Pendeteksi Security Health Analytics dan Web Security Scanner menghasilkan temuan kerentanan yang tersedia di Security Command Center. Jika diaktifkan di Security Command Center, layanan terintegrasi, seperti VM Manager, juga akan menghasilkan temuan kerentanan.
Kemampuan Anda untuk melihat dan mengedit temuan ditentukan oleh peran dan izin Identity and Access Management (IAM) yang ditetapkan kepada Anda. Untuk mengetahui informasi selengkapnya tentang peran IAM di Security Command Center, lihat Kontrol akses.
Pendeteksi dan kepatuhan
Security Command Center memantau kepatuhan Anda dengan detektor yang dipetakan ke kontrol berbagai standar keamanan.
Untuk setiap standar keamanan yang didukung, Security Command Center akan memeriksa subset kontrol. Untuk kontrol yang dicentang, Security Command Center akan menampilkan jumlah kontrol yang lulus. Untuk kontrol yang tidak lulus, Security Command Center akan menampilkan daftar temuan yang menjelaskan kegagalan kontrol.
CIS meninjau dan memberikan sertifikasi pemetaan detektor Security Command Center ke setiap versi CIS Google Cloud Foundations Benchmark yang didukung. Pemetaan kepatuhan tambahan disertakan hanya untuk tujuan referensi.
Security Command Center menambahkan dukungan untuk versi dan standar benchmark baru secara berkala. Versi lama tetap didukung, tetapi pada akhirnya tidak digunakan lagi. Sebaiknya gunakan benchmark atau standar terbaru yang didukung dan tersedia.
Dengan layanan postur keamanan, Anda dapat memetakan kebijakan organisasi dan detektor Security Health Analytics ke standar dan kontrol yang berlaku untuk bisnis Anda. Setelah membuat postur keamanan, Anda dapat memantau setiap perubahan pada lingkungan yang dapat memengaruhi kepatuhan bisnis Anda.
Untuk informasi selengkapnya tentang cara mengelola kepatuhan, lihat Menilai dan melaporkan kepatuhan terhadap standar keamanan.
Standar keamanan yang didukung
Google Cloud
Security Command Center memetakan detektor untuk Google Cloud ke satu atau beberapa standar kepatuhan berikut:
- Center for Information Security (CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0, v1.3.0, v1.2.0, v1.1.0, dan v1.0.0
- Tolok Ukur Kubernetes CIS v1.5.1
- Cloud Controls Matrix (CCM) 4
- Health Insurance Portability and Accountability Act (HIPAA)
- International Organization for Standardization (ISO) 27001, 2022, dan 2013
- National Institute of Standards and Technology (NIST) 800-53 R5 dan R4
- NIST CSF 1.0
- Open Web Application Security Project (OWASP) Top Ten, 2021 dan 2017
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 4.0 dan 3.2.1
- System and Organization Controls (SOC) 2 2017 Trust Services Criteria (TSC)
AWS
Security Command Center memetakan detektor untuk Amazon Web Services (AWS) ke satu atau beberapa standar kepatuhan berikut:
Untuk mengetahui petunjuk tentang cara melihat dan mengekspor laporan kepatuhan, lihat bagian Kepatuhan di Menggunakan Security Command Center di konsol Google Cloud.
Menemukan penonaktifan setelah perbaikan
Setelah Anda memperbaiki temuan kerentanan atau kesalahan konfigurasi, layanan Security Command Center yang mendeteksi temuan tersebut akan otomatis menetapkan status temuan ke INACTIVE saat layanan deteksi memindai temuan tersebut lagi. Waktu yang diperlukan Security Command Center untuk menetapkan temuan yang telah diperbaiki ke
INACTIVE bergantung pada jadwal pemindaian yang mendeteksi temuan tersebut.
Layanan Security Command Center juga menetapkan status temuan kerentanan atau
kesalahan konfigurasi ke INACTIVE saat pemindaian mendeteksi bahwa resource
yang terpengaruh oleh temuan tersebut telah dihapus.
Untuk informasi selengkapnya tentang interval pemindaian, lihat topik berikut:
Temuan Security Health Analytics
Detektor Security Health Analytics memantau sebagian resource dari Inventaris Aset Cloud (CAI), yang menerima notifikasi tentang perubahan kebijakan Identity and Access Management (IAM) dan resource. Beberapa detektor mengambil data dengan memanggil Google Cloud API secara langsung, seperti yang ditunjukkan dalam tabel nanti di halaman ini.
Untuk informasi selengkapnya tentang Security Health Analytics, jadwal pemindaian, dan dukungan Security Health Analytics untuk pendeteksi modul bawaan dan kustom, lihat Ringkasan Security Health Analytics.
Tabel berikut menjelaskan pendeteksi Security Health Analytics, aset, dan standar kepatuhan yang didukungnya, setelan yang digunakannya untuk pemindaian, dan jenis temuan yang dihasilkannya. Anda dapat memfilter temuan berdasarkan berbagai atribut dengan menggunakan halaman Kerentanan Security Command Center di konsol Google Cloud.
Untuk petunjuk cara memperbaiki masalah dan melindungi resource Anda, lihat Memperbaiki temuan Security Health Analytics.
Temuan kerentanan kunci API
Detektor API_KEY_SCANNER mengidentifikasi kerentanan yang terkait dengan
kunci API yang digunakan dalam deployment cloud Anda.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
API key APIs unrestricted
Nama kategori di API: |
Deskripsi temuan: Ada kunci API yang digunakan terlalu luas. Untuk mengatasinya, batasi penggunaan kunci API agar hanya mengizinkan API yang diperlukan oleh aplikasi. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengambil properti
|
API key apps unrestricted
Nama kategori di API: |
Deskripsi temuan: Ada kunci API yang digunakan dengan cara yang tidak dibatasi, sehingga memungkinkan penggunaan oleh aplikasi yang tidak tepercaya. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengambil properti
|
API key exists
Nama kategori di API: |
Deskripsi temuan: Project menggunakan kunci API, bukan autentikasi standar. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengambil semua kunci API yang dimiliki oleh project.
|
API key not rotated
Nama kategori di API: |
Deskripsi temuan: Kunci API belum dirotasi selama lebih dari 90 hari. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengambil stempel waktu yang terdapat dalam properti
|
Temuan kerentanan Inventaris Aset Cloud
Semua kerentanan jenis detektor ini terkait dengan konfigurasi Inventaris Aset Cloud dan termasuk dalam jenis CLOUD_ASSET_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Cloud Asset API disabled
Nama kategori di API: |
Deskripsi temuan: Pengambilan resource Google Cloud dan kebijakan IAM oleh Cloud Asset Inventory memungkinkan analisis keamanan, pelacakan perubahan resource, dan audit kepatuhan. Sebaiknya layanan Inventaris Aset Cloud diaktifkan untuk semua project. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah layanan Inventaris Aset Cloud diaktifkan.
|
Temuan kerentanan image Compute
Detektor COMPUTE_IMAGE_SCANNER mengidentifikasi kerentanan yang terkait dengan konfigurasi image Google Cloud.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Public Compute image
Nama kategori di API: |
Deskripsi temuan: Image Compute Engine dapat diakses secara publik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama
|
Temuan kerentanan instance Compute
Detektor COMPUTE_INSTANCE_SCANNER mengidentifikasi kerentanan yang terkait dengan
konfigurasi instance Compute Engine.
Detektor COMPUTE_INSTANCE_SCANNER tidak melaporkan temuan pada instance Compute Engine yang dibuat oleh GKE. Instance tersebut memiliki nama yang dimulai dengan "gke-", yang tidak dapat diedit oleh pengguna. Untuk mengamankan instance ini, lihat
bagian Temuan kerentanan penampung.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Confidential Computing disabled
Nama kategori di API: |
Deskripsi temuan: Confidential Computing dinonaktifkan di instance Compute Engine. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Compute project wide SSH keys allowed
Nama kategori di API: |
Deskripsi temuan: Kunci SSH di seluruh project digunakan, yang memungkinkan login ke semua instance dalam project. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa objek
|
Compute Secure Boot disabled
Nama kategori di API: |
Deskripsi temuan: VM Shielded ini tidak mengaktifkan Booting Aman. Penggunaan Booting Aman membantu melindungi instance virtual machine dari ancaman lanjutan seperti rootkit dan bootkit. Paket harga: Premium Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa properti
|
Compute serial ports enabled
Nama kategori di API: |
Deskripsi temuan: Port serial diaktifkan untuk instance, sehingga memungkinkan koneksi ke konsol serial instance. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa objek
|
Default service account used
Nama kategori di API: |
Deskripsi temuan: Instance dikonfigurasi untuk menggunakan akun layanan default. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Disk CMEK disabled
Nama kategori di API: |
Deskripsi temuan: Disk di VM ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kolom
|
Disk CSEK disabled
Nama kategori di API: |
Deskripsi temuan: Disk di VM ini tidak dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan (CSEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Detektor kasus khusus. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kolom
|
Full API access
Nama kategori di API: |
Deskripsi temuan: Instance dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengambil kolom
|
HTTP load balancer
Nama kategori di API: |
Deskripsi temuan: Instance menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Menentukan apakah properti
|
Instance OS Login disabled
Nama kategori di API: |
Deskripsi temuan: Login OS dinonaktifkan di instance ini. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung
Standar kepatuhan:
|
Memeriksa apakah properti
|
IP forwarding enabled
Nama kategori di API: |
Deskripsi temuan: Penerusan IP diaktifkan pada instance. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
OS login disabled
Nama kategori di API: |
Deskripsi temuan: Login OS dinonaktifkan di instance ini. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa objek
|
Public IP address
Nama kategori di API: |
Deskripsi temuan: Instance memiliki alamat IP publik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Shielded VM disabled
Nama kategori di API: |
Deskripsi temuan: Shielded VM dinonaktifkan pada instance ini. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Weak SSL policy
Nama kategori di API: |
Deskripsi temuan: Instance memiliki kebijakan SSL yang lemah. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah
|
Temuan kerentanan container
Semua jenis temuan ini terkait dengan konfigurasi penampung GKE,
dan termasuk dalam jenis pendeteksi CONTAINER_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Alpha cluster enabled
Nama kategori di API: |
Deskripsi temuan: Fitur cluster alfa diaktifkan untuk cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Auto repair disabled
Nama kategori di API: |
Deskripsi temuan: Fitur perbaikan otomatis cluster GKE, yang menjaga node dalam keadaan berjalan dengan baik, dinonaktifkan. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Auto upgrade disabled
Nama kategori di API: |
Deskripsi temuan: Fitur upgrade otomatis cluster GKE, yang membuat cluster dan node pool tetap menggunakan Kubernetes versi stabil terbaru, dinonaktifkan. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Binary authorization disabled
Nama kategori di API: |
Deskripsi temuan: Otorisasi Biner dinonaktifkan di cluster GKE atau kebijakan Otorisasi Biner dikonfigurasi untuk mengizinkan semua image di-deploy. Paket harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa hal berikut:
|
Cluster logging disabled
Nama kategori di API: |
Deskripsi temuan: Logging tidak diaktifkan untuk cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Cluster monitoring disabled
Nama kategori di API: |
Deskripsi temuan: Pemantauan dinonaktifkan di cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Cluster private Google access disabled
Nama kategori di API: |
Deskripsi temuan: Host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi untuk mengakses Google API. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Cluster secrets encryption disabled
Nama kategori di API: |
Deskripsi temuan: Enkripsi secret lapisan aplikasi dinonaktifkan di cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Cluster shielded nodes disabled
Nama kategori di API: |
Deskripsi temuan: Node GKE yang terlindungi tidak diaktifkan untuk cluster. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
COS not used
Nama kategori di API: |
Deskripsi temuan: VM Compute Engine tidak menggunakan OS yang Dioptimalkan Container yang dirancang untuk menjalankan penampung Docker di Google Cloud dengan aman. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Integrity monitoring disabled
Nama kategori di API: |
Deskripsi temuan: Pemantauan integritas dinonaktifkan untuk cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Intranode visibility disabled
Nama kategori di API: |
Deskripsi temuan: Visibilitas intranode dinonaktifkan untuk cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
IP alias disabled
Nama kategori di API: |
Deskripsi temuan: Cluster GKE dibuat dengan rentang IP alias dinonaktifkan. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Legacy authorization enabled
Nama kategori di API: |
Deskripsi temuan: Otorisasi Lama diaktifkan di cluster GKE. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Legacy metadata enabled
Nama kategori di API: |
Deskripsi temuan: Metadata lama diaktifkan di cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Master authorized networks disabled
Nama kategori di API: |
Deskripsi temuan: Jaringan yang Diizinkan Bidang Kontrol tidak diaktifkan di cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Network policy disabled
Nama kategori di API: |
Deskripsi temuan: Kebijakan jaringan dinonaktifkan di cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kolom
|
Nodepool boot CMEK disabled
Nama kategori di API: |
Deskripsi temuan: Disk booting di node pool ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa properti
|
Nodepool secure boot disabled
Nama kategori di API: |
Deskripsi temuan: Booting Aman dinonaktifkan untuk cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Over privileged account
Nama kategori di API: |
Deskripsi temuan: Akun layanan memiliki akses project yang terlalu luas di cluster. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengevaluasi properti
|
Over privileged scopes
Nama kategori di API: |
Deskripsi temuan: Akun layanan node memiliki cakupan akses yang luas. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah cakupan akses yang tercantum dalam
properti config.oauthScopes dari node pool adalah
cakupan akses akun layanan terbatas:
https://www.googleapis.com/auth/devstorage.read_only,
https://www.googleapis.com/auth/logging.write,
atau
https://www.googleapis.com/auth/monitoring.
|
Pod security policy disabled
Nama kategori di API: |
Deskripsi temuan: PodSecurityPolicy dinonaktifkan di cluster GKE. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Private cluster disabled
Nama kategori di API: |
Deskripsi temuan: Cluster GKE memiliki Cluster pribadi yang dinonaktifkan. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Release channel disabled
Nama kategori di API: |
Deskripsi temuan: Cluster GKE tidak berlangganan saluran rilis. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Web UI enabled
Nama kategori di API: |
Deskripsi temuan: UI web (dasbor) GKE diaktifkan. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa kolom
|
Workload Identity disabled
Nama kategori di API: |
Deskripsi temuan: Workload Identity dinonaktifkan di cluster GKE. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Temuan kerentanan Dataproc
Semua kerentanan jenis pendeteksi ini terkait dengan Dataproc dan termasuk dalam
jenis pendeteksi DATAPROC_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Dataproc CMEK disabled
Nama kategori di API: |
Deskripsi temuan: Cluster Dataproc dibuat tanpa konfigurasi enkripsi CMEK. Dengan CMEK, kunci yang Anda buat dan kelola di Cloud Key Management Service menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki lebih banyak kontrol terhadap akses ke data Anda. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Dataproc image outdated
Nama kategori di API: |
Deskripsi temuan: Cluster Dataproc dibuat dengan versi image Dataproc yang terpengaruh oleh kerentanan keamanan di utilitas Apache Log4j 2 (CVE-2021-44228 dan CVE-2021-45046). Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa apakah kolom
|
Temuan kerentanan set data
Semua kerentanan jenis detektor ini terkait dengan konfigurasi Set Data BigQuery, dan termasuk dalam jenis detektor DATASET_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
BigQuery table CMEK disabled
Nama kategori di API: |
Deskripsi temuan: Tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Dataset CMEK disabled
Nama kategori di API: |
Deskripsi temuan: Set data BigQuery tidak dikonfigurasi untuk menggunakan CMK default. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Public dataset
Nama kategori di API: |
Deskripsi temuan: Set data dikonfigurasi agar terbuka untuk akses publik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama
|
Temuan kerentanan DNS
Semua kerentanan jenis pendeteksi ini terkait dengan konfigurasi Cloud DNS,
dan termasuk dalam jenis pendeteksi DNS_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
DNSSEC disabled
Nama kategori di API: |
Deskripsi temuan: DNSSEC dinonaktifkan untuk zona Cloud DNS. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
RSASHA1 for signing
Nama kategori di API: |
Deskripsi temuan: RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah objek
|
Temuan kerentanan firewall
Kerentanan jenis pendeteksi ini semuanya terkait dengan konfigurasi firewall, dan
termasuk dalam jenis pendeteksi FIREWALL_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Egress deny rule not set
Nama kategori di API: |
Deskripsi temuan: Aturan penolakan keluar tidak ditetapkan di firewall. Aturan penolakan egress harus ditetapkan untuk memblokir traffic keluar yang tidak diinginkan. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Firewall rule logging disabled
Nama kategori di API: |
Deskripsi temuan: Logging aturan firewall dinonaktifkan. Logging aturan firewall harus diaktifkan agar Anda dapat mengaudit akses jaringan. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open Cassandra port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar memiliki port Cassandra terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open ciscosecure websm port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar memiliki port CISCOSECURE_WEBSM terbuka yang mengizinkan akses umum. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open directory services port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar memiliki port DIRECTORY_SERVICES terbuka yang mengizinkan akses umum. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open DNS port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar memiliki port DNS terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open elasticsearch port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar memiliki port ELASTICSEARCH terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open firewall
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar terbuka untuk akses publik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open FTP port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port FTP terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open HTTP port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar memiliki port HTTP terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open LDAP port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port LDAP terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open Memcached port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port MEMCACHED terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open MongoDB port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar memiliki port MONGODB terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open MySQL port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar memiliki port MYSQL terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open NetBIOS port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar memiliki port NETBIOS terbuka yang memungkinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open OracleDB port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port ORACLEDB terbuka yang memungkinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open pop3 port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port POP3 terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open PostgreSQL port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port PostgreSQL terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open RDP port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port RDP terbuka yang mengizinkan akses umum. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
Open Redis port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port REDIS terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Open SMTP port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port SMTP terbuka yang mengizinkan akses umum. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Open SSH port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi untuk memiliki port SSH terbuka yang mengizinkan akses umum. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Open Telnet port
Nama kategori di API: |
Deskripsi temuan: Firewall dikonfigurasi agar memiliki port TELNET terbuka yang mengizinkan akses umum. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Temuan kerentanan IAM
Semua kerentanan jenis detektor ini terkait dengan konfigurasi Identity and Access Management (IAM), dan termasuk dalam jenis detektor IAM_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Access Transparency disabled
Nama kategori di API: |
Deskripsi temuan: Transparansi Akses Google Cloud dinonaktifkan untuk organisasi Anda. Transparansi Akses mencatat saat karyawan Google Cloud mengakses project di organisasi Anda untuk memberikan dukungan. Aktifkan Transparansi Akses untuk mencatat siapa dari Google Cloud yang mengakses informasi Anda, kapan, dan alasannya. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah organisasi Anda telah mengaktifkan Transparansi Akses.
|
Admin service account
Nama kategori di API: |
Deskripsi temuan: Akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini tidak boleh ditetapkan ke akun layanan yang dibuat pengguna. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun layanan apa pun yang dibuat pengguna (ditunjukkan dengan awalan ), yang ditetapkan
|
Essential Contacts Not Configured
Nama kategori di API: |
Deskripsi temuan: Organisasi Anda belum menetapkan orang atau grup untuk menerima notifikasi dari Google Cloud tentang peristiwa penting seperti serangan, kerentanan, dan insiden data dalam organisasi Google Cloud Anda. Sebaiknya Anda menetapkan satu atau beberapa orang atau grup di organisasi bisnis Anda sebagai Kontak Penting. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kontak ditentukan untuk kategori kontak penting berikut:
|
KMS role separation
Nama kategori di API: |
Deskripsi temuan: Pemisahan tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu peran Cloud Key Management Service (Cloud KMS) berikut secara bersamaan: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter. Temuan ini tidak tersedia untuk aktivasi tingkat project. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource dan mengambil akun utama yang diberi salah satu peran berikut secara bersamaan: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, dan roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
|
Non org IAM member
Nama kategori di API: |
Deskripsi temuan: Ada pengguna yang tidak menggunakan kredensial organisasi. Berdasarkan CIS GCP Foundations 1.0, saat ini, hanya identitas dengan alamat email @gmail.com yang memicu detektor ini. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Membandingkan alamat email @gmail.com di kolom
|
Open group IAM member
Nama kategori di API: |
Deskripsi temuan: Akun Google Grup yang dapat diikuti tanpa persetujuan digunakan sebagai akun utama kebijakan izin IAM. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kebijakan IAM dalam metadata resource untuk binding apa pun yang berisi anggota (akun utama) yang diawali dengan group. Jika grup adalah grup terbuka, Security Health Analytics akan menghasilkan temuan ini.
|
Over privileged service account user
Nama kategori di API: |
Deskripsi temuan: Pengguna memiliki peran Service Account User atau Service Account Token Creator di level project, bukan untuk akun layanan tertentu. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama yang ditetapkan roles/iam.serviceAccountUser atau roles/iam.serviceAccountTokenCreator di level project.
|
Primitive roles used
Nama kategori di API: |
Deskripsi temuan: Pengguna memiliki salah satu peran dasar berikut:
Peran ini terlalu permisif dan sebaiknya tidak digunakan. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama yang diberi peran
|
Redis role used on org
Nama kategori di API: |
Deskripsi temuan: Peran IAM Redis ditetapkan di tingkat organisasi atau folder. Temuan ini tidak tersedia untuk aktivasi tingkat project. Paket harga: Premium
Aset yang didukung
Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama yang ditetapkan
|
Service account role separation
Nama kategori di API: |
Deskripsi temuan: Pengguna telah diberi peran Service Account Admin dan Service Account User. Hal ini melanggar prinsip "Pemisahan Tugas". Temuan ini tidak tersedia untuk aktivasi tingkat project. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama apa pun yang ditetapkan ke roles/iam.serviceAccountUser dan roles/iam.serviceAccountAdmin.
|
Service account key not rotated
Nama kategori di API: |
Deskripsi temuan: Kunci akun layanan belum dirotasi selama lebih dari 90 hari. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Mengevaluasi stempel waktu pembuatan kunci yang diambil di properti
|
User managed service account key
Nama kategori di API: |
Deskripsi temuan: Pengguna mengelola kunci akun layanan. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Temuan kerentanan KMS
Kerentanan jenis pendeteksi ini semuanya terkait dengan konfigurasi Cloud KMS, dan termasuk dalam jenis pendeteksi KMS_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
KMS key not rotated
Nama kategori di API: |
Deskripsi temuan: Rotasi tidak dikonfigurasi pada kunci enkripsi Cloud KMS. Kunci harus dirotasi dalam jangka waktu 90 hari. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa metadata resource untuk mengetahui keberadaan properti
|
KMS project has owner
Nama kategori di API: |
Deskripsi temuan: Pengguna memiliki izin Pemilik di project yang memiliki kunci kriptografis. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata project untuk akun utama yang diberi
|
KMS public key
Nama kategori di API: |
Deskripsi temuan: Kunci kriptografis Cloud KMS dapat diakses secara publik. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk akun utama
|
Too many KMS users
Nama kategori di API: |
Deskripsi temuan: Ada lebih dari tiga pengguna kunci kriptografis. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM untuk ring kunci, project, dan organisasi, serta mengambil akun utama dengan peran yang memungkinkan mereka mengenkripsi, mendekripsi, atau menandatangani data menggunakan kunci Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, dan roles/cloudkms.signerVerifier.
|
Mencatat temuan kerentanan ke dalam log
Semua kerentanan jenis pendeteksi ini terkait dengan konfigurasi logging, dan
termasuk dalam jenis pendeteksi LOGGING_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Audit logging disabled
Nama kategori di API: |
Deskripsi temuan: Pencatatan aktivitas audit telah dinonaktifkan untuk resource ini. Temuan ini tidak tersedia untuk aktivasi tingkat project. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM dalam metadata resource untuk mengetahui keberadaan objek
|
Bucket logging disabled
Nama kategori di API: |
Deskripsi temuan: Ada bucket penyimpanan tanpa logging yang diaktifkan. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Locked retention policy not set
Nama kategori di API: |
Deskripsi temuan: Kebijakan retensi terkunci tidak ditetapkan untuk log. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Log not exported
Nama kategori di API: |
Deskripsi temuan: Ada resource yang tidak memiliki sink log yang sesuai yang dikonfigurasi. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung
Standar kepatuhan:
|
Mengambil objek
|
Object versioning disabled
Nama kategori di API: |
Deskripsi temuan: Pembuatan versi objek tidak diaktifkan di bucket penyimpanan tempat sink dikonfigurasi. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
Memantau temuan kerentanan
Kerentanan jenis detektor ini semuanya terkait dengan konfigurasi pemantauan,
dan termasuk dalam jenis MONITORING_SCANNER. Semua properti penemuan pendeteksi Pemantauan
mencakup:
-
RecommendedLogFilteryang akan digunakan dalam membuat metrik log. -
QualifiedLogMetricNamesyang mencakup kondisi yang tercantum dalam filter log yang direkomendasikan. -
AlertPolicyFailureReasonsyang menunjukkan apakah project tidak memiliki kebijakan pemberitahuan yang dibuat untuk metrik log yang memenuhi syarat atau kebijakan pemberitahuan yang ada tidak memiliki setelan yang direkomendasikan.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Audit config not monitored
Nama kategori di API: |
Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan Konfigurasi Audit. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari
resource LogsMetric project ditetapkan ke
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:*,
dan jika resource.type ditentukan, nilainya adalah global.
Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Bucket IAM not monitored
Nama kategori di API: |
Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan izin IAM Cloud Storage. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions".
Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Custom role not monitored
Nama kategori di API: |
Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan Peran Khusus. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole").
Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Firewall not monitored
Nama kategori di API: |
Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan aturan Firewall Jaringan Virtual Private Cloud (VPC). Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete").
Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Network not monitored
Nama kategori di API: |
Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan jaringan VPC. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering").
Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Owner not monitored
Nama kategori di API: |
Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari
resource LogsMetric project ditetapkan ke
(protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner"),
dan jika resource.type ditentukan, nilainya adalah global.
Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Route not monitored
Nama kategori di API: |
Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari resource LogsMetric project ditetapkan ke
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert").
Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
SQL instance not monitored
|
Deskripsi temuan: Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan konfigurasi instance Cloud SQL. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti filter dari
resource LogsMetric project ditetapkan ke
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete",
dan jika resource.type ditentukan, nilainya adalah global.
Detektor juga menelusuri resource alertPolicy yang sesuai, memeriksa apakah properti conditions dan notificationChannels dikonfigurasi dengan benar.
|
Temuan autentikasi multi-faktor
Detektor MFA_SCANNER mengidentifikasi kerentanan yang terkait dengan autentikasi
multi-faktor untuk pengguna.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
MFA not enforced
Nama kategori di API: |
Ada pengguna yang tidak menggunakan Verifikasi 2 Langkah. Google Workspace memungkinkan Anda menentukan masa tenggang pendaftaran untuk pengguna baru selama periode tersebut mereka harus mendaftar ke Verifikasi 2 Langkah. Detektor ini membuat temuan untuk pengguna selama masa tenggang pendaftaran. Temuan ini tidak tersedia untuk aktivasi tingkat project. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Mengevaluasi kebijakan pengelolaan identitas di organisasi dan setelan pengguna untuk akun terkelola di Cloud Identity.
|
Temuan kerentanan jaringan
Kerentanan jenis detektor ini semuanya terkait dengan konfigurasi jaringan organisasi, dan termasuk dalam jenis NETWORK_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Default network
Nama kategori di API: |
Deskripsi temuan: Jaringan default ada dalam project. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
DNS logging disabled
Nama kategori di API: |
Deskripsi temuan: Logging DNS di jaringan VPC tidak diaktifkan. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa semua
|
Legacy network
Nama kategori di API: |
Deskripsi temuan: Jaringan lama ada dalam project. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa metadata jaringan untuk mengetahui keberadaan properti
|
Load balancer logging disabled
Nama kategori di API: |
Deskripsi temuan: Logging dinonaktifkan untuk load balancer. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Temuan kerentanan Kebijakan Organisasi
Kerentanan jenis pendeteksi ini semuanya terkait dengan konfigurasi
batasan Kebijakan Organisasi, dan termasuk dalam jenis ORG_POLICY.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Org policy Confidential VM policy
Nama kategori di API: |
Deskripsi temuan:
Resource Compute Engine tidak mematuhi
kebijakan organisasi
constraints/compute.restrictNonConfidentialComputing. Untuk informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi di Confidential VM.
Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa apakah properti
|
Org policy location restriction
Nama kategori di API: |
Deskripsi temuan:
Resource Compute Engine tidak mematuhi
batasan constraints/gcp.resourceLocations. Untuk informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi.
Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Paket harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa properti
|
|
Aset yang didukung untuk ORG_POLICY_LOCATION_RESTRICTION
Compute Engine
GKE
Cloud Storage
Cloud KMS
Dataproc
BigQuery
Dataflow
Cloud SQL
Cloud Composer
Logging
Pub/Sub
Vertex AI
Artifact Registry 1 Karena aset Cloud KMS tidak dapat dihapus, aset tersebut tidak dianggap berada di luar region jika data aset telah dihancurkan. 2 Karena tugas impor Cloud KMS memiliki siklus proses yang terkontrol dan tidak dapat dihentikan lebih awal, ImportJob tidak dianggap berada di luar region jika tugas tersebut sudah tidak berlaku dan tidak dapat lagi digunakan untuk mengimpor kunci. 3 Karena siklus proses tugas Dataflow tidak dapat dikelola, Tugas tidak dianggap berada di luar region setelah mencapai status terminal (dihentikan atau habis), yang tidak dapat lagi digunakan untuk memproses data. |
||
Temuan kerentanan Pub/Sub
Semua kerentanan jenis pendeteksi ini terkait dengan konfigurasi Pub/Sub, dan termasuk dalam jenis PUBSUB_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Pubsub CMEK disabled
Nama kategori di API: |
Deskripsi temuan: Topik Pub/Sub tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kolom
|
Temuan kerentanan SQL
Kerentanan jenis detektor ini semuanya terkait dengan konfigurasi Cloud SQL, dan termasuk dalam jenis SQL_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
AlloyDB auto backup disabled
Nama kategori di API: |
Deskripsi temuan: Cluster AlloyDB untuk PostgreSQL tidak mengaktifkan pencadangan otomatis. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
AlloyDB backups disabled
Nama kategori di API: |
Deskripsi temuan: Pencadangan tidak diaktifkan di cluster AlloyDB untuk PostgreSQL. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
AlloyDB CMEK disabled
Nama kategori di API: |
Deskripsi temuan: Cluster AlloyDB tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa kolom
|
AlloyDB log min error statement severity
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Untuk memastikan cakupan jenis pesan yang memadai dalam log, terbitkan temuan jika
kolom
|
AlloyDB log min messages
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Untuk memastikan cakupan jenis pesan yang memadai dalam log, terbitkan temuan jika kolom
|
AlloyDB log error verbosity
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Untuk memastikan cakupan jenis pesan yang memadai dalam log, terbitkan temuan jika
kolom
|
AlloyDB public IP
Nama kategori di API: |
Deskripsi temuan: Instance database AlloyDB untuk PostgreSQL memiliki alamat IP publik. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
AlloyDB SSL not enforced
Nama kategori di API: |
Deskripsi temuan: Instance database AlloyDB untuk PostgreSQL tidak mewajibkan semua koneksi masuk untuk menggunakan SSL. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Auto backup disabled
Nama kategori di API: |
Deskripsi temuan: Pencadangan otomatis database Cloud SQL tidak diaktifkan. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Public SQL instance
Nama kategori di API: |
Deskripsi temuan: Instance database Cloud SQL menerima koneksi dari semua alamat IP. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SSL not enforced
Nama kategori di API: |
Deskripsi temuan: Instance database Cloud SQL tidak mewajibkan semua koneksi masuk untuk menggunakan SSL. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL CMEK disabled
Nama kategori di API: |
Deskripsi temuan: Instance database SQL tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kolom
|
SQL contained database authentication
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL cross DB ownership chaining
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL external scripts enabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL local infile
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log checkpoints disabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log connections disabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log disconnections disabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log duration disabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log error verbosity
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log lock waits disabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log min duration statement enabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL log min error statement
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
SQL log min error statement severity
Nama kategori di API: |
Deskripsi temuan:
Tanda database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah kolom
|
SQL log min messages
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Untuk memastikan cakupan jenis pesan yang memadai dalam log, terbitkan temuan jika kolom
|
SQL log executor stats enabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log hostname enabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log parser stats enabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log planner stats enabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log statement
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log statement stats enabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL log temp files
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL no root password
Nama kategori di API: |
Deskripsi temuan: Database Cloud SQL yang memiliki alamat IP publik tidak memiliki sandi yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
SQL public IP
Nama kategori di API: |
Deskripsi temuan: Database Cloud SQL memiliki alamat IP publik. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah jenis alamat IP database Cloud SQL ditetapkan ke
|
SQL remote access enabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL skip show database disabled
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL trace flag 3625
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL user connections configured
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL user options configured
Nama kategori di API: |
Deskripsi temuan:
Flag database Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa properti
|
SQL weak root password
Nama kategori di API: |
Deskripsi temuan: Database Cloud SQL yang memiliki alamat IP publik juga memiliki sandi lemah yang dikonfigurasi untuk akun root. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Membandingkan sandi untuk akun root database Cloud SQL Anda dengan daftar sandi umum.
|
Temuan kerentanan penyimpanan
Kerentanan jenis detektor ini semuanya terkait dengan konfigurasi Bucket Cloud Storage, dan termasuk dalam jenis STORAGE_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Bucket CMEK disabled
Nama kategori di API: |
Deskripsi temuan: Bucket tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa kolom
|
Bucket policy only disabled
Nama kategori di API: |
Deskripsi temuan: Akses level bucket yang seragam, yang sebelumnya disebut Khusus Kebijakan Bucket, tidak dikonfigurasi. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Public bucket ACL
Nama kategori di API: |
Deskripsi temuan: Bucket Cloud Storage dapat diakses secara publik. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM bucket untuk peran publik,
|
Public log bucket
Nama kategori di API: |
Deskripsi temuan: Bucket penyimpanan yang digunakan sebagai sink log dapat diakses secara publik. Temuan ini tidak tersedia untuk aktivasi tingkat project. Tingkat harga: Premium atau Standar
Aset yang didukung Standar kepatuhan:
|
Memeriksa kebijakan izin IAM bucket untuk akun utama
|
Temuan kerentanan subjaringan
Semua kerentanan jenis detektor ini terkait dengan konfigurasi subjaringan organisasi, dan termasuk dalam jenisSUBNETWORK_SCANNER.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
Flow logs disabled
Nama kategori di API: |
Deskripsi temuan: Ada subnet VPC yang menonaktifkan log alur. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Flow logs settings not recommended
Nama kategori di API: |
Deskripsi temuan: Untuk subjaringan VPC, VPC Flow Logs dinonaktifkan atau tidak dikonfigurasi sesuai dengan rekomendasi CIS Benchmark 1.3. Detektor ini memerlukan konfigurasi tambahan untuk diaktifkan. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Private Google access disabled
Nama kategori di API: |
Deskripsi temuan: Ada subjaringan pribadi tanpa akses ke API publik Google. Paket harga: Premium
Aset yang didukung Standar kepatuhan:
|
Memeriksa apakah properti
|
Temuan AWS
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
|
Nama kategori di API: |
Menemukan deskripsi: AWS CloudShell adalah cara mudah untuk menjalankan perintah CLI terhadap layanan AWS; kebijakan IAM terkelola ('AWSCloudShellFullAccess') memberikan akses penuh ke CloudShell, yang memungkinkan kemampuan upload dan download file antara sistem lokal pengguna dan lingkungan CloudShell. Dalam lingkungan CloudShell, pengguna memiliki izin sudo, dan dapat mengakses internet. Jadi, Anda dapat menginstal software transfer file (misalnya) dan memindahkan data dari CloudShell ke server internet eksternal. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan akses ke AWSCloudShellFullAccess dibatasi
|
|
Nama kategori di API: |
Menemukan deskripsi: Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia, yang digunakan untuk menandatangani permintaan terprogram yang Anda buat ke AWS. Pengguna AWS memerlukan kunci akses mereka sendiri untuk melakukan panggilan terprogram ke AWS dari Antarmuka Command Line AWS (AWS CLI), Alat untuk Windows PowerShell, AWS SDK, atau panggilan HTTP langsung menggunakan API untuk setiap layanan AWS. Sebaiknya semua kunci akses dirotasi secara rutin. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan kunci akses dirotasi maksimal setiap 90 hari
|
|
Nama kategori di API: |
Menemukan deskripsi: Untuk mengaktifkan koneksi HTTPS ke situs atau aplikasi di AWS, Anda memerlukan sertifikat server SSL/TLS. Anda dapat menggunakan ACM atau IAM untuk menyimpan dan men-deploy sertifikat server. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan semua sertifikat SSL/TLS yang masa berlakunya telah habis yang disimpan di AWS IAM dihapus
|
|
Nama kategori di API: |
Menemukan deskripsi: Tindakan ini memeriksa apakah grup Penskalaan Otomatis yang dikaitkan dengan load balancer menggunakan health check Elastic Load Balancing. Hal ini memastikan bahwa grup dapat menentukan kondisi instance berdasarkan pengujian tambahan yang disediakan oleh load balancer. Menggunakan health check Elastic Load Balancing dapat membantu mendukung ketersediaan aplikasi yang menggunakan grup EC2 Auto Scaling. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua grup penskalaan otomatis yang dikaitkan dengan load balancer menggunakan health check
|
|
Nama kategori di API: |
Menemukan deskripsi: Pastikan instance database RDS mengaktifkan tanda Upgrade Versi Minor Otomatis untuk menerima upgrade mesin minor secara otomatis selama periode pemeliharaan yang ditentukan. Jadi, instance RDS dapat mendapatkan fitur baru, perbaikan bug, dan patch keamanan untuk mesin database mereka. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan fitur Upgrade Versi Minor Otomatis Diaktifkan untuk Instance RDS
|
|
Nama kategori di API: |
Menemukan deskripsi: AWS Config adalah layanan web yang melakukan pengelolaan konfigurasi resource AWS yang didukung dalam akun Anda dan mengirimkan file log kepada Anda. Informasi yang dicatat mencakup item konfigurasi (resource AWS), hubungan antara item konfigurasi (resource AWS), perubahan konfigurasi apa pun di antara resource. Sebaiknya AWS Config diaktifkan di semua region. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan AWS Config diaktifkan di semua region
|
|
Nama kategori di API: |
Menemukan deskripsi: Security Hub mengumpulkan data keamanan dari seluruh akun, layanan, dan produk partner pihak ketiga yang didukung AWS, serta membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi. Saat Anda mengaktifkan Security Hub, Security Hub akan mulai menggunakan, menggabungkan, mengatur, dan memprioritaskan temuan dari layanan AWS yang telah Anda aktifkan, seperti Amazon GuardDuty, Amazon Inspector, dan Amazon Macie. Anda juga dapat mengaktifkan integrasi dengan produk keamanan partner AWS. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan AWS Security Hub diaktifkan
|
|
Nama kategori di API: |
Menemukan deskripsi: AWS CloudTrail adalah layanan web yang mencatat panggilan AWS API untuk akun dan menyediakan log tersebut kepada pengguna dan resource sesuai dengan kebijakan IAM. AWS Key Management Service (KMS) adalah layanan terkelola yang membantu membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data akun, dan menggunakan Hardware Security Module (HSM) untuk melindungi keamanan kunci enkripsi. Log CloudTrail dapat dikonfigurasi untuk memanfaatkan enkripsi sisi server (SSE) dan kunci master buatan pelanggan (CMK) KMS untuk lebih melindungi log CloudTrail. Sebaiknya konfigurasikan CloudTrail untuk menggunakan SSE-KMS. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan log CloudTrail dienkripsi dalam penyimpanan menggunakan CMK KMS
|
|
Nama kategori di API: |
Menemukan deskripsi: Validasi file log CloudTrail membuat file ringkasan yang ditandatangani secara digital yang berisi hash dari setiap log yang ditulis CloudTrail ke S3. File ringkasan ini dapat digunakan untuk menentukan apakah file log diubah, dihapus, atau tidak berubah setelah CloudTrail mengirimkan log. Sebaiknya validasi file diaktifkan di semua CloudTrail. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan validasi file log CloudTrail diaktifkan
|
|
Nama kategori di API: |
Menemukan deskripsi: AWS CloudTrail adalah layanan web yang mencatat panggilan AWS API yang dilakukan di akun AWS tertentu. Informasi yang dicatat mencakup identitas pemanggil API, waktu panggilan API, alamat IP sumber pemanggil API, parameter permintaan, dan elemen respons yang ditampilkan oleh layanan AWS. CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log, sehingga file log disimpan secara permanen. Selain merekam log CloudTrail dalam bucket S3 yang ditentukan untuk analisis jangka panjang, analisis real-time dapat dilakukan dengan mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs. Untuk pelacakan yang diaktifkan di semua region dalam akun, CloudTrail akan mengirim file log dari semua region tersebut ke grup log CloudWatch Logs. Sebaiknya log CloudTrail dikirim ke CloudWatch Logs. Catatan: Tujuan rekomendasi ini adalah untuk memastikan aktivitas akun AWS direkam, dipantau, dan diberi peringatan dengan tepat. CloudWatch Logs adalah cara native untuk melakukannya menggunakan layanan AWS, tetapi tidak mengecualikan penggunaan solusi alternatif. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan jejak jCloudTrail diintegrasikan dengan CloudWatch Logs
|
|
Nama kategori di API: |
Menemukan deskripsi: Ini memeriksa apakah Amazon Cloudwatch memiliki tindakan yang ditentukan saat alarm bertransisi antara status 'OK', 'ALARM', dan 'INSUFFICIENT_DATA'. Mengonfigurasi tindakan untuk status ALARM di alarm Amazon CloudWatch sangat penting untuk memicu respons langsung saat metrik yang dipantau melanggar nilai minimum. Alarm memiliki minimal satu tindakan. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah setidaknya satu tindakan alarm, satu tindakan INSUFFICIENT_DATA, atau satu tindakan OK diaktifkan pada alarm CloudWatch.
|
|
Nama kategori di API: |
Menemukan deskripsi: Pemeriksaan ini memastikan log CloudWatch dikonfigurasi dengan KMS. Data grup log selalu dienkripsi di CloudWatch Logs. Secara default, CloudWatch Logs menggunakan enkripsi sisi server untuk data log dalam penyimpanan. Sebagai alternatif, Anda dapat menggunakan AWS Key Management Service untuk enkripsi ini. Jika Anda melakukannya, enkripsi akan dilakukan menggunakan kunci AWS KMS. Enkripsi menggunakan AWS KMS diaktifkan di tingkat grup log, dengan mengaitkan kunci KMS dengan grup log, baik saat Anda membuat grup log atau setelah grup log ada. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua grup log di Amazon CloudWatch Logs dienkripsi dengan KMS
|
|
Nama kategori di API: |
Menemukan deskripsi: Kontrol ini memeriksa apakah jejak CloudTrail dikonfigurasi untuk mengirim log ke CloudWatch Logs. Kontrol akan gagal jika properti CloudWatchLogsLogGroupArn dari pelacakan kosong. CloudTrail mencatat panggilan AWS API yang dilakukan di akun tertentu. Informasi yang dicatat mencakup hal berikut:
CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log. Anda dapat merekam log CloudTrail di bucket S3 yang ditentukan untuk analisis jangka panjang. Untuk melakukan analisis real-time, Anda dapat mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs. Untuk jejak yang diaktifkan di semua Region dalam akun, CloudTrail akan mengirim file log dari semua Region tersebut ke grup log CloudWatch Logs. Security Hub merekomendasikan agar Anda mengirim log CloudTrail ke CloudWatch Logs. Perhatikan bahwa rekomendasi ini dimaksudkan untuk memastikan bahwa aktivitas akun direkam, dipantau, dan diaktifkan alarmnya dengan tepat. Anda dapat menggunakan CloudWatch Logs untuk menyiapkannya dengan layanan AWS. Rekomendasi ini tidak mengecualikan penggunaan solusi yang berbeda. Mengirim log CloudTrail ke CloudWatch Logs memfasilitasi logging aktivitas real-time dan historis berdasarkan pengguna, API, resource, dan alamat IP. Anda dapat menggunakan pendekatan ini untuk menetapkan alarm dan notifikasi untuk aktivitas akun yang tidak wajar atau sensitif. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua jejak CloudTrail dikonfigurasi untuk mengirim log ke AWS CloudWatch
|
|
Nama kategori di API: |
Menemukan deskripsi: Tindakan ini memeriksa apakah project berisi variabel lingkungan Kredensial autentikasi Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua project yang berisi variabel lingkungan AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak dalam teks biasa
|
|
Nama kategori di API: |
Menemukan deskripsi: Tindakan ini memeriksa apakah URL repositori sumber Bitbucket project AWS CodeBuild berisi token akses pribadi atau nama pengguna dan sandi. Kontrol akan gagal jika URL repositori sumber Bitbucket berisi token akses pribadi atau nama pengguna dan sandi. Kredensial login tidak boleh disimpan atau dikirim dalam teks biasa atau muncul di URL repositori sumber. Daripada token akses pribadi atau kredensial login, Anda harus mengakses penyedia sumber di CodeBuild, dan mengubah URL repositori sumber agar hanya berisi jalur ke lokasi repositori Bitbucket. Menggunakan token akses pribadi atau kredensial login dapat mengakibatkan eksposur data yang tidak diinginkan atau akses tidak sah. Paket harga: Enterprise Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa apakah semua project yang menggunakan github atau bitbucket sebagai sumber menggunakan oauth
|
|
Nama kategori di API: |
Menemukan deskripsi: Pengguna AWS IAM dapat mengakses resource AWS menggunakan berbagai jenis kredensial, seperti sandi atau kunci akses. Sebaiknya semua kredensial yang tidak digunakan selama 45 hari atau lebih dinonaktifkan atau dihapus. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan kredensial yang tidak digunakan selama 45 hari atau lebih dinonaktifkan
|
|
Nama kategori di API: |
Menemukan deskripsi: VPC dilengkapi dengan grup keamanan default yang setelan awalnya menolak semua traffic masuk, mengizinkan semua traffic keluar, dan mengizinkan semua traffic di antara instance yang ditetapkan ke grup keamanan. Jika Anda tidak menentukan grup keamanan saat meluncurkan instance, instance akan otomatis ditetapkan ke grup keamanan default ini. Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk/keluar ke resource AWS. Sebaiknya grup keamanan default membatasi semua traffic. VPC default di setiap region harus memperbarui grup keamanan defaultnya agar mematuhi kebijakan. Setiap VPC yang baru dibuat akan otomatis berisi grup keamanan default yang akan memerlukan perbaikan untuk mematuhi rekomendasi ini. CATATAN: Saat menerapkan rekomendasi ini, logging alur VPC sangat berharga dalam menentukan akses port dengan hak istimewa minimum yang diperlukan oleh sistem agar berfungsi dengan baik karena dapat mencatat semua penerimaan dan penolakan paket yang terjadi dalam grup keamanan saat ini. Hal ini secara drastis mengurangi hambatan utama untuk engineering hak istimewa terendah - menemukan port minimum yang diperlukan oleh sistem di lingkungan. Meskipun rekomendasi logging aliran VPC dalam benchmark ini tidak diadopsi sebagai tindakan keamanan permanen, rekomendasi ini harus digunakan selama periode penemuan dan rekayasa untuk grup keamanan dengan hak istimewa terendah. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan grup keamanan default setiap VPC membatasi semua traffic
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah instance replikasi AWS DMS bersifat publik. Untuk melakukannya, metrik ini memeriksa nilai kolom Instance replika pribadi memiliki alamat IP pribadi yang tidak dapat Anda akses di luar jaringan replika. Instance replikasi harus memiliki alamat IP pribadi jika database sumber dan target berada di jaringan yang sama. Jaringan juga harus terhubung ke VPC instance replika menggunakan VPN, AWS Direct Connect, atau peering VPC. Untuk mempelajari instance replikasi publik dan pribadi lebih lanjut, lihat Instance replikasi publik dan pribadi di Panduan Pengguna AWS Database Migration Service. Anda juga harus memastikan bahwa akses ke konfigurasi instance AWS DMS hanya dibatasi untuk pengguna yang diberi otorisasi. Untuk melakukannya, batasi izin IAM pengguna untuk mengubah setelan dan resource AWS DMS. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah instance replikasi AWS Database Migration Service bersifat publik
|
|
Nama kategori di API: |
Menemukan deskripsi: Konsol AWS secara default tidak akan mencentang kotak apa pun saat membuat pengguna IAM baru. Saat membuat kredensial Pengguna IAM, Anda harus menentukan jenis akses yang diperlukan. Akses terprogram: Pengguna IAM mungkin perlu melakukan panggilan API, menggunakan AWS CLI, atau menggunakan Alat untuk Windows PowerShell. Dalam hal ini, buat kunci akses (ID kunci akses dan kunci akses rahasia) untuk pengguna tersebut. Akses AWS Management Console: Jika pengguna perlu mengakses AWS Management Console, buat sandi untuk pengguna tersebut. Paket harga: Enterprise Standar kepatuhan:
|
Jangan konfigurasi kunci akses selama penyiapan pengguna awal untuk semua pengguna IAM yang memiliki sandi konsol
|
|
Nama kategori di API: |
Menemukan deskripsi: Pengujian ini memeriksa apakah tabel Amazon DynamoDB dapat menskalakan kapasitas baca dan tulisnya sesuai kebutuhan. Kontrol ini lulus jika tabel menggunakan mode kapasitas on-demand atau mode yang disediakan dengan penskalaan otomatis yang dikonfigurasi. Menskalakan kapasitas dengan permintaan akan menghindari pengecualian throttling, yang membantu mempertahankan ketersediaan aplikasi Anda. Tabel DynamoDB dalam mode kapasitas on-demand hanya dibatasi oleh kuota tabel default throughput DynamoDB. Untuk menaikkan kuota ini, Anda dapat mengajukan tiket dukungan melalui Dukungan AWS. Tabel DynamoDB dalam mode yang disediakan dengan penskalaan otomatis menyesuaikan kapasitas throughput yang disediakan secara dinamis sebagai respons terhadap pola traffic. Untuk informasi tambahan tentang throttling permintaan DynamoDB, lihat Throttling permintaan dan kapasitas burst di Panduan Developer Amazon DynamoDB. Paket harga: Enterprise Standar kepatuhan:
|
Tabel DynamoDB harus otomatis menskalakan kapasitas sesuai permintaan
|
|
Nama kategori di API: |
Menemukan deskripsi: Kontrol ini mengevaluasi apakah tabel DynamoDB dicakup oleh rencana cadangan. Kontrol akan gagal jika tabel DynamoDB tidak dicakup oleh rencana cadangan. Kontrol ini hanya mengevaluasi tabel DynamoDB yang dalam status AKTIF. Pencadangan membantu Anda memulihkan data dengan lebih cepat dari insiden keamanan. Hal ini juga memperkuat ketahanan sistem Anda. Menyertakan tabel DynamoDB dalam rencana pencadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak disengaja. Paket harga: Enterprise Standar kepatuhan:
|
Tabel DynamoDB harus dicakup oleh rencana cadangan
|
|
Nama kategori di API: |
Menemukan deskripsi: Pemulihan Point In Time (PITR) adalah salah satu mekanisme yang tersedia untuk mencadangkan tabel DynamoDB. Pencadangan titik waktu disimpan selama 35 hari. Jika Anda memerlukan retensi yang lebih lama, lihat Menyiapkan pencadangan terjadwal untuk Amazon DynamoDB menggunakan AWS Backup di Dokumentasi AWS. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah pemulihan point-in-time (PITR) diaktifkan untuk semua tabel AWS DynamoDB
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah semua tabel DynamoDB dienkripsi dengan kunci KMS yang dikelola pelanggan (non-default). Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua tabel DynamoDB dienkripsi dengan AWS Key Management Service (KMS)
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah pengoptimalan EBS diaktifkan untuk instance EC2 Anda yang dapat dioptimalkan EBS Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah pengoptimalan EBS diaktifkan untuk semua instance yang mendukung pengoptimalan EBS
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah snapshot Amazon Elastic Block Store tidak bersifat publik. Kontrol akan gagal jika snapshot Amazon EBS dapat dipulihkan oleh siapa saja. Snapshot EBS digunakan untuk mencadangkan data di volume EBS Anda ke Amazon S3 pada titik waktu tertentu. Anda dapat menggunakan snapshot untuk memulihkan status volume EBS sebelumnya. Berbagi snapshot dengan publik jarang dapat diterima. Biasanya keputusan untuk membagikan snapshot secara publik dibuat karena kesalahan atau tanpa pemahaman lengkap tentang implikasinya. Pemeriksaan ini membantu memastikan bahwa semua berbagi tersebut telah direncanakan dan dilakukan dengan sengaja. Paket harga: Enterprise Standar kepatuhan:
|
Snapshot Amazon EBS tidak dapat dipulihkan secara publik
|
|
Nama kategori di API: |
Menemukan deskripsi: Elastic Compute Cloud (EC2) mendukung enkripsi saat dalam penyimpanan saat menggunakan layanan Elastic Block Store (EBS). Meskipun dinonaktifkan secara default, memaksa enkripsi saat pembuatan volume EBS didukung. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan Enkripsi Volume EBS Diaktifkan di semua Region
|
|
Nama kategori di API: |
Menemukan deskripsi: Amazon VPC menyediakan lebih banyak fungsi keamanan daripada EC2 Classic. Sebaiknya semua node adalah milik Amazon VPC. Paket harga: Enterprise Standar kepatuhan:
|
Memastikan bahwa semua instance milik VPC
|
|
Nama kategori di API: |
Menemukan deskripsi: Instance EC2 yang memiliki alamat IP publik berisiko lebih tinggi untuk disusupi. Sebaiknya instance EC2 tidak dikonfigurasi dengan alamat IP publik. Paket harga: Enterprise Standar kepatuhan:
|
Memastikan tidak ada instance yang memiliki IP publik
|
|
Nama kategori di API: |
Menemukan deskripsi: Penautan Pengelola Status adalah konfigurasi yang ditetapkan ke instance terkelola Anda. Konfigurasi menentukan status yang ingin Anda pertahankan di instance. Misalnya, pengaitan dapat menentukan bahwa software antivirus harus diinstal dan berjalan di instance Anda, atau port tertentu harus ditutup. Instance EC2 yang memiliki pengaitan dengan AWS Systems Manager berada di bawah pengelolaan Systems Manager yang mempermudah penerapan patch, memperbaiki kesalahan konfigurasi, dan merespons peristiwa keamanan. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa status kepatuhan pengaitan AWS Systems Manager
|
|
Nama kategori di API: |
Menemukan deskripsi: Kontrol ini memeriksa apakah status kepatuhan pengaitan AWS Systems Manager adalah COMPLIANT atau NON_COMPLIANT setelah pengaitan dijalankan di instance. Kontrol akan gagal jika status kepatuhan pengaitan adalah NON_COMPLIANT. Penautan Pengelola Status adalah konfigurasi yang ditetapkan ke instance terkelola Anda. Konfigurasi menentukan status yang ingin Anda pertahankan di instance. Misalnya, pengaitan dapat menentukan bahwa software antivirus harus diinstal dan berjalan di instance Anda atau port tertentu harus ditutup. Setelah Anda membuat satu atau beberapa pengaitan Pengelola Status, informasi status kepatuhan akan langsung tersedia untuk Anda. Anda dapat melihat status kepatuhan di konsol atau sebagai respons terhadap perintah AWS CLI atau tindakan Systems Manager API yang sesuai. Untuk pengaitan, Kepatuhan Konfigurasi menampilkan status kepatuhan (Memenuhi atau Tidak Memenuhi). Halaman ini juga menampilkan tingkat keparahan yang ditetapkan untuk pengaitan, seperti Kritis atau Sedang. Untuk mempelajari kepatuhan pengaitan State Manager lebih lanjut, lihat Tentang kepatuhan pengaitan State Manager di Panduan Pengguna AWS Systems Manager. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa status kepatuhan patch AWS Systems Manager
|
|
Nama kategori di API: |
Menemukan deskripsi: Saat mengaktifkan Layanan Metadata di instance AWS EC2, pengguna memiliki opsi untuk menggunakan Layanan Metadata Instance Versi 1 (IMDSv1; metode permintaan/respons) atau Layanan Metadata Instance Versi 2 (IMDSv2; metode berorientasi sesi). Paket harga: Enterprise Standar kepatuhan:
|
Pastikan Layanan Metadata EC2 hanya mengizinkan IMDSv2
|
|
Nama kategori di API: |
Menemukan deskripsi: Mengidentifikasi dan menghapus volume Elastic Block Store (EBS) yang tidak terpasang (tidak digunakan) di akun AWS Anda untuk menurunkan biaya tagihan AWS bulanan. Menghapus volume EBS yang tidak digunakan juga mengurangi risiko data rahasia/sensitif keluar dari tempat Anda. Selain itu, kontrol ini juga memeriksa apakah instance EC2 yang diarsipkan dikonfigurasi untuk menghapus volume saat dihentikan. Secara default, instance EC2 dikonfigurasi untuk menghapus data dalam volume EBS apa pun yang terkait dengan instance, dan untuk menghapus volume EBS root instance. Namun, volume EBS non-root yang dilampirkan ke instance, saat peluncuran atau selama eksekusi, akan dipertahankan setelah penghentian secara default. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah volume EBS dipasang ke instance EC2 dan dikonfigurasi untuk dihapus saat instance dihentikan
|
|
Nama kategori di API: |
Menemukan deskripsi: Amazon EFS mendukung dua bentuk enkripsi untuk sistem file, enkripsi data dalam pengiriman, dan enkripsi data dalam penyimpanan. Tindakan ini memeriksa apakah semua sistem file EFS dikonfigurasi dengan enkripsi dalam penyimpanan di semua region yang diaktifkan di akun. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah EFS dikonfigurasi untuk mengenkripsi data file menggunakan KMS
|
|
Nama kategori di API: |
Menemukan deskripsi: Praktik terbaik Amazon merekomendasikan konfigurasi pencadangan untuk Elastic File System (EFS) Anda. Tindakan ini akan memeriksa semua EFS di setiap region yang diaktifkan di akun AWS Anda untuk mengetahui cadangan yang diaktifkan. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah sistem file EFS disertakan dalam paket AWS Backup
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah Load Balancer Klasik menggunakan sertifikat HTTPS/SSL yang disediakan oleh AWS Certificate Manager (ACM). Kontrol akan gagal jika Load Balancer Klasik yang dikonfigurasi dengan pemroses HTTPS/SSL tidak menggunakan sertifikat yang disediakan oleh ACM. Untuk membuat sertifikat, Anda dapat menggunakan ACM atau alat yang mendukung protokol SSL dan TLS, seperti OpenSSL. Security Hub merekomendasikan agar Anda menggunakan ACM untuk membuat atau mengimpor sertifikat untuk load balancer. ACM terintegrasi dengan Load Balancer Klasik sehingga Anda dapat men-deploy sertifikat di load balancer. Anda juga harus memperpanjang sertifikat ini secara otomatis. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua Load Balancer Klasik menggunakan sertifikat SSL yang disediakan oleh AWS Certificate Manager
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah Load Balancer Aplikasi telah mengaktifkan perlindungan penghapusan. Kontrol akan gagal jika perlindungan penghapusan tidak dikonfigurasi. Aktifkan perlindungan penghapusan untuk melindungi Load Balancer Aplikasi Anda dari penghapusan. Paket harga: Enterprise Standar kepatuhan:
|
Perlindungan penghapusan Load Balancer Aplikasi harus diaktifkan
|
|
Nama kategori di API: |
Menemukan deskripsi: Tindakan ini memeriksa apakah Application Load Balancer dan Classic Load Balancer telah mengaktifkan logging. Kontrol akan gagal jika access_logs.s3.enabled bernilai salah (false). Elastic Load Balancing menyediakan log akses yang merekam informasi mendetail tentang permintaan yang dikirim ke load balancer Anda. Setiap log berisi informasi seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. Anda dapat menggunakan log akses ini untuk menganalisis pola traffic dan memecahkan masalah. Untuk mempelajari lebih lanjut, lihat Log akses untuk Load Balancer Klasik di Panduan Pengguna untuk Load Balancer Klasik. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah logging diaktifkan pada load balancer aplikasi dan klasik
|
|
Nama kategori di API: |
Menemukan deskripsi: Pemeriksaan ini memastikan semua Load Balancer Klasik dikonfigurasi untuk menggunakan komunikasi yang aman. Pemroses adalah proses yang memeriksa permintaan koneksi. Load balancer dikonfigurasi dengan protokol dan port untuk koneksi frontend (klien ke load balancer) dan protokol serta port untuk koneksi backend (load balancer ke instance). Untuk mengetahui informasi tentang port, protokol, dan konfigurasi pemroses yang didukung oleh Elastic Load Balancing, lihat Pemroses untuk Load Balancer Klasik Anda. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua Load Balancer Klasik dikonfigurasi dengan SSL atau pemroses HTTPS
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah volume EBS yang dalam status terpasang dienkripsi. Agar lulus pemeriksaan ini, volume EBS harus digunakan dan dienkripsi. Jika tidak terpasang, volume EBS tidak akan dikenai pemeriksaan ini. Untuk lapisan keamanan tambahan data sensitif Anda dalam volume EBS, Anda harus mengaktifkan enkripsi EBS saat dalam penyimpanan. Enkripsi Amazon EBS menawarkan solusi enkripsi yang mudah untuk resource EBS Anda tanpa mengharuskan Anda membuat, mengelola, dan mengamankan infrastruktur pengelolaan kunci enkripsi Anda sendiri. Layanan ini menggunakan kunci KMS saat membuat volume dan snapshot terenkripsi. Untuk mempelajari enkripsi Amazon EBS lebih lanjut, lihat Enkripsi Amazon EBS di Panduan Pengguna Amazon EC2 untuk Instance Linux. Paket harga: Enterprise Standar kepatuhan:
|
Volume Amazon EBS yang terpasang harus dienkripsi dalam penyimpanan
|
|
Nama kategori di API: |
Menemukan deskripsi: Instance DB terenkripsi Amazon RDS menggunakan algoritma enkripsi AES-256 standar industri untuk mengenkripsi data Anda di server yang menghosting instance DB Amazon RDS. Setelah data Anda dienkripsi, Amazon RDS menangani autentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada performa. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan enkripsi dalam penyimpanan diaktifkan untuk Instance RDS
|
|
Nama kategori di API: |
Menemukan deskripsi: Data EFS harus dienkripsi dalam penyimpanan menggunakan AWS KMS (Key Management Service). Paket harga: Enterprise Standar kepatuhan:
|
Pastikan enkripsi diaktifkan untuk sistem file EFS
|
|
Nama kategori di API: |
Menemukan deskripsi: AWS mengizinkan kebijakan sandi kustom di akun AWS Anda untuk menentukan persyaratan kerumitan dan periode rotasi wajib untuk sandi pengguna IAM Anda. Jika Anda tidak menetapkan kebijakan sandi kustom, sandi pengguna IAM harus memenuhi kebijakan sandi AWS default. Praktik terbaik keamanan AWS merekomendasikan persyaratan kerumitan sandi berikut:
Kontrol ini memeriksa semua persyaratan kebijakan sandi yang ditentukan. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah kebijakan sandi akun untuk pengguna IAM memenuhi persyaratan yang ditentukan
|
|
Nama kategori di API: |
Menemukan deskripsi: Kebijakan sandi IAM dapat mencegah penggunaan ulang sandi tertentu oleh pengguna yang sama. Sebaiknya kebijakan sandi mencegah penggunaan ulang sandi. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan kebijakan sandi IAM mencegah penggunaan ulang sandi
|
|
Nama kategori di API: |
Menemukan deskripsi: Kebijakan sandi, sebagian, digunakan untuk menerapkan persyaratan kerumitan sandi. Kebijakan sandi IAM dapat digunakan untuk memastikan sandi memiliki panjang minimal yang ditentukan. Sebaiknya kebijakan sandi mewajibkan panjang sandi minimum 14 karakter. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan kebijakan sandi IAM mengharuskan panjang minimum 14 karakter atau lebih
|
|
Nama kategori di API: |
Menemukan deskripsi: Kebijakan IAM adalah cara untuk memberikan hak istimewa kepada pengguna, grup, atau peran. Sebaiknya dan dianggap sebagai saran keamanan standar untuk memberikan hak istimewa terendah -yaitu, hanya memberikan izin yang diperlukan untuk melakukan tugas. Tentukan hal yang perlu dilakukan pengguna, lalu buat kebijakan untuk mereka yang mengizinkan pengguna hanya melakukan tugas tersebut, bukan mengizinkan hak istimewa administratif penuh. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan kebijakan IAM yang mengizinkan hak istimewa administratif "*:*" penuh tidak terpasang
|
|
Nama kategori di API: |
Menemukan deskripsi: Pengguna IAM diberi akses ke layanan, fungsi, dan data melalui kebijakan IAM. Ada empat cara untuk menentukan kebijakan bagi pengguna: 1) Mengedit kebijakan pengguna secara langsung, alias kebijakan inline, atau pengguna; 2) melampirkan kebijakan langsung ke pengguna; 3) menambahkan pengguna ke grup IAM yang memiliki kebijakan terlampir; 4) menambahkan pengguna ke grup IAM yang memiliki kebijakan inline. Hanya penerapan ketiga yang direkomendasikan. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan Pengguna IAM Hanya Menerima Izin Melalui Grup
|
|
Nama kategori di API: |
Menemukan deskripsi: Pengguna IAM harus selalu menjadi bagian dari grup IAM untuk mematuhi praktik terbaik keamanan IAM. Dengan menambahkan pengguna ke grup, Anda dapat berbagi kebijakan di antara jenis pengguna. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah pengguna IAM adalah anggota dari setidaknya salah satu grup IAM
|
|
Nama kategori di API: |
Menemukan deskripsi: Autentikasi multi-faktor (MFA) adalah praktik terbaik yang menambahkan lapisan perlindungan ekstra di atas nama pengguna dan sandi. Dengan MFA, saat pengguna login ke AWS Management Console, mereka diwajibkan untuk memberikan kode autentikasi yang sensitif terhadap waktu, yang diberikan oleh perangkat virtual atau fisik terdaftar. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah autentikasi multi-faktor (MFA) pengguna AWS IAM diaktifkan atau tidak
|
|
Nama kategori di API: |
Menemukan deskripsi: Tindakan ini akan memeriksa sandi IAM atau kunci akses aktif yang belum digunakan dalam 90 hari terakhir. Praktik terbaik merekomendasikan agar Anda menghapus, menonaktifkan, atau merotasi semua kredensial yang tidak digunakan selama 90 hari atau lebih. Hal ini mengurangi peluang kredensial yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua pengguna AWS IAM memiliki sandi atau kunci akses aktif yang belum digunakan dalam maxCredentialUsageAge hari (default-nya 90)
|
|
Nama kategori di API: |
Menemukan deskripsi: Kontrol ini memeriksa apakah kunci KMS dijadwalkan untuk dihapus. Kontrol akan gagal jika kunci KMS dijadwalkan untuk dihapus. Kunci KMS tidak dapat dipulihkan setelah dihapus. Data yang dienkripsi dengan kunci KMS juga tidak dapat dipulihkan secara permanen jika kunci KMS dihapus. Jika data yang penting telah dienkripsi dengan kunci KMS yang dijadwalkan untuk dihapus, pertimbangkan untuk mendekripsi data atau mengenkripsi ulang data dengan kunci KMS baru, kecuali jika Anda sengaja melakukan penghapusan kriptografis. Saat kunci KMS dijadwalkan untuk dihapus, periode tunggu wajib diterapkan untuk memberi waktu guna membatalkan penghapusan, jika kunci dijadwalkan secara keliru. Periode tunggu default adalah 30 hari, tetapi dapat dikurangi menjadi 7 hari saat kunci KMS dijadwalkan untuk dihapus. Selama periode tunggu, penghapusan terjadwal dapat dibatalkan dan kunci KMS tidak akan dihapus. Untuk informasi tambahan terkait penghapusan kunci KMS, lihat Menghapus kunci KMS di Panduan Developer AWS Key Management Service. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua CMK tidak dijadwalkan untuk dihapus
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah fungsi Lambda dikonfigurasi dengan batas eksekusi serentak tingkat fungsi. Aturannya adalah NON_COMPLIANT jika fungsi Lambda tidak dikonfigurasi dengan batas eksekusi serentak tingkat fungsi. Paket harga: Enterprise Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa apakah fungsi Lambda dikonfigurasi dengan batas eksekusi serentak tingkat fungsi
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean pesan yang dihentikan pengirimannya. Aturannya adalah NON_COMPLIANT jika fungsi Lambda tidak dikonfigurasi dengan antrean pesan yang dihentikan pengirimannya. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean pesan yang dihentikan pengirimannya
|
|
Nama kategori di API: |
Menemukan deskripsi: Praktik terbaik AWS merekomendasikan agar fungsi Lambda tidak diekspos secara publik. Kebijakan ini memeriksa semua fungsi Lambda yang di-deploy di semua wilayah yang diaktifkan dalam akun Anda dan akan gagal jika dikonfigurasi untuk mengizinkan akses publik. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah kebijakan yang disematkan ke fungsi Lambda melarang akses publik
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah fungsi Lambda berada di VPC. Anda mungkin melihat temuan yang gagal untuk resource Lambda@Edge. Pemeriksaan ini tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan keterjangkauan publik. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah fungsi Lambda ada dalam VPC
|
|
Nama kategori di API: |
Menemukan deskripsi: Setelah Hapus MFA diaktifkan di bucket S3 sensitif dan rahasia, pengguna harus memiliki dua bentuk autentikasi. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan Hapus MFA diaktifkan pada bucket S3
|
|
Nama kategori di API: |
Menemukan deskripsi: Akun pengguna 'root' adalah pengguna dengan hak istimewa paling tinggi di akun AWS. Autentikasi Multi-faktor (MFA) menambahkan lapisan perlindungan tambahan di atas nama pengguna dan sandi. Dengan MFA diaktifkan, saat pengguna login ke situs AWS, mereka akan diminta untuk memasukkan nama pengguna dan sandi serta kode autentikasi dari perangkat AWS MFA mereka. Catatan: Jika MFA virtual digunakan untuk akun 'root', sebaiknya perangkat yang digunakan BUKAN perangkat pribadi, tetapi perangkat seluler khusus (tablet atau ponsel) yang dikelola agar tetap terisi daya dan aman, terlepas dari perangkat pribadi masing-masing. ("MFA virtual non-pribadi") Hal ini mengurangi risiko kehilangan akses ke MFA karena kehilangan perangkat, menukarkan perangkat, atau jika individu yang memiliki perangkat tidak lagi bekerja di perusahaan. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan MFA diaktifkan untuk akun pengguna 'root'
|
|
Nama kategori di API: |
Menemukan deskripsi: Autentikasi Multi-Faktor (MFA) menambahkan lapisan jaminan autentikasi tambahan di luar kredensial tradisional. Dengan MFA diaktifkan, saat pengguna login ke AWS Console, mereka akan diminta memasukkan nama pengguna dan sandi serta kode autentikasi dari token MFA fisik atau virtual mereka. Sebaiknya MFA diaktifkan untuk semua akun yang memiliki sandi konsol. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan autentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna IAM yang memiliki sandi konsol
|
|
Nama kategori di API: |
Menemukan deskripsi: Fungsi Daftar Kontrol Akses Jaringan (NACL) menyediakan pemfilteran stateless traffic jaringan masuk dan keluar ke resource AWS. Sebaiknya tidak ada NACL yang mengizinkan akses masuk yang tidak dibatasi ke port administrasi server jarak jauh, seperti SSH ke port Paket harga: Enterprise Standar kepatuhan:
|
Pastikan tidak ada ACL Jaringan yang mengizinkan ingress dari 0.0.0.0/0 ke port administrasi server jarak jauh
|
|
Nama kategori di API: |
Menemukan deskripsi: Akun pengguna 'root' adalah pengguna dengan hak istimewa paling tinggi di akun AWS. Kunci Akses AWS memberikan akses terprogram ke akun AWS tertentu. Sebaiknya hapus semua kunci akses yang terkait dengan akun pengguna 'root'. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan tidak ada kunci akses akun pengguna 'root'
|
|
Nama kategori di API: |
Menemukan deskripsi: Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Sebaiknya tidak ada grup keamanan yang mengizinkan akses masuk yang tidak dibatasi ke port administrasi server jarak jauh, seperti SSH ke port Paket harga: Enterprise Standar kepatuhan:
|
Pastikan tidak ada grup keamanan yang mengizinkan ingress dari 0.0.0.0/0 ke port administrasi server jarak jauh
|
|
Nama kategori di API: |
Menemukan deskripsi: Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Sebaiknya tidak ada grup keamanan yang mengizinkan akses masuk yang tidak dibatasi ke port administrasi server jarak jauh, seperti SSH ke port Paket harga: Enterprise Standar kepatuhan:
|
Pastikan tidak ada grup keamanan yang mengizinkan ingress dari ::/0 ke port administrasi server jarak jauh
|
|
Nama kategori di API: |
Menemukan deskripsi: Kunci akses adalah kredensial jangka panjang untuk pengguna IAM atau pengguna 'root' akun AWS. Anda dapat menggunakan kunci akses untuk menandatangani permintaan terprogram ke AWS CLI atau AWS API (secara langsung atau menggunakan AWS SDK) Paket harga: Enterprise Standar kepatuhan:
|
Pastikan hanya ada satu kunci akses aktif yang tersedia untuk pengguna IAM tunggal apa pun
|
|
Nama kategori di API: |
Menemukan deskripsi: Pastikan dan verifikasi bahwa instance database RDS yang disediakan di akun AWS Anda membatasi akses tidak sah untuk meminimalkan risiko keamanan. Untuk membatasi akses ke instance database RDS yang dapat diakses secara publik, Anda harus menonaktifkan tanda Dapat Diakses Secara Publik pada database dan memperbarui grup keamanan VPC yang terkait dengan instance. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan akses publik tidak diberikan ke Instance RDS
|
|
Nama kategori di API: |
Menemukan deskripsi: Pemantauan yang ditingkatkan memberikan metrik real-time pada sistem operasi tempat instance RDS berjalan, melalui agen yang diinstal di instance. Untuk mengetahui detail selengkapnya, lihat Memantau metrik OS dengan Enhanced Monitoring. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah pemantauan yang ditingkatkan diaktifkan untuk semua instance DB RDS
|
|
Nama kategori di API: |
Menemukan deskripsi: Mengaktifkan perlindungan penghapusan instance adalah lapisan perlindungan tambahan terhadap penghapusan database secara tidak sengaja atau penghapusan oleh entitas yang tidak berwenang. Saat perlindungan penghapusan diaktifkan, instance DB RDS tidak dapat dihapus. Sebelum permintaan penghapusan berhasil, perlindungan penghapusan harus dinonaktifkan. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah perlindungan penghapusan diaktifkan untuk semua instance RDS
|
|
Nama kategori di API: |
Menemukan deskripsi: Pemeriksaan ini mengevaluasi apakah instance DB Amazon RDS tercakup dalam rencana pencadangan. Kontrol ini gagal jika instance DB RDS tidak dicakup oleh rencana cadangan. AWS Backup adalah layanan pencadangan terkelola sepenuhnya yang memusatkan dan mengotomatiskan pencadangan data di seluruh layanan AWS. Dengan AWS Backup, Anda dapat membuat kebijakan pencadangan yang disebut rencana pencadangan. Anda dapat menggunakan rencana ini untuk menentukan persyaratan pencadangan, seperti frekuensi pencadangan data dan berapa lama pencadangan tersebut akan disimpan. Menyertakan instance DB RDS dalam rencana pencadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak disengaja. Paket harga: Enterprise Standar kepatuhan:
|
Instance DB RDS harus dicakup oleh rencana cadangan
|
|
Nama kategori di API: |
Menemukan deskripsi: Tindakan ini memeriksa apakah log Amazon RDS berikut diaktifkan dan dikirim ke CloudWatch. Database RDS harus mengaktifkan log yang relevan. Logging database memberikan catatan mendetail tentang permintaan yang dibuat ke RDS. Log database dapat membantu audit keamanan dan akses serta dapat membantu mendiagnosis masalah ketersediaan. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah log yang diekspor diaktifkan untuk semua instance DB RDS
|
|
Nama kategori di API: |
Menemukan deskripsi: Instance DB RDS harus dikonfigurasi untuk beberapa Zona Ketersediaan (AZ). Hal ini memastikan ketersediaan data yang disimpan. Deployment multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan Zona Ketersediaan dan selama pemeliharaan RDS reguler. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah ketersediaan tinggi diaktifkan untuk semua instance DB RDS
|
|
Nama kategori di API: |
Menemukan deskripsi: Tindakan ini memeriksa elemen penting cluster Redshift: enkripsi dalam penyimpanan, logging, dan jenis node. Item konfigurasi ini penting dalam pemeliharaan cluster Redshift yang aman dan dapat diamati. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua cluster Redshift memiliki enkripsi dalam penyimpanan, logging, dan jenis node.
|
|
Nama kategori di API: |
Menemukan deskripsi: Upgrade versi utama otomatis dilakukan sesuai dengan periode pemeliharaan Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua cluster Redshift mengaktifkan allowVersionUpgrade serta menetapkan preferredMaintenanceWindow dan automatedSnapshotRetentionPeriod
|
|
Nama kategori di API: |
Menemukan deskripsi: Atribut PubliclyAccessible dari konfigurasi cluster Amazon Redshift menunjukkan apakah cluster dapat diakses secara publik. Jika cluster dikonfigurasi dengan PubliclyAccessible ditetapkan ke benar, cluster tersebut adalah instance yang menghadap ke Internet yang memiliki nama DNS yang dapat di-resolve secara publik, yang me-resolve ke alamat IP publik. Jika tidak dapat diakses secara publik, cluster tersebut adalah instance internal dengan nama DNS yang me-resolve ke alamat IP pribadi. Kecuali jika Anda ingin cluster dapat diakses secara publik, cluster tidak boleh dikonfigurasi dengan PubliclyAccessible disetel ke true. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah cluster Redshift dapat diakses secara publik
|
|
Nama kategori di API: |
Menemukan deskripsi: Tindakan ini memeriksa apakah traffic masuk yang tidak dibatasi untuk grup keamanan dapat diakses oleh port yang ditentukan dan memiliki risiko tertinggi. Kontrol ini gagal jika ada aturan dalam grup keamanan yang mengizinkan traffic masuk dari '0.0.0.0/0' atau '::/0' untuk port tersebut. Akses tanpa batasan (0.0.0.0/0) meningkatkan peluang untuk aktivitas berbahaya, seperti peretasan, serangan denial-of-service, dan kehilangan data. Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Tidak ada grup keamanan yang boleh mengizinkan akses masuk yang tidak dibatasi ke port berikut:
Paket harga: Enterprise Standar kepatuhan:
|
Grup keamanan tidak boleh mengizinkan akses yang tidak dibatasi ke port dengan risiko tinggi
|
|
Nama kategori di API: |
Menemukan deskripsi: Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. CIS merekomendasikan agar tidak ada grup keamanan yang mengizinkan akses masuk yang tidak dibatasi ke port 22. Menghapus konektivitas yang tidak dibatasi ke layanan konsol jarak jauh, seperti SSH, akan mengurangi paparan server terhadap risiko. Paket harga: Enterprise Standar kepatuhan:
|
Grup keamanan tidak boleh mengizinkan ingress dari 0.0.0.0/0 ke port 22
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah rotasi kunci otomatis diaktifkan untuk setiap kunci dan cocok dengan ID kunci dari kunci AWS KMS yang dibuat pelanggan. Aturannya adalah NON_COMPLIANT jika peran perekam AWS Config untuk resource tidak memiliki izin kms:DescribeKey. Paket harga: Enterprise Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Pastikan rotasi untuk CMK yang dibuat pelanggan diaktifkan
|
|
Nama kategori di API: |
Menemukan deskripsi: AWS Key Management Service (KMS) memungkinkan pelanggan memutar kunci pendukung yang merupakan materi kunci yang disimpan dalam KMS yang terikat dengan ID kunci kunci master pelanggan (CMK) yang Dibuat Pelanggan. Ini adalah kunci pendukung yang digunakan untuk melakukan operasi kriptografis seperti enkripsi dan dekripsi. Rotasi kunci otomatis saat ini mempertahankan semua kunci pendukung sebelumnya sehingga dekripsi data terenkripsi dapat dilakukan secara transparan. Sebaiknya rotasi kunci CMK diaktifkan untuk kunci simetris. Rotasi kunci tidak dapat diaktifkan untuk CMK asimetris. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan rotasi untuk CMK simetris yang dibuat pelanggan diaktifkan
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah tabel rute untuk peering VPC dikonfigurasi dengan prinsip hak istimewa terendah. Paket harga: Enterprise Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Pastikan tabel pemilihan rute untuk peering VPC adalah "akses minimum"
|
|
Nama kategori di API: |
Menemukan deskripsi: Amazon S3 Blokir Akses Publik menyediakan setelan untuk titik akses, bucket, dan akun untuk membantu Anda mengelola akses publik ke resource Amazon S3. Secara default, bucket, titik akses, dan objek baru tidak mengizinkan akses publik. Paket harga: Enterprise Standar kepatuhan: Kategori temuan ini tidak dipetakan ke kontrol standar kepatuhan apa pun. |
Memeriksa apakah setelan pemblokiran akses publik S3 yang diperlukan dikonfigurasi dari tingkat akun
|
|
Nama kategori di API: |
Menemukan deskripsi: Amazon S3 menyediakan Paket harga: Enterprise Standar kepatuhan:
|
Pastikan bucket S3 dikonfigurasi dengan
|
|
Nama kategori di API: |
Menemukan deskripsi: Logging Akses Bucket S3 menghasilkan log yang berisi catatan akses untuk setiap permintaan yang dibuat ke bucket S3 Anda. Data log akses berisi detail tentang permintaan, seperti jenis permintaan, resource yang ditentukan dalam permintaan yang berfungsi, serta waktu dan tanggal permintaan diproses. Sebaiknya logging akses bucket diaktifkan di bucket S3 CloudTrail. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan logging akses bucket S3 diaktifkan di bucket S3 CloudTrail
|
|
Nama kategori di API: |
Menemukan deskripsi: Fitur Logging Akses Server AWS S3 mencatat permintaan akses ke bucket penyimpanan yang berguna untuk audit keamanan. Secara default, logging akses server tidak diaktifkan untuk bucket S3. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah logging diaktifkan di semua bucket S3
|
|
Nama kategori di API: |
Menemukan deskripsi: Di tingkat bucket Amazon S3, Anda dapat mengonfigurasi izin melalui kebijakan bucket sehingga objek hanya dapat diakses melalui HTTPS. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan Kebijakan Bucket S3 disetel untuk menolak permintaan HTTP
|
|
Nama kategori di API: |
Menemukan deskripsi: Kontrol ini memeriksa apakah bucket Amazon S3 mengaktifkan Replikasi Lintas Region. Kontrol akan gagal jika bucket tidak mengaktifkan Replikasi Lintas Region atau jika Replikasi Dalam Region juga diaktifkan. Replikasi adalah penyalinan objek secara otomatis dan asinkron di seluruh bucket di Region AWS yang sama atau berbeda. Replikasi menyalin objek yang baru dibuat dan pembaruan objek dari bucket sumber ke satu atau beberapa bucket tujuan. Praktik terbaik AWS merekomendasikan replikasi untuk bucket sumber dan tujuan yang dimiliki oleh akun AWS yang sama. Selain ketersediaan, Anda harus mempertimbangkan setelan hardening sistem lainnya. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah replikasi lintas region diaktifkan untuk bucket S3
|
|
Nama kategori di API: |
Menemukan deskripsi: Tindakan ini memeriksa apakah bucket S3 Anda mengaktifkan enkripsi default Amazon S3 atau kebijakan bucket S3 secara eksplisit menolak permintaan put-object tanpa enkripsi sisi server. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan semua bucket S3 menggunakan enkripsi dalam penyimpanan
|
|
Nama kategori di API: |
Menemukan deskripsi: Amazon S3 adalah cara untuk menyimpan beberapa varian objek dalam bucket yang sama dan dapat membantu Anda memulihkan dengan lebih mudah dari tindakan pengguna yang tidak disengaja dan kegagalan aplikasi. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah pembuatan versi diaktifkan untuk semua bucket S3
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah bucket Amazon S3 dienkripsi dengan AWS Key Management Service (AWS KMS) Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua bucket dienkripsi dengan KMS
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah kunci AWS Key Management Service (AWS KMS) dikonfigurasi untuk instance notebook Amazon SageMaker. Aturannya adalah NON_COMPLIANT jika 'KmsKeyId' tidak ditentukan untuk instance notebook SageMaker. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua instance notebook SageMaker dikonfigurasi untuk menggunakan KMS
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah akses internet langsung dinonaktifkan untuk instance notebook SageMaker. Untuk melakukannya, periksa apakah kolom DirectInternetAccess dinonaktifkan untuk instance notebook. Jika Anda mengonfigurasi instance SageMaker tanpa VPC, akses internet langsung akan diaktifkan secara default di instance Anda. Anda harus mengonfigurasi instance dengan VPC dan mengubah setelan default ke Nonaktifkan—Akses internet melalui VPC. Untuk melatih atau menghosting model dari notebook, Anda memerlukan akses internet. Untuk mengaktifkan akses internet, pastikan VPC Anda memiliki gateway NAT dan grup keamanan Anda mengizinkan koneksi keluar. Untuk mempelajari lebih lanjut cara menghubungkan instance notebook ke resource di VPC, lihat Menghubungkan instance notebook ke resource di VPC di Panduan Developer Amazon SageMaker. Anda juga harus memastikan bahwa akses ke konfigurasi SageMaker hanya dibatasi untuk pengguna yang diberi otorisasi. Batasi izin IAM pengguna untuk mengubah setelan dan resource SageMaker. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah akses internet langsung dinonaktifkan untuk semua instance notebook Amazon SageMaker
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah secret yang disimpan di AWS Secrets Manager dikonfigurasi dengan rotasi otomatis. Kontrol akan gagal jika secret tidak dikonfigurasi dengan rotasi otomatis. Jika Anda memberikan nilai kustom untuk parameter Secret Manager membantu Anda meningkatkan postur keamanan organisasi. Secret mencakup kredensial database, sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Secret Manager untuk menyimpan secret secara terpusat, mengenkripsi secret secara otomatis, mengontrol akses ke secret, dan merotasi secret dengan aman dan otomatis. Secret Manager dapat merotasi secret. Anda dapat menggunakan rotasi untuk mengganti secret jangka panjang dengan secret jangka pendek. Memutar secret akan membatasi berapa lama pengguna yang tidak sah dapat menggunakan secret yang disusupi. Oleh karena itu, Anda harus sering merotasi secret. Untuk mempelajari rotasi lebih lanjut, lihat Memutar secret AWS Secrets Manager di Panduan Pengguna AWS Secrets Manager. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah rotasi diaktifkan pada semua secret AWS Secrets Manager
|
|
Nama kategori di API: |
Menemukan deskripsi: Memeriksa apakah topik SNS dienkripsi dalam penyimpanan menggunakan AWS KMS. Kontrol akan gagal jika topik SNS tidak menggunakan kunci KMS untuk enkripsi sisi server (SSE). Mengenkripsi data dalam penyimpanan akan mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Fitur ini juga menambahkan kumpulan kontrol akses lain untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. Topik SNS harus dienkripsi dalam penyimpanan untuk lapisan keamanan tambahan. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah semua topik SNS dienkripsi dengan KMS
|
|
Nama kategori di API: |
Menemukan deskripsi: Kontrol ini memeriksa apakah grup keamanan default VPC mengizinkan traffic masuk atau keluar. Kontrol akan gagal jika grup keamanan mengizinkan traffic masuk atau keluar. Aturan untuk grup keamanan default mengizinkan semua traffic keluar dan masuk dari antarmuka jaringan (dan instance terkait) yang ditetapkan ke grup keamanan yang sama. Sebaiknya jangan gunakan grup keamanan default. Karena grup keamanan default tidak dapat dihapus, Anda harus mengubah setelan aturan grup keamanan default untuk membatasi traffic masuk dan keluar. Tindakan ini mencegah traffic yang tidak diinginkan jika grup keamanan default tidak sengaja dikonfigurasi untuk resource seperti instance EC2. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan grup keamanan default setiap VPC membatasi semua traffic
|
|
Nama kategori di API: |
Menemukan deskripsi: Log Aliran VPC adalah fitur yang memungkinkan Anda merekam informasi tentang traffic IP yang menuju ke dan keluar dari antarmuka jaringan di VPC. Setelah membuat log alur, Anda dapat melihat dan mengambil datanya di Amazon CloudWatch Logs. Sebaiknya aktifkan Log Aliran VPC untuk "Penolakan" paket untuk VPC. Paket harga: Enterprise Standar kepatuhan:
|
Pastikan logging flow VPC diaktifkan di semua VPC
|
|
Nama kategori di API: |
Menemukan deskripsi: Kontrol ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan traffic masuk yang tidak dibatasi dari port yang tidak sah. Status kontrol ditentukan sebagai berikut: Jika Anda menggunakan nilai default untuk authorizedTcpPorts, kontrol akan gagal jika grup keamanan mengizinkan traffic masuk yang tidak dibatasi dari port apa pun selain port 80 dan 443. Jika Anda memberikan nilai kustom untuk authorizedTcpPorts atau authorizedUdpPorts, kontrol akan gagal jika grup keamanan mengizinkan traffic masuk yang tidak dibatasi dari port yang tidak tercantum. Jika tidak ada parameter yang digunakan, kontrol akan gagal untuk grup keamanan yang memiliki aturan traffic masuk yang tidak dibatasi. Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke AWS. Aturan grup keamanan harus mengikuti prinsip akses dengan hak istimewa terendah. Akses tanpa batasan (alamat IP dengan akhiran /0) meningkatkan peluang terjadinya aktivitas berbahaya seperti peretasan, serangan denial-of-service, dan kehilangan data. Kecuali jika port diizinkan secara khusus, port harus menolak akses yang tidak dibatasi. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah setiap grup keamanan dengan 0.0.0.0/0 dari VPC hanya mengizinkan traffic TCP/UDP masuk tertentu
|
|
Nama kategori di API: |
Menemukan deskripsi: Tunnel VPN adalah link terenkripsi tempat data dapat diteruskan dari jaringan pelanggan ke atau dari AWS dalam koneksi VPN Site-to-Site AWS. Setiap koneksi VPN menyertakan dua tunnel VPN yang dapat Anda gunakan secara bersamaan untuk ketersediaan tinggi. Memastikan kedua tunnel VPN aktif untuk koneksi VPN penting untuk mengonfirmasi koneksi yang aman dan sangat tersedia antara VPC AWS dan jaringan jarak jauh Anda. Kontrol ini memeriksa apakah kedua tunnel VPN yang disediakan oleh AWS Site-to-Site VPN dalam status UP. Kontrol akan gagal jika salah satu atau kedua tunnel berada dalam status DOWN. Paket harga: Enterprise Standar kepatuhan:
|
Memeriksa apakah kedua tunnel AWS VPN yang disediakan oleh AWS site-to-site dalam status UP
|
Temuan Web Security Scanner
Pemindaian kustom dan terkelola Web Security Scanner mengidentifikasi jenis temuan berikut. Di tingkat Standar, Web Security Scanner mendukung pemindaian kustom aplikasi yang di-deploy dengan URL dan IP publik yang tidak berada di balik firewall.
| Kategori | Menemukan deskripsi | 10 Teratas OWASP 2017 | OWASP 2021 Top 10 |
|---|---|---|---|
|
Nama kategori di API: |
Repositori Git diekspos secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori GIT. Paket harga: Premium atau Standar |
A5 | A01 |
|
Nama kategori di API: |
Repositori SVN diekspos secara publik. Untuk mengatasi temuan ini, hapus akses publik yang tidak disengaja ke repositori SVN. Paket harga: Premium atau Standar |
A5 | A01 |
|
Nama kategori di API: |
Sandi yang dimasukkan di aplikasi web dapat di-cache dalam cache browser reguler, bukan penyimpanan sandi yang aman. Paket harga: Premium |
A3 | A04 |
|
Nama kategori di API: |
Sandi dikirim dalam bentuk teks biasa dan dapat disadap. Untuk mengatasi penemuan ini, enkripsi sandi yang ditransmisikan melalui jaringan. Paket harga: Premium atau Standar |
A3 | A02 |
|
Nama kategori di API: |
Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi akhiran header permintaan Paket harga: Premium |
A5 | A01 |
|
Nama kategori di API: |
Endpoint HTTP atau HTTPS lintas situs hanya memvalidasi awalan header permintaan Paket harga: Premium |
A5 | A01 |
|
Nama kategori di API: |
Resource yang dimuat tidak cocok dengan header HTTP Content-Type respons. Untuk
mengatasi temuan ini, tetapkan header HTTP Paket harga: Premium atau Standar |
A6 | A05 |
|
Nama kategori di API: |
Header keamanan memiliki error sintaksis dan diabaikan oleh browser. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar. Paket harga: Premium atau Standar |
A6 | A05 |
|
Nama kategori di API: |
Header keamanan memiliki nilai duplikat yang tidak cocok, yang menghasilkan perilaku yang tidak ditentukan. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar. Paket harga: Premium atau Standar |
A6 | A05 |
|
Nama kategori di API: |
Header keamanan salah eja dan diabaikan. Untuk mengatasi temuan ini, tetapkan header keamanan HTTP dengan benar. Paket harga: Premium atau Standar |
A6 | A05 |
|
Nama kategori di API: |
Resource ditayangkan melalui HTTP di halaman HTTPS. Untuk mengatasi temuan ini, pastikan semua resource ditayangkan melalui HTTPS. Paket harga: Premium atau Standar |
A6 | A05 |
|
Nama kategori di API: |
Library terdeteksi yang memiliki kerentanan umum. Untuk mengatasi temuan ini, upgrade library ke versi yang lebih baru. Paket harga: Premium atau Standar |
A9 | A06 |
|
Nama kategori di API: |
Kerentanan pemalsuan permintaan sisi server (SSRF) terdeteksi. Untuk mengatasi temuan ini, gunakan daftar yang diizinkan untuk membatasi domain dan alamat IP yang dapat menerima permintaan dari aplikasi web. Paket harga: Premium atau Standar |
Tidak berlaku | A10 |
|
Nama kategori di API: |
Saat membuat permintaan lintas-domain, aplikasi web menyertakan ID sesi pengguna dalam header permintaan Paket harga: Premium |
A2 | A07 |
|
Nama kategori di API: |
Potensi kerentanan injeksi SQL terdeteksi. Untuk mengatasi temuan ini, gunakan kueri berparameter untuk mencegah input pengguna memengaruhi struktur kueri SQL. Paket harga: Premium |
A1 | A03 |
|
Nama kategori di API: |
Penggunaan versi Apache Struts yang rentan terdeteksi. Untuk mengatasi temuan ini, upgrade Apache Struts ke versi terbaru. Paket harga: Premium |
A8 | A08 |
|
Nama kategori di API: |
Kolom di aplikasi web ini rentan terhadap serangan pembuatan skrip lintas situs (XSS). Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna. Paket harga: Premium atau Standar |
A7 | A03 |
|
Nama kategori di API: |
String yang disediakan pengguna tidak di-escape dan AngularJS dapat melakukan interpolasi. Untuk mengatasi penemuan ini, validasi dan hindari data tidak tepercaya dari pengguna yang ditangani oleh framework Angular. Paket harga: Premium atau Standar |
A7 | A03 |
|
Nama kategori di API: |
Kolom di aplikasi web ini rentan terhadap serangan cross-site scripting. Untuk mengatasi temuan ini, validasi dan hindari data tidak tepercaya yang disediakan pengguna. Paket harga: Premium atau Standar |
A7 | A03 |
|
Nama kategori di API: |
Terdeteksi adanya kerentanan Entity Eksternal XML (XXE). Kerentanan ini dapat menyebabkan aplikasi web membocorkan file di host. Untuk mengatasi temuan ini, konfigurasikan parser XML Anda agar tidak mengizinkan entity eksternal. Paket harga: Premium |
A4 | A05 |
|
Nama kategori di API: |
Aplikasi rentan terhadap polusi prototipe. Kerentanan ini muncul saat properti objek Paket harga: Premium atau Standar |
A1 | A03 |
Temuan pemberi rekomendasi IAM
Tabel berikut mencantumkan temuan Security Command Center yang dihasilkan oleh rekomendasi IAM.
Setiap temuan perekomendasikan IAM berisi rekomendasi spesifik untuk menghapus atau mengganti peran yang menyertakan izin berlebih dari akun utama di lingkungan Google Cloud Anda.
Temuan yang dihasilkan oleh pemberi rekomendasi IAM sesuai dengan rekomendasi yang muncul di konsol Google Cloud pada halaman IAM project, folder, atau organisasi yang terpengaruh.
Untuk informasi selengkapnya tentang integrasi perekomendasikan IAM dengan Security Command Center, lihat Sumber keamanan.
| Pendeteksi | Ringkasan |
|---|---|
|
Nama kategori di API: |
Deskripsi temuan: Rekomendasi IAM mendeteksi akun layanan yang memiliki satu atau beberapa peran IAM yang memberikan izin berlebihan ke akun pengguna. Paket harga: Premium Aset yang didukung:
Perbaiki temuan ini : Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:
Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan menjadi
|
|
Nama kategori di API: |
Deskripsi temuan: Rekomendasi IAM mendeteksi bahwa peran IAM default asli yang diberikan kepada agen layanan telah diganti dengan salah satu peran IAM dasar: Pemilik, Editor, atau Pelihat. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Paket harga: Premium Aset yang didukung:
Perbaiki temuan ini : Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:
Setelah masalah diperbaiki, perekomendasikan IAM akan memperbarui status temuan menjadi
|
|
Nama kategori di API: |
Deskripsi temuan: Rekomendasi IAM mendeteksi IAM bahwa agen layanan diberi salah satu peran IAM dasar: Pemilik, Editor, atau Pelihat. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Paket harga: Premium Aset yang didukung:
Perbaiki temuan ini : Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:
Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan menjadi
|
|
Nama kategori di API: |
Deskripsi temuan: Rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang tidak digunakan dalam 90 hari terakhir. Paket harga: Premium Aset yang didukung:
Perbaiki temuan ini : Gunakan pemberi rekomendasi IAM untuk menerapkan perbaikan yang direkomendasikan untuk temuan ini dengan mengikuti langkah-langkah berikut:
Setelah masalah diperbaiki, pemberi rekomendasi IAM akan memperbarui status temuan menjadi
|
Temuan CIEM
Tabel berikut mencantumkan temuan identitas dan akses Security Command Center untuk AWS yang dihasilkan oleh Cloud Infrastructure Entitlement Management (CIEM).
Temuan CIEM berisi rekomendasi spesifik untuk menghapus atau mengganti kebijakan AWS IAM yang sangat permisif yang terkait dengan identitas, pengguna, atau grup yang diasumsikan di lingkungan AWS Anda.
Untuk informasi selengkapnya tentang CIEM, lihat Ringkasan Cloud Infrastructure Entitlement Management.
| Pendeteksi | Ringkasan |
|---|---|
|
Nama kategori di API: |
Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi peran IAM yang diasumsikan memiliki satu atau beberapa kebijakan yang sangat permisif yang melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan. Paket harga: Enterprise Perbaiki temuan ini : Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:
Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu. |
|
Nama kategori di API: |
Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi grup IAM yang memiliki satu atau beberapa kebijakan yang sangat permisif yang melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan. Paket harga: Enterprise Perbaiki temuan ini : Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:
Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu. |
|
Nama kategori di API: |
Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi pengguna IAM yang memiliki satu atau beberapa kebijakan yang sangat permisif yang melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan. Paket harga: Enterprise Perbaiki temuan ini : Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:
Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu. |
|
Nama kategori di API: |
Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi pengguna IAM yang tidak aktif dan memiliki satu atau beberapa izin. Hal ini melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan. Paket harga: Enterprise Perbaiki temuan ini : Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:
Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu. |
|
Nama kategori di API: |
Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi grup IAM yang tidak aktif dan memiliki satu atau beberapa izin. Hal ini melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan. Paket harga: Enterprise Perbaiki temuan ini : Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:
Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu. |
|
Nama kategori di API: |
Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi peran IAM yang diasumsikan tidak aktif dan memiliki satu atau beberapa izin. Hal ini melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan. Paket harga: Enterprise Perbaiki temuan ini : Bergantung pada temuan, gunakan AWS Management Console untuk melakukan salah satu tugas perbaikan berikut:
Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu. |
|
Nama kategori di API: |
Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi kebijakan kepercayaan yang terlalu permisif yang diterapkan pada peran AWS IAM yang melanggar prinsip hak istimewa terendah dan meningkatkan risiko keamanan. Paket harga: Enterprise Perbaiki temuan ini : Gunakan AWS Management Console untuk mengedit izin dalam kebijakan kepercayaan yang diterapkan pada peran AWS IAM untuk mematuhi prinsip hak istimewa terendah. Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu. |
|
Nama kategori di API: |
Deskripsi temuan: Di lingkungan AWS Anda, CIEM mendeteksi satu atau beberapa identitas yang dapat berpindah secara lateral melalui peniruan identitas. Paket harga: Enterprise Perbaiki temuan ini : Gunakan AWS Management Console untuk menghapus kebijakan yang terpasang ke identitas yang mengizinkan pergerakan lateral. Lihat detail temuan untuk mengetahui langkah-langkah perbaikan tertentu. |
Temuan layanan postur keamanan
Tabel berikut mencantumkan temuan Security Command Center yang dihasilkan oleh layanan postur keamanan.
Setiap temuan layanan postur keamanan mengidentifikasi instance penyimpangan dari postur keamanan yang Anda tentukan.
| Temuan | Ringkasan |
|---|---|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi perubahan pada Security Health Analytics Detector yang terjadi di luar update postur. Paket harga: Premium
Perbaiki temuan ini : Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan sehingga setelan detektor dalam postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat mengupdate detektor Security Health Analytics atau Anda dapat mengupdate postur dan deployment postur. Untuk mengembalikan perubahan, perbarui detektor Security Health Analytics di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Mengaktifkan dan menonaktifkan pendeteksi. Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi perubahan pada modul kustom Security Health Analytics yang terjadi di luar update postur. Paket harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan sehingga setelan modul kustom di postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat mengupdate modul kustom Security Health Analytics atau Anda dapat mengupdate postur dan deployment postur. Untuk mengembalikan perubahan, perbarui modul kustom Security Health Analytics di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui modul kustom. Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa modul kustom Security Health Analytics telah dihapus. Penghapusan ini terjadi di luar update postur. Paket harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan sehingga setelan modul kustom di postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat mengupdate modul kustom Security Health Analytics atau Anda dapat mengupdate postur dan deployment postur. Untuk mengembalikan perubahan, perbarui modul kustom Security Health Analytics di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui modul kustom. Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi yang terjadi di luar pembaruan postur. Paket harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan sehingga definisi kebijakan organisasi dalam postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi atau memperbarui postur dan deployment postur. Untuk mengembalikan perubahan, perbarui kebijakan organisasi di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Membuat dan mengedit kebijakan. Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa kebijakan organisasi telah dihapus. Penghapusan ini terjadi di luar pembaruan postur. Paket harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menerima perubahan atau mengembalikan perubahan sehingga definisi kebijakan organisasi dalam postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi atau memperbarui postur dan deployment postur. Untuk mengembalikan perubahan, perbarui kebijakan organisasi di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Membuat dan mengedit kebijakan. Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi perubahan pada kebijakan organisasi kustom yang terjadi di luar pembaruan postur. Paket harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan sehingga definisi kebijakan organisasi kustom di postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi kustom atau dapat memperbarui postur dan deployment postur. Untuk mengembalikan perubahan, perbarui kebijakan organisasi kustom di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui batasan kustom. Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa kebijakan organisasi kustom telah dihapus. Penghapusan ini terjadi di luar pembaruan postur. Paket harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda menyetujui perubahan atau mengembalikan perubahan sehingga definisi kebijakan organisasi kustom di postur dan lingkungan Anda cocok. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui kebijakan organisasi kustom atau dapat memperbarui postur dan deployment postur. Untuk mengembalikan perubahan, perbarui kebijakan organisasi kustom di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Memperbarui batasan kustom. Untuk menyetujui perubahan, selesaikan langkah-langkah berikut:
|
Tabel berikut mencantumkan temuan postur keamanan yang mengidentifikasi kejadian pelanggaran resource terhadap postur keamanan yang Anda tentukan.
| Temuan | Ringkasan |
|---|---|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa subnet mengaktifkan alamat IPv6 eksternal. Paket harga: Premium Perbaiki temuan ini : Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat menghapus resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur. Untuk menghapus resource, selesaikan langkah-langkah berikut:
Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa subnet mengaktifkan alamat IPv6 internal. Paket harga: Premium Perbaiki temuan ini : Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat menghapus resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur. Untuk menghapus resource, selesaikan langkah-langkah berikut:
Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa Login OS dinonaktifkan di instance VM. Paket harga: Premium Perbaiki temuan ini : Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur. Untuk memperbarui resource, selesaikan langkah-langkah berikut:
Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa jaringan resmi ditambahkan ke instance SQL. Paket harga: Premium Perbaiki temuan ini : Temuan ini mengharuskan Anda memperbaiki pelanggaran atau memperbarui postur. Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur. Untuk memperbarui resource, selesaikan langkah-langkah berikut:
Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa konektor VPC tidak diaktifkan untuk instance fungsi Cloud Run. Paket harga: Premium Perbaiki temuan ini : Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur. Untuk memperbarui resource, selesaikan langkah-langkah berikut:
Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa akses port serial ke instance VM diaktifkan. Paket harga: Premium Perbaiki temuan ini : Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur. Untuk memperbarui resource, selesaikan langkah-langkah berikut:
Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa jaringan default telah dibuat. Paket harga: Premium Perbaiki temuan ini : Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat menghapus resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur. Untuk menghapus resource, selesaikan langkah-langkah berikut:
Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa layanan Cloud Run tidak mematuhi setelan ingress yang ditentukan. Paket harga: Premium Perbaiki temuan ini : Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur. Untuk memperbarui resource, selesaikan langkah-langkah berikut:
Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa akses tingkat bucket bersifat terperinci, bukan seragam. Paket harga: Premium Perbaiki temuan ini : Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur. Untuk memperbarui resource, selesaikan langkah-langkah berikut:
Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:
|
|
Nama kategori di API: |
Deskripsi temuan: Layanan postur keamanan mendeteksi bahwa layanan Cloud Run tidak mematuhi setelan traffic keluar yang ditentukan. Paket harga: Premium Perbaiki temuan ini : Anda memiliki dua opsi untuk menyelesaikan temuan ini: Anda dapat memperbarui resource yang melanggar, atau Anda dapat memperbarui postur dan men-deploy ulang postur. Untuk memperbarui resource, selesaikan langkah-langkah berikut:
Jika ingin mempertahankan resource dalam konfigurasi yang sama, Anda harus memperbarui postur. Untuk memperbarui postur, selesaikan langkah-langkah berikut:
|
VM Manager
VM Manager adalah serangkaian alat yang dapat digunakan untuk mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine.
Jika Anda mengaktifkan Pengelola VM dengan Security Command Center Premium di tingkat organisasi, Pengelola VM akan menulis temuan dari laporan kerentanannya, yang dalam pratinjau, ke Security Command Center. Laporan ini mengidentifikasi kerentanan dalam sistem operasi yang diinstal di VM, termasuk Kerentanan dan Eksposur Umum (CVE).
Untuk menggunakan Pengelola VM dengan aktivasi level project Security Command Center Premium, aktifkan Security Command Center Standar di organisasi induk.
Laporan kerentanan tidak tersedia untuk Security Command Center Standar.
Temuan menyederhanakan proses penggunaan fitur Kepatuhan Patch VM Manager, yang masih dalam pratinjau. Fitur ini memungkinkan Anda melakukan pengelolaan patch di tingkat organisasi di semua project Anda.
Tingkat keparahan temuan kerentanan yang diterima dari VM Manager selalu berupa CRITICAL atau HIGH.
Temuan VM Manager
Kerentanan jenis ini semuanya terkait dengan paket sistem operasi yang diinstal di VM Compute Engine yang didukung.
| Pendeteksi | Ringkasan | Setelan pemindaian aset |
|---|---|---|
|
Nama kategori di API: |
Deskripsi temuan: VM Manager mendeteksi kerentanan dalam paket sistem operasi (OS) yang diinstal untuk VM Compute Engine. Paket harga: Premium Aset yang didukung |
Laporan kerentanan VM Manager menjelaskan kerentanan dalam paket sistem operasi terinstal untuk VM Compute Engine, termasuk Common Vulnerabilities and Exposures (CVE). Untuk mengetahui daftar lengkap sistem operasi yang didukung, lihat Detail sistem operasi. Temuan akan muncul di Security Command Center segera setelah kerentanan terdeteksi. Laporan kerentanan di VM Manager dibuat sebagai berikut:
|
Meninjau temuan di konsol
Konsol Google Cloud
- Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih VM Manager. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di bagian Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Konsol Security Operations
-
Di konsol Security Operations, buka halaman Temuan.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti
CUSTOMER_SUBDOMAINdengan ID khusus pelanggan Anda. - Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
- Pilih VM Manager. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di bagian Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Memperbaiki temuan VM Manager
Temuan OS_VULNERABILITY menunjukkan bahwa VM Manager menemukan vulnerability dalam paket sistem operasi yang diinstal di VM Compute Engine.
Untuk memperbaiki temuan ini, lakukan hal berikut:
Salin nilai kolom
externalUri. Nilai ini adalah URI untuk halaman info OS instance VM Compute Engine tempat sistem operasi yang rentan diinstal.Terapkan semua patch yang sesuai untuk OS yang ditampilkan di bagian Info dasar. Untuk petunjuk tentang cara men-deploy patch, lihat Membuat tugas patch.
Pelajari aset dan setelan pemindaian yang didukung untuk jenis temuan ini.
Menonaktifkan temuan VM Manager
Anda mungkin ingin menyembunyikan beberapa atau semua temuan Pengelola VM di Security Command Center jika temuan tersebut tidak relevan dengan persyaratan keamanan Anda.
Anda dapat menyembunyikan temuan Pengelola VM dengan membuat aturan bisukan dan menambahkan atribut kueri khusus untuk temuan Pengelola VM yang ingin disembunyikan.
Untuk membuat aturan bisukan bagi Pengelola VM menggunakan konsol Google Cloud, lakukan hal berikut:
Di konsol Google Cloud, buka halaman Temuan Security Command Center.
Jika perlu, pilih project atau organisasi Google Cloud Anda.
Klik Opsi bisukan, lalu pilih Buat aturan bisukan.
Masukkan ID aturan Penonaktifan. Nilai ini wajib diisi.
Masukkan Deskripsi aturan bisukan yang memberikan konteks alasan penemuan dibisukan. Nilai ini bersifat opsional, tetapi direkomendasikan.
Konfirmasi cakupan aturan bisukan dengan memeriksa nilai Resource induk.
Di kolom Kueri temuan, buat pernyataan kueri dengan mengklik Tambahkan filter. Atau, Anda dapat mengetik pernyataan kueri secara manual.
Pada dialog Select filter, pilih Finding > Source display name > VM Manager.
Klik Terapkan.
Ulangi hingga kueri bisukan berisi semua atribut yang ingin Anda sembunyikan.
Misalnya, jika Anda ingin menyembunyikan ID CVE tertentu dalam temuan kerentanan VM Manager, pilih Kerentanan > ID CVE, lalu pilih ID CVE yang ingin disembunyikan.
Kueri temuan terlihat mirip dengan berikut ini:
Klik Pratinjau temuan yang cocok.
Tabel menampilkan temuan yang cocok dengan kueri Anda.
Klik Simpan.
Sensitive Data Protection
Bagian ini menjelaskan temuan kerentanan yang dihasilkan oleh Perlindungan Data Sensitif, standar kepatuhan yang didukungnya, dan cara memperbaiki temuan tersebut.
Sensitive Data Protection juga mengirimkan temuan pengamatan ke Security Command Center. Untuk informasi selengkapnya tentang temuan pengamatan dan Perlindungan Data Sensitif, lihat Perlindungan Data Sensitif.
Untuk informasi tentang cara melihat temuan, lihat Meninjau temuan Perlindungan Data Sensitif di konsol Google Cloud.
Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda menyimpan data yang sangat sensitif yang tidak dilindungi.
| Kategori | Ringkasan |
|---|---|
|
Nama kategori di API:
|
Deskripsi temuan: Resource yang ditentukan memiliki data sensitivitas tinggi yang dapat diakses oleh siapa saja di internet. Aset yang didukung:
Penyelesaian: Untuk data Google Cloud, hapus Untuk data Amazon S3, konfigurasi setelan blokir akses publik atau perbarui ACL objek untuk menolak akses baca publik. Standar kepatuhan: Tidak dipetakan |
|
Nama kategori di API:
|
Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial Google Cloud—di variabel lingkungan. Untuk mengaktifkan detektor ini, lihat Melaporkan secret dalam variabel lingkungan ke Security Command Center dalam dokumentasi Perlindungan Data Sensitif. Aset yang didukung: Penyelesaian: Untuk variabel lingkungan fungsi Cloud Run, hapus secret dari variabel lingkungan dan simpan di Secret Manager. Untuk variabel lingkungan revisi layanan Cloud Run, pindahkan semua traffic dari revisi, lalu hapus revisi. Standar kepatuhan:
|
|
Nama kategori di API:
|
Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial cloud—di resource yang ditentukan. Aset yang didukung:
Penyelesaian:
Standar kepatuhan: Tidak dipetakan |
Pengontrol Kebijakan
Pengontrol Kebijakan memungkinkan penerapan dan penegakan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda yang terdaftar sebagai langganan fleet. Kebijakan ini berfungsi sebagai pembatasan dan dapat membantu pengelolaan praktik terbaik, keamanan, dan kepatuhan cluster dan fleet Anda.
Halaman ini tidak mencantumkan semua temuan Pengontrol Kebijakan, tetapi
informasi tentang temuan class Misconfiguration yang ditulis Pengontrol Kebijakan
ke Security Command Center sama dengan pelanggaran cluster yang didokumentasikan
untuk setiap paket Pengontrol Kebijakan. Dokumentasi untuk setiap
jenis temuan Pengontrol Kebijakan ada dalam paket Pengontrol Kebijakan berikut:
CIS Kubernetes Benchmark v1.5.1, serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. Anda juga dapat melihat informasi tentang paket ini di repositori GitHub untuk
cis-k8s-v1.5.1.PCI-DSS v3.2.1, paket yang mengevaluasi kepatuhan resource cluster Anda terhadap beberapa aspek Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v3.2.1. Anda juga dapat melihat informasi tentang paket ini di repositori GitHub untuk
pci-dss-v3.
Kemampuan ini tidak kompatibel dengan perimeter layanan Kontrol Layanan VPC di sekitar Stackdriver API.
Menemukan dan memperbaiki temuan Pengontrol Kebijakan
Kategori Pengontrol Kebijakan sesuai dengan nama batasan yang tercantum dalam
dokumentasi paket Pengontrol Kebijakan. Misalnya, temuan
require-namespace-network-policies menunjukkan bahwa namespace melanggar kebijakan bahwa setiap namespace dalam
cluster memiliki NetworkPolicy.
Untuk memperbaiki temuan, lakukan tindakan berikut:
Konsol Google Cloud
- Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih Policy Controller On-Cluster. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di bagian Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Konsol Security Operations
-
Di konsol Security Operations, buka halaman Temuan.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti
CUSTOMER_SUBDOMAINdengan ID khusus pelanggan Anda. - Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
- Pilih Policy Controller On-Cluster. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di bagian Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Langkah selanjutnya
Pelajari cara menggunakan Security Health Analytics.
Pelajari cara menggunakan Web Security Scanner.
Baca saran untuk memperbaiki temuan Security Health Analytics dan memperbaiki temuan Web Security Scanner.