Menggunakan modul kustom dengan Security Health Analytics

Halaman ini menjelaskan cara membuat, melihat, memperbarui, dan menghapus modul kustom untuk Security Health Analytics menggunakan konsol Google Cloud atau Google Cloud CLI.

Untuk informasi pengantar selengkapnya, lihat Ringkasan modul kustom untuk Security Health Analytics.

Sebelum memulai

Sebelum dapat menggunakan modul kustom, Anda memerlukan prasyarat berikut:

  • Anda memerlukan paket Security Command Center Premium. Untuk informasi selengkapnya tentang tingkat Security Command Center, lihat Ringkasan aktivasi Security Command Center.
  • Security Health Analytics harus diaktifkan. Untuk mengetahui informasi tentang cara mengaktifkan Security Health Analytics, lihat Mengaktifkan atau menonaktifkan layanan bawaan.
  • Akun pengguna Anda harus diberi satu atau beberapa peran Identity and Access Management (IAM) yang berisi izin yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Izin IAM yang diperlukan.
  • Jika ingin menulis modul kustom Anda sendiri dan menguploadnya ke Security Command Center menggunakan perintah gcloud, Anda memerlukan Google Cloud CLI. Untuk mengetahui informasi tentang cara menginstal gcloud CLI, lihat Menginstal gcloud CLI.
  • Jika Security Command Center API belum diaktifkan, Anda harus mengaktifkannya sebelum dapat menggunakan modul kustom untuk Security Health Analytics. Anda dapat mengaktifkan Security Command Center API di halaman Library API di konsol Google Cloud.
  • Untuk memahami batas penggunaan Security Health Analytics, lihat Kuota modul kustom.

Izin IAM yang diperlukan

Untuk menggunakan modul kustom, Anda memerlukan izin Identity and Access Management (IAM) berikut:

Izin Peran
securitycenter.securityhealthanalyticscustommodules.create
securitycenter.securityhealthanalyticscustommodules.update
securitycenter.securityhealthanalyticscustommodules.delete
roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.get
securitycenter.securityhealthanalyticscustommodules.list
roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.test roles/securitycenter.securityHealthAnalyticsCustomModulesTester
roles/securitycenter.adminViewer
roles/securitycenter.adminEditor
roles/securitycenter.admin

Untuk mengetahui informasi selengkapnya tentang peran dan izin IAM serta cara memberikannya, lihat Memberikan peran IAM menggunakan Konsol Google Cloud.

Membuat modul kustom

Bagian ini menjelaskan cara membuat modul kustom menggunakan konsol Google Cloud atau gcloud CLI.

Untuk menguji modul kustom sebagai langkah dalam proses pembuatan, Anda perlu menyiapkan definisi resource pengujian dalam file YAML. Untuk mengetahui petunjuknya, lihat Membuat resource pengujian dalam file YAML.

Untuk membuat modul kustom, pilih metode yang ingin Anda gunakan dari tab berikut:

Konsol Google Cloud

Untuk membuat modul kustom di konsol Google Cloud, selesaikan langkah-langkah berikut:

  1. Buka halaman Settings Security Command Center di Konsol Google Cloud.

    Buka Setelan

  2. Jika diminta, pilih organisasi, folder, atau project tempat Anda perlu membuat modul kustom.

  3. Di kartu Security Health Analytics, klik Manage Settings.

  4. Klik tab Modules.

  5. Klik Create module. Halaman Buat modul untuk Security Health Analytics akan terbuka.

  6. Di panel Configure module, tentukan nama tampilan, resource yang akan dipindai, dan logika deteksi:

    1. Di kolom Module name, tentukan nama untuk modul. Nama harus antara 1 dan 128 karakter, diawali dengan huruf kecil, dan hanya berisi karakter alfanumerik atau garis bawah. Nama ini menjadi kategori temuan dari temuan yang dihasilkan pendeteksi ini. Anda tidak dapat mengubah nama setelah modul dibuat.

    2. Di bagian Tambahkan jenis resource, tentukan satu hingga lima jenis resource yang akan dipindai. Anda tidak dapat menentukan jenis resource lebih dari sekali.

      Untuk daftar jenis resource yang didukung, lihat Jenis resource yang didukung.

    3. Di Expression editor, tulis ekspresi CEL untuk menjalankan pemeriksaan boolean pada satu atau beberapa properti resource yang Anda tentukan pada langkah terakhir. Untuk memicu temuan, ekspresi harus di-resolve ke TRUE. Misalnya, ekspresi berikut memicu temuan jika resource CryptoKey memiliki periode rotasi yang ditentukan dan periode rotasi lebih dari 2.592.000 detik (30 hari):

      has(resource.rotationPeriod) && (resource.rotationPeriod > duration('2592000s'))
      

      Untuk informasi selengkapnya, lihat referensi berikut:

    4. Klik Berikutnya. Panel Define finding details akan terbuka.

  7. Di panel Define finding details, jelaskan masalah yang dideteksi modul kustom, termasuk tingkat keparahannya, masalahnya, cara memperbaiki masalah, dan data apa pun yang ingin Anda sertakan dalam temuan sebagai properti sumber kustom:

    1. Di kolom Keparahan, tentukan tingkat keparahan masalah. Anda dapat menentukan Low, Medium, High, atau Critical. Medium adalah defaultnya.

      Untuk mengetahui informasi tentang tingkat keparahan, lihat Klasifikasi tingkat keparahan untuk temuan.

    2. Di kolom Deskripsi temuan, jelaskan masalah yang dideteksi modul kustom. Penjelasan ini muncul di setiap instance temuan untuk membantu tim keamanan memahami dan mengatasi masalah yang terdeteksi.

    3. Di kolom Menemukan langkah berikutnya, jelaskan langkah-langkah yang dapat dilakukan tim keamanan Anda untuk memperbaiki atau mengatasi masalah yang terdeteksi.

      Langkah-langkah ditampilkan dengan setiap instance temuan. Sertakan langkah-langkah tertentu yang dapat dilakukan tim keamanan untuk mengatasi masalah secepat mungkin.

    4. Opsional: Di kolom Custom finding properties, tentukan maksimal 10 pasangan nilai nama untuk menentukan properti sumber kustom yang akan ditampilkan dengan setiap instance temuan. Informasi ini ditampilkan sebagai properti sumber dalam JSON temuan dan ditampilkan di tab Properti sumber dalam detail temuan di konsol Google Cloud. Tentukan nilai teks atau properti sebagai pasangan nilai kunci:

      • Di kolom Nama properti, tentukan nama untuk properti sumber kustom. Nama harus sesuai dengan aturan berikut:
        • Nama harus diawali dengan huruf kecil.
        • Nama hanya boleh berisi karakter alfanumerik atau garis bawah.
        • Panjang nama harus antara 1 dan 128 karakter.
        • Setiap nama harus unik di antara properti sumber lainnya.
      • Di kolom Nilai properti, tentukan salah satu nilai berikut dalam 1.024 karakter atau kurang:
        • String teks yang diapit tanda kutip. Tanda kutip disertakan dalam batas 1.024 karakter. Misalnya, "This string provides additional useful information."
        • Setiap properti resource yang sedang dipindai. Misalnya, jika memeriksa resource CryptoKey, Anda dapat menentukan resource.rotationPeriod. Nilai properti rotationPeriod ditampilkan.
    5. Klik Berikutnya. Panel Aktifkan modul akan terbuka.

  8. Opsional: Gunakan menu drop-down panel Aktifkan modul untuk menentukan apakah modul kustom diaktifkan atau dinonaktifkan setelah dibuat. Secara default, modul kustom diaktifkan setelah pembuatan. Jika Anda menentukan Nonaktifkan, Anda dapat mengaktifkan modul nanti di tab Modul di halaman setelan Security Health Analytics.

  9. Klik Berikutnya. Panel Test module akan terbuka.

  10. Opsional: Sebelum membuat modul kustom, sebaiknya Anda mengujinya.

    Untuk menguji modul kustom, ikuti langkah-langkah berikut:

    1. Buat file YAML yang berisi definisi resource pengujian untuk resource yang diperiksa modul kustom Anda.

      Untuk mengetahui informasi tentang cara membuat file data pengujian, lihat Membuat resource pengujian dalam file YAML.

    2. Di bagian Upload file YAML, klik Browse untuk mengupload file YAML yang berisi definisi resource pengujian. Pengujian dimulai secara otomatis saat file diupload.

    3. Di bagian Pratinjau hasil pengujian, periksa hasilnya.

      • Jika ada sintaksis atau error lainnya dalam file YAML, pesan error yang mengambang akan ditampilkan di dekat bagian bawah halaman browser.
      • Jika berhasil, pengujian akan menampilkan informasi berikut:

        • Nama tampilan modul kustom.
        • Nama arbitrer yang Anda tentukan pada properti resource dalam file data pengujian.
        • Organisasi, folder, atau project tempat modul kustom dibuat, atau akan dibuat.

    Hasil pengujian tidak disimpan atau ditulis ke Security Command Center.

    Untuk informasi selengkapnya, lihat Menguji modul kustom.

  11. Klik Create. Anda akan dikembalikan ke halaman Modules dan akan melihat modul yang Anda buat dengan status Enabled.

Modul kustom baru tidak langsung tersedia untuk digunakan oleh Security Health Analytics dalam pemindaian. Untuk mengetahui informasi selengkapnya, lihat Latensi deteksi.

gcloud CLI

Untuk membuat modul kustom menggunakan perintah gcloud, Anda harus mengenkode definisi modul kustom dalam file YAML yang menyertakan ekspresi CEL untuk logika deteksi dan properti output terlebih dahulu.

Setelah definisi selesai, Anda mengupload definisi ke Security Command Center menggunakan perintah gcloud CLI.

  1. Buat kode definisi modul kustom dalam file YAML sesuai dengan petunjuk dalam Membuat kode modul kustom untuk Security Health Analytics.
  2. Simpan file YAML ke lokasi yang dapat diakses oleh instance gcloud CLI Anda.
  3. Upload definisi kustom ke Security Command Center:

    gcloud scc custom-modules sha create \
        PARENT_FLAG=PARENT_ID \
        --display-name="MODULE_DISPLAY_NAME" \
        --enablement-state="ENABLEMENT_STATE" \
        --custom-config-from-file=MODULE_FILE_NAME.yaml
    

    Ganti kode berikut:

    • PARENT_FLAG: tingkat tempat Anda membuat modul kustom, baik --organization, --folder, maupun --project.
    • PARENT_ID: ID organisasi, folder, atau project tempat Anda membuat modul kustom.
    • ENABLEMENT_STATE: enabled atau disabled.
    • MODULE_DISPLAY_NAME: nama kategori temuan yang ingin Anda tampilkan saat modul kustom menampilkan temuan. Nama harus antara 1 hingga 128 karakter, diawali dengan huruf kecil, dan hanya berisi karakter alfanumerik atau garis bawah.
    • MODULE_FILE_NAME: jalur dan nama file file YAML yang berisi definisi modul kustom.

Latensi deteksi

Setelah Anda membuat atau memperbarui definisi modul kustom, mungkin terjadi penundaan hingga beberapa jam sebelum modul kustom baru atau yang diperbarui tersedia untuk digunakan dalam pemindaian.

Membuat atau mengubah modul kustom tidak akan memicu pemindaian. Setelah modul kustom tersedia untuk digunakan, Security Health Analytics tidak mulai menggunakan modul kustom hingga pemindaian batch pertama atau perubahan pada konfigurasi resource target memicu pemindaian real-time.

Untuk informasi selengkapnya tentang jenis pemindaian Security Health Analytics, lihat Jenis pemindaian Security Health Analytics.

Mengupdate modul kustom

Anda dapat memperbarui sebagian besar properti modul kustom Security Health Analytics.

Properti modul kustom berikut tidak dapat diubah:

  • Nama tampilan.
  • ID modul kustom.
  • Nama resource lengkap modul kustom.

Saat Anda mengupdate modul kustom, temuan apa pun yang dikeluarkan modul kustom sebelumnya tidak akan diperbarui secara bersamaan. Jika perubahan pada modul menghasilkan perubahan pada temuan yang dikeluarkan, temuan tersebut hanya akan mencerminkan perubahan setelah batch Security Health Analytics atau pemindaian real-time berikutnya.

Untuk mengubah modul kustom, Anda dapat menggunakan Konsol Google Cloud atau gcloud CLI. Klik salah satu tab berikut untuk mengetahui petunjuknya.

Konsol Google Cloud

Untuk mengupdate modul kustom yang ada di konsol Google Cloud, ikuti langkah-langkah berikut:

  1. Buka halaman Settings Security Command Center di Konsol Google Cloud.

    Buka Setelan

  2. Di pemilih project, pilih organisasi, folder, atau project tempat modul kustom awalnya dibuat. Anda tidak dapat mengedit modul kustom di tempat lain.

  3. Di kartu Security Health Analytics, klik Manage Settings.

  4. Pilih tab Modul. Semua modul deteksi Security Health Analytics akan ditampilkan.

  5. Gunakan kolom filter di bagian atas daftar modul atau scroll untuk menemukan modul kustom yang perlu Anda ubah.

  6. Di sisi kanan baris modul kustom, klik ikon Action menu, .

  7. Dari Action menu, klik ikon Edit (). Halaman View module akan terbuka dan menampilkan tab Configure module.

  8. Edit kolom modul kustom dari setiap tab di halaman View module sesuai kebutuhan.

  9. Opsional: Sebelum menyimpan pembaruan, sebaiknya uji pembaruan tersebut.

    Untuk menguji modul kustom, ikuti langkah-langkah berikut:

    1. Buat file YAML yang berisi definisi resource pengujian untuk resource yang diperiksa modul kustom Anda.

      Untuk mengetahui informasi tentang cara membuat file data pengujian, lihat Membuat resource pengujian dalam file YAML.

    2. Di bagian Upload file YAML, klik Browse untuk mengupload file YAML yang berisi definisi resource pengujian. Pengujian dimulai secara otomatis saat file diupload.

    3. Di bagian Pratinjau hasil pengujian, periksa hasilnya.

      • Jika ada sintaksis atau error lainnya dalam file YAML, pesan error yang mengambang akan ditampilkan di dekat bagian bawah halaman browser.
      • Jika berhasil, pengujian akan menampilkan informasi berikut:

        • Nama tampilan modul kustom.
        • Nama arbitrer yang Anda tentukan pada properti resource dalam file data pengujian.
        • Organisasi, folder, atau project tempat modul kustom dibuat, atau akan dibuat.

    Hasil pengujian tidak disimpan atau ditulis ke Security Command Center.

    Untuk informasi selengkapnya, lihat Menguji modul kustom.

  10. Di bagian bawah halaman, klik Simpan. Perubahan Anda diterapkan ke modul kustom.

gcloud CLI

Untuk mengupdate modul kustom menggunakan gcloud CLI, Anda harus mengedit definisi YAML modul kustom terlebih dahulu, lalu menggunakan perintah gcloud untuk mengupdate modul kustom di Security Health Analytics.

  1. Edit definisi modul kustom. Untuk mengetahui informasi tentang cara membuat kode definisi modul kustom, lihat Membuat kode modul kustom untuk Security Health Analytics.

  2. Simpan file YAML yang diedit ke lokasi yang dapat diakses oleh gcloud CLI.

  3. Update modul kustom di Security Health Analytics dengan menjalankan perintah berikut:

    gcloud scc custom-modules sha update MODULE_ID \
       PARENT_FLAG=PARENT_ID \
       --enablement-state="ENABLED" \
       --custom-config-from-file=MODULE_FILE_NAME.yaml
    

    Ganti kode berikut:

    • MODULE_ID: ID atau nama resource lengkap modul kustom.
    • PARENT_FLAG: tingkat pembuatan modul kustom, yaitu --organization, --folder, atau --project.
    • PARENT_ID: ID organisasi, folder, atau project tempat modul kustom dibuat.
    • MODULE_FILE_NAME: jalur dan nama file file YAML yang berisi definisi modul kustom.

Melihat modul kustom

Pilih tab untuk mempelajari cara melihat definisi modul kustom.

Konsol Google Cloud

Untuk melihat modul kustom di konsol Google Cloud, ikuti langkah-langkah berikut:

  1. Buka halaman Security Health Analytics di setelan Security Command Center.

    Buka Setelan

  2. Klik tab Modules. Panel Modules akan terbuka.

  3. Jika perlu, gunakan kolom filter di bagian atas daftar modul untuk menemukan modul kustom yang perlu Anda ubah.

  4. Untuk melihat detail definisi modul kustom, klik ikon Action menu, , di sisi kanan baris modul kustom.

  5. Dari Action menu, klik ikon Edit, . Halaman Lihat modul akan terbuka dan menampilkan tab Konfigurasi modul.

  6. Klik tab di halaman Lihat modul untuk melihat semua kolom definisi modul kustom.

gcloud CLI

Untuk melihat detail modul kustom, masukkan perintah berikut:

gcloud scc custom-modules sha get MODULE_ID \
      PARENT_FLAG=PARENT_ID

Ganti kode berikut:

  • MODULE_ID: ID atau nama resource lengkap modul kustom.
  • PARENT_FLAG: tingkat pembuatan modul kustom, yaitu --organization, --folder, atau --project.
  • PARENT_ID: ID organisasi, folder, atau project tempat modul kustom dibuat.

Mencantumkan modul kustom

Pilih tab untuk mempelajari cara menampilkan daftar modul kustom.

Konsol Google Cloud

  1. Buka halaman Security Health Analytics di setelan Security Command Center.

    Buka Setelan

  2. Klik tab Modules. Panel Modules akan terbuka.

  3. Klik di kolom filter di bagian atas daftar modul untuk menampilkan daftar jenis filter.

  4. Pilih Jenis dan masukkan Custom. Daftar modul diperbarui untuk hanya menampilkan modul kustom.

gcloud CLI

Untuk melihat daftar modul kustom, masukkan perintah berikut:

gcloud scc custom-modules sha list \
    PARENT_FLAG=PARENT_ID

Ganti kode berikut:

  • PARENT_FLAG: tingkat pembuatan modul kustom, yaitu --organization, --folder, atau --project.
  • PARENT_ID: ID organisasi, folder, atau project tempat modul kustom dibuat.

Menghapus modul kustom

Anda dapat menghapus modul kustom dari organisasi, folder, atau project tempat modul tersebut dibuat atau organisasi atau folder induk. Anda tidak dapat menghapus modul kustom dari folder atau project yang mewarisinya.

Untuk mempelajari cara menghapus modul kustom, pilih salah satu tab berikut.

Konsol Google Cloud

  1. Buka halaman Settings Security Command Center di Konsol Google Cloud.

    Buka Setelan

  2. Jika diminta, pilih organisasi, folder, atau project Anda.

  3. Di kartu Security Health Analytics, klik Manage Settings.

  4. Pilih tab Modul. Semua modul deteksi Security Health Analytics akan ditampilkan.

  5. Gunakan kolom filter di bagian atas daftar modul atau scroll untuk menemukan modul kustom yang perlu Anda ubah.

  6. Di sisi kanan baris modul kustom, klik ikon Action menu, .

  7. Dari Menu tindakan, klik Hapus. Dialog Hapus modul kustom akan terbuka.

  8. Pada dialog, klik Hapus.

gcloud CLI

Untuk menghapus modul kustom, masukkan perintah berikut:

gcloud scc custom-modules sha delete MODULE_ID \
    PARENT_FLAG=PARENT_ID

Ganti kode berikut:

  • MODULE_ID: ID atau nama resource lengkap modul kustom.
  • PARENT_FLAG: tingkat pembuatan modul kustom, yaitu --organization, --folder, atau --project.
  • PARENT_ID: ID organisasi, folder, atau project tempat modul kustom dibuat.

Temuan untuk modul kustom yang dihapus akan ditandai tidak aktif oleh Security Health Analytics dalam pemindaian batch berikutnya.

Meninjau temuan

Temuan yang dihasilkan oleh modul kustom dapat dilihat di konsol Google Cloud, konsol Security Operations (untuk pelanggan Enterprise), atau Security Command Center API.

Konsol

Konsol Google Cloud

  1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih Security Health Analytics Custom. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Konsol Security Operations

  1. Di konsol Security Operations, buka halaman Temuan.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  3. Pilih Security Health Analytics Custom. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

gcloud CLI

Untuk melihat temuan, lakukan tindakan berikut:

  1. Buka jendela terminal.
  2. Untuk mendapatkan ID sumber Security Health Analytics, jalankan perintah berikut:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
    --source-display-name='Security Health Analytics Custom'
    

    Output tampilan akan terlihat seperti berikut. Dalam contoh, SOURCE_ID adalah ID yang ditetapkan server untuk sumber keamanan.

    description: ...
    displayName: Security Health Analytics Custom
    name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
    
  3. Untuk mencantumkan semua temuan yang dihasilkan oleh modul kustom Anda, jalankan perintah berikut:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID
    
  4. Untuk mencantumkan temuan untuk modul kustom tertentu, jalankan perintah berikut:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID --filter="category=\"MODULE_NAME\""
    

Langkah selanjutnya

Anda dapat mengelola temuan yang dihasilkan oleh modul kustom seperti semua temuan di Security Command Center. Untuk mengetahui petunjuknya, lihat informasi berikut: