Menjelajahi grafik keamanan menggunakan kueri

Grafik keamanan di Security Command Center adalah database yang mengetahui hubungan yang memetakan resource cloud, konfigurasinya, dan indikator risiko terkait seperti kerentanan, izin akses, sensitivitas data, dan eksposur jaringan. Grafik memberikan gambaran menyeluruh tentang aset cloud dan hubungannya.

Dalam dokumen ini, Anda akan mempelajari Penelusuran Grafik, sebuah fitur yang memungkinkan Anda menjelajahi grafik keamanan dengan membuat kueri kustom untuk membantu menunjukkan potensi masalah keamanan di lingkungan Anda.

Komponen kueri

Kueri grafik keamanan terdiri dari tiga jenis komponen utama:

  • Node: temuan keamanan atau resource cloud.
  • Klausa where (filter): filter yang diterapkan ke node untuk menyempurnakan kueri berdasarkan properti spesifik node.
  • Koneksi: hubungan terarah antara dua node.

Berikut ini adalah contoh kueri seperti yang terlihat di konsol Google Cloud , menggunakan komponen ini.

Contoh kueri Grafik Security Command Center menggunakan berbagai komponen
Contoh kueri Grafik Security Command Center menggunakan berbagai komponen

Struktur kueri contoh ini mengidentifikasi hubungan antara entitas keamanan untuk membantu menentukan risiko. Pertama, kueri menetapkan subjek utama, atau node, penyelidikan, yaitu Kerentanan CVE dan Virtual Machine (GCE). Koneksi, yang diidentifikasi oleh frasa yang memengaruhi, secara eksplisit menautkan kedua node ini. Terakhir, kueri disesuaikan dengan baik menggunakan beberapa atribut, yang dikenal sebagai klausa atau filter where, di setiap node. Filter yang digunakan di sini mencakup tingkat keparahan kerentanan dan jangkauan jaringan VM. Bersama-sama, komponen ini membantu mengidentifikasi resource yang dapat menjadi indikator risiko dalam suatu lingkungan.

Node

Node mewakili temuan keamanan atau resource cloud.

Beberapa contoh node di konsol Google Cloud mencakup berikut ini:

  • Kerentanan CVE: kerentanan Common Vulnerabilities and Exposures yang ditentukan oleh The MITRE Corporation.
  • Virtual Machine (GCE): instance Compute Engine.
  • Deployment GKE: resource Google Kubernetes Engine.
  • Akun Layanan IAM: akun layanan Identity and Access Management (IAM).
  • Set Data BigQuery: penampung data di BigQuery. Untuk mengetahui informasi selengkapnya, lihat Pengantar set data.

Node dikelompokkan berdasarkan kategori seperti Compute, Kubernetes, Identity, dan Databases. Anda dapat menjelajahi atau menelusuri semua jenis node yang tersedia di konsolGoogle Cloud saat menyusun kueri.

Klausa where (filter)

Klausa where adalah filter yang diterapkan ke node untuk mempertajam kueri berdasarkan properti tertentu yang terkait dengan node

Berikut beberapa contoh filter:

  • Severity = Critical: item dengan tingkat keparahan kritis, misalnya, CVE.
  • Has Full API Access = True: menunjukkan bahwa node dikonfigurasi dengan akses penuh ke semua Google Cloud API.
  • Aktivitas Eksploitasi = Dikonfirmasi: menunjukkan instance kerentanan yang diketahui, dilaporkan, atau diantisipasi sedang dieksploitasi di dunia nyata.

Filter yang ditampilkan di konsol Google Cloud bersifat kontekstual dan bergantung pada jenis node yang telah Anda pilih.

Koneksi

Koneksi adalah hubungan terarah antara dua node.

Berikut adalah contoh koneksi:

  • yang memengaruhi: menentukan hubungan antara dua node yang dipilih—misalnya, Kerentanan CVE dalam kaitannya dengan Mesin Virtual (GCE).
  • yang menggunakan: menentukan hubungan antara dua node yang dipilih—misalnya, Virtual Machine (GCE) dalam kaitannya dengan Akun Layanan IAM.

Koneksi memiliki konteks, dan hanya hubungan yang valid yang ditampilkan untuk jenis node yang dipilih.

Buat kueri

Anda dapat membuat kueri grafik keamanan untuk menjelajahi lingkungan cloud berdasarkan kriteria yang penting bagi Anda. Melakukan dan menyempurnakan kueri pada grafik dapat membantu Anda mengidentifikasi kelemahan keamanan tertentu yang ingin Anda pantau.

  1. Buka Risiko > Penelusuran Grafik untuk membuka halaman kueri grafik keamanan.

  2. Berinteraksi dengan editor Kueri kustom untuk membuat kueri Anda.

    1. Buat kueri kustom Anda sendiri.

    2. Pilih saran penelusuran standar dan gunakan apa adanya, atau ubah kueri agar sesuai dengan kebutuhan Anda.

  3. Jalankan kueri Anda.

  4. Tinjau hasil kueri dalam tabel. Anda dapat menyesuaikan tampilan hasil dengan memilih kolom yang akan ditampilkan. Anda juga dapat mengurutkan setiap kolom dalam urutan menaik atau menurun.

  5. Ekspor hasil kueri sebagai file CSV menggunakan opsi Download CSV.

Membuat kueri kustom

Anda dapat menentukan kueri kustom untuk mengidentifikasi kerentanan keamanan khusus untuk lingkungan Anda.

Untuk melakukannya, buat dan jalankan kueri kustom baru atau sesuaikan saran penelusuran yang ada menggunakan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka Risk > Graph Search untuk membuka halaman kueri grafik keamanan.

  2. Di kolom Tampilkan, klik , lalu pilih resource atau temuan sebagai node utama untuk kueri Anda, lalu klik Pilih.

  3. Untuk mempersempit kueri, klik tombol untuk filter atau koneksi apa pun guna mengaktifkannya untuk node yang dipilih. Tentukan nilai untuk setiap filter yang Anda aktifkan, lalu klik Pilih.

    Widget Penelusuran Grafik Security Command Center
    Widget penelusuran Grafik Security Command Center (klik untuk memperbesar)

  4. Untuk mengubah kueri lebih lanjut, klik ikon plus () yang terkait dengan node atau koneksi untuk melakukan pembaruan. Klik untuk menghapus komponen dari kueri Anda.

  5. Pilih Run query.

Seiring berkembangnya skema grafik, node, filter, dan koneksi yang tersedia akan diperbarui di konsol Google Cloud .

Menggunakan atau menyesuaikan saran penelusuran

Beberapa saran penelusuran disediakan sebagai titik awal. Anda dapat menggunakan saran ini apa adanya atau menyesuaikannya agar sesuai dengan kebutuhan spesifik Anda.

  1. Di konsol Google Cloud , buka Risk > Graph Search untuk membuka halaman kueri grafik keamanan.

  2. Pilih Saran penelusuran untuk melihat informasi yang lebih mendetail tentang kueri.

  3. Klik Gunakan saran.

  4. Secara opsional, ubah detail kueri di editor agar sesuai dengan kebutuhan Anda. Untuk mengetahui informasi selengkapnya, lihat Membuat kueri kustom.

  5. Pilih Run query.

Memecahkan masalah kueri yang tidak menampilkan hasil

Jika kueri Anda tidak menampilkan hasil, coba langkah-langkah berikut untuk memecahkan masalah dan menyesuaikan.

Menggunakan saran penelusuran standar

Saran penelusuran standar yang diberikan adalah contoh yang dirancang untuk menampilkan hasil yang relevan dengan berbagai lingkungan. Anda dapat mengubah saran penelusuran agar sesuai dengan kebutuhan spesifik Anda.

Menyederhanakan atau menyesuaikan kueri Anda

  • Hapus atau kurangi filter untuk memperluas cakupan kueri Anda.

  • Coba kueri satu jenis atau properti aset untuk memvalidasi bahwa data sedang ditampilkan.

  • Hindari menggabungkan terlalu banyak batasan. Melakukannya dapat secara tidak sengaja mengecualikan hasil.

Memverifikasi izin akses

Pastikan Anda memiliki izin yang diperlukan untuk melihat data yang Anda kueri. Tanpa akses yang benar, beberapa aset atau hubungan mungkin disembunyikan atau dikecualikan dari hasil.

Berikan waktu untuk sinkronisasi data

Mungkin perlu waktu beberapa menit atau jam agar resource yang baru dibuat atau diperbarui muncul dalam grafik. Misalnya, penundaan dapat terjadi jika Anda baru saja menambahkan resource atau memperbarui kebijakan IAM. Jika Anda baru saja membuat perubahan pada lingkungan cloud, coba jalankan kueri lagi setelah beberapa saat.

Cakupan grafik

Beberapa jenis atau hubungan data mungkin tidak tersedia di grafik keamanan, bergantung pada lingkungan Anda dan jenis data yang didukung. Jika Anda tidak melihat data yang diharapkan, data tersebut mungkin tidak tersedia dalam grafik.

Bantuan tambahan

Jika Anda telah mencoba langkah-langkah sebelumnya dan masih tidak melihat hasil yang diharapkan, hubungi administrator project Anda atau lihat Mendapatkan dukungan untuk mendapatkan bantuan dalam meninjau konfigurasi dan izin kueri Anda.

Langkah berikutnya