Halaman ini menjelaskan cara membuat, melihat, memperbarui, dan menghapus modul kustom untuk Security Health Analytics menggunakan konsol Google Cloud atau Google Cloud CLI.
Untuk informasi pengantar selengkapnya, lihat Ringkasan modul kustom untuk Security Health Analytics.
Sebelum memulai
Sebelum dapat menggunakan modul kustom, Anda memerlukan prasyarat berikut:
- Anda memerlukan paket Security Command Center Premium. Untuk informasi selengkapnya tentang tingkat Security Command Center, lihat Ringkasan aktivasi Security Command Center.
- Security Health Analytics harus diaktifkan. Untuk mengetahui informasi tentang cara mengaktifkan Security Health Analytics, lihat Mengaktifkan atau menonaktifkan layanan bawaan.
- Akun pengguna Anda harus diberi satu atau beberapa peran Identity and Access Management (IAM) yang berisi izin yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Izin IAM yang diperlukan.
- Jika ingin menulis modul kustom Anda sendiri dan menguploadnya ke Security Command Center menggunakan perintah
gcloud
, Anda memerlukan Google Cloud CLI. Untuk mengetahui informasi tentang cara menginstal gcloud CLI, lihat Menginstal gcloud CLI. - Jika Security Command Center API belum diaktifkan, Anda harus mengaktifkannya sebelum dapat menggunakan modul kustom untuk Security Health Analytics. Anda dapat mengaktifkan Security Command Center API di halaman Library API di konsol Google Cloud.
- Untuk memahami batas penggunaan Security Health Analytics, lihat Kuota modul kustom.
Izin IAM yang diperlukan
Untuk menggunakan modul kustom, Anda memerlukan izin Identity and Access Management (IAM) berikut:
Izin | Peran |
---|---|
securitycenter.securityhealthanalyticscustommodules.create securitycenter.securityhealthanalyticscustommodules.update securitycenter.securityhealthanalyticscustommodules.delete |
roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycenter.securityhealthanalyticscustommodules.get securitycenter.securityhealthanalyticscustommodules.list |
roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin |
securitycenter.securityhealthanalyticscustommodules.test | roles/securitycenter.securityHealthAnalyticsCustomModulesTester roles/securitycenter.adminViewer roles/securitycenter.adminEditor roles/securitycenter.admin |
Untuk mengetahui informasi selengkapnya tentang peran dan izin IAM serta cara memberikannya, lihat Memberikan peran IAM menggunakan Konsol Google Cloud.
Membuat modul kustom
Bagian ini menjelaskan cara membuat modul kustom menggunakan konsol Google Cloud atau gcloud CLI.
Untuk menguji modul kustom sebagai langkah dalam proses pembuatan, Anda perlu menyiapkan definisi resource pengujian dalam file YAML. Untuk mengetahui petunjuknya, lihat Membuat resource pengujian dalam file YAML.
Untuk membuat modul kustom, pilih metode yang ingin Anda gunakan dari tab berikut:
Konsol Google Cloud
Untuk membuat modul kustom di konsol Google Cloud, selesaikan langkah-langkah berikut:
Buka halaman Settings Security Command Center di Konsol Google Cloud.
Jika diminta, pilih organisasi, folder, atau project tempat Anda perlu membuat modul kustom.
Di kartu Security Health Analytics, klik Manage Settings.
Klik tab Modules.
Klik
Create module. Halaman Buat modul untuk Security Health Analytics akan terbuka.Di panel Configure module, tentukan nama tampilan, resource yang akan dipindai, dan logika deteksi:
Di kolom Module name, tentukan nama untuk modul. Nama harus antara 1 dan 128 karakter, diawali dengan huruf kecil, dan hanya berisi karakter alfanumerik atau garis bawah. Nama ini menjadi kategori temuan dari temuan yang dihasilkan pendeteksi ini. Anda tidak dapat mengubah nama setelah modul dibuat.
Di bagian Tambahkan jenis resource, tentukan satu hingga lima jenis resource yang akan dipindai. Anda tidak dapat menentukan jenis resource lebih dari sekali.
Untuk daftar jenis resource yang didukung, lihat Jenis resource yang didukung.
Di Expression editor, tulis ekspresi CEL untuk menjalankan pemeriksaan boolean pada satu atau beberapa properti resource yang Anda tentukan pada langkah terakhir. Untuk memicu temuan, ekspresi harus di-resolve ke
TRUE
. Misalnya, ekspresi berikut memicu temuan jika resourceCryptoKey
memiliki periode rotasi yang ditentukan dan periode rotasi lebih dari 2.592.000 detik (30 hari):has(resource.rotationPeriod) && (resource.rotationPeriod > duration('2592000s'))
Untuk informasi selengkapnya, lihat referensi berikut:
Klik Berikutnya. Panel Define finding details akan terbuka.
Di panel Define finding details, jelaskan masalah yang dideteksi modul kustom, termasuk tingkat keparahannya, masalahnya, cara memperbaiki masalah, dan data apa pun yang ingin Anda sertakan dalam temuan sebagai properti sumber kustom:
Di kolom Keparahan, tentukan tingkat keparahan masalah. Anda dapat menentukan
Low
,Medium
,High
, atauCritical
.Medium
adalah defaultnya.Untuk mengetahui informasi tentang tingkat keparahan, lihat Klasifikasi tingkat keparahan untuk temuan.
Di kolom Deskripsi temuan, jelaskan masalah yang dideteksi modul kustom. Penjelasan ini muncul di setiap instance temuan untuk membantu tim keamanan memahami dan mengatasi masalah yang terdeteksi.
Di kolom Menemukan langkah berikutnya, jelaskan langkah-langkah yang dapat dilakukan tim keamanan Anda untuk memperbaiki atau mengatasi masalah yang terdeteksi.
Langkah-langkah ditampilkan dengan setiap instance temuan. Sertakan langkah-langkah tertentu yang dapat dilakukan tim keamanan untuk mengatasi masalah secepat mungkin.
Opsional: Di kolom Custom finding properties, tentukan maksimal 10 pasangan nilai nama untuk menentukan properti sumber kustom yang akan ditampilkan dengan setiap instance temuan. Informasi ini ditampilkan sebagai properti sumber dalam JSON temuan dan ditampilkan di tab Properti sumber dalam detail temuan di konsol Google Cloud. Tentukan nilai teks atau properti sebagai pasangan nilai kunci:
- Di kolom Nama properti, tentukan nama untuk properti sumber kustom. Nama harus sesuai dengan aturan berikut:
- Nama harus diawali dengan huruf kecil.
- Nama hanya boleh berisi karakter alfanumerik atau garis bawah.
- Panjang nama harus antara 1 dan 128 karakter.
- Setiap nama harus unik di antara properti sumber lainnya.
- Di kolom Nilai properti, tentukan salah satu nilai berikut dalam 1.024 karakter atau kurang:
- String teks yang diapit tanda kutip. Tanda kutip
disertakan dalam batas 1.024 karakter. Misalnya,
"This string provides additional useful information."
- Setiap properti resource yang sedang dipindai.
Misalnya, jika memeriksa resource
CryptoKey
, Anda dapat menentukanresource.rotationPeriod
. Nilai propertirotationPeriod
ditampilkan.
- String teks yang diapit tanda kutip. Tanda kutip
disertakan dalam batas 1.024 karakter. Misalnya,
- Di kolom Nama properti, tentukan nama untuk properti sumber kustom. Nama harus sesuai dengan aturan berikut:
Klik Berikutnya. Panel Aktifkan modul akan terbuka.
Opsional: Gunakan menu drop-down panel Aktifkan modul untuk menentukan apakah modul kustom diaktifkan atau dinonaktifkan setelah dibuat. Secara default, modul kustom diaktifkan setelah pembuatan. Jika Anda menentukan Nonaktifkan, Anda dapat mengaktifkan modul nanti di tab Modul di halaman setelan Security Health Analytics.
Klik Berikutnya. Panel Test module akan terbuka.
Opsional: Sebelum membuat modul kustom, sebaiknya Anda mengujinya.
Untuk menguji modul kustom, ikuti langkah-langkah berikut:
Buat file YAML yang berisi definisi resource pengujian untuk resource yang diperiksa modul kustom Anda.
Untuk mengetahui informasi tentang cara membuat file data pengujian, lihat Membuat resource pengujian dalam file YAML.
Di bagian Upload file YAML, klik Browse untuk mengupload file YAML yang berisi definisi resource pengujian. Pengujian dimulai secara otomatis saat file diupload.
Di bagian Pratinjau hasil pengujian, periksa hasilnya.
- Jika ada sintaksis atau error lainnya dalam file YAML, pesan error yang mengambang akan ditampilkan di dekat bagian bawah halaman browser.
Jika berhasil, pengujian akan menampilkan informasi berikut:
- Nama tampilan modul kustom.
- Nama arbitrer yang Anda tentukan pada properti
resource
dalam file data pengujian. - Organisasi, folder, atau project tempat modul kustom dibuat, atau akan dibuat.
Hasil pengujian tidak disimpan atau ditulis ke Security Command Center.
Untuk informasi selengkapnya, lihat Menguji modul kustom.
Klik Create. Anda akan dikembalikan ke halaman Modules dan akan melihat modul yang Anda buat dengan status Enabled.
Modul kustom baru tidak langsung tersedia untuk digunakan oleh Security Health Analytics dalam pemindaian. Untuk mengetahui informasi selengkapnya, lihat Latensi deteksi.
gcloud CLI
Untuk membuat modul kustom menggunakan perintah gcloud
, Anda harus
mengenkode definisi modul kustom dalam file YAML yang menyertakan
ekspresi CEL untuk logika deteksi dan properti output terlebih dahulu.
Setelah definisi selesai, Anda mengupload definisi ke Security Command Center menggunakan perintah gcloud CLI.
- Buat kode definisi modul kustom dalam file YAML sesuai dengan petunjuk dalam Membuat kode modul kustom untuk Security Health Analytics.
- Simpan file YAML ke lokasi yang dapat diakses oleh instance gcloud CLI Anda.
Upload definisi kustom ke Security Command Center:
gcloud scc custom-modules sha create \ PARENT_FLAG=PARENT_ID \ --display-name="MODULE_DISPLAY_NAME" \ --enablement-state="ENABLEMENT_STATE" \ --custom-config-from-file=MODULE_FILE_NAME.yaml
Ganti kode berikut:
PARENT_FLAG
: tingkat tempat Anda membuat modul kustom, baik--organization
,--folder
, maupun--project
.PARENT_ID
: ID organisasi, folder, atau project tempat Anda membuat modul kustom.ENABLEMENT_STATE
:enabled
ataudisabled
.MODULE_DISPLAY_NAME
: nama kategori temuan yang ingin Anda tampilkan saat modul kustom menampilkan temuan. Nama harus antara 1 hingga 128 karakter, diawali dengan huruf kecil, dan hanya berisi karakter alfanumerik atau garis bawah.MODULE_FILE_NAME
: jalur dan nama file file YAML yang berisi definisi modul kustom.
Latensi deteksi
Setelah Anda membuat atau memperbarui definisi modul kustom, mungkin terjadi penundaan hingga beberapa jam sebelum modul kustom baru atau yang diperbarui tersedia untuk digunakan dalam pemindaian.
Membuat atau mengubah modul kustom tidak akan memicu pemindaian. Setelah modul kustom tersedia untuk digunakan, Security Health Analytics tidak mulai menggunakan modul kustom hingga pemindaian batch pertama atau perubahan pada konfigurasi resource target memicu pemindaian real-time.
Untuk informasi selengkapnya tentang jenis pemindaian Security Health Analytics, lihat Jenis pemindaian Security Health Analytics.
Mengupdate modul kustom
Anda dapat memperbarui sebagian besar properti modul kustom Security Health Analytics.
Properti modul kustom berikut tidak dapat diubah:
- Nama tampilan.
- ID modul kustom.
- Nama resource lengkap modul kustom.
Saat Anda mengupdate modul kustom, temuan apa pun yang dikeluarkan modul kustom sebelumnya tidak akan diperbarui secara bersamaan. Jika perubahan pada modul menghasilkan perubahan pada temuan yang dikeluarkan, temuan tersebut hanya akan mencerminkan perubahan setelah batch Security Health Analytics atau pemindaian real-time berikutnya.
Untuk mengubah modul kustom, Anda dapat menggunakan Konsol Google Cloud atau gcloud CLI. Klik salah satu tab berikut untuk mengetahui petunjuknya.
Konsol Google Cloud
Untuk mengupdate modul kustom yang ada di konsol Google Cloud, ikuti langkah-langkah berikut:
Buka halaman Settings Security Command Center di Konsol Google Cloud.
Di pemilih project, pilih organisasi, folder, atau project tempat modul kustom awalnya dibuat. Anda tidak dapat mengedit modul kustom di tempat lain.
Di kartu Security Health Analytics, klik Manage Settings.
Pilih tab Modul. Semua modul deteksi Security Health Analytics akan ditampilkan.
Gunakan kolom filter di bagian atas daftar modul atau scroll untuk menemukan modul kustom yang perlu Anda ubah.
Di sisi kanan baris modul kustom, klik ikon Action menu,
.Dari Action menu, klik ikon Edit (edit). Halaman View module akan terbuka dan menampilkan tab Configure module.
Edit kolom modul kustom dari setiap tab di halaman View module sesuai kebutuhan.
Opsional: Sebelum menyimpan pembaruan, sebaiknya uji pembaruan tersebut.
Untuk menguji modul kustom, ikuti langkah-langkah berikut:
Buat file YAML yang berisi definisi resource pengujian untuk resource yang diperiksa modul kustom Anda.
Untuk mengetahui informasi tentang cara membuat file data pengujian, lihat Membuat resource pengujian dalam file YAML.
Di bagian Upload file YAML, klik Browse untuk mengupload file YAML yang berisi definisi resource pengujian. Pengujian dimulai secara otomatis saat file diupload.
Di bagian Pratinjau hasil pengujian, periksa hasilnya.
- Jika ada sintaksis atau error lainnya dalam file YAML, pesan error yang mengambang akan ditampilkan di dekat bagian bawah halaman browser.
Jika berhasil, pengujian akan menampilkan informasi berikut:
- Nama tampilan modul kustom.
- Nama arbitrer yang Anda tentukan pada properti
resource
dalam file data pengujian. - Organisasi, folder, atau project tempat modul kustom dibuat, atau akan dibuat.
Hasil pengujian tidak disimpan atau ditulis ke Security Command Center.
Untuk informasi selengkapnya, lihat Menguji modul kustom.
Di bagian bawah halaman, klik Simpan. Perubahan Anda diterapkan ke modul kustom.
gcloud CLI
Untuk mengupdate modul kustom menggunakan gcloud CLI,
Anda harus mengedit definisi YAML modul kustom terlebih dahulu, lalu menggunakan
perintah gcloud
untuk mengupdate modul kustom di Security Health Analytics.
Edit definisi modul kustom. Untuk mengetahui informasi tentang cara membuat kode definisi modul kustom, lihat Membuat kode modul kustom untuk Security Health Analytics.
Simpan file YAML yang diedit ke lokasi yang dapat diakses oleh gcloud CLI.
Update modul kustom di Security Health Analytics dengan menjalankan perintah berikut:
gcloud scc custom-modules sha update MODULE_ID \ PARENT_FLAG=PARENT_ID \ --enablement-state="ENABLED" \ --custom-config-from-file=MODULE_FILE_NAME.yaml
Ganti kode berikut:
MODULE_ID
: ID atau nama resource lengkap modul kustom.PARENT_FLAG
: tingkat pembuatan modul kustom, yaitu--organization
,--folder
, atau--project
.PARENT_ID
: ID organisasi, folder, atau project tempat modul kustom dibuat.MODULE_FILE_NAME
: jalur dan nama file file YAML yang berisi definisi modul kustom.
Melihat modul kustom
Pilih tab untuk mempelajari cara melihat definisi modul kustom.
Konsol Google Cloud
Untuk melihat modul kustom di konsol Google Cloud, ikuti langkah-langkah berikut:
Buka halaman Security Health Analytics di setelan Security Command Center.
Klik tab Modules. Panel Modules akan terbuka.
Jika perlu, gunakan kolom filter di bagian atas daftar modul untuk menemukan modul kustom yang perlu Anda ubah.
Untuk melihat detail definisi modul kustom, klik ikon Action menu,
, di sisi kanan baris modul kustom.Dari Action menu, klik ikon Edit, edit. Halaman Lihat modul akan terbuka dan menampilkan tab Konfigurasi modul.
Klik tab di halaman Lihat modul untuk melihat semua kolom definisi modul kustom.
gcloud CLI
Untuk melihat detail modul kustom, masukkan perintah berikut:
gcloud scc custom-modules sha get MODULE_ID \ PARENT_FLAG=PARENT_ID
Ganti kode berikut:
MODULE_ID
: ID atau nama resource lengkap modul kustom.PARENT_FLAG
: tingkat pembuatan modul kustom, yaitu--organization
,--folder
, atau--project
.PARENT_ID
: ID organisasi, folder, atau project tempat modul kustom dibuat.
Mencantumkan modul kustom
Pilih tab untuk mempelajari cara menampilkan daftar modul kustom.
Konsol Google Cloud
Buka halaman Security Health Analytics di setelan Security Command Center.
Klik tab Modules. Panel Modules akan terbuka.
Klik di kolom filter di bagian atas daftar modul untuk menampilkan daftar jenis filter.
Pilih Jenis dan masukkan
Custom
. Daftar modul diperbarui untuk hanya menampilkan modul kustom.
gcloud CLI
Untuk melihat daftar modul kustom, masukkan perintah berikut:
gcloud scc custom-modules sha list \ PARENT_FLAG=PARENT_ID
Ganti kode berikut:
PARENT_FLAG
: tingkat pembuatan modul kustom, yaitu--organization
,--folder
, atau--project
.PARENT_ID
: ID organisasi, folder, atau project tempat modul kustom dibuat.
Menghapus modul kustom
Anda dapat menghapus modul kustom dari organisasi, folder, atau project tempat modul tersebut dibuat atau organisasi atau folder induk. Anda tidak dapat menghapus modul kustom dari folder atau project yang mewarisinya.
Untuk mempelajari cara menghapus modul kustom, pilih salah satu tab berikut.
Konsol Google Cloud
Buka halaman Settings Security Command Center di Konsol Google Cloud.
Jika diminta, pilih organisasi, folder, atau project Anda.
Di kartu Security Health Analytics, klik Manage Settings.
Pilih tab Modul. Semua modul deteksi Security Health Analytics akan ditampilkan.
Gunakan kolom filter di bagian atas daftar modul atau scroll untuk menemukan modul kustom yang perlu Anda ubah.
Di sisi kanan baris modul kustom, klik ikon Action menu,
.Dari Menu tindakan, klik Hapus. Dialog Hapus modul kustom akan terbuka.
Pada dialog, klik Hapus.
gcloud CLI
Untuk menghapus modul kustom, masukkan perintah berikut:
gcloud scc custom-modules sha delete MODULE_ID \ PARENT_FLAG=PARENT_ID
Ganti kode berikut:
MODULE_ID
: ID atau nama resource lengkap modul kustom.PARENT_FLAG
: tingkat pembuatan modul kustom, yaitu--organization
,--folder
, atau--project
.PARENT_ID
: ID organisasi, folder, atau project tempat modul kustom dibuat.
Temuan untuk modul kustom yang dihapus akan ditandai tidak aktif oleh Security Health Analytics dalam pemindaian batch berikutnya.
Meninjau temuan
Temuan yang dihasilkan oleh modul kustom dapat dilihat di konsol Google Cloud, konsol Security Operations (untuk pelanggan Enterprise), atau Security Command Center API.
Konsol
Konsol Google Cloud
- Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih Security Health Analytics Custom. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Konsol Security Operations
-
Di konsol Security Operations, buka halaman Temuan.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda. - Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
- Pilih Security Health Analytics Custom. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
gcloud CLI
Untuk melihat temuan, lakukan tindakan berikut:
- Buka jendela terminal.
Untuk mendapatkan ID sumber Security Health Analytics, jalankan perintah berikut:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name='Security Health Analytics Custom'
Output tampilan akan terlihat seperti berikut. Dalam contoh,
SOURCE_ID
adalah ID yang ditetapkan server untuk sumber keamanan.description: ... displayName: Security Health Analytics Custom name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Untuk mencantumkan semua temuan yang dihasilkan oleh modul kustom Anda, jalankan perintah berikut:
gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID
Untuk mencantumkan temuan untuk modul kustom tertentu, jalankan perintah berikut:
gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID --filter="category=\"MODULE_NAME\""
Langkah selanjutnya
Anda dapat mengelola temuan yang dihasilkan oleh modul kustom seperti semua temuan di Security Command Center. Untuk mengetahui petunjuknya, lihat informasi berikut:
- Menggunakan temuan di konsol Google Cloud
- Menggunakan tanda keamanan
- Menyiapkan notifikasi temuan
- Mengekspor data Security Command Center