanan cloud lainnya, Anda harus membuat koneksi ke penyedia tersebut untuk menyerap metadata resource terlebih dahulu.
Untuk mengetahui informasi selengkapnya, lihat Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko.
Fitur pengelolaan kerentanan dan postur
Dengan Security Command Center, analis kerentanan, administrator postur, dan profesional keamanan serupa dapat mencapai tujuan keamanan berikut:
- Deteksi berbagai jenis kerentanan, termasuk kerentanan software, kesalahan konfigurasi, dan pelanggaran postur, yang dapat mengekspos lingkungan cloud Anda terhadap potensi serangan.
- Fokuskan respons dan upaya perbaikan Anda pada masalah risiko tertinggi menggunakan skor eksposur serangan pada temuan dan peringatan kerentanan.
- Tetapkan pemilik dan pantau progres perbaikan kerentanan dengan menggunakan kasus dan mengintegrasikan sistem tiket pilihan Anda, seperti Jira atau ServiceNow.
- Mengamankan resource bernilai tinggi secara proaktif di lingkungan cloud Anda dengan menurunkan skor eksposur serangan
- Tentukan postur keamanan kustom untuk lingkungan cloud yang digunakan Security Command Center untuk menilai postur Anda dan memberi tahu Anda tentang pelanggaran.
- Menonaktifkan atau mengecualikan temuan atau notifikasi yang merupakan positif palsu.
- Berfokus pada kerentanan yang terkait dengan identitas dan izin yang berlebihan.
- Deteksi dan kelola kerentanan dan penilaian risiko di Security Command Center untuk lingkungan cloud Anda yang lain, seperti AWS.
Menilai risiko dengan penskoran eksposur serangan dan jalur serangan
Dengan aktivasi tingkat organisasi dari tingkat Premium dan Enterprise, Security Command Center memberikan skor eksposur serangan untuk resource bernilai tinggi serta temuan kerentanan dan kesalahan konfigurasi yang memengaruhi resource bernilai tinggi.
Anda dapat menggunakan skor ini untuk memprioritaskan perbaikan kerentanan dan kesalahan konfigurasi, memprioritaskan keamanan resource bernilai tinggi yang paling terekspos, dan secara umum menilai seberapa terekspos lingkungan cloud Anda terhadap serangan.
Dalam panel Active kerentanan di halaman Risk overview di Konsol Google Cloud, tab Findings by attack exposure score, menunjukkan temuan yang memiliki skor eksposur serangan tertinggi di lingkungan Anda, serta distribusi skor temuan.
Untuk mengetahui informasi selengkapnya, baca artikel Skor eksposur serangan dan jalur serangan.
Mengelola temuan dan pemberitahuan dengan kasus
Security Command Center Enterprise membuat kasus untuk membantu Anda mengelola temuan dan pemberitahuan, menetapkan pemilik, serta mengelola investigasi dan respons terhadap masalah keamanan yang terdeteksi. Kasus dibuka secara otomatis untuk masalah yang memiliki tingkat keparahan tinggi dan tingkat keparahan kritis.
Anda dapat mengintegrasikan kasus dengan sistem tiket pilihan Anda, seperti Jira atau ServiceNow. Saat kasus diperbarui, setiap tiket terbuka untuk kasus tersebut dapat diperbarui secara otomatis. Demikian pula, jika tiket diperbarui, kasus yang sesuai juga dapat diperbarui.
Fungsi kasus ini didukung oleh Chronicle SecOps.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan kasus dalam dokumentasi SecOps Chronicle.
Menentukan alur kerja respons dan tindakan otomatis
Tentukan alur kerja respons dan otomatiskan tindakan untuk menyelidiki dan merespons masalah keamanan yang terdeteksi di lingkungan cloud Anda.
Untuk mengetahui informasi selengkapnya tentang cara menentukan alur kerja respons dan tindakan otomatis dengan playbook, yang didukung oleh Chronicle SecOps, lihat Bekerja dengan playbook.
Dukungan multicloud: Mengamankan deployment Anda di platform cloud lain
Anda dapat memperluas layanan dan kemampuan Security Command Center untuk mencakup deployment Anda di platform cloud lainnya, sehingga Anda dapat mengelola semua ancaman dan kerentanan yang terdeteksi di semua lingkungan cloud Anda di satu lokasi.
Untuk mengetahui informasi selengkapnya tentang cara menghubungkan Security Command Center ke penyedia layanan cloud lainnya, lihat halaman berikut:
- Untuk deteksi ancaman, lihat Menghubungkan ke AWS untuk deteksi ancaman
- Untuk mendeteksi kerentanan dan skor eksposur serangan, lihat artikel Terhubung ke AWS untuk deteksi kerentanan dan penilaian risiko
Penyedia layanan cloud yang didukung
Security Command Center dapat terhubung ke Amazon Web Services (AWS).
Menentukan dan mengelola postur keamanan
Dengan aktivasi tingkat organisasi pada Security Command Center tingkat Premium dan Enterprise, Anda dapat membuat dan mengelola postur keamanan yang menentukan status yang diperlukan untuk aset cloud Anda, termasuk jaringan cloud dan layanan cloud, untuk keamanan yang optimal di lingkungan cloud. Anda dapat menyesuaikan postur keamanan agar sesuai dengan kebutuhan keamanan dan peraturan bisnis Anda. Dengan menentukan postur keamanan, Anda dapat meminimalkan risiko pengamanan cyber terhadap organisasi dan membantu mencegah terjadinya serangan.
Anda menggunakan layanan postur keamanan Security Command Center untuk menentukan dan men-deploy postur keamanan serta mendeteksi setiap penyimpangan atau perubahan yang tidak sah dari postur yang Anda tentukan.
Layanan postur keamanan otomatis diaktifkan saat Anda mengaktifkan Security Command Center di tingkat organisasi.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan postur keamanan.
Identifikasi aset Anda
Security Command Center menyertakan informasi aset dari Inventaris Aset Cloud, yang terus memantau aset di lingkungan cloud Anda. Untuk sebagian besar aset, perubahan konfigurasi, termasuk kebijakan organisasi dan IAM, akan terdeteksi hampir secara real time.
Pada halaman Aset di Konsol Google Cloud, Anda dapat dengan cepat menerapkan, mengedit, dan menjalankan contoh kueri aset, menambahkan batasan waktu preset, atau menulis kueri aset Anda sendiri.
Jika memiliki Security Command Center tingkat Premium atau Enterprise, Anda dapat melihat aset mana yang ditetapkan sebagai resource bernilai tinggi untuk penilaian risiko dengan simulasi jalur serangan.
Anda dapat dengan cepat mengidentifikasi perubahan dalam organisasi atau project dan menjawab pertanyaan seperti:
- Berapa banyak proyek yang Anda miliki dan kapan proyek tersebut dibuat?
- Resource Google Cloud apa yang di-deploy atau sedang digunakan, seperti virtual machine (VM) Compute Engine, bucket Cloud Storage, atau instance App Engine?
- Bagaimana riwayat deployment Anda?
- Cara mengatur, memberi anotasi, menelusuri, memilih, memfilter, dan mengurutkan di
kategori berikut:
- Aset dan properti aset
- Tanda keamanan, yang memungkinkan Anda menganotasi aset atau temuan di Security Command Center
- Jangka waktu
Inventaris Aset Cloud selalu mengetahui status aset yang didukung saat ini dan, di Konsol Google Cloud, memungkinkan Anda meninjau pemindaian penemuan historis untuk membandingkan aset di antara titik waktu. Anda juga dapat mencari aset yang kurang digunakan, seperti virtual machine atau alamat IP nonaktif.
Fitur Gemini di Security Command Center
Security Command Center menggabungkan Gemini untuk menyediakan ringkasan temuan dan jalur serangan, serta membantu penelusuran dan investigasi terhadap ancaman dan kerentanan yang terdeteksi.
Untuk mengetahui informasi tentang Gemini, lihat ringkasan Gemini.
Ringkasan Gemini tentang temuan dan jalur serangan
Jika Anda menggunakan Security Command Center Enterprise atau Premium, Gemini memberikan penjelasan yang dihasilkan secara dinamis tentang setiap temuan dan setiap jalur serangan yang disimulasikan yang dihasilkan Security Command Center untuk temuan class Vulnerability
dan Misconfiguration
.
Ringkasan ditulis dalam bahasa yang wajar untuk membantu Anda memahami dan menindaklanjuti dengan cepat temuan dan jalur serangan apa pun yang mungkin menyertainya.
Ringkasan muncul di tempat berikut pada Konsol Google Cloud:
- Saat Anda mengklik nama temuan individual, ringkasan di bagian atas halaman detail temuan tersebut.
- Dengan Security Command Center tingkat Premium dan Enterprise, jika temuan memiliki skor eksposur serangan, Anda dapat menampilkan ringkasan di sebelah kanan jalur serangan dengan mengklik skor eksposur serangan, lalu ringkasan AI.
Izin IAM yang diperlukan untuk ringkasan yang dibuat AI
Untuk melihat ringkasan AI, Anda memerlukan izin IAM yang diperlukan.
Untuk temuan, Anda memerlukan izin IAM securitycenter.findingexplanations.get
. Peran IAM bawaan yang paling tidak permisif dan berisi izin ini adalah peran Security Center Findings Viewer (roles/securitycenter.findingsViewer
).
Untuk jalur serangan, Anda memerlukan izin IAM securitycenter.exposurepathexplan.get
. Peran IAM standar
yang paling permisif dan berisi izin ini adalah peran
Pembaca Jalur Eksposur Security Center
(roles/securitycenter.exposurePathsViewer
).
Selama pratinjau, izin ini tidak tersedia di Konsol Google Cloud untuk ditambahkan ke peran IAM khusus.
Untuk menambahkan izin ke peran khusus, Anda dapat menggunakan Google Cloud CLI.
Untuk mengetahui informasi tentang penggunaan Google Cloud CLI dalam menambahkan izin ke peran khusus, lihat artikel Membuat dan mengelola peran khusus.
Penelusuran natural language untuk investigasi ancaman
Anda dapat menghasilkan penelusuran untuk temuan ancaman, pemberitahuan, dan informasi lainnya menggunakan kueri natural language dan Gemini. Integrasi dengan Gemini untuk penelusuran natural language didukung oleh Chronicle SecOps. Untuk mengetahui informasi selengkapnya, lihat Menggunakan natural language untuk membuat kueri Penelusuran UDM dalam dokumentasi Chronicle SecOps.
Widget Investigasi AI untuk kasus
Untuk membantu Anda memahami dan menyelidiki kasus untuk menemukan temuan dan pemberitahuan, Gemini memberikan ringkasan dari setiap kasus dan menyarankan langkah berikutnya yang dapat Anda lakukan untuk menyelidiki kasus tersebut. Ringkasan dan langkah selanjutnya akan muncul di widget Investigasi AI saat Anda melihat kasus.
Integrasi dengan Gemini ini didukung oleh Chronicle SecOps.
Analisis keamanan yang dapat ditindaklanjuti
Layanan Google Cloud bawaan dan terintegrasi Security Command Center terus memantau aset dan log Anda untuk menemukan indikator perubahan konfigurasi dan penyusupan yang cocok dengan ancaman, kerentanan, dan kesalahan konfigurasi yang diketahui. Guna memberikan konteks untuk insiden, temuan diperkaya dengan informasi dari sumber berikut:
- Dengan tingkat Enterprise dan Premium:
- Ringkasan buatan AI yang membantu Anda memahami dan menindaklanjuti temuan Security Command Center serta jalur serangan apa pun yang disertakan dengannya. Untuk informasi selengkapnya, lihat ringkasan yang dibuat AI.
- Temuan kerentanan mencakup informasi dari entri CVE yang sesuai, termasuk skor CVE, dan penilaian dari Mandiant terhadap potensi dampak kerentanan, serta potensi untuk dieksploitasi.
- Kemampuan penelusuran SIEM dan SOAR yang andal yang didukung oleh Chronicle SecOps, yang memungkinkan Anda menyelidiki ancaman dan kerentanan serta melakukan perubahan kreatif melalui entitas terkait dalam linimasa terpadu.
- VirusTotal, layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Framework MITRE ATT&CK, yang menjelaskan teknik untuk serangan terhadap resource cloud dan memberikan panduan perbaikan.
- Cloud Audit Logs (Log Aktivitas Admin dan log Akses Data).
Anda akan mendapatkan notifikasi untuk temuan baru hampir secara real time, sehingga membantu tim keamanan Anda mengumpulkan data, mengidentifikasi ancaman, dan menindaklanjuti rekomendasi sebelum mengakibatkan kerusakan atau kerugian pada bisnis.
Dengan tampilan terpusat tentang postur keamanan dan API yang tangguh, Anda dapat dengan cepat melakukan hal berikut:
- Jawab pertanyaan seperti:
- Apa alamat IP statis yang terbuka untuk publik?
- Image apa yang berjalan di VM Anda?
- Apakah ada bukti bahwa VM Anda digunakan untuk penambangan mata uang kripto atau operasi penyalahgunaan lainnya?
- Akun layanan mana yang telah ditambahkan atau dihapus?
- Bagaimana {i>firewall<i} dikonfigurasi?
- Bucket penyimpanan mana yang berisi informasi identitas pribadi (PII) atau data sensitif? Fitur ini memerlukan integrasi dengan Perlindungan Data Sensitif.
- Aplikasi cloud manakah yang rentan terhadap kerentanan pembuatan skrip lintas situs (XSS)?
- Apakah ada bucket Cloud Storage saya yang terbuka ke internet?
- Ambil tindakan untuk melindungi aset Anda:
- Menerapkan langkah-langkah perbaikan terverifikasi untuk kesalahan konfigurasi aset dan pelanggaran kepatuhan.
- Gabungkan kecerdasan ancaman dari Google Cloud dan penyedia pihak ketiga, seperti Palo Alto Networks, untuk melindungi perusahaan Anda dengan lebih baik dari ancaman lapisan komputasi yang mahal.
- Pastikan kebijakan IAM yang sesuai diterapkan dan dapatkan pemberitahuan saat kebijakan salah dikonfigurasi atau tiba-tiba berubah.
- Integrasikan temuan dari sumber Anda sendiri atau sumber pihak ketiga untuk resource Google Cloud, atau resource hybrid atau multicloud lainnya. Untuk informasi selengkapnya, lihat Menambahkan layanan keamanan pihak ketiga.
- Tanggapi ancaman di lingkungan Google Workspace Anda dan perubahan yang tidak aman di Google Grup.
Kesalahan konfigurasi identitas dan akses
Security Command Center memudahkan Anda mengidentifikasi dan menyelesaikan temuan kesalahan konfigurasi akses dan identitas di Google Cloud. Pengelolaan masalah keamanan akses dan identitas terkadang disebut sebagai pengelolaan hak infrastruktur cloud (CIEM).
Temuan kesalahan konfigurasi Security Command Center mengidentifikasi akun utama (identities) yang salah dikonfigurasi atau yang diberi izin IAM yang berlebihan atau sensitif (identities) ke resource Google Cloud.
Anda dapat melihat temuan identitas dan akses yang paling parah di panel Identitas dan temuan akses di dekat bagian bawah halaman Ringkasan Security Command Center di Konsol Google Cloud.
Di halaman Kerentanan di Konsol Google Cloud, Anda dapat memilih preset kueri (kueri standar) yang menampilkan kategori atau detektor kerentanan yang terkait dengan identitas dan akses. Jumlah temuan aktif ditampilkan untuk setiap kategori.
Untuk mengetahui informasi selengkapnya tentang preset kueri, lihat Menerapkan preset kueri.
Mengelola kepatuhan terhadap standar industri
Security Command Center memantau kepatuhan Anda terhadap detektor yang dipetakan ke kontrol berbagai standar keamanan.
Untuk setiap standar keamanan yang didukung, Security Command Center memeriksa subset kontrol. Untuk kontrol yang dicentang, Security Command Center akan menampilkan jumlah yang lulus. Untuk kontrol yang tidak lulus, Security Command Center menampilkan daftar temuan yang menjelaskan kegagalan kontrol.
CIS meninjau dan menyetujui pemetaan detektor Security Command Center untuk setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan hanya disertakan untuk tujuan referensi.
Security Command Center menambahkan dukungan untuk versi dan standar benchmark baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak digunakan lagi. Sebaiknya gunakan tolok ukur atau standar terbaru yang didukung dan tersedia.
Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Analisis Kesehatan Keamanan ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau setiap perubahan pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.
Untuk informasi selengkapnya tentang mengelola kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.
Standar keamanan yang didukung di Google Cloud
Security Command Center memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0, dan v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Matriks Kontrol Cloud (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022, dan 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 dan R4
- NIST CSF 1.0
- Sepuluh Teratas Open Web Application Security Project (OWASP) 2021 dan 2017
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0 dan 3.2.1
- Kontrol Sistem dan Organisasi (SOC) 2 Kriteria Layanan Tepercaya (TSC) 2017
Standar keamanan yang didukung di AWS
Security Command Center memetakan detektor untuk Amazon Web Services (AWS) ke satu atau beberapa standar kepatuhan berikut:
- CIS Amazon Web Services Foundations 2.0.0
- Kontrol CIS 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 dan 3.2.1
- SOC 2 TSC 2017
Platform fleksibel untuk memenuhi kebutuhan keamanan Anda
Security Command Center mencakup opsi penyesuaian dan integrasi yang memungkinkan Anda meningkatkan utilitas layanan untuk memenuhi kebutuhan keamanan yang terus berkembang.
Opsi penyesuaian
Opsi penyesuaian mencakup:
- Buat modul kustom untuk Security Health Analytics guna menentukan aturan deteksi Anda sendiri untuk mengetahui kerentanan, kesalahan konfigurasi, atau pelanggaran kepatuhan.
- Buat modul kustom untuk Event Threat Detection guna memantau ancaman di aliran Logging Anda berdasarkan parameter yang Anda tentukan.
- Buat pose keamanan yang membantu Anda memantau perubahan lingkungan yang dapat memengaruhi kepatuhan Anda terhadap berbagai standar peraturan.
Opsi integrasi
Opsi integrasi meliputi:
- Gunakan Pub/Sub untuk mengekspor temuan ke Splunk atau SIEM lainnya untuk dianalisis.
- Gunakan Pub/Sub dan Cloud Functions untuk memulihkan temuan dengan cepat dan otomatis.
- Akses alat open source untuk memperluas fungsi dan mengotomatiskan respons.
- Lakukan integrasi dengan layanan keamanan Google Cloud, termasuk hal berikut:
- Berintegrasi dengan solusi keamanan partner pihak ketiga:
- Insight keamanan Google Cloud dari produk partner digabungkan dalam Security Command Center, dan Anda dapat memasukkannya ke sistem dan alur kerja yang ada.
Kapan harus menggunakan Security Command Center
Tabel berikut mencakup fitur produk tingkat tinggi, kasus penggunaan, dan link ke dokumentasi yang relevan untuk membantu Anda menemukan konten yang dibutuhkan dengan cepat.
Fitur | Kasus penggunaan | Dokumen terkait |
---|---|---|
Identifikasi dan ulasan aset |
|
Praktik terbaik Security Command Center |
Identifikasi data sensitif |
|
Mengirim hasil Perlindungan Data Sensitif ke Security Command Center |
Integrasi produk SIEM dan SOAR pihak ketiga |
|
Mengekspor data Security Command Center |
Deteksi miskonfigurasi |
|
Ringkasan Security Health Analytics
Ringkasan Web Security Scanner |
Deteksi kerentanan software |
|
Ringkasan Web Security Scanner |
Pemantauan identitas dan kontrol akses |
|
Pemberi Rekomendasi IAM |
Deteksi ancaman |
|
Mengelola ancaman |
Deteksi error |
|
Ringkasan error pada Security Command Center |
Memprioritaskan perbaikan |
|
Ringkasan skor eksposur serangan dan jalur serangan |
Mengatasi risiko |
|
Menyelidiki dan merespons ancaman
Memperbaiki temuan Security Health Analytics Memperbaiki temuan Web Security Scanner |
Manajemen postur |
|
Ringkasan postur keamanan |
Input alat keamanan pihak ketiga |
|
Mengonfigurasi Security Command Center |
Notifikasi real-time |
|
Menyiapkan notifikasi temuan Mengaktifkan notifikasi email dan chat real-time |
REST API dan SDK Klien |
|
Mengonfigurasi Security Command Center |
Kontrol residensi data
Untuk memenuhi persyaratan residensi data, saat mengaktifkan Security Command Center Premium untuk pertama kalinya, Anda dapat mengaktifkan kontrol residensi data.
Mengaktifkan kontrol residensi data akan membatasi penyimpanan dan pemrosesan temuan Security Command Center, aturan bisukan, ekspor berkelanjutan, dan ekspor BigQuery ke salah satu multi-region residensi data yang didukung Security Command Center.
Untuk mengetahui informasi selengkapnya, lihat Merencanakan residensi data.
Tingkat layanan Security Command Center
Security Command Center menawarkan tiga tingkat layanan: Standard, Premium, dan Enterprise.
Tingkat yang Anda pilih menentukan fitur dan layanan yang tersedia di Security Command Center.
Jika ada pertanyaan tentang tingkat layanan Security Command Center, hubungi perwakilan akun Anda atau bagian penjualan Google Cloud.
Untuk mengetahui informasi tentang biaya yang terkait dengan penggunaan tingkat Security Command Center, lihat Harga.
Paket Standar
Paket Standar mencakup layanan dan fitur berikut:
-
Security Health Analytics: pada paket Standar, Security Health Analytics menyediakan pemindaian penilaian kerentanan terkelola untuk Google Cloud yang dapat otomatis mendeteksi kerentanan dan kesalahan konfigurasi dengan tingkat keparahan tertinggi untuk aset Google Cloud Anda. Pada paket Standar, Security Health Analytics mencakup jenis temuan berikut:
Dataproc image outdated
Legacy authorization enabled
MFA not enforced
Non org IAM member
Open ciscosecure websm port
Open directory services port
Open firewall
Open group IAM member
Open RDP port
Open SSH port
Open Telnet port
Public bucket ACL
Public Compute image
Public dataset
Public IP address
Public log bucket
Public SQL instance
SSL not enforced
Web UI enabled
- Pemindaian kustom Web Security Scanner: pada paket Standard, Web Security Scanner mendukung pemindaian kustom aplikasi yang di-deploy dengan URL publik dan alamat IP yang tidak berada di balik firewall. Pemindaian dikonfigurasi, dikelola, dan dijalankan secara manual untuk semua project, serta mendukung subkumpulan kategori dalam Sepuluh Teratas OWASP.
- Error pada Security Command Center: Security Command Center menyediakan panduan deteksi dan perbaikan untuk error konfigurasi yang mencegah Security Command Center dan layanannya berfungsi dengan baik.
- Fitur Continuous Exports, yang otomatis mengelola ekspor temuan baru ke Pub/Sub.
-
Akses ke layanan Google Cloud terintegrasi, termasuk:
- Sensitive Data Protection menemukan, mengklasifikasi, dan melindungi data sensitif.
- Google Cloud Armor melindungi deployment Google Cloud dari ancaman.
- Deteksi Anomali mengidentifikasi anomali keamanan untuk project dan instance virtual machine (VM), seperti potensi kebocoran kredensial dan penambangan mata uang kripto.
- Pengontrol Kebijakan memungkinkan aplikasi dan penerapan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda.
- Temuan dasbor postur keamanan GKE: lihat temuan tentang kesalahan konfigurasi keamanan workload Kubernetes, buletin keamanan yang dapat ditindaklanjuti, dan kerentanan dalam sistem operasi container atau dalam paket bahasa. Integrasi temuan dasbor postur keamanan GKE dengan Security Command Center tersedia di Pratinjau.
- Integrasi dengan BigQuery, yang mengekspor temuan ke BigQuery untuk dianalisis.
- Integrasi dengan Forseti Security, toolkit keamanan open source untuk Google Cloud, serta aplikasi informasi keamanan dan manajemen peristiwa (SIEM) pihak ketiga.
- Saat Security Command Center diaktifkan pada tingkat organisasi, Anda dapat memberi pengguna peran IAM di tingkat organisasi, folder, dan project.
Paket premium
Paket Premium mencakup semua layanan dan fitur tingkat Standar serta layanan dan fitur tambahan berikut:
- Simulasi jalur serangan membantu Anda mengidentifikasi dan memprioritaskan temuan kerentanan dan kesalahan konfigurasi dengan mengidentifikasi jalur yang dapat diambil oleh calon penyerang untuk mencapai resource bernilai tinggi. Simulasi ini menghitung dan menetapkan skor eksposur serangan untuk temuan apa pun yang mengekspos resource tersebut. Jalur serangan interaktif membantu Anda memvisualisasikan kemungkinan jalur serangan dan memberikan informasi tentang jalur, temuan terkait, dan resource yang terpengaruh.
-
Temuan kerentanan mencakup penilaian CVE yang diberikan oleh Mandiant untuk membantu Anda memprioritaskan perbaikannya.
Pada halaman Ringkasan di konsol, bagian Temuan CVE teratas menampilkan temuan kerentanan yang dikelompokkan berdasarkan eksploitasi dan potensi dampaknya, seperti yang dinilai oleh Mandiant. Di halaman Penemuan, Anda dapat mengkueri temuan berdasarkan ID CVE.
Untuk mengetahui informasi selengkapnya, lihat Membuat prioritas berdasarkan dampak dan eksploitasi CVE.
- Event Threat Detection memantau Cloud Logging dan Google Workspace, menggunakan kecerdasan ancaman, machine learning, dan metode canggih lainnya untuk mendeteksi ancaman, seperti malware, penambangan mata uang kripto, dan pemindahan data yang tidak sah. Untuk daftar lengkap detektor Event Threat Detection bawaan, lihat aturan Deteksi Ancaman Peristiwa. Anda juga dapat membuat detektor Deteksi Ancaman Peristiwa kustom. Untuk mengetahui informasi tentang template modul yang dapat Anda gunakan untuk membuat aturan deteksi kustom, lihat Ringkasan modul kustom untuk Event Threat Detection.
-
Container Threat Detection mendeteksi serangan runtime container berikut:
- Biner Dijalankan Ditambahkan
- Koleksi Ditambahkan Telah Dimuat
- Eksekusi: Menambahkan Biner Berbahaya yang Dijalankan
- Eksekusi: Menambahkan Library Berbahaya Dimuat
- Eksekusi: Eksekusi Biner Berbahaya Bawaan
- Eksekusi: Modifikasi Biner Berbahaya Dieksekusi
- Eksekusi: Library Berbahaya yang Dimodifikasi Dimuat
- Skrip Berbahaya Dieksekusi
- Reverse Shell
- Shell Turunan yang Tidak Terduga
- Layanan Tindakan Sensitif mendeteksi saat tindakan diambil di organisasi, folder, dan project Google Cloud Anda yang dapat membahayakan bisnis Anda jika dilakukan oleh pelaku kejahatan.
- Virtual Machine Threat Detection mendeteksi aplikasi yang berpotensi membahayakan yang berjalan di instance VM.
-
Security Health Analytics di paket Premium mencakup fitur berikut:
- Pemindaian kerentanan yang terkelola untuk semua pendeteksi Security Health Analytics
- Pemantauan untuk berbagai praktik terbaik industri
- Pemantauan kepatuhan. Pendeteksi Security Health Analytics dipetakan ke kontrol tolok ukur keamanan umum.
- Dukungan modul kustom, yang dapat Anda gunakan untuk membuat pendeteksi Analisis Kondisi Keamanan kustom Anda sendiri.
Dalam paket Premium, Security Health Analytics mendukung standar yang dijelaskan dalam Mengelola kepatuhan terhadap standar industri.
- Web Security Scanner dalam paket Premium mencakup semua fitur paket Standar dan detektor tambahan yang mendukung kategori dalam Sepuluh Teratas OWASP. Web Security Scanner juga menambahkan pemindaian terkelola yang dikonfigurasi secara otomatis.
Pemantauan kepatuhan di seluruh aset Google Cloud Anda.
Untuk mengukur kepatuhan Anda terhadap tolok ukur dan standar keamanan umum, detektor pemindai kerentanan Security Command Center dipetakan ke kontrol standar keamanan umum.
Anda dapat melihat kepatuhan Anda terhadap standar, mengidentifikasi kontrol yang tidak mematuhi kebijakan, laporan ekspor, dan lainnya. Untuk mengetahui informasi selengkapnya, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.
- Anda dapat meminta kuota Inventaris Aset Cloud tambahan jika terdapat kebutuhan untuk pemantauan aset yang diperpanjang.
- Deteksi Kerentanan Cepat memindai jaringan dan aplikasi web untuk mendeteksi kredensial yang lemah, penginstalan software yang tidak lengkap, dan kerentanan kritis lainnya yang kemungkinan besar dieksploitasi.
- Layanan postur keamanan dapat Anda gunakan untuk menentukan, menilai, dan memantau status keamanan Anda secara keseluruhan di Google Cloud. Layanan Postur keamanan hanya tersedia di paket Premium Security Command Center bagi pelanggan yang membeli langganan dengan harga tetap dan mengaktifkan paket Premium Security Command Center di level organisasi. Layanan postur Keamanan tidak mendukung penagihan berbasis penggunaan atau aktivitas level project.
- Layanan Zona Landing Aman hanya dapat diaktifkan di paket Premium Security Command Center. Saat diaktifkan, layanan ini akan menampilkan temuan jika ada pelanggaran kebijakan di resource blueprint yang di-deploy, menghasilkan pemberitahuan yang sesuai, dan mengambil tindakan perbaikan otomatis secara selektif.
- Laporan kerentanan Pengelola VM
- Jika Anda mengaktifkan VM Manager, layanan ini akan otomatis menulis temuan dari laporan kerentanan-nya, yang sedang dalam pratinjau, ke Security Command Center. Laporan tersebut mengidentifikasi kerentanan dalam sistem operasi yang diinstal pada virtual machine Compute Engine. Untuk mengetahui informasi selengkapnya, lihat Pengelola VM.
Paket Enterprise
Tingkat Enterprise adalah platform perlindungan aplikasi berbasis cloud lengkap (CNAPP) yang memungkinkan analis SOC, analis kerentanan, dan profesional keamanan cloud lainnya mengelola keamanan di berbagai penyedia layanan cloud di satu tempat terpusat.
Tingkat Enterprise menawarkan kemampuan deteksi dan investigasi, dukungan manajemen kasus, dan pengelolaan postur, termasuk kemampuan untuk menentukan dan men-deploy aturan postur kustom serta mengukur dan memvisualisasikan risiko yang ditimbulkan oleh kerentanan dan kesalahan konfigurasi pada lingkungan cloud Anda.
Tingkat Enterprise mencakup semua layanan dan fitur tingkat Standar dan Premium, serta layanan dan fitur tambahan berikut:
Fungsi tingkat perusahaan yang didukung oleh Chronicle Security Operations
Fungsi pengelolaan kasus, fitur playbook, serta fungsi SIEM dan SOAR lainnya dari tingkat Enterprise pada Security Command Center didukung oleh Chronicle Security Operations. Saat menggunakan beberapa fitur dan fungsi tersebut, Anda mungkin melihat nama Chronicle di antarmuka web dan mungkin akan diarahkan ke dokumentasi Chronicle SecOps untuk mendapatkan panduan.
Fitur SecOps Chronicle tertentu tidak didukung atau dibatasi dengan Security Command Center, tetapi penggunaannya mungkin tidak dinonaktifkan atau dibatasi pada langganan awal tingkat Enterprise. Gunakan fitur dan fungsi berikut hanya sesuai dengan batasan yang dinyatakan:
- Penyerapan log cloud terbatas pada log yang relevan untuk
deteksi ancaman cloud, seperti berikut;
- Google Cloud
- Log Aktivitas Admin Cloud Audit Logs
- Log Akses Data Cloud Audit Logs
- Syslog Compute Engine
- Log Audit GKE
- Google Workspace
- Acara Google Workspace
- Pemberitahuan Google Workspace
- AWS
- Log audit CloudTrail
- {i>Syslog<i}
- Log Auth
- Peristiwa GuardDuty
- Deteksi pilihan terbatas pada deteksi yang mendeteksi ancaman di lingkungan cloud.
- Integrasi Google Cloud Marketplace dibatasi pada hal berikut:
- Contohkan
- Alat
- VirusTotal V3
- Inventaris Aset Google Cloud
- Google Security Command Center
- Jira
- Functions
- IAM Google Cloud
- Email V2
- Komputasi Google Cloud
- Google Chronicle
- Att&n Mitre
- Mandiant Threat Intelligence
- Google Cloud Policy Intelligence
- Pemberi Rekomendasi Google Cloud
- Utilitas Siemplify
- Layanan Sekarang
- CSV
- SCC Perusahaan
- IAM AWS
- AWS EC2
- Jumlah aturan peristiwa tunggal kustom dibatasi hingga 20 aturan.
- Analisis Risiko untuk UEBA (analisis perilaku pengguna dan entitas) tidak tersedia.
- Kecerdasan Ancaman Terapan tidak tersedia.
- Dukungan Gemini untuk Chronicle SecOps terbatas pada ringkasan investigasi kasus dan penelusuran bahasa alami.
- Retensi data dibatasi hingga tiga bulan.
Ringkasan fungsi dan layanan tingkat perusahaan
Tingkat Enterprise mencakup semua layanan dan fitur tingkat Standar dan Premium yang dirilis ke Ketersediaan Umum.
Tingkat Enterprise menambahkan layanan dan fitur berikut ke Security Command Center:
- Dukungan multicloud. Anda dapat menghubungkan Security Command Center ke penyedia cloud lain, seperti AWS, untuk mendeteksi ancaman, kerentanan, dan kesalahan konfigurasi. Selain itu, setelah menentukan resource bernilai tinggi di penyedia lain, Anda juga dapat menilai potensi serangannya terhadap serangan dengan skor eksposur serangan dan jalur serangan.
- Kemampuan SIEM (informasi keamanan dan pengelolaan peristiwa) untuk lingkungan cloud, didukung oleh Chronicle SecOps. Pindai log dan data lainnya untuk mendeteksi ancaman di beberapa lingkungan cloud, tentukan aturan deteksi ancaman, dan telusuri data yang terakumulasi. Untuk mengetahui informasi selengkapnya, lihat dokumentasi SIEM Chronicle SecOps.
- Kemampuan SOAR (orkestrasi, otomatisasi, dan respons keamanan) untuk lingkungan cloud, yang didukung oleh Chronicle SecOps. Kelola kasus, tentukan alur kerja respons, dan telusuri data respons. Untuk mengetahui informasi selengkapnya, lihat dokumentasi SOAR Chronicle SecOps.
- Deteksi kerentanan software yang lebih luas dalam VM dan container di seluruh lingkungan cloud Anda dengan Vulnerability Assessment, VM Manager, dan edisi Google Kubernetes Engine (GKE) Enterprise.
Level aktivasi Security Command Center
Anda dapat mengaktifkan Security Command Center pada setiap project, yang disebut sebagai aktivasi level project, atau seluruh organisasi, yang dikenal sebagai aktivasi tingkat organisasi.
Tingkat Enterprise memerlukan aktivasi tingkat organisasi.
Untuk informasi selengkapnya tentang mengaktifkan Security Command Center, lihat Ringkasan mengaktifkan Security Command Center.
Langkah selanjutnya
- Pelajari cara mengaktifkan Security Command Center.
- Pelajari sumber keamanan Security Command Center lebih lanjut.
- Pelajari cara menggunakan Security Command Center di Konsol Google Cloud.