Mengonfigurasi Security Command Center

Konfigurasikan Security Command Center, termasuk menambahkan layanan keamanan, mengelola layanan mana yang berlaku untuk resource tertentu, dan menyiapkan logging untuk Event Threat Detection dan Container Threat Detection.

Untuk mengonfigurasi Security Command Center, buka halaman Settings Security Command Center di Konsol Google Cloud, lalu klik tab untuk setelan yang ingin Anda ubah.

Tingkat aktivasi

Anda dapat mengaktifkan Security Command Center pada salah satu dari dua level: di level organisasi untuk organisasi atau di level project untuk masing-masing project.

Tingkat aktivasi memengaruhi jenis layanan yang dapat Anda konfigurasi. Jika Security Command Center diaktifkan di level project, layanan terintegrasi tidak akan didukung. Anda hanya dapat mengonfigurasi layanan Security Command Center bawaan.

Layanan bawaan dan terintegrasi dijelaskan di bagian berikut.

Untuk mengetahui informasi selengkapnya tentang tingkat aktivasi, lihat Ringkasan pengaktifan Security Command Center.

Service

Dua jenis layanan yang dijalankan di Security Command Center: layanan bawaan dan layanan terintegrasi. Layanan bawaan adalah bagian dari {i>Security Command Center<i}. Layanan terintegrasi adalah layanan Google Cloud atau pihak ketiga yang menyediakan temuan ke Security Command Center.

Untuk menambahkan layanan terintegrasi baru ke aktivasi tingkat organisasi Security Command Center, selesaikan panduan integrasinya, lalu aktifkan sebagai layanan keamanan di dasbor Security Command Center. Dengan kemampuan ini, Anda dapat melihat gambaran lengkap tentang risiko keamanan, kerentanan, dan ancaman di project atau organisasi Anda.

Setelah mengaktifkan layanan terintegrasi, Anda dapat mengonfigurasi resource mana yang dipantau oleh setiap layanan keamanan.

Layanan bawaan

Layanan bawaan berikut adalah bagian dari Security Command Center:

  • Container Threat Detection
  • Event Threat Detection
  • Deteksi Kerentanan CepatPratinjau
  • Layanan Zona Landing yang AmanPratinjau

  • Security Health Analytics

  • Postur keamanan

  • Virtual Machine Threat Detection

  • Web Security Scanner

Beberapa layanan bawaan hanya tersedia dengan paket Security Command Center Premium. Pelajari lebih lanjut tingkat Security Command Center.

Mengaktifkan atau menonaktifkan layanan bawaan

Anda dapat mengaktifkan layanan bawaan untuk resource berikut:

  • Organisasi
  • Folder
  • Project
  • Dengan Container Threat Detection saja, sebuah cluster

Secara default, resource mewarisi setelan layanan resource induknya.

Guna mengaktifkan atau menonaktifkan layanan Security Command Center untuk resource, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Security Command Center.

    Buka Security Command Center

  2. Pilih organisasi, folder, atau project yang perlu Anda kelola layanannya.

  3. Klik Setelan .

  4. Untuk layanan yang ingin Anda ubah, klik Kelola setelan.

  5. Pada tab Pengaktifan layanan, temukan resource yang perlu Anda aktifkan layanannya. Anda dapat mengaktifkan layanan bawaan untuk organisasi, folder, project, atau (hanya dengan Container Threat Detection) cluster.

  6. Untuk resource tersebut, tetapkan layanan ke Enable, Disable, atau Inherit.

Melihat modul layanan

Untuk beberapa layanan, Anda dapat mengaktifkan atau menonaktifkan detektor tertentu, yang juga dikenal sebagai modul. Untuk melihat modul layanan dan statusnya saat ini, lakukan langkah berikut:

  1. Di konsol Google Cloud, buka halaman Security Command Center.

    Buka Security Command Center

  2. Pilih organisasi, folder, atau project yang perlu Anda kelola layanannya.

  3. Klik Setelan .

  4. Untuk layanan yang ingin Anda lihat, klik Kelola setelan.

  5. Klik tab Modules.

    Modul layanan ditampilkan, beserta statusnya masing-masing.

Mengaktifkan atau menonaktifkan modul

  1. Di konsol Google Cloud, buka halaman Security Command Center.

    Buka Security Command Center

  2. Pilih organisasi, folder, atau project yang perlu Anda kelola layanannya.

  3. Klik Setelan .

  4. Untuk layanan yang ingin Anda lihat, klik Kelola setelan.

  5. Klik tab Modules.

    Modul layanan ditampilkan, beserta statusnya masing-masing.

  6. Temukan detektor yang ingin Anda ubah, dan tetapkan statusnya ke Aktifkan atau Nonaktifkan.

Menambahkan layanan ke Security Command Center

Saat Security Command Center diaktifkan di tingkat organisasi, Anda dapat menambahkan layanan Google Cloud terintegrasi atau layanan keamanan pihak ketiga ke Security Command Center.

Menambahkan layanan terintegrasi Google Cloud

Anda dapat menambahkan layanan Google Cloud tertentu yang terintegrasi ke Security Command Center.

Aktivasi tingkat project tidak mendukung layanan Google Cloud terintegrasi.

Di halaman Settings, klik tab Integrated Services untuk melihat layanan yang tersedia. Berikut adalah layanan keamanan Google Cloud yang terintegrasi dengan aktivasi Security Command Center tingkat organisasi:

  • Anomaly Detection
  • Google Cloud Armor
  • Sensitive Data Protection
  • Forseti Security

Untuk mengetahui informasi selengkapnya tentang layanan ini, lihat Sumber keamanan untuk kerentanan dan ancaman.

Temuan dari layanan keamanan Google Cloud tersedia setelah Anda menyelesaikan panduan integrasinya.

  • Untuk menambahkan layanan baru, klik Tambahkan Layanan Lainnya. Halaman Layanan Security Command Center di Google Cloud Marketplace akan ditampilkan. Klik layanan yang Anda minati dan ikuti petunjuk penyedia untuk menambahkannya sebagai layanan terintegrasi.
  • Untuk melihat temuan dari layanan keamanan, aktifkan layanan dengan mengklik tombol di samping nama layanan. Untuk membatasi layanan ke folder, project, atau cluster tertentu di organisasi Anda, gunakan menu Setelan lanjutan yang akan dijelaskan nanti di halaman ini.

Sumber terintegrasi menggunakan akun layanan yang mungkin berada di luar organisasi Anda. Misalnya, sumber keamanan Google Cloud menggunakan akun layanan di security-center-fpr.iam.gserviceaccount.com.

Jika kebijakan organisasi Anda ditetapkan untuk membatasi identitas berdasarkan domain, Anda perlu menambahkan akun layanan Security Command Center ke identitas dalam grup yang berada dalam domain yang diizinkan. Nama akun layanan Security Command Center tingkat organisasi memiliki format berikut:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER adalah ID numerik organisasi Anda.

Di tab Integrated Services, Anda dapat menambahkan sumber baru atau mengaktifkan dan menonaktifkan sumber yang ada:

  1. Di konsol Google Cloud, buka halaman Security Command Center.

    Buka Security Command Center

  2. Pilih organisasi atau project Anda.

  3. Klik Setelan .

  4. Klik tab Layanan terintegrasi.

  5. Di samping sumber terintegrasi yang ingin diaktifkan, klik daftar Status dan pilih Enable.

Temuan untuk sumber terintegrasi yang Anda pilih ditampilkan di halaman Temuan pada dasbor Security Command Center.

Untuk menonaktifkan layanan terintegrasi, di samping namanya, klik menu drop-down, lalu pilih Disable by default.

Laporan kerentanan VM Manager

VM Manager adalah serangkaian alat yang dapat digunakan untuk mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine.

Aktivasi level project tidak mendukung VM Manager.

Jika Anda mengaktifkan VM Manager dengan paket Premium Command Center Keamanan, VM Manager akan menulis temuan high dan critical dari laporan kerentanannya ke Security Command Center secara default. Laporan tersebut mengidentifikasi kerentanan dalam sistem operasi yang diinstal pada VM Compute Engine.

Untuk mengetahui informasi selengkapnya, lihat Pengelola VM.

Menambahkan layanan keamanan pihak ketiga

Aktivasi Security Command Center tingkat organisasi dapat menampilkan temuan dari layanan keamanan pihak ketiga yang telah terdaftar sebagai partner Cloud Marketplace.

Aktivasi Security Command Center tingkat project tidak mendukung layanan pihak ketiga.

Layanan keamanan pihak ketiga yang terdaftar sebagai partner Cloud Marketplace mencakup layanan berikut:

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Periksa Titik CloudGuard Dome9
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Prisma Cloud oleh Palo Alto Networks
  • StackRox
  • Tenable.io

Untuk mengintegrasikan layanan keamanan yang tidak terdaftar sebagai partner Cloud Marketplace, minta penyedia tersebut untuk menyelesaikan panduan untuk Aktivasi sebagai partner Security Command Center.

Untuk menambahkan layanan keamanan pihak ketiga baru ke Security Command Center, Anda harus menyiapkan layanan keamanan, lalu mengaktifkannya di dasbor Security Command Center.

Sebelum memulai

Untuk menambahkan layanan keamanan bagi partner Cloud Marketplace yang terdaftar, Anda memerlukan:

  • Peran Identity and Access Management (IAM) berikut:
    • Admin Pusat Keamanan - roles/securitycenter.admin
    • Admin Akun Layanan - roles/iam.serviceAccountAdmin
  • Project Google Cloud yang ingin Anda gunakan untuk layanan keamanan.

Langkah 1: Menyiapkan layanan keamanan

Untuk menyiapkan layanan keamanan pihak ketiga, Anda memerlukan akun layanan untuk layanan tersebut. Saat menambahkan layanan keamanan baru, Anda dapat memilih dari opsi akun layanan berikut:

  • Buat akun layanan.
  • Gunakan akun layanan Anda sendiri yang sudah ada.
  • Gunakan akun layanan dari penyedia layanan.

Untuk menyiapkan layanan keamanan baru yang sudah terdaftar sebagai partner Cloud Marketplace, ikuti langkah-langkah di bawah:

  1. Buka halaman Marketplace Layanan Security Command Center di Konsol Google Cloud.

    Buka Marketplace

  2. Halaman Marketplace menampilkan layanan keamanan yang langsung terkait dengan Security Command Center.

    • Jika Anda tidak melihat layanan keamanan yang ingin ditambahkan, telusuri Keamanan, lalu pilih penyedia layanan keamanan.
    • Jika penyedia layanan keamanan tidak terdaftar di Cloud Marketplace, minta penyedia Anda untuk menyelesaikan panduan untuk Aktivasi sebagai partner Security Command Center.
  3. Pada halaman penyedia layanan keamanan di Cloud Marketplace, ikuti petunjuk penyiapan penyedia di Ringkasan.

  4. Setelah menyelesaikan proses penyiapan penyedia, klik Visit [provider name] site to sign up di halaman Marketplace penyedia.

  5. Pada halaman Security Command Center yang muncul di konsol Google Cloud, pilih organisasi yang layanan keamanannya ingin Anda gunakan.

  6. Di halaman Create Service Account & Enable [provider name] Security Events yang muncul, terima akun layanan penyedia, jika tersedia, atau buat atau pilih akun layanan yang ingin Anda gunakan:

    • Untuk membuat akun layanan:
      1. Pilih Create a new service account.
      2. Di samping Project, klik Change untuk memilih project yang ingin Anda gunakan untuk layanan keamanan ini.
      3. Tambahkan Nama akun layanan dan ID akun layanan.
    • Untuk menggunakan akun layanan yang ada:
      1. Pilih Use an existing service account, lalu pilih akun layanan yang ingin digunakan dari menu drop-down Service account name.
    • Jika penyedia layanan keamanan mengelola akun layanan, masukkan ID akun layanan yang mereka berikan.
  7. Setelah selesai menambahkan informasi akun layanan, klik Submit atau Accept.

  8. Di halaman Source connect yang muncul, klik link di bagian Langkah Penginstalan untuk mendapatkan informasi tentang cara menyelesaikan penginstalan.

  9. Jika sudah selesai, klik Selesai.

Jika dikonfigurasi dengan benar, layanan keamanan yang Anda tambahkan akan tersedia di Security Command Center.

Langkah 2: Mengaktifkan layanan keamanan

Setelah menyiapkan layanan keamanan baru, Anda harus mengaktifkannya di dasbor Security Command Center.

Sumber terintegrasi menggunakan akun layanan yang mungkin berada di luar organisasi Anda. Misalnya, sumber keamanan Google Cloud menggunakan akun layanan di security-center-fpr.iam.gserviceaccount.com.

Jika kebijakan organisasi Anda ditetapkan untuk membatasi identitas berdasarkan domain, Anda perlu menambahkan akun layanan Security Command Center ke identitas dalam grup yang berada dalam domain yang diizinkan. Nama akun layanan Security Command Center tingkat organisasi memiliki format berikut:

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER adalah ID numerik organisasi Anda.

Di tab Integrated Services, Anda dapat menambahkan sumber baru atau mengaktifkan dan menonaktifkan sumber yang ada:

  1. Di konsol Google Cloud, buka halaman Security Command Center.

    Buka Security Command Center

  2. Pilih organisasi atau project Anda.

  3. Klik Setelan .

  4. Klik tab Layanan terintegrasi.

  5. Di samping sumber terintegrasi yang ingin diaktifkan, klik daftar Status dan pilih Enable.

Temuan untuk sumber terintegrasi yang Anda pilih ditampilkan di halaman Temuan pada dasbor Security Command Center.

Mengubah akun layanan penyedia

Anda dapat mengubah akun layanan yang digunakan untuk layanan keamanan pihak ketiga, misalnya untuk mengatasi kebocoran atau rotasi akun layanan. Untuk mengubah akun layanan layanan keamanan, Anda perlu memperbaruinya di dasbor Security Command Center. Setelah itu, ikuti petunjuk penyedia layanan untuk mengupdate akun layanan untuk layanan mereka.

Prosedur berikut tidak berlaku untuk aktivasi Security Command Center tingkat project, yang tidak mendukung layanan pihak ketiga terintegrasi.

  1. Di konsol Google Cloud, buka halaman Security Command Center.

    Buka Security Command Center

  2. Pilih organisasi atau project Anda.

  3. Klik Setelan .

  4. Klik tab Layanan terintegrasi.

  5. Dalam menu drop-down di samping layanan terintegrasi:

    1. Pilih Disabled untuk menonaktifkan layanan terintegrasi sementara.
    2. Kemudian, pilih Manage service account.
  6. Pada panel Edit [nama penyedia] yang muncul, masukkan akun layanan baru, lalu klik Kirim.

  7. Pada menu drop-down di samping layanan terintegrasi, pilih Enabled untuk mengaktifkan layanan keamanan.

Jika dikonfigurasi dengan benar, akun layanan untuk layanan terintegrasi akan diperbarui di Security Command Center. Ikuti petunjuk penyedia layanan untuk memperbarui informasi akun layanan untuk layanan mereka.

Ekspor Cloud Logging

Di tab ContinuousExport, Anda menyiapkan logging untuk temuan Event Threat Detection dan Container Threat Detection. Temuan diekspor ke project Cloud Logging yang Anda pilih.

Bergantung pada kuantitas informasinya, biaya Cloud Logging dapat sangat besar. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk mencatat temuan ke dalam log, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Security Command Center.

    Buka Security Command Center

  2. Pilih organisasi atau project Anda.

  3. Klik Setelan .

  4. Klik tab Ekspor Berkelanjutan.

  5. Di bagian Nama ekspor, klik Ekspor Logging.

  6. Di bagian Sinks, aktifkan Log Findings to Logging.

  7. Di bagian Logging project, masukkan atau telusuri project tempat Anda ingin mencatat temuan ke dalam log.

  8. Klik Save.

Saat Event Threat Detection dan Container Threat Detection menulis log, setiap entri log menyertakan jenis resource threat_detector dan berisi informasi yang sama dengan temuannya. Untuk mendapatkan petunjuk tentang cara meninjau log, baca artikel Menggunakan Deteksi Ancaman Peristiwa dan Menggunakan Deteksi Ancaman Container.

Menentukan resource bernilai tinggi

Security Command Center menghitung skor eksposur serangan dan mengilustrasikan potensi jalur serangan untuk menemukan temuan kerentanan dan kesalahan konfigurasi yang mengekspos resource yang Anda tetapkan sebagai bernilai tinggi.

Untuk mendapatkan skor eksposur serangan dan jalur serangan yang secara akurat mencerminkan resource mana yang bernilai benar-benar tinggi, Anda perlu membuat konfigurasi nilai resource.

Kumpulan konfigurasi nilai resource yang Anda buat akan menentukan set resource bernilai tinggi.

Jika Anda belum membuat set resource bernilai tinggi sendiri, Security Command Center akan menggunakan set resource bernilai tinggi default yang umumnya berlaku untuk semua jenis resource yang didukung oleh skor eksposur serangan.

Untuk informasi selengkapnya, lihat referensi berikut:

Aturan nonaktifkan

Tab Mute rules mencantumkan aturan penonaktifan apa pun yang ditetapkan di organisasi, folder, dan project Anda. Di tab ini, Anda dapat membuat aturan penonaktifan atau mengelola aturan yang sudah ada.

Aturan bisukan secara otomatis menyembunyikan temuan mendatang berdasarkan filter yang Anda tentukan. Untuk mengetahui informasi selengkapnya tentang cara menonaktifkan temuan dan menggunakan aturan penonaktifan, lihat Menonaktifkan temuan di Security Command Center.

Peran

Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari peran Security Command Center lebih lanjut, lihat Kontrol akses.

Untuk mendapatkan informasi tentang cara memberikan, mengubah, dan mencabut peran IAM, lihat Mengelola akses ke project, folder, dan organisasi.

Langkah selanjutnya