Menggunakan temuan di konsol Google Cloud

Halaman ini menjelaskan cara menggunakan temuan di halaman Temuan Security Command Center di Konsol Google Cloud. Temuan adalah data masalah keamanan yang dibuat oleh layanan Security Command Center saat mendeteksi masalah keamanan.

Beberapa tindakan yang dapat Anda lakukan di halaman temuan mencakup hal berikut:

• Temuan kueri
• Memeriksa temuan
• Nonaktifkan temuan
• Menambahkan tanda keamanan ke temuan

Temuan tercantum di panel Findings query results di halaman Findings. Anda dapat mengklik temuan untuk melihat detail temuan tersebut, serta format JSON lengkapnya.

Untuk mengetahui informasi tentang cara menangani temuan menggunakan Security Command Center API, lihat Mengakses Security Command Center secara terprogram.

Peran IAM untuk Security Command Center

Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari peran Security Command Center lebih lanjut, lihat Kontrol akses.

Melihat temuan di konsol Google Cloud

Secara default, panel Findings query results di halaman Findings menampilkan semua temuan aktif yang tidak dibisukan, dan yang baru atau diperbarui selama tujuh hari terakhir.

Untuk melihat temuan tertentu, edit kueri temuan untuk menentukan nilai atau atribut yang perlu Anda lihat tidak boleh ada dalam temuan.

Contoh berikut adalah kueri penemuan default:

state="ACTIVE"
AND NOT mute="MUTED"

Anda dapat melihat kueri temuan saat ini di kolom Pratinjau kueri di halaman Findings.

Sesuaikan rentang waktu untuk melihat lebih banyak temuan

Anda dapat menyesuaikan rentang waktu yang digunakan untuk kueri di kolom Time range di sebelah kanan pada panel tindakan Query editor. Rentang waktu default adalah Last 7 days.

Rentang waktu didasarkan pada nilai atribut eventTime temuan, yang mencerminkan waktu saat catatan temuan terakhir diperbarui.

Menemukan ketersediaan

Temuan biasanya tersedia untuk dibuat kuerinya di Security Command Center kurang dari satu menit setelah layanan yang menghasilkan temuan tersebut menyimpannya di database temuan Security Command Center. Temuan tetap tersedia untuk kueri setidaknya selama 13 bulan.

Security Command Center menyimpan satu atau beberapa snapshot dari setiap temuan. Snapshot temuan dihapus 13 bulan setelah stempel waktu di kolom eventTime. Jika semua snapshot untuk temuan dihapus, temuan tersebut tidak dapat lagi dikueri atau dipulihkan.

Untuk mengetahui informasi selengkapnya tentang retensi data Security Command Center, lihat Retensi data.

Menemukan dan melihat temuan tertentu

Anda dapat menemukan dan melihat temuan atau grup temuan tertentu dengan mengedit kueri temuan di halaman Temuan. Anda dapat mengedit kueri dengan cara berikut:

• Di panel Quick filters, pilih satu atau beberapa filter atribut yang telah ditetapkan untuk menambahkannya ke kueri.
• Di menu Add filter pada panel Query editor, pilih satu atau beberapa filter atribut yang telah ditetapkan untuk menambahkannya ke kueri.
• Edit kueri temuan langsung di panel Editor kueri.
• Di panel detail untuk temuan, dari menu drop-down untuk atribut tertentu, pilih filter yang telah ditentukan untuk atribut tersebut guna menambahkannya ke kueri.

Memilih filter standar akan menambahkan filter ke kueri secara otomatis.

Gunakan panel Filter cepat untuk opsi filter tingkat tinggi yang umum digunakan. Gunakan menu Add filter untuk filter yang lebih terperinci dan lanjutan yang didasarkan pada atribut temuan tingkat rendah.

Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengedit kueri temuan di konsol, lihat Mengedit kueri temuan di Konsol Google Cloud.

Melihat detail suatu temuan

Untuk mempelajari suatu temuan lebih lanjut, buka tampilan detail temuan dengan mengklik nama temuan di kolom Kategori pada panel Hasil kueri.

Dalam tampilan detail, Anda dapat menemukan informasi yang penting untuk memahami temuan, menyelidiki ancaman, atau mengatasi kerentanan.

Tampilan detail untuk temuan mencakup tab berikut yang dapat Anda pilih untuk mempelajari lebih lanjut temuan dan mengambil tindakan:

• Tab Ringkasan, yang merupakan tampilan default, menyoroti informasi utama dan atribut tentang temuan.
• Tab Properti sumber, tempat Anda dapat melihat atribut objek sourceProperties dari JSON temuan.
• Tab JSON, tempat Anda dapat melihat format JSON lengkap dari temuan.

Anda dapat mengambil tindakan tertentu atas temuan tersebut di tampilan detail, serta menemukan link ke informasi tambahan yang terkait dengan temuan tersebut.

Mempelajari temuan di tampilan detail

Tampilan detail temuan menyoroti informasi penting tentang temuan yang dapat Anda gunakan untuk memahami dan mengatasi masalah keamanan yang mendasarinya.

Informasi di tab Ringkasan

Tab Ringkasan memberikan informasi tentang temuan tersebut di bagian berikut:

Hal yang terdeteksi

Detail tentang temuan yang terdeteksi, seperti berikut:

• Ringkasan yang dibuat AI^Pratinjau
• Tingkat keparahan temuan
• Status temuan, ACTIVE atau INACTIVE
• Kolom kunci apa pun yang terkait dengan temuan spesifik

Kerentanan

Informasi dari data CVE yang sesuai dengan kerentanan, jika ada. Bagian Kerentanan menyertakan informasi dari data CVE, seperti:

• ID CVE
• Skor CVE
• Dampak
• Aktivitas eksploitasi

Eksposur serangan

Skor eksposur serangan dan waktu saat skor terakhir dihitung. Mengklik skor akan membuka penggambaran visual dari resource bernilai tinggi yang terpengaruh dan jalur serangan terkait.

Resource yang terpengaruh

Detail tentang aset yang terkait dengan temuan tersebut, termasuk kontak teknis dan keamanan. Bagian ini juga berisi menu yang memungkinkan Anda melihat detail resource.

Tanda keamanan

Tanda keamanan yang terkait dengan temuan ini, jika ada.

Langkah berikutnya

Panduan tentang apa yang dapat Anda lakukan untuk memperbaiki masalah yang terdeteksi. Hanya layanan tertentu, seperti Security Health Analytics, yang menyediakan langkah berikutnya.

Link terkait

Link ke sumber utama informasi keamanan di luar Security Command Center. Hanya layanan tertentu, seperti Event Threat Detection, yang menyediakan link terkait.

Layanan deteksi

Detail tentang layanan, atau sumber, yang mendeteksi temuan tersebut.

Informasi di tab Properti sumber

Untuk beberapa temuan, panel detail menyertakan tab Properti sumber yang menandai properti tertentu dari objek sourceProperties JSON temuan.

Properti sumber berbeda untuk setiap temuan dan untuk setiap layanan yang berjalan di Security Command Center. Tidak ada jaminan bahwa properti sumber distandardisasi di semua layanan. Karena alasan ini, kami sangat tidak menyarankan penggunaan properti sumber secara terprogram. Jika Anda ingin properti sumber distandardisasi di semua layanan, beri tahu kami dengan mengirimkan masukan Anda.

Informasi tentang tab JSON

Tab JSON berisi struktur JSON lengkap dari temuan yang saat ini dipilih, yang berguna saat Anda menyelidiki temuan atau mencari atribut yang dapat digunakan dalam kueri temuan.

Untuk menyalin objek JSON ke papan klip, klik content_copy Copy.

Struktur JSON temuan berisi objek berikut:

• findings: Atribut temuan. Atribut ini distandardisasi di semua layanan bawaan dan terintegrasi (juga dikenal sebagai sumber keamanan). Untuk mengetahui informasi selengkapnya, lihat Finding.
• resource: Atribut resource yang terpengaruh. Untuk informasi selengkapnya, lihat Resource.
• sourceProperties: Properti khusus layanan temuan.

Anda juga dapat menggunakan ListFindings API untuk membuat daftar temuan dan mendapatkan definisi JSON-nya.

Mengambil tindakan atas temuan dari tampilan detail

Anda dapat melakukan berbagai tindakan terhadap temuan dari tampilan detail temuan, seperti menonaktifkan temuan atau menambahkan atribut dari temuan ke kueri temuan saat ini.

Menonaktifkan temuan dalam tampilan detail

Dari menu Ambil tindakan di tampilan detail temuan, Anda dapat membisukan atau mengaktifkan temuan, atau membuat aturan yang menonaktifkan semua temuan mendatang seperti temuan saat ini.

Untuk mengetahui petunjuk lengkap tentang menonaktifkan temuan atau membuat aturan penonaktifan, lihat Menonaktifkan temuan di Security Command Center.

Menambahkan filter atribut ke kueri dari tampilan detail

Dari tampilan detail temuan, Anda dapat menambahkan filter untuk atribut yang ditampilkan ke kueri temuan saat ini.

Untuk mendapatkan petunjuk, lihat Menambahkan filter atribut dari tampilan detail temuan.

Lihat nama API atribut dalam tampilan detail suatu temuan

Sebagian besar atribut temuan yang ditampilkan di Konsol Google Cloud memiliki nama yang sesuai seperti yang digunakan dalam Security Command Center API. Dalam tampilan detail temuan, Anda dapat menemukan dan menyalin nama API yang sesuai dari atribut temuan yang ditampilkan.

Membagikan tampilan detail suatu temuan

Untuk membagikan tampilan detail temuan, Anda dapat menyalin URL halaman tampilan detail untuk dibagikan kepada orang lain.

Untuk menyalin URL tampilan detail ke papan klip, di menu Ambil tindakan, klik Salin link.

Mengirim masukan tentang temuan tersebut ke Google Cloud

Untuk mengirim masukan ke Google Cloud, buka menu Ambil tindakan, lalu klik Kirim masukan.

Alat masukan memungkinkan Anda mengambil dan menyertakan screenshot.

Bagian berikut menjelaskan tab Ringkasan, Properti sumber, dan JSON.

Menampilkan detail temuan lainnya di panel Hasil kueri temuan

Untuk melihat detail temuan yang mendahului atau mengikuti temuan yang sedang Anda lihat, gunakan tombol navigate_next berikutnya atau navigate_before sebelumnya untuk menuju ke temuan berikutnya atau sebelumnya, tanpa harus kembali ke halaman Penemuan.

Menambahkan tanda keamanan pada temuan di Konsol Google Cloud

Anda dapat menambahkan tanda keamanan ke temuan, mengedit tanda keamanan, atau menghapusnya dari temuan di panel Hasil kueri temuan.

Tanda keamanan adalah label nilai kunci kustom yang dapat Anda gunakan untuk menganotasi temuan, mengaitkan temuan dengan temuan lain yang memiliki tanda keamanan yang sama, dan temuan kueri.

Untuk membuat, mengedit, atau menghapus tanda keamanan di Konsol Google Cloud, di panel tindakan panel Findings query results, klik Set security signifikan.

Untuk mengetahui petunjuk lengkap cara menetapkan tanda keamanan pada temuan atau aset, lihat Menggunakan tanda keamanan.

Menonaktifkan temuan di konsol Google Cloud

Anda dapat membisukan dan mengaktifkan temuan di halaman Temukan dengan menggunakan Opsi bisukan di panel tindakan Hasil kueri temuan atau dengan mengklik Ambil tindakan di panel detail temuan.

Anda dapat menonaktifkan setiap temuan atau membuat aturan penonaktifan yang menonaktifkan temuan saat ini dan temuan mendatang berdasarkan filter yang Anda tentukan.

Temuan yang dinonaktifkan akan disembunyikan dan disenyapkan, tetapi Anda tetap dapat melihatnya dengan menambahkan filter mute="MUTED" ke kueri temuan. Temuan yang dinonaktifkan akan terus dicatat untuk tujuan audit dan kepatuhan.

Anda dapat melihat aturan penonaktifan yang saat ini ditetapkan di tab Aturan bisu di setelan Security Command Center.

Untuk petunjuk mendetail tentang cara menonaktifkan dan mengaktifkan temuan, lihat Menonaktifkan temuan di Security Command Center.

Mengubah status temuan

Temuan dapat memiliki salah satu dari dua status: Active atau Inactive.

Status Active berarti masalah keamanan yang diidentifikasi oleh temuan tersebut tetap ada di lingkungan Anda sebagai potensi ancaman atau kerentanan.

Status Inactive berarti masalah keamanan telah diatasi.

Anda mungkin ingin mengubah status temuan karena berbagai alasan, seperti mengubah status temuan menjadi Inactive segera setelah ditangani, sehingga Anda tidak perlu menunggu pemindaian berikutnya mengubah statusnya.

Untuk mengubah status temuan di Konsol Google Cloud:

1. Buka tampilan Findings di Security Command Center.

   Buka Temuan

2. Jika perlu, pilih organisasi atau project Google Cloud Anda.

   

3. Di panel Findings query results, pilih temuan.

4. Di panel tindakan pada panel Findings query results, klik Change active state. Menu pop-up akan muncul.

5. Di menu pop-up Ubah status aktif, pilih Aktif atau Tidak aktif.

Mengonfigurasi halaman Temuan

Anda dapat mengontrol beberapa elemen yang muncul di halaman Temuan.

Menyesuaikan kolom hasil kueri

Anda dapat menambahkan atau menghapus kolom dari panel Hasil kueri temuan.

Anda dapat menghapus kolom mana pun kecuali Kategori.

Secara default, panel Finding query results menampilkan kolom berikut, tetapi Anda mungkin harus men-scroll ke kanan untuk melihatnya:

• Kategori: nama jenis temuan.
• Keparahan: tingkat keparahan temuan. Untuk informasi selengkapnya tentang cara menemukan tingkat keparahan, lihat artikel Klasifikasi tingkat keparahan untuk temuan.
• Skor eksposur serangan: Skor eksposur serangan dari temuan.
• Waktu peristiwa: saat temuan pertama kali terdeteksi atau saat temuan terakhir diperbarui.
• Waktu pembuatan: saat temuan dibuat di Security Command Center.
• Nama tampilan resource: nama tampilan resource tempat masalah terdeteksi.
• Nama lengkap resource: nama lengkap resource tempat masalah terdeteksi.
• Jalur resource: jalur ke resource tempat masalah terdeteksi.
• Jenis resource: jenis resource tempat masalah terdeteksi.
• Tanda keamanan: Tanda keamanan apa pun yang ditambahkan ke temuan.
• Class penemuan: class temuan, seperti THREAT, VULNERABILITY, dan MISCONFIGURATION.

Untuk memilih kolom temuan yang ingin ditampilkan, selesaikan langkah-langkah berikut:

1. Di sebelah kanan panel tindakan Findings query results, klik view_column Columns.
2. Pada menu yang muncul, pilih kolom yang ingin ditampilkan.
3. Untuk menyembunyikan kolom, batalkan pilihan nama kolom.
4. Klik Apply untuk menerapkan perubahan pada panel Findings query results.

Pilihan kolom akan dipertahankan saat Anda melihat halaman Temuan di lain waktu, meskipun Anda mengubah project atau organisasi. Untuk menghapus semua pilihan kolom kustom, klik Hapus pilihan kolom.

Menyesuaikan panel Mencari halaman

Untuk menyediakan lebih banyak ruang layar untuk mengedit kueri atau melihat temuan, Anda dapat menciutkan dan meluaskan panel berikut:

• Panel Filter cepat.
• Panel Query editor.

Untuk menciutkan panel, klik ikon Toggle panel, first_page atau first_page.

Untuk meluaskan panel, klik ikon lagi.

Mengirim masukan ke tim Security Command Center

Kami selalu mencari cara untuk meningkatkan layanan kami. Masukan Anda akan membantu kami meningkatkan kualitas produk dan memberikan pengalaman yang lebih baik bagi semua pengguna Security Command Center.

Untuk mengirim masukan, ikuti langkah-langkah berikut:

1. Buka tampilan Findings di Security Command Center.

   Buka Temuan

2. Jika perlu, pilih organisasi atau project Google Cloud Anda.

   

3. Klik Opsi, lalu pilih Kirim masukan.

Langkah selanjutnya

• Pelajari sumber keamanan.
• Pelajari cara menggunakan tanda keamanan.
• Pelajari cara mengonfigurasi Security Command Center.
• Pelajari cara membentuk filter temuan menggunakan Security Command Center API.