Menggunakan modul kustom dengan Security Health Analytics

Halaman ini menjelaskan cara membuat, melihat, memperbarui, dan menghapus modul kustom untuk Security Health Analytics dengan menggunakan Konsol Google Cloud atau Google Cloud CLI.

Untuk informasi pengantar selengkapnya, lihat Ringkasan modul kustom untuk Analisis Kondisi Keamanan.

Sebelum memulai

Sebelum dapat menggunakan modul kustom, Anda memerlukan prasyarat berikut:

Anda memerlukan Security Command Center paket Premium. Untuk informasi selengkapnya tentang tingkat Security Command Center, lihat Ringkasan mengaktifkan Security Command Center.
Security Health Analytics harus diaktifkan. Untuk informasi cara mengaktifkan Security Health Analytics, lihat Mengaktifkan atau menonaktifkan layanan bawaan.
Akun pengguna Anda harus diberi satu atau beberapa peran Identity and Access Management (IAM) yang berisi izin yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Izin IAM yang diperlukan.
Jika Anda ingin menulis modul kustom sendiri dan menguploadnya ke Security Command Center menggunakan perintah gcloud, Anda memerlukan Google Cloud CLI. Untuk mengetahui informasi tentang cara menginstal gcloud CLI, lihat Menginstal gcloud CLI.
Jika Security Command Center API belum diaktifkan, Anda harus mengaktifkannya sebelum dapat menggunakan modul kustom untuk Security Health Analytics. Anda dapat mengaktifkan Security Command Center API pada halaman Library API di Konsol Google Cloud.
Untuk memahami batas penggunaan Security Health Analytics, lihat Kuota modul kustom.

Izin IAM yang diperlukan

Untuk menggunakan modul kustom, Anda memerlukan izin Identity and Access Management (IAM) berikut:

Izin	Peran
securitycenter.securityhealthanalyticscustommodules.create securitycenter.securityhealthanalyticscustommodules.update securitycenter.securityhealthanalyticscustommodules.delete	role/securitycenter.settingsEditor roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.get securitycenter.securityhealthanalyticscustommodules.list	Role/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.test	Role/securitycenter.securityHealthAnalyticsCustomModulesTester roles/securitycenter.adminViewer roles/securitycenter.adminEditor roles/securitycenter.admin

Untuk mengetahui informasi selengkapnya tentang izin dan peran IAM serta cara memberikannya, lihat Memberikan peran IAM dengan menggunakan Konsol Google Cloud.

Membuat modul kustom

Bagian ini menjelaskan cara membuat modul kustom menggunakan Google Cloud Console atau gcloud CLI.

Untuk menguji modul kustom sebagai salah satu langkah dalam proses pembuatan, Anda harus menyiapkan definisi resource pengujian dalam file YAML. Untuk mengetahui petunjuknya, lihat Membuat resource pengujian dalam file YAML.

Untuk membuat modul kustom, pilih metode yang ingin Anda gunakan dari tab berikut:

Konsol Google Cloud

Untuk membuat modul kustom di Konsol Google Cloud, selesaikan langkah-langkah berikut:

Buka halaman Settings Security Command Center di Konsol Google Cloud.

Buka Settings
Jika diminta, pilih organisasi, folder, atau project tempat Anda perlu membuat modul kustom.
Di kartu Security Health Analytics, klik Manage Settings.
Klik tab Modules.
Klik Create module. Halaman Create module for Security Health Analytics akan terbuka.
Di panel Configure module, tentukan nama tampilan, resource yang akan dipindai, dan logika deteksi:
1. Di kolom Module name, tentukan nama untuk modul. Nama harus berisi antara 1 hingga 128 karakter, diawali dengan huruf kecil, dan hanya berisi karakter alfanumerik atau garis bawah. Nama ini menjadi kategori temuan yang dihasilkan detektor ini. Anda tidak dapat mengubah nama setelah modul dibuat.
2. Di bagian Add resource type, tentukan satu hingga lima jenis resource yang akan dipindai. Anda tidak dapat menentukan jenis resource lebih dari sekali.
  
  Untuk daftar jenis resource yang didukung, lihat Jenis resource yang didukung.
3. Di Editor Ekspresi, tulis ekspresi CEL untuk menjalankan pemeriksaan boolean pada satu atau beberapa properti resource yang Anda tentukan pada langkah terakhir. Untuk memicu penemuan, ekspresi harus di-resolve ke TRUE. Misalnya, ekspresi berikut memicu temuan apakah resource CryptoKey memiliki periode rotasi yang ditentukan dan periode rotasi lebih lama dari 2.592.000 detik (30 hari):
```
has(resource.rotationPeriod) && (resource.rotationPeriod > duration('2592000s'))
```
  Untuk informasi selengkapnya, lihat referensi berikut:
4. Klik Next. Panel Tetapkan detail temuan akan terbuka.
Di panel Tentukan detail temuan, jelaskan masalah yang dideteksi modul kustom, termasuk tingkat keparahan, masalah, cara memperbaiki masalah, dan data apa pun yang ingin Anda sertakan dalam temuan sebagai properti sumber kustom:
1. Di kolom Keparahan, tentukan tingkat keparahan masalah. Anda dapat menentukan Low, Medium, High, atau Critical. Medium adalah default.
  
  Untuk mengetahui informasi tentang tingkat keparahan, lihat Klasifikasi tingkat keparahan untuk temuan.
2. Di kolom Menemukan deskripsi, jelaskan masalah yang terdeteksi oleh modul kustom. Penjelasan ini ditampilkan di setiap instance temuan untuk membantu tim keamanan memahami dan mengatasi masalah yang terdeteksi.
3. Di kolom Menemukan langkah berikutnya, jelaskan langkah-langkah yang dapat dilakukan tim keamanan untuk memperbaiki atau mengatasi masalah yang terdeteksi.
  
  Langkah-langkah ditampilkan dengan setiap instance yang ditemukan. Sertakan langkah-langkah spesifik yang dapat dilakukan tim keamanan untuk mengatasi masalah secepat mungkin.
4. Opsional: Di kolom Properti temuan kustom, tentukan hingga 10 pasangan nama-nilai untuk menentukan properti sumber kustom yang akan ditampilkan dengan setiap instance temuan. Informasi ditampilkan sebagai properti sumber dalam JSON temuan dan ditampilkan di tab Properti sumber dalam detail temuan di Konsol Google Cloud. Tentukan nilai teks atau properti sebagai key-value pair:
  - Di kolom Property name, tentukan nama untuk properti sumber kustom. Nama harus sesuai dengan aturan berikut:
    - Nama harus dimulai dengan huruf kecil.
    - Nama hanya boleh berisi karakter alfanumerik atau garis bawah.
    - Panjang nama harus antara 1 dan 128 karakter.
    - Setiap nama harus unik di antara properti sumber lainnya.
  - Di kolom Property value, tentukan salah satu nilai berikut dalam 1.024 karakter atau kurang:
    - String teks yang diapit tanda kutip. Tanda kutip disertakan dalam batas 1.024 karakter. Misalnya, "This string provides additional useful information."
    - Properti apa pun dari resource yang sedang dipindai. Misalnya, jika memeriksa resource CryptoKey, Anda dapat menentukan resource.rotationPeriod. Nilai properti rotationPeriod ditampilkan.
5. Klik Next. Panel Aktifkan modul akan terbuka.
Opsional: Gunakan menu drop-down panel Enable module untuk menentukan apakah modul kustom diaktifkan atau dinonaktifkan saat pembuatan. Secara default, modul kustom diaktifkan saat pembuatan. Jika menentukan Disable, Anda dapat mengaktifkan modul nanti dari tab Modules di halaman setelan Security Health Analytics.
Klik Next. Panel Test module akan terbuka.
Opsional: Sebelum membuat modul kustom, sebaiknya Anda mengujinya.

Untuk menguji modul kustom, ikuti langkah-langkah berikut:
1. Buat file YAML yang berisi definisi resource pengujian untuk resource yang diperiksa oleh modul kustom Anda.
  
  Untuk informasi tentang cara membuat file data pengujian, lihat Membuat resource pengujian dalam file YAML.
2. Di bagian Upload the YAML file, klik Browse untuk mengupload file YAML yang berisi definisi resource pengujian. Pengujian dimulai secara otomatis saat file diupload.
3. Di bagian Pratinjau hasil pengujian, periksa hasilnya.
  - Jika ada error sintaksis atau lainnya dalam file YAML, pesan error mengambang akan ditampilkan di dekat bagian bawah halaman browser.
  - Jika pengujian berhasil, pengujian akan menampilkan informasi berikut:
    - Nama tampilan modul kustom.
    - Nama arbitrer yang Anda tentukan di properti resource dalam file data pengujian.
    - Organisasi, folder, atau project tempat modul kustom telah dibuat, atau akan dibuat.
Hasil pengujian tidak disimpan atau ditulis ke Security Command Center.

Untuk informasi selengkapnya, lihat Menguji modul kustom.
Klik Create. Anda akan kembali ke halaman Modules dan akan melihat modul yang dibuat dengan status Enabled.

Modul kustom baru tidak langsung tersedia untuk digunakan oleh Security Health Analytics dalam pemindaian. Untuk mengetahui informasi lebih lanjut, baca Mendeteksi latensi.

gcloud CLI

Untuk membuat modul kustom menggunakan perintah gcloud, Anda harus terlebih dahulu membuat kode definisi modul kustom dalam file YAML yang mencakup ekspresi CEL untuk logika deteksi dan properti output.

Setelah definisi selesai, upload definisi ke Security Command Center dengan menggunakan perintah gcloud CLI.

Kodekan definisi modul kustom dalam file YAML sesuai dengan petunjuk dalam artikel Membuat kode modul kustom untuk Security Health Analytics.
Simpan file YAML ke lokasi yang dapat diakses oleh instance gcloud CLI Anda.
Upload definisi kustom ke Security Command Center:
```
gcloud scc custom-modules sha create \
    PARENT_FLAG=PARENT_ID \
    --display-name="MODULE_DISPLAY_NAME" \
    --enablement-state="ENABLEMENT_STATE" \
    --custom-config-from-file=MODULE_FILE_NAME.yaml
```
Ganti kode berikut:
- PARENT_FLAG: level tempat Anda membuat modul kustom, baik --organization, --folder, atau --project.
- PARENT_ID: ID organisasi, folder, atau project tempat Anda membuat modul kustom.
- ENABLEMENT_STATE: enabled atau disabled.
- MODULE_DISPLAY_NAME: nama kategori penemuan yang ingin Anda tampilkan saat modul kustom menampilkan temuan. Nama harus antara 1 hingga 128 karakter, diawali dengan huruf kecil, dan hanya berisi karakter alfanumerik atau garis bawah.
- MODULE_FILE_NAME: jalur dan nama file YAML yang berisi definisi modul kustom.

Latensi deteksi

Setelah Anda membuat atau memperbarui definisi modul kustom, mungkin akan ada penundaan hingga beberapa jam sebelum modul kustom baru atau yang diupdate tersedia untuk digunakan dalam pemindaian.

Membuat atau mengubah modul kustom tidak akan memicu pemindaian. Setelah modul kustom tersedia untuk digunakan, Security Health Analytics tidak akan mulai menggunakan modul kustom hingga pemindaian batch pertama atau perubahan pada konfigurasi resource target memicu pemindaian real-time.

Untuk informasi selengkapnya tentang jenis pemindaian Security Health Analytics, lihat Jenis pemindaian Security Health Analytics.

Mengupdate modul kustom

Anda dapat memperbarui sebagian besar properti modul kustom Security Health Analytics.

Properti modul kustom berikut tidak dapat diubah:

Nama tampilan.
ID modul kustom.
Nama resource lengkap modul kustom.

Saat Anda memperbarui modul kustom, temuan apa pun yang dikeluarkan oleh modul kustom sebelumnya tidak akan diperbarui pada waktu yang sama. Jika perubahan pada modul mengakibatkan perubahan pada temuan yang diterbitkan, temuan itu akan mencerminkan perubahan hanya setelah pemindaian real-time atau batch Security Health Analytics berikutnya.

Untuk mengubah modul kustom, Anda dapat menggunakan Google Cloud Console atau gcloud CLI. Klik salah satu tab berikut untuk melihat petunjuknya.

Konsol Google Cloud

Untuk mengupdate modul kustom yang ada di Konsol Google Cloud, ikuti langkah-langkah berikut:

Buka halaman Settings Security Command Center di Konsol Google Cloud.

Buka Settings
Pada pemilih project, pilih organisasi, folder, atau project tempat modul kustom pertama kali dibuat. Anda tidak dapat mengedit modul khusus di tempat lain.
Di kartu Security Health Analytics, klik Manage Settings.
Pilih tab Modules. Semua modul deteksi Security Health Analytics ditampilkan.
Gunakan kolom filter di bagian atas daftar modul atau scroll untuk menemukan modul kustom yang perlu Anda ubah.
Di sisi kanan baris modul kustom Anda, klik ikon Menu Action, .
Dari menu Action, klik ikon Edit (). Halaman View module akan terbuka dan menampilkan tab Configure module.
Edit kolom modul kustom dari setiap tab di halaman View module sesuai kebutuhan.
Opsional: Sebelum menyimpan update, sebaiknya Anda mengujinya.

Untuk menguji modul kustom, ikuti langkah-langkah berikut:
1. Buat file YAML yang berisi definisi resource pengujian untuk resource yang diperiksa oleh modul kustom Anda.
  
  Untuk informasi tentang cara membuat file data pengujian, lihat Membuat resource pengujian dalam file YAML.
2. Di bagian Upload the YAML file, klik Browse untuk mengupload file YAML yang berisi definisi resource pengujian. Pengujian dimulai secara otomatis saat file diupload.
3. Di bagian Pratinjau hasil pengujian, periksa hasilnya.
  - Jika ada error sintaksis atau lainnya dalam file YAML, pesan error mengambang akan ditampilkan di dekat bagian bawah halaman browser.
  - Jika pengujian berhasil, pengujian akan menampilkan informasi berikut:
    - Nama tampilan modul kustom.
    - Nama arbitrer yang Anda tentukan di properti resource dalam file data pengujian.
    - Organisasi, folder, atau project tempat modul kustom telah dibuat, atau akan dibuat.
Hasil pengujian tidak disimpan atau ditulis ke Security Command Center.

Untuk informasi selengkapnya, lihat Menguji modul kustom.
Di bagian bawah halaman, klik Simpan. Perubahan Anda akan diterapkan ke modul kustom.

gcloud CLI

Untuk memperbarui modul kustom menggunakan gcloud CLI, Anda harus mengedit definisi YAML dari modul kustom terlebih dahulu, lalu menggunakan perintah gcloud untuk memperbarui modul kustom tersebut di Security Health Analytics.

Edit definisi modul kustom. Untuk informasi cara mengodekan definisi modul kustom, lihat Coding modul kustom untuk Security Health Analytics.
Simpan file YAML yang telah diedit ke lokasi yang dapat diakses oleh gcloud CLI.
Update modul kustom di Security Health Analytics dengan mengeluarkan perintah berikut:
```
gcloud scc custom-modules sha update MODULE_ID \
   PARENT_FLAG=PARENT_ID \
   --enablement-state="ENABLED" \
   --custom-config-from-file=MODULE_FILE_NAME.yaml
```
Ganti kode berikut:
- MODULE_ID: ID atau nama resource lengkap modul kustom.
- PARENT_FLAG: level tempat modul kustom dibuat, baik --organization, --folder, atau --project.
- PARENT_ID: ID organisasi, folder, atau project tempat modul kustom dibuat.
- MODULE_FILE_NAME: jalur dan nama file YAML yang berisi definisi modul kustom.

Melihat modul kustom

Pilih tab untuk mempelajari cara melihat definisi modul kustom.

Konsol Google Cloud

Untuk melihat modul kustom di Konsol Google Cloud, ikuti langkah-langkah berikut:

Buka halaman Security Health Analytics di setelan Security Command Center.

Buka Settings
Klik tab Modules. Panel Modules akan terbuka.
Jika perlu, gunakan kolom filter di bagian atas daftar modul untuk menemukan modul kustom yang perlu diubah.
Untuk melihat detail definisi modul kustom, klik ikon Action menu, , di sisi kanan baris modul kustom.
Dari menu Action, klik ikon Edit, . Halaman View module akan terbuka dan menampilkan tab Configure module.
Klik tab di halaman View module untuk melihat semua kolom definisi modul kustom.

gcloud CLI

Untuk melihat detail modul kustom, masukkan perintah berikut:

gcloud scc custom-modules sha get MODULE_ID \
      PARENT_FLAG=PARENT_ID

Ganti kode berikut:

MODULE_ID: ID atau nama resource lengkap modul kustom.
PARENT_FLAG: level tempat modul kustom dibuat, baik --organization, --folder, atau --project.
PARENT_ID: ID organisasi, folder, atau project tempat modul kustom dibuat.

Mencantumkan modul kustom

Pilih tab untuk mempelajari cara menampilkan daftar modul kustom.

Konsol Google Cloud

Buka halaman Security Health Analytics di setelan Security Command Center.

Buka Settings
Klik tab Modules. Panel Modules akan terbuka.
Klik kolom filter di bagian atas daftar modul untuk menampilkan daftar jenis filter.
Pilih Type, lalu masukkan Custom. Daftar modul diperbarui untuk hanya menampilkan modul kustom.

gcloud CLI

Untuk melihat daftar modul kustom, masukkan perintah berikut:

gcloud scc custom-modules sha list \
    PARENT_FLAG=PARENT_ID

Ganti kode berikut:

PARENT_FLAG: level tempat modul kustom dibuat, baik --organization, --folder, atau --project.
PARENT_ID: ID organisasi, folder, atau project tempat modul kustom dibuat.

Menghapus modul kustom

Anda dapat menghapus modul kustom dari organisasi, folder, atau project tempatnya dibuat, atau dari organisasi atau folder induk. Anda tidak dapat menghapus modul kustom dari folder atau project yang mewarisinya.

Untuk mempelajari cara menghapus modul kustom, pilih salah satu tab berikut.

Konsol Google Cloud

Buka halaman Settings Security Command Center di Konsol Google Cloud.

Buka Settings
Jika diminta, pilih organisasi, folder, atau project Anda.
Di kartu Security Health Analytics, klik Manage Settings.
Pilih tab Modules. Semua modul deteksi Security Health Analytics ditampilkan.
Gunakan kolom filter di bagian atas daftar modul atau scroll untuk menemukan modul kustom yang perlu Anda ubah.
Di sisi kanan baris modul kustom Anda, klik ikon Menu Action, .
Dari menu Tindakan, klik Hapus. Dialog Delete custom module akan terbuka.
Pada dialog, klik Hapus.

gcloud CLI

Untuk menghapus modul kustom, masukkan perintah berikut:

gcloud scc custom-modules sha delete MODULE_ID \
    PARENT_FLAG=PARENT_ID

Ganti kode berikut:

MODULE_ID: ID atau nama resource lengkap modul kustom.
PARENT_FLAG: level tempat modul kustom dibuat, baik --organization, --folder, atau --project.
PARENT_ID: ID organisasi, folder, atau project tempat modul kustom dibuat.

Temuan untuk modul kustom yang dihapus ditandai tidak aktif oleh Security Health Analytics dalam pemindaian batch berikutnya.

Meninjau temuan

Temuan yang dihasilkan oleh modul kustom dapat dilihat di Konsol Google Cloud atau Security Command Center API.

Konsol Google Cloud

Anda dapat melihat temuan yang dihasilkan oleh modul kustom dengan temuan Security Command Center lainnya di Konsol Google Cloud.

Untuk melihat temuan, ikuti langkah-langkah berikut:

Buka halaman Findings di Konsol Google Cloud.

Buka Temuan
Jika diminta, pilih organisasi Anda.
Di panel Quick filters, scroll ke bawah ke bagian Source display name, lalu klik Security Health Analytics Custom. Panel Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari modul kustom Security Health Analytics.

Jika Anda tidak melihat Security Health Analytics Custom, tidak ada modul kustom yang menampilkan temuan apa pun.
Untuk melihat detail temuan tertentu, di kolom Kategori pada panel Hasil kueri temuan, klik nama kategori temuan. Panel detail temuan diperluas untuk menampilkan ringkasan detail temuan.
Jika ada properti sumber kustom yang ditentukan untuk modul kustom, Anda dapat melihatnya dengan mengklik tab Source properties.
Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

gcloud CLI

Untuk melihat temuan, lakukan tindakan berikut:

Buka jendela terminal.

Guna mendapatkan ID sumber untuk Security Health Analytics, jalankan perintah berikut:

gcloud scc sources describe organizations/ORGANIZATION_ID \
--source-display-name='Security Health Analytics Custom'

Output tampilan akan terlihat seperti berikut. Dalam contoh ini, SOURCE_ID adalah ID yang ditetapkan server untuk sumber keamanan.

description: ...
displayName: Security Health Analytics Custom
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Untuk menampilkan daftar semua temuan yang dihasilkan oleh modul kustom Anda, jalankan perintah berikut:
```
gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID
```

Untuk mencantumkan temuan untuk modul kustom tertentu, jalankan perintah berikut:

gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID --filter="category=\"MODULE_NAME\""

Langkah selanjutnya

Anda dapat mengelola temuan yang dihasilkan oleh modul kustom seperti semua temuan di Security Command Center. Untuk mengetahui petunjuknya, lihat informasi berikut: