Layanan deteksi

Halaman ini berisi daftar layanan deteksi, yang terkadang juga disebut sebagai sumber keamanan, yang digunakan Security Command Center untuk mendeteksi masalah keamanan di lingkungan cloud Anda.

Saat mendeteksi masalah, layanan ini akan menghasilkan temuan, yaitu data yang mengidentifikasi masalah keamanan dan memberi Anda informasi yang diperlukan untuk memprioritaskan dan menyelesaikan masalah.

Anda dapat melihat temuan di konsol Google Cloud dan memfilternya dengan berbagai cara, seperti dengan menemukan jenis, jenis resource, atau untuk aset tertentu. Setiap sumber keamanan mungkin menyediakan lebih banyak filter untuk membantu Anda mengatur temuan.

Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang Anda terima. Untuk mempelajari peran Security Command Center lebih lanjut, lihat Kontrol akses.

Layanan deteksi kerentanan

Layanan deteksi kerentanan mencakup layanan bawaan dan terintegrasi yang mendeteksi kerentanan software, kesalahan konfigurasi, dan pelanggaran postur di lingkungan cloud Anda. Secara kolektif, jenis masalah keamanan ini disebut sebagai kerentanan.

Dasbor postur keamanan GKE

Dasbor postur keamanan GKE adalah halaman di konsol Google Cloud yang memberikan temuan opini yang dapat ditindaklanjuti tentang potensi masalah keamanan di cluster GKE Anda.

Jika Anda mengaktifkan salah satu fitur dasbor postur keamanan GKE berikut, Anda akan melihat temuan di paket Security Command Center Standar atau paket Premium:

Fitur dasbor postur keamanan GKE Class temuan Security Command Center
Audit konfigurasi workload MISCONFIGURATION
VULNERABILITY

Temuan ini menampilkan informasi tentang masalah keamanan dan memberikan rekomendasi untuk menyelesaikan masalah di workload atau cluster Anda.

Melihat temuan dasbor postur keamanan GKE di konsol

Konsol Google Cloud

  1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih GKE Security Posture. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Konsol Security Operations

  1. Di konsol Security Operations, buka halaman Temuan.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  3. Pilih Postur Keamanan GKE. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Pemberi rekomendasi IAM

Pemberi rekomendasi IAM mengeluarkan rekomendasi yang dapat Anda ikuti untuk meningkatkan keamanan dengan menghapus atau mengganti peran IAM dari akun utama jika peran tersebut berisi izin IAM yang tidak diperlukan akun utama.

Rekomendasi IAM otomatis diaktifkan saat Anda mengaktifkan Security Command Center.

Mengaktifkan atau menonaktifkan temuan perekomendasikan IAM

Untuk mengaktifkan atau menonaktifkan temuan perekomendasikan IAM di Security Command Center, ikuti langkah-langkah berikut:

  1. Buka tab Layanan terintegrasi di halaman Setelan Security Command Center di konsol Google Cloud:

    Buka Setelan

  2. Jika perlu, scroll ke bawah ke entri IAM recommender.

  3. Di sebelah kanan entri, pilih Enable atau Disable.

Temuan dari pemberi rekomendasi IAM diklasifikasikan sebagai kerentanan.

Untuk memperbaiki temuan pemberi rekomendasi IAM, luaskan bagian berikut untuk melihat tabel temuan pemberi rekomendasi IAM. Langkah-langkah perbaikan untuk setiap temuan disertakan dalam entri tabel.

Melihat temuan pemberi rekomendasi IAM di konsol

Konsol Google Cloud

  1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih IAM Recommender. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Konsol Security Operations

  1. Di konsol Security Operations, buka halaman Temuan.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  3. Pilih Pemberi Rekomendasi IAM. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Di konsol Google Cloud, Anda juga dapat melihat temuan rekomendasi IAM di halaman Vulnerabilities dengan memilih preset kueri IAM recommender.

Mandiant Attack Surface Management

Mandiant adalah pemimpin dunia dalam kecerdasan ancaman frontline. Mandiant Attack Surface Management mengidentifikasi kerentanan dan kesalahan konfigurasi di permukaan serangan eksternal Anda untuk membantu Anda tetap mendapatkan informasi terbaru tentang serangan cyber terbaru.

Mandiant Attack Surface Management diaktifkan secara otomatis saat Anda mengaktifkan tingkat Security Command Center Enterprise dan temuan tersedia di konsol Google Cloud.

Untuk mengetahui perbedaan produk Mandiant Attack Surface Management mandiri dengan integrasi Mandiant Attack Surface Management dalam Security Command Center, lihat ASM dan Security Command Center di portal dokumentasi Mandiant. Link ini memerlukan autentikasi Mandiant.

Meninjau temuan Mandiant Attack Surface Management di konsol

Konsol Google Cloud

  1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih Mandiant Attack Surface Management. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Konsol Security Operations

  1. Di konsol Security Operations, buka halaman Temuan.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  3. Pilih Mandiant Attack Surface Management. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Pengontrol Kebijakan

Pengontrol Kebijakan memungkinkan penerapan dan penegakan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda. Kebijakan ini berfungsi sebagai pengaman dan dapat membantu pengelolaan praktik terbaik, keamanan, dan kepatuhan cluster dan armada Anda.

Jika Anda menginstal Pengontrol Kebijakan, dan mengaktifkan paket Pengontrol Kebijakan CIS Kubernetes Benchmark v1.5.1 atau PCI-DSS v3.2.1, atau keduanya, Pengontrol Kebijakan akan otomatis menulis pelanggaran cluster ke Security Command Center sebagai temuan class Misconfiguration. Deskripsi temuan dan langkah berikutnya dalam temuan Security Command Center sama dengan deskripsi batasan dan langkah perbaikan dari paket Pengontrol Kebijakan yang sesuai.

Temuan Pengontrol Kebijakan berasal dari paket Pengontrol Kebijakan berikut:

Untuk menemukan dan memperbaiki temuan Pengontrol Kebijakan, lihat Memperbaiki temuan Pengontrol Kebijakan.

Mesin Risiko

Mesin Risiko Security Command Center menilai eksposur risiko deployment cloud Anda, menetapkan skor eksposur serangan ke temuan kerentanan dan resource bernilai tinggi Anda, serta membuat diagram jalur yang dapat diambil oleh penyerang potensial untuk menjangkau resource bernilai tinggi Anda.

Di tingkat Enterprise Security Command Center, Mesin Risiko mendeteksi grup masalah keamanan yang, jika terjadi bersama-sama dalam pola tertentu, akan membuat jalur ke satu atau beberapa resource bernilai tinggi Anda yang berpotensi digunakan oleh penyerang yang bertekad untuk menjangkau dan membahayakan resource tersebut.

Saat mendeteksi salah satu kombinasi ini, Mesin Risiko akan mengeluarkan temuan class TOXIC_COMBINATION. Dalam temuan, Mesin Risiko tercantum sebagai sumber temuan.

Untuk informasi selengkapnya, lihat Ringkasan kombinasi beracun.

Security Health Analytics

Security Health Analytics adalah layanan deteksi bawaan Security Command Center yang menyediakan pemindaian terkelola resource cloud Anda untuk mendeteksi kesalahan konfigurasi umum.

Saat kesalahan konfigurasi terdeteksi, Security Health Analytics akan mengeluarkan temuan. Sebagian besar temuan Security Health Analytics dipetakan ke kontrol standar keamanan sehingga Anda dapat menilai kepatuhan.

Security Health Analytics memindai resource Anda di Google Cloud. Jika Anda menggunakan tingkat Enterprise dan membuat koneksi ke platform cloud lainnya, Security Health Analytics juga dapat memindai resource Anda di platform cloud tersebut.

Bergantung pada tingkat layanan Security Command Center yang Anda gunakan, pendeteksi yang tersedia akan berbeda:

Security Health Analytics otomatis diaktifkan saat Anda mengaktifkan Security Command Center.

Untuk informasi selengkapnya, lihat:

Layanan postur keamanan

Layanan postur keamanan adalah layanan bawaan untuk paket Security Command Center Premium yang memungkinkan Anda menentukan, menilai, dan memantau status keamanan secara keseluruhan di Google Cloud. Laporan ini memberikan informasi tentang bagaimana lingkungan Anda selaras dengan kebijakan yang Anda tentukan dalam postur keamanan.

Layanan postur keamanan tidak terkait dengan dasbor postur keamanan GKE, yang hanya menampilkan temuan di cluster GKE.

Sensitive Data Protection

Perlindungan Data Sensitif adalah layanan Google Cloud terkelola sepenuhnya yang membantu Anda menemukan, mengklasifikasikan, dan melindungi data sensitif Anda. Anda dapat menggunakan Perlindungan Data Sensitif untuk menentukan apakah Anda menyimpan informasi sensitif atau informasi identitas pribadi (PII), seperti berikut:

  • Nama orang
  • Nomor kartu kredit
  • Nomor KTP atau tanda pengenal negara bagian
  • Nomor ID asuransi kesehatan
  • Rahasia

Di Sensitive Data Protection, setiap jenis data sensitif yang Anda telusuri disebut infoType.

Jika mengonfigurasi operasi Sensitive Data Protection untuk mengirim hasil ke Security Command Center, Anda dapat melihat temuan langsung di bagian Security Command Center di konsol Google Cloud, selain di bagian Sensitive Data Protection.

Temuan kerentanan dari layanan penemuan Sensitive Data Protection

Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda menyimpan data yang sangat sensitif yang tidak dilindungi.

Kategori Ringkasan

Public sensitive data

Nama kategori di API:

PUBLIC_SENSITIVE_DATA

Deskripsi temuan: Resource yang ditentukan memiliki data sensitivitas tinggi yang dapat diakses oleh siapa saja di internet.

Aset yang didukung:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Penyelesaian:

Untuk data Google Cloud, hapus allUsers dan allAuthenticatedUsers dari kebijakan IAM aset data.

Untuk data Amazon S3, konfigurasi setelan blokir akses publik atau perbarui ACL objek untuk menolak akses baca publik.

Standar kepatuhan: Tidak dipetakan

Secrets in environment variables

Nama kategori di API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial Google Cloud—di variabel lingkungan.

Untuk mengaktifkan detektor ini, lihat Melaporkan secret dalam variabel lingkungan ke Security Command Center dalam dokumentasi Perlindungan Data Sensitif.

Aset yang didukung:

Penyelesaian:

Untuk variabel lingkungan fungsi Cloud Run, hapus secret dari variabel lingkungan dan simpan di Secret Manager.

Untuk variabel lingkungan revisi layanan Cloud Run, pindahkan semua traffic dari revisi, lalu hapus revisi.

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Nama kategori di API:

SECRETS_IN_STORAGE

Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial cloud—di resource yang ditentukan.

Aset yang didukung:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Penyelesaian:

  1. Untuk data Google Cloud, gunakan Perlindungan Data Sensitif untuk menjalankan pemindaian pemeriksaan mendalam pada resource yang ditentukan guna mengidentifikasi semua resource yang terpengaruh. Untuk data Cloud SQL, ekspor data tersebut ke file CSV atau AVRO di bucket Cloud Storage dan jalankan pemindaian pemeriksaan mendalam pada bucket.

    Untuk data Amazon S3, periksa bucket yang ditentukan secara manual.

  2. Hapus secret yang terdeteksi.
  3. Pertimbangkan untuk mereset kredensial.
  4. Untuk data Google Cloud, sebaiknya simpan secret yang terdeteksi di Secret Manager.

Standar kepatuhan: Tidak dipetakan

Temuan pengamatan dari Perlindungan Data Sensitif

Bagian ini menjelaskan temuan pengamatan yang dihasilkan oleh Perlindungan Data Sensitif di Security Command Center.

Temuan pengamatan dari layanan penemuan

Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah data Anda berisi infoType tertentu dan tempatnya berada di organisasi, folder, dan project Anda. Tindakan ini akan menghasilkan kategori temuan pengamatan berikut di Security Command Center:

Data sensitivity
Indikasi tingkat sensitivitas data dalam aset data tertentu. Data bersifat sensitif jika berisi PII atau elemen lain yang mungkin memerlukan kontrol atau pengelolaan tambahan. Tingkat keparahan temuan adalah tingkat sensitivitas yang dihitung oleh Perlindungan Data Sensitif saat membuat profil data.
Data risk
Risiko yang terkait dengan data dalam statusnya saat ini. Saat menghitung risiko data, Sensitive Data Protection mempertimbangkan tingkat sensitivitas data dalam aset data dan keberadaan kontrol akses untuk melindungi data tersebut. Tingkat keparahan temuan adalah tingkat risiko data yang dihitung oleh Perlindungan Data Sensitif saat membuat profil data.

Sejak Sensitive Data Protection membuat profil data, mungkin perlu waktu hingga enam jam agar temuan terkait muncul di Security Command Center.

Untuk informasi tentang cara mengirim hasil profil data ke Security Command Center, lihat hal berikut:

Temuan pengamatan dari layanan pemeriksaan Perlindungan Data Sensitif

Tugas pemeriksaan Perlindungan Data Sensitif mengidentifikasi setiap instance data infoType tertentu dalam sistem penyimpanan seperti bucket Cloud Storage atau tabel BigQuery. Misalnya, Anda dapat menjalankan tugas pemeriksaan yang menelusuri semua string yang cocok dengan detektor infoType CREDIT_CARD_NUMBER di bucket Cloud Storage.

Untuk setiap detektor infoType yang memiliki satu atau beberapa kecocokan, Perlindungan Data Sensitif akan menghasilkan temuan Security Command Center yang sesuai. Kategori temuan adalah nama pendeteksi infoType yang memiliki kecocokan—misalnya, Credit card number. Temuan ini mencakup jumlah string yang cocok yang terdeteksi dalam teks atau gambar di resource.

Untuk alasan keamanan, string sebenarnya yang terdeteksi tidak disertakan dalam temuan. Misalnya, temuan Credit card number menunjukkan jumlah nomor kartu kredit yang ditemukan, tetapi tidak menampilkan nomor kartu kredit yang sebenarnya.

Karena ada lebih dari 150 detektor infoType bawaan di Perlindungan Data Sensitif, semua kemungkinan kategori temuan Security Command Center tidak tercantum di sini. Untuk mengetahui daftar lengkap detektor infoType, lihat Referensi detektor InfoType.

Untuk informasi tentang cara mengirim hasil tugas pemeriksaan ke Security Command Center, lihat Mengirim hasil tugas pemeriksaan Perlindungan Data Sensitif ke Security Command Center.

Meninjau temuan Perlindungan Data Sensitif di konsol

Konsol Google Cloud

  1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih Sensitive Data Protection. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Konsol Security Operations

  1. Di konsol Security Operations, buka halaman Temuan.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  3. Pilih Perlindungan Data Sensitif. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

VM Manager

VM Manager adalah serangkaian alat yang dapat digunakan untuk mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine.

Untuk menggunakan VM Manager dengan aktivasi level project Security Command Center Premium, aktifkan Security Command Center Standar di organisasi induk.

Jika Anda mengaktifkan VM Manager dengan paket Security Command Center Premium, VM Manager akan otomatis menulis temuan high dan critical dari laporan kerentanan-nya, yang berada dalam pratinjau, ke Security Command Center. Laporan ini mengidentifikasi kerentanan dalam sistem operasi (OS) yang diinstal di VM, termasuk Kerentanan dan Eksposur Umum (CVE).

Laporan kerentanan tidak tersedia untuk Security Command Center Standar.

Temuan menyederhanakan proses penggunaan fitur Kepatuhan Patch VM Manager, yang masih dalam pratinjau. Fitur ini memungkinkan Anda melakukan pengelolaan patch di tingkat organisasi di seluruh semua project Anda. VM Manager mendukung pengelolaan patch di satu tingkat project.

Untuk memperbaiki temuan VM Manager, lihat Memperbaiki temuan VM Manager.

Untuk menghentikan laporan kerentanan agar tidak ditulis ke Security Command Center, lihat Menonaktifkan temuan VM Manager.

Semua kerentanan jenis ini terkait dengan paket sistem operasi yang diinstal di VM Compute Engine yang didukung.

Pendeteksi Ringkasan Setelan pemindaian aset

OS vulnerability

Nama kategori di API: OS_VULNERABILITY

Deskripsi temuan: VM Manager mendeteksi kerentanan dalam paket sistem operasi (OS) yang diinstal untuk VM Compute Engine.

Paket harga: Premium

Aset yang didukung

compute.googleapis.com/Instance

Perbaiki temuan ini

Laporan kerentanan VM Manager menjelaskan kerentanan dalam paket sistem operasi terinstal untuk VM Compute Engine, termasuk Common Vulnerabilities and Exposures (CVE).

Untuk mengetahui daftar lengkap sistem operasi yang didukung, lihat Detail sistem operasi.

Temuan akan muncul di Security Command Center segera setelah kerentanan terdeteksi. Laporan kerentanan di VM Manager dibuat sebagai berikut:

  • Saat paket diinstal atau diupdate di sistem operasi VM, Anda akan melihat informasi Common Vulnerabilities and Exposures (CVE) untuk VM di Security Command Center dalam waktu dua jam setelah perubahan.
  • Saat pemberitahuan keamanan baru dipublikasikan untuk sistem operasi, CVE yang diperbarui biasanya tersedia dalam waktu 24 jam setelah vendor sistem operasi memublikasikan pemberitahuan.

Penilaian Kerentanan untuk AWS

Layanan Penilaian Kerentanan untuk Amazon Web Services (AWS) mendeteksi kerentanan software dalam beban kerja Anda yang berjalan di virtual machine (VM) EC2 di platform cloud AWS.

Untuk setiap kerentanan yang terdeteksi, Penilaian Kerentanan untuk AWS akan menghasilkan temuan class Vulnerability dalam kategori temuan Software vulnerability di Security Command Center.

Layanan Penilaian Kerentanan untuk AWS memindai snapshot instance mesin EC2 yang berjalan, sehingga workload produksi tidak terpengaruh. Metode pemindaian ini disebut pemindaian disk tanpa agen, karena tidak ada agen yang diinstal di target pemindaian.

Untuk informasi selengkapnya, lihat referensi berikut:

Web Security Scanner

Web Security Scanner menyediakan pemindaian kerentanan web terkelola dan kustom untuk aplikasi web publik yang dilayani App Engine, GKE, dan Compute Engine.

Pemindaian terkelola

Pemindaian terkelola Web Security Scanner dikonfigurasi dan dikelola oleh Security Command Center. Pemindaian terkelola otomatis berjalan seminggu sekali untuk mendeteksi dan memindai endpoint web publik. Pemindaian ini tidak menggunakan autentikasi dan mengirim permintaan khusus GET sehingga tidak mengirimkan formulir apa pun di situs aktif.

Pemindaian terkelola berjalan secara terpisah dari pemindaian kustom.

Jika Security Command Center diaktifkan di level organisasi, Anda dapat menggunakan pemindaian terkelola untuk mengelola deteksi kerentanan aplikasi web dasar secara terpusat untuk project di organisasi Anda, tanpa harus melibatkan setiap tim project. Saat temuan ditemukan, Anda dapat bekerja sama dengan tim tersebut untuk menyiapkan pemindaian kustom yang lebih komprehensif.

Saat Anda mengaktifkan Web Security Scanner sebagai layanan, temuan pemindaian terkelola akan tersedia secara otomatis di halaman Kerentanan Security Command Center dan laporan terkait. Untuk informasi tentang cara mengaktifkan pemindaian yang dikelola Web Security Scanner, lihat Mengonfigurasi layanan Security Command Center.

Pemindaian terkelola hanya mendukung aplikasi yang menggunakan port default, yaitu 80 untuk koneksi HTTP dan 443 untuk koneksi HTTPS. Jika aplikasi Anda menggunakan port non-default, lakukan pemindaian kustom.

Pemindaian kustom

Pemindaian kustom Web Security Scanner memberikan informasi terperinci tentang temuan kerentanan aplikasi, seperti library yang sudah usang, pembuatan skrip lintas situs, atau penggunaan konten campuran.

Anda menentukan pemindaian kustom di level project.

Temuan pemindaian kustom tersedia di Security Command Center setelah Anda menyelesaikan panduan untuk menyiapkan pemindaian kustom Web Security Scanner.

Pendeteksi dan kepatuhan

Web Security Scanner mendukung kategori dalam Sepuluh Teratas OWASP, dokumen yang memberi peringkat dan memberikan panduan perbaikan untuk 10 risiko keamanan aplikasi web yang paling penting, seperti yang ditentukan oleh Open Web Application Security Project (OWASP). Untuk panduan tentang cara memitigasi risiko OWASP, lihat 10 opsi mitigasi teratas OWASP di Google Cloud.

Pemetaan kepatuhan disertakan sebagai referensi dan tidak disediakan atau ditinjau oleh OWASP Foundation.

Fungsi ini hanya ditujukan untuk Anda memantau pelanggaran kontrol kepatuhan. Pemetaan tidak disediakan untuk digunakan sebagai dasar, atau sebagai pengganti, audit, sertifikasi, atau laporan kepatuhan produk atau layanan Anda terhadap tolok ukur atau standar peraturan atau industri.

Pemindaian kustom dan terkelola Web Security Scanner mengidentifikasi jenis temuan berikut. Di tingkat Standar, Web Security Scanner mendukung pemindaian kustom aplikasi yang di-deploy dengan URL dan IP publik yang tidak berada di balik firewall.

Kategori Menemukan deskripsi 10 Teratas OWASP 2017 OWASP 2021 Top 10

Accessible Git repository

Nama kategori di API: ACCESSIBLE_GIT_REPOSITORY

Repositori Git diekspos secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori GIT.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A5 A01

Accessible SVN repository

Nama kategori di API: ACCESSIBLE_SVN_REPOSITORY

Repositori SVN diekspos secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori SVN.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A5 A01

Cacheable password input

Nama kategori di API: CACHEABLE_PASSWORD_INPUT

Sandi yang dimasukkan di aplikasi web dapat di-cache dalam cache browser reguler, bukan penyimpanan sandi yang aman.

Paket harga: Premium

Perbaiki temuan ini

A3 A04

Clear text password

Nama kategori di API: CLEAR_TEXT_PASSWORD

Sandi dikirim dalam bentuk teks biasa dan dapat disadap. Untuk mengatasi penemuan ini, enkripsi sandi yang ditransmisikan melalui jaringan.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A3 A02

Insecure allow origin ends with validation

Nama kategori di API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi akhiran header permintaan Origin sebelum mencerminkannya di dalam header respons Access-Control-Allow-Origin. Untuk mengatasi temuan ini, validasikan bahwa domain root yang diharapkan adalah bagian dari nilai header Origin sebelum mencerminkannya dalam header respons Access-Control-Allow-Origin. Untuk karakter pengganti subdomain, tambahkan titik ke domain root—misalnya, .endsWith(".google.com").

Paket harga: Premium

Perbaiki temuan ini

A5 A01

Insecure allow origin starts with validation

Nama kategori di API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi awalan header permintaan Origin sebelum mencerminkannya di dalam header respons Access-Control-Allow-Origin. Untuk mengatasi temuan ini, validasi bahwa domain yang diharapkan sepenuhnya cocok dengan nilai header Origin sebelum mencerminkannya dalam header respons Access-Control-Allow-Origin—misalnya, .equals(".google.com").

Paket harga: Premium

Perbaiki temuan ini

A5 A01

Invalid content type

Nama kategori di API: INVALID_CONTENT_TYPE

Resource yang dimuat tidak cocok dengan header HTTP Content-Type respons. Untuk mengatasi temuan ini, tetapkan header HTTP X-Content-Type-Options dengan nilai yang benar.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A6 A05

Invalid header

Nama kategori di API: INVALID_HEADER

Header keamanan memiliki error sintaksis dan diabaikan oleh browser. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A6 A05

Mismatching security header values

Nama kategori di API: MISMATCHING_SECURITY_HEADER_VALUES

Header keamanan memiliki nilai duplikat yang tidak cocok, yang menghasilkan perilaku yang tidak ditentukan. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A6 A05

Misspelled security header name

Nama kategori di API: MISSPELLED_SECURITY_HEADER_NAME

Header keamanan salah eja dan diabaikan. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A6 A05

Mixed content

Nama kategori di API: MIXED_CONTENT

Resource ditayangkan melalui HTTP di halaman HTTPS. Untuk mengatasi temuan ini, pastikan semua resource ditayangkan melalui HTTPS.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A6 A05

Outdated library

Nama kategori di API: OUTDATED_LIBRARY

Library terdeteksi yang memiliki kerentanan umum. Untuk mengatasi temuan ini, upgrade library ke versi yang lebih baru.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A9 A06

Server side request forgery

Nama kategori di API: SERVER_SIDE_REQUEST_FORGERY

Kerentanan pemalsuan permintaan sisi server (SSRF) terdeteksi. Untuk mengatasi temuan ini, gunakan daftar yang diizinkan untuk membatasi domain dan alamat IP yang dapat menerima permintaan dari aplikasi web.

Paket harga: Premium atau Standar

Perbaiki temuan ini

Tidak berlaku A10

Session ID leak

Nama kategori di API: SESSION_ID_LEAK

Saat membuat permintaan lintas-domain, aplikasi web menyertakan ID sesi pengguna dalam header permintaan Referer-nya. Kerentanan ini memberi domain penerima akses ke ID sesi, yang dapat digunakan untuk meniru identitas atau mengidentifikasi pengguna secara unik.

Paket harga: Premium

Perbaiki temuan ini

A2 A07

SQL injection

Nama kategori di API: SQL_INJECTION

Potensi kerentanan injeksi SQL terdeteksi. Untuk mengatasi temuan ini, gunakan kueri berparameter untuk mencegah input pengguna memengaruhi struktur kueri SQL.

Paket harga: Premium

Perbaiki temuan ini

A1 A03

Struts insecure deserialization

Nama kategori di API: STRUTS_INSECURE_DESERIALIZATION

Penggunaan versi Apache Struts yang rentan terdeteksi. Untuk mengatasi temuan ini, upgrade Apache Struts ke versi terbaru.

Paket harga: Premium

Perbaiki temuan ini

A8 A08

XSS

Nama kategori di API: XSS

Kolom di aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs (XSS). Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A7 A03

XSS angular callback

Nama kategori di API: XSS_ANGULAR_CALLBACK

String yang disediakan pengguna tidak di-escape dan AngularJS dapat melakukan interpolasi. Untuk mengatasi penemuan ini, validasi dan hindari data tidak tepercaya dari pengguna yang ditangani oleh framework Angular.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A7 A03

XSS error

Nama kategori di API: XSS_ERROR

Kolom di aplikasi web ini rentan terhadap serangan cross-site scripting. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A7 A03

XXE reflected file leakage

Nama kategori di API: XXE_REFLECTED_FILE_LEAKAGE

Terdeteksi adanya kerentanan Entity Eksternal XML (XXE). Kerentanan ini dapat menyebabkan aplikasi web membocorkan file di host. Untuk mengatasi temuan ini, konfigurasikan parser XML Anda agar tidak mengizinkan entity eksternal.

Paket harga: Premium

Perbaiki temuan ini

A4 A05

Prototype pollution

Nama kategori di API: PROTOTYPE_POLLUTION

Aplikasi rentan terhadap polusi prototipe. Kerentanan ini muncul saat properti objek Object.prototype dapat ditetapkan nilai yang dapat dikontrol penyerang. Nilai yang ditanam pada prototipe ini secara universal diasumsikan akan diterjemahkan menjadi cross-site scripting, atau kerentanan sisi klien serupa, serta bug logika.

Paket harga: Premium atau Standar

Perbaiki temuan ini

A1 A03

Layanan deteksi ancaman

Layanan deteksi ancaman mencakup layanan bawaan dan terintegrasi yang mendeteksi peristiwa yang mungkin mengindikasikan peristiwa yang berpotensi berbahaya, seperti resource yang disusupi atau serangan cyber.

Anomaly Detection

Anomaly Detection adalah layanan bawaan yang menggunakan sinyal perilaku dari luar sistem Anda. Layanan ini menampilkan informasi terperinci tentang anomali keamanan yang terdeteksi untuk project dan instance virtual machine (VM), seperti kemungkinan kredensial bocor. Anomaly Detection otomatis diaktifkan saat Anda mengaktifkan paket Security Command Center Standard atau Premium, dan temuan tersedia di konsol Google Cloud.

Temuan Deteksi Anomali mencakup hal berikut:

Nama anomali Menemukan kategori Deskripsi
Account has leaked credentials account_has_leaked_credentials

Kredensial untuk akun layanan Google Cloud tidak sengaja bocor secara online atau disusupi.

Keparahan: Kritis

Akun memiliki kebocoran kredensial

GitHub memberi tahu Security Command Center bahwa kredensial yang digunakan untuk commit tampaknya adalah kredensial untuk akun layanan Identity and Access Management Google Cloud.

Notifikasi menyertakan nama akun layanan dan ID kunci pribadi. Google Cloud juga mengirimkan pemberitahuan melalui email kepada kontak yang ditunjuk untuk keamanan dan privasi Anda.

Untuk memperbaiki masalah ini, lakukan satu atau beberapa tindakan berikut:

  • Identifikasi pengguna kunci yang sah.
  • Putar kunci.
  • Hapus kunci.
  • Selidiki tindakan apa pun yang dilakukan oleh kunci setelah kunci bocor untuk memastikan tidak ada tindakan yang berbahaya.

JSON: temuan kredensial akun yang bocor

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}
    

Container Threat Detection

Container Threat Detection dapat mendeteksi serangan runtime container yang paling umum dan memberi tahu Anda di Security Command Center dan secara opsional di Cloud Logging. Container Threat Detection mencakup beberapa kemampuan deteksi, alat analisis, dan API.

Instrumentasi deteksi Container Threat Detection mengumpulkan perilaku tingkat rendah di kernel tamu dan melakukan pemrosesan bahasa alami pada kode untuk mendeteksi peristiwa berikut:

  • Added Binary Executed
  • Added Library Loaded
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Container Escape
  • Execution: Kubernetes Attack Tool Execution
  • Execution: Local Reconnaissance Tool Execution
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Malicious Script Executed
  • Malicious URL Observed
  • Reverse Shell
  • Unexpected Child Shell

Pelajari Container Threat Detection lebih lanjut.

Event Threat Detection

Event Threat Detection menggunakan data log dari dalam sistem Anda. Fungsi ini memantau streaming Cloud Logging untuk project, dan menggunakan log saat tersedia. Saat ancaman terdeteksi, Event Threat Detection akan menulis temuan ke Security Command Center dan ke project Cloud Logging. Deteksi Ancaman Peristiwa otomatis diaktifkan saat Anda mengaktifkan paket Security Command Center Premium dan temuan tersedia di Konsol Google Cloud.

Tabel berikut mencantumkan contoh temuan Event Threat Detection.

Tabel C. Jenis temuan Event Threat Detection
Penghancuran data

Event Threat Detection mendeteksi pemusnahan data dengan memeriksa log audit dari Server Pengelolaan Layanan Pencadangan dan DR untuk skenario berikut:

  • Penghapusan image cadangan
  • Penghapusan semua image cadangan yang terkait dengan aplikasi
  • Penghapusan perangkat pencadangan/pemulihan
Eksfiltrasi data

Event Threat Detection mendeteksi pemindahan tidak sah data dari BigQuery dan Cloud SQL dengan memeriksa log audit untuk skenario berikut:

  • Resource BigQuery disimpan di luar organisasi Anda, atau operasi penyalinan dicoba yang diblokir oleh Kontrol Layanan VPC.
  • Upaya dilakukan untuk mengakses resource BigQuery yang dilindungi oleh Kontrol Layanan VPC.
  • Resource Cloud SQL diekspor sepenuhnya atau sebagian ke bucket Cloud Storage di luar organisasi Anda atau ke bucket yang dimiliki oleh organisasi Anda dan dapat diakses secara publik.
  • Cadangan Cloud SQL dipulihkan ke instance Cloud SQL di luar organisasi Anda.
  • Resource BigQuery yang dimiliki organisasi Anda diekspor ke bucket Cloud Storage di luar organisasi, atau ke bucket di organisasi Anda yang dapat diakses secara publik.
  • Resource BigQuery yang dimiliki organisasi Anda akan diekspor ke folder Google Drive.
  • Resource BigQuery disimpan ke resource publik yang dimiliki oleh organisasi Anda.
Aktivitas mencurigakan Cloud SQL

Event Threat Detection memeriksa log audit untuk mendeteksi peristiwa berikut yang mungkin menunjukkan pelanggaran akun pengguna yang valid di instance Cloud SQL:

  • Pengguna database diberi semua hak istimewa ke database Cloud SQL untuk PostgreSQL, atau ke semua tabel, prosedur, atau fungsi dalam skema.
  • Superuser akun database default Cloud SQL (`postgres` di instance PostgreSQL atau 'root' di instance MySQL) digunakan untuk menulis ke tabel non-sistem.
Aktivitas mencurigakan AlloyDB untuk PostgreSQL

Event Threat Detection memeriksa log audit untuk mendeteksi peristiwa berikut yang mungkin menunjukkan adanya penyusupan akun pengguna yang valid di instance AlloyDB untuk PostgreSQL:

  • Pengguna database diberi semua hak istimewa ke database AlloyDB untuk PostgreSQL, atau ke semua tabel, prosedur, atau fungsi dalam skema.
  • Superuser akun database default AlloyDB untuk PostgreSQL (`postgres`) digunakan untuk menulis ke tabel non-sistem.
SSH Brute Force Event Threat Detection mendeteksi brute force SSH autentikasi sandi dengan memeriksa log syslog untuk menemukan kegagalan berulang yang diikuti dengan keberhasilan.
Cryptomining Event Threat Detection mendeteksi malware penambangan koin dengan memeriksa log alur VPC dan log Cloud DNS untuk menemukan koneksi ke domain atau alamat IP buruk yang diketahui dari kumpulan penambangan.
Penyalahgunaan IAM

Pemberian IAM yang tidak wajar: Event Threat Detection mendeteksi penambahan pemberian IAM yang mungkin dianggap tidak wajar, seperti:

  • Menambahkan pengguna gmail.com ke kebijakan dengan peran editor project.
  • Mengundang pengguna gmail.com sebagai pemilik project dari konsol Google Cloud.
  • Akun layanan yang memberikan izin sensitif.
  • Peran kustom memberikan izin sensitif.
  • Akun layanan ditambahkan dari luar organisasi Anda.
Menghambat Pemulihan Sistem

Event Threat Detection mendeteksi perubahan yang tidak wajar pada Pencadangan dan DR yang dapat memengaruhi postur pencadangan, termasuk perubahan kebijakan besar dan penghapusan komponen Pencadangan dan DR penting.

Log4j Event Threat Detection mendeteksi kemungkinan upaya eksploitasi Log4j dan kerentanan Log4j yang aktif.
Malware Event Threat Detection mendeteksi malware dengan memeriksa log alur VPC dan log Cloud DNS untuk menemukan koneksi ke domain dan IP perintah dan kontrol yang diketahui.
DoS keluar Event Threat Detection memeriksa log alur VPC untuk mendeteksi traffic penolakan layanan keluar.
Akses yang tidak wajar Event Threat Detection mendeteksi akses yang tidak wajar dengan memeriksa Cloud Audit Logs untuk modifikasi layanan Google Cloud yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor.
Perilaku IAM yang tidak wajar Event Threat Detection mendeteksi perilaku IAM yang tidak wajar dengan memeriksa Log Audit Cloud untuk skenario berikut:
  • Akun pengguna dan layanan IAM yang mengakses Google Cloud dari alamat IP yang tidak wajar.
  • Akun layanan IAM yang mengakses Google Cloud dari agen pengguna yang tidak wajar.
  • Akun utama dan resource yang meniru identitas akun layanan IAM untuk mengakses Google Cloud.
Investigasi mandiri akun layanan Event Threat Detection mendeteksi saat kredensial akun layanan digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama.
Admin Compute Engine Menambahkan Kunci SSH Event Threat Detection mendeteksi modifikasi pada nilai kunci ssh metadata instance Compute Engine di instance yang sudah ada (lebih lama dari 1 minggu).
Admin Compute Engine Menambahkan Skrip Startup Event Threat Detection mendeteksi modifikasi pada nilai skrip startup metadata instance Compute Engine pada instance yang sudah ada (lebih lama dari 1 minggu).
Aktivitas akun yang mencurigakan Event Threat Detection mendeteksi potensi penyusupan akun Google Workspace dengan memeriksa log audit untuk menemukan aktivitas akun yang tidak wajar, termasuk kebocoran sandi dan upaya login yang mencurigakan.
Serangan yang didukung pemerintah Event Threat Detection memeriksa log audit Google Workspace untuk mendeteksi saat penyerang yang didukung pemerintah mungkin mencoba menyusupi akun atau komputer pengguna.
Perubahan Single Sign-On (SSO) Event Threat Detection memeriksa log audit Google Workspace untuk mendeteksi kapan SSO dinonaktifkan atau setelan diubah untuk akun admin Google Workspace.
Verifikasi 2 langkah Event Threat Detection memeriksa log audit Google Workspace untuk mendeteksi kapan verifikasi 2 langkah dinonaktifkan di akun pengguna dan admin.
Perilaku API yang tidak wajar Event Threat Detection mendeteksi perilaku API yang tidak wajar dengan memeriksa Log Audit Cloud untuk menemukan permintaan ke layanan Google Cloud yang belum pernah dilihat oleh akun utama.
Penghindaran Pertahanan

Event Threat Detection mendeteksi Defense Evasion dengan memeriksa Cloud Audit Logs untuk skenario berikut:

  • Perubahan pada perimeter Kontrol Layanan VPC yang ada yang akan menyebabkan pengurangan perlindungan yang ditawarkan.
  • Deployment atau update pada beban kerja yang menggunakan flag break-glass untuk mengganti kontrol Otorisasi Biner.Pratinjau
Discovery

Event Threat Detection mendeteksi operasi penemuan dengan memeriksa log audit untuk skenario berikut:

  • Pelaku yang berpotensi berbahaya mencoba menentukan objek sensitif di GKE yang dapat mereka kueri, dengan menggunakan perintah kubectl.
  • Kredensial akun layanan sedang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama.
Akses Awal Event Threat Detection mendeteksi operasi akses awal dengan memeriksa log audit untuk skenario berikut:
  • Akun layanan yang dikelola pengguna yang tidak aktif memicu tindakan.Pratinjau
  • Akun utama mencoba memanggil berbagai metode Google Cloud, tetapi berulang kali gagal karena error izin ditolak.Pratinjau
Eskalasi akses

Event Threat Detection mendeteksi eskalasi hak istimewa di GKE dengan memeriksa log audit untuk skenario berikut:

  • Untuk mengeskalasi hak istimewa, pelaku yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) ClusterRole, RoleBinding, atau ClusterRoleBinding dari peran cluster-admin sensitif menggunakan permintaan PUT atau PATCH.
  • Pelaku yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat (CSR) bidang kontrol Kubernetes, yang memberinya akses cluster-admin.
  • Untuk mengeskalasi hak istimewa, pelaku yang berpotensi berbahaya mencoba membuat objek RoleBinding atau ClusterRoleBinding baru untuk peran cluster-admin.
  • Pelaku yang berpotensi berbahaya membuat kueri untuk permintaan penandatanganan sertifikat (CSR), dengan perintah kubectl, menggunakan kredensial bootstrap yang disusupi.
  • Pelaku yang berpotensi berbahaya membuat Pod yang berisi penampung dengan hak istimewa atau penampung dengan kemampuan eskalasi hak istimewa.
Deteksi Cloud IDS Cloud IDS mendeteksi serangan lapisan 7 dengan menganalisis paket yang dicerminkan, dan saat mendeteksi peristiwa yang mencurigakan, memicu temuan Event Threat Detection. Untuk mempelajari deteksi Cloud IDS lebih lanjut, lihat Informasi Logging Cloud IDS. Pratinjau
Gerakan lateral Event Threat Detection mendeteksi potensi serangan disk booting yang dimodifikasi dengan memeriksa Cloud Audit Logs untuk menemukan pelepasan dan pemasangan ulang disk booting yang sering terjadi di seluruh instance Compute Engine.

Pelajari Event Threat Detection lebih lanjut.

Google Cloud Armor

Google Cloud Armor membantu melindungi aplikasi Anda dengan menyediakan pemfilteran Lapisan 7. Google Cloud Armor menyaring permintaan masuk untuk serangan web umum atau atribut Lapisan 7 lainnya yang berpotensi memblokir traffic sebelum mencapai layanan backend atau bucket backend ber-load balancer.

Google Cloud Armor mengekspor dua temuan ke Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection adalah layanan bawaan Security Command Center yang tersedia di paket Enterprise dan Premium. Layanan ini memindai instance Compute Engine untuk mendeteksi aplikasi yang berpotensi berbahaya, seperti software penambangan cryptocurrency, rootkit mode kernel, dan malware yang berjalan di lingkungan cloud yang disusupi.

Deteksi Ancaman VM adalah bagian dari suite deteksi ancaman Security Command Center dan dirancang untuk melengkapi kemampuan yang ada dari Event Threat Detection dan Container Threat Detection.

Untuk mengetahui informasi selengkapnya tentang VM Threat Detection, lihat ringkasan VM Threat Detection.

Temuan ancaman VM Threat Detection

Virtual Machine Threat Detection dapat menghasilkan temuan ancaman berikut.

Temuan ancaman penambangan mata uang kripto

Deteksi Ancaman VM mendeteksi kategori temuan berikut melalui pencocokan hash atau aturan YARA.

Temuan ancaman penambangan mata uang kripto Deteksi Ancaman VM
Kategori Modul Deskripsi
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Mencocokkan hash memori program yang berjalan dengan hash memori yang diketahui dari software penambangan mata uang kripto.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Mencocokkan pola memori, seperti konstanta proof-of-work, yang diketahui digunakan oleh software penambangan mata uang kripto.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Mengidentifikasi ancaman yang terdeteksi oleh modul CRYPTOMINING_HASH dan CRYPTOMINING_YARA. Untuk mengetahui informasi selengkapnya, lihat Deteksi gabungan.

Temuan ancaman rootkit mode kernel

VM Threat Detection menganalisis integritas kernel pada waktu proses untuk mendeteksi teknik pengelakan umum yang digunakan oleh malware.

Modul KERNEL_MEMORY_TAMPERING mendeteksi ancaman dengan melakukan perbandingan hash pada kode kernel dan memori data hanya baca kernel dari virtual machine.

Modul KERNEL_INTEGRITY_TAMPERING mendeteksi ancaman dengan memeriksa integritas struktur data kernel yang penting.

Temuan ancaman rootkit mode kernel VM Threat Detection
Kategori Modul Deskripsi
Rootkit
Defense Evasion: Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
Ada kombinasi sinyal yang cocok dengan rootkit mode kernel yang diketahui. Untuk menerima temuan kategori ini, pastikan kedua modul diaktifkan.
Penyalahgunaan memori kernel
Defense Evasion: Unexpected kernel code modificationPratinjau KERNEL_MEMORY_TAMPERING Terdapat modifikasi memori kode kernel yang tidak terduga.
Defense Evasion: Unexpected kernel read-only data modificationPratinjau KERNEL_MEMORY_TAMPERING Terdapat modifikasi memori data hanya baca kernel yang tidak terduga.
Penyalahgunaan integritas kernel
Defense Evasion: Unexpected ftrace handlerPratinjau KERNEL_INTEGRITY_TAMPERING Titik ftrace ada dengan callback yang mengarah ke region yang tidak berada dalam rentang kode kernel atau modul yang diharapkan.
Defense Evasion: Unexpected interrupt handlerPratinjau KERNEL_INTEGRITY_TAMPERING Pengendali interupsi yang tidak berada di wilayah kode kernel atau modul yang diharapkan ada.
Defense Evasion: Unexpected kernel modulesPratinjau KERNEL_INTEGRITY_TAMPERING Halaman kode kernel yang tidak berada di region kode kernel atau modul yang diharapkan ada.
Defense Evasion: Unexpected kprobe handlerPratinjau KERNEL_INTEGRITY_TAMPERING Titik kprobe ada dengan callback yang mengarah ke region yang tidak berada dalam rentang kode kernel atau modul yang diharapkan.
Defense Evasion: Unexpected processes in runqueuePratinjau KERNEL_INTEGRITY_TAMPERING Terdapat proses yang tidak terduga di antrean run penjadwal. Proses tersebut berada dalam antrean operasi, tetapi tidak dalam daftar tugas proses.
Defense Evasion: Unexpected system call handlerPratinjau KERNEL_INTEGRITY_TAMPERING Pengendali panggilan sistem yang tidak berada di wilayah kode kernel atau modul yang diharapkan ada.

Error

Pendeteksi error dapat membantu Anda mendeteksi error dalam konfigurasi yang mencegah sumber keamanan menghasilkan temuan. Temuan error dihasilkan oleh sumber keamanan Security Command Center dan memiliki class temuan SCC errors.

Tindakan yang tidak disengaja

Kategori temuan berikut mewakili error yang mungkin disebabkan oleh tindakan yang tidak disengaja.

Tindakan yang tidak disengaja
Nama kategori Nama API Ringkasan Keparahan
API disabled API_DISABLED

Deskripsi temuan: API yang diperlukan dinonaktifkan untuk project. Layanan yang dinonaktifkan tidak dapat mengirim temuan ke Security Command Center.

Tingkat harga: Premium atau Standar

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Pemindaian batch: Setiap 60 jam

Perbaiki temuan ini

Kritis
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Deskripsi temuan: Konfigurasi nilai resource ditentukan untuk simulasi jalur serangan, tetapi tidak cocok dengan instance resource apa pun di lingkungan Anda. Sebagai gantinya, simulasi menggunakan kumpulan resource bernilai tinggi default.

Error ini dapat disebabkan oleh salah satu hal berikut:

  • Tidak ada konfigurasi nilai resource yang cocok dengan instance resource apa pun.
  • Satu atau beberapa konfigurasi nilai resource yang menentukan NONE akan menggantikan setiap konfigurasi valid lainnya.
  • Semua konfigurasi nilai resource yang ditentukan menentukan nilai NONE.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organizations

Pemindaian batch: Sebelum setiap simulasi jalur serangan.

Perbaiki temuan ini

Kritis
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Deskripsi temuan: Dalam simulasi jalur serangan terakhir, jumlah instance resource bernilai tinggi, seperti yang diidentifikasi oleh konfigurasi nilai resource, melebihi batas 1.000 instance resource dalam kumpulan resource bernilai tinggi. Akibatnya, Security Command Center mengecualikan jumlah instance yang berlebih dari kumpulan resource bernilai tinggi.

Jumlah total instance yang cocok dan jumlah total instance yang dikecualikan dari set diidentifikasi dalam temuan SCC Error di konsol Google Cloud.

Skor eksposur serangan pada temuan apa pun yang memengaruhi instance resource yang dikecualikan tidak mencerminkan penetapan instance resource bernilai tinggi.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organizations

Pemindaian batch: Sebelum setiap simulasi jalur serangan.

Perbaiki temuan ini

Tinggi
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

Deskripsi temuan: Container Threat Detection tidak dapat diaktifkan di cluster karena image container yang diperlukan tidak dapat diambil (didownload) dari gcr.io, host image Container Registry. Image ini diperlukan untuk men-deploy DaemonSet Container Threat Detection yang diperlukan Container Threat Detection.

Upaya untuk men-deploy DaemonSet Container Threat Detection menghasilkan error berikut:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Pemindaian batch: Setiap 30 menit

Perbaiki temuan ini

Kritis
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Deskripsi temuan: Container Threat Detection tidak dapat diaktifkan di cluster Kubernetes. Pengontrol penerimaan pihak ketiga mencegah deployment objek DaemonSet Kubernetes yang diperlukan Container Threat Detection.

Saat dilihat di Google Cloud Console, detail temuan mencakup pesan error yang ditampilkan oleh Google Kubernetes Engine saat Pendeteksian Ancaman Penampung mencoba men-deploy Objek DaemonSet Pendeteksian Ancaman Penampung.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Pemindaian batch: Setiap 30 menit

Perbaiki temuan ini

Tinggi
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Deskripsi temuan: Akun layanan tidak memiliki izin yang diperlukan oleh Container Threat Detection. Deteksi Ancaman Penampung dapat berhenti berfungsi dengan baik karena instrumentasi deteksi tidak dapat diaktifkan, diupgrade, atau dinonaktifkan.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Pemindaian batch: Setiap 30 menit

Perbaiki temuan ini

Kritis
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Deskripsi temuan: Container Threat Detection tidak dapat menghasilkan temuan untuk cluster Google Kubernetes Engine, karena akun layanan default GKE di cluster tidak memiliki izin. Hal ini mencegah Container Threat Detection berhasil diaktifkan di cluster.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Pemindaian batch: Setiap minggu

Perbaiki temuan ini

Tinggi
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

Deskripsi temuan: Project yang dikonfigurasi untuk ekspor berkelanjutan ke Cloud Logging tidak tersedia. Security Command Center tidak dapat mengirim temuan ke Logging.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization

Pemindaian batch: Setiap 30 menit

Perbaiki temuan ini

Tinggi
VPC Service Controls Restriction VPC_SC_RESTRICTION

Deskripsi temuan: Security Health Analytics tidak dapat menghasilkan temuan tertentu untuk sebuah project. Project dilindungi oleh perimeter layanan, dan akun layanan Security Command Center tidak memiliki akses ke perimeter.

Tingkat harga: Premium atau Standar

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Pemindaian batch: Setiap 6 jam

Perbaiki temuan ini

Tinggi
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Deskripsi temuan: Akun layanan Security Command Center tidak memiliki izin yang diperlukan agar dapat berfungsi dengan benar. Tidak ada temuan yang dihasilkan.

Tingkat harga: Premium atau Standar

Aset yang didukung

Pemindaian batch: Setiap 30 menit

Perbaiki temuan ini

Kritis

Untuk informasi selengkapnya, lihat Error Security Command Center.

Langkah selanjutnya