Menyelidiki dan merespons ancaman

Dokumen ini memberikan informasi tingkat tinggi tentang cara menangani temuan ancaman di Security Command Center.

Sebelum memulai

Anda memerlukan peran Identity and Access Management (IAM) yang memadai untuk melihat atau mengedit temuan dan log, serta mengubah resource Google Cloud . Jika Anda mengalami kesalahan akses di Security Command Center, minta bantuan administrator Anda dan lihat Kontrol akses untuk mempelajari peran. Untuk menyelesaikan error resource, baca dokumentasi untuk produk yang terpengaruh.

Memahami temuan ancaman

Security Command Center memiliki layanan deteksi bawaan yang menggunakan berbagai teknik untuk mendeteksi ancaman di lingkungan cloud Anda.

• Event Threat Detection menghasilkan temuan keamanan dengan mencocokkan peristiwa di aliran log Cloud Logging Anda dengan indikator kompromi (IoC) yang diketahui. IoC, yang dikembangkan oleh sumber keamanan internal Google, mengidentifikasi potensi kerentanan dan serangan. Event Threat Detection juga mendeteksi ancaman dengan mengidentifikasi taktik, teknik, dan prosedur musuh yang diketahui dalam aliran logging Anda, serta dengan mendeteksi penyimpangan dari perilaku organisasi atau project Anda di masa lalu. Jika Anda mengaktifkan paket Premium Security Command Center di tingkat organisasi, Event Threat Detection juga dapat memindai log Google Workspace Anda.

• Container Threat Detection membuat temuan dengan mengumpulkan dan menganalisis perilaku yang diamati di tingkat rendah dalam kernel tamu container.

• Virtual Machine Threat Detection memindai project Compute Engine dan instance virtual machine (VM) untuk mendeteksi aplikasi yang berpotensi berbahaya yang berjalan di VM, seperti software penambangan mata uang kripto dan rootkit mode kernel.

• Deteksi Ancaman Cloud Run memantau status resource Cloud Run yang didukung untuk mendeteksi serangan runtime yang paling umum.

• Layanan Tindakan Sensitif mendeteksi kapan tindakan dilakukan di Google Cloud organisasi, folder, dan project Anda yang dapat merusak bisnis Anda jika dilakukan oleh pelaku kejahatan.

• Deteksi Anomali menggunakan sinyal perilaku dari luar sistem Anda untuk mendeteksi anomali keamanan di akun layanan Anda, seperti potensi kebocoran kredensial.

Layanan deteksi ini menghasilkan temuan di Security Command Center. Anda juga dapat mengonfigurasi ekspor berkelanjutan ke Cloud Logging.

Meninjau rekomendasi respons dan penyelidikan

Security Command Center menawarkan panduan informal untuk membantu Anda menyelidiki temuan aktivitas mencurigakan di lingkungan Anda dari aktor yang berpotensi berbahaya. Google Cloud Dengan mengikuti panduan ini, Anda dapat memahami apa yang terjadi selama potensi serangan dan mengembangkan kemungkinan respons untuk resource yang terpengaruh.

Teknik yang disediakan Security Command Center tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau di masa mendatang yang Anda hadapi. Untuk informasi tentang alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman, lihat Memperbaiki ancaman.

• Untuk melihat rekomendasi investigasi dan respons untuk temuan, cari temuan di indeks Temuan ancaman.

• Untuk melihat rekomendasi respons tingkat tinggi, lihat hal berikut:

  • Merespons temuan ancaman Cloud Run
  • Merespons temuan ancaman Compute Engine
  • Merespons temuan ancaman Google Workspace
  • Menanggapi temuan ancaman jaringan

Meninjau temuan

Untuk meninjau temuan ancaman di konsol Google Cloud , ikuti langkah-langkah berikut:

1. Di konsol Google Cloud , buka halaman Temuan Security Command Center.

   Buka Temuan

2. Jika perlu, pilih Google Cloud project, folder, atau organisasi Anda.

3. Di bagian Quick filters, klik filter yang sesuai untuk menampilkan temuan yang Anda butuhkan di tabel Findings query results. Misalnya, jika Anda memilih Event Threat Detection atau Container Threat Detection di subbagian Nama tampilan sumber, hanya temuan dari layanan yang dipilih yang muncul dalam hasil.

   Tabel diisi dengan temuan untuk sumber yang Anda pilih.

4. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Category. Panel detail temuan diperluas untuk menampilkan ringkasan detail temuan.

5. Untuk melihat definisi JSON temuan, klik tab JSON.

Temuan memberikan nama dan ID numerik resource yang terlibat dalam insiden, beserta variabel lingkungan dan properti aset. Anda dapat menggunakan informasi tersebut untuk mengisolasi resource yang terpengaruh dengan cepat dan menentukan potensi cakupan peristiwa.

Untuk membantu penyelidikan Anda, temuan ancaman juga berisi link ke sumber eksternal berikut:

• Entri framework MITRE ATT&CK. Framework ini menjelaskan teknik serangan terhadap resource cloud dan memberikan panduan perbaikan.

• VirusTotal, layanan milik Alphabet yang memberikan konteks pada file, URL, domain, dan alamat IP yang berpotensi berbahaya. Jika tersedia, kolom Indikator VirusTotal memberikan link ke VirusTotal untuk membantu Anda menyelidiki lebih lanjut potensi masalah keamanan.

  VirusTotal adalah penawaran dengan harga terpisah yang memiliki batas penggunaan dan fitur yang berbeda. Anda bertanggung jawab untuk memahami dan mematuhi kebijakan penggunaan API VirusTotal dan semua biaya terkait. Untuk mengetahui informasi selengkapnya, lihat dokumentasi VirusTotal.

Bagian berikut menguraikan kemungkinan respons terhadap temuan ancaman.

Menonaktifkan temuan ancaman

Setelah Anda menyelesaikan masalah yang memicu temuan ancaman, Security Command Center tidak otomatis menyetel status temuan menjadi INACTIVE. Status temuan ancaman tetap ACTIVE kecuali jika Anda menetapkan properti state ke INACTIVE secara manual.

Untuk positif palsu, pertimbangkan untuk membiarkan status temuan sebagai ACTIVE dan membisukan temuan tersebut.

Untuk positif palsu yang persisten atau berulang, buat aturan penonaktifan. Menetapkan aturan senyap dapat mengurangi jumlah temuan yang perlu Anda kelola, sehingga mempermudah identifikasi ancaman sebenarnya saat terjadi.

Untuk ancaman yang sebenarnya, sebelum Anda menyetel status temuan ke INACTIVE, hilangkan ancaman dan selesaikan penyelidikan menyeluruh terhadap ancaman yang terdeteksi, tingkat intrusi, dan temuan serta masalah terkait lainnya.

Untuk menonaktifkan temuan atau mengubah statusnya, lihat topik berikut:

• Menonaktifkan temuan
• Mengubah status temuan

Memperbaiki kerentanan terkait

Untuk membantu mencegah ancaman terulang kembali, tinjau dan perbaiki temuan kerentanan dan kesalahan konfigurasi terkait.

Untuk menemukan temuan terkait, ikuti langkah-langkah berikut:

1. Di konsol Google Cloud , buka halaman Temuan Security Command Center.

   Buka Temuan

2. Tinjau temuan ancaman dan salin nilai atribut yang kemungkinan akan muncul dalam temuan kerentanan atau kesalahan konfigurasi terkait, seperti alamat email utama atau nama resource yang terpengaruh.

3. Di halaman Temuan, buka Editor kueri dengan mengklik Edit kueri.

4. Klik Tambahkan filter. Menu Pilih filter akan terbuka.

5. Dari daftar kategori filter di sisi kiri menu, pilih kategori yang berisi atribut yang Anda catat dalam temuan ancaman.

   Misalnya, jika Anda mencatat nama lengkap resource yang terpengaruh, pilih Resource. Jenis atribut kategori Resource ditampilkan di kolom di sebelah kanan, termasuk atribut Full name.

6. Dari atribut yang ditampilkan, pilih jenis atribut yang Anda catat dalam temuan ancaman. Panel penelusuran untuk nilai atribut akan terbuka di sebelah kanan dan menampilkan semua nilai yang ditemukan dari jenis atribut yang dipilih.

7. Di kolom Filter, tempelkan nilai atribut yang Anda salin dari temuan ancaman. Daftar nilai yang ditampilkan diperbarui untuk hanya menampilkan nilai yang cocok dengan nilai yang ditempel.

8. Dari daftar nilai yang ditampilkan, pilih satu atau beberapa nilai, lalu klik Terapkan. Panel Hasil kueri temuan diperbarui untuk menampilkan hanya temuan yang cocok.

9. Jika ada banyak temuan dalam hasil, filter temuan dengan memilih filter tambahan dari panel Filter cepat.

   Misalnya, untuk menampilkan hanya temuan class Vulnerability dan Misconfiguration yang berisi nilai atribut yang dipilih, scroll ke bawah ke bagian Finding class di panel Quick filters, lalu pilih Vulnerability dan Misconfiguration.

Memulihkan ancaman

Memperbaiki temuan ancaman tidak sesederhana memperbaiki kesalahan konfigurasi dan kerentanan yang diidentifikasi oleh Security Command Center.

Kesalahan konfigurasi dan pelanggaran kepatuhan mengidentifikasi kelemahan dalam resource yang dapat dieksploitasi. Biasanya, kesalahan konfigurasi memiliki perbaikan yang diketahui dan mudah diterapkan, seperti mengaktifkan firewall atau merotasi kunci enkripsi.

Ancaman berbeda dari kerentanan karena bersifat dinamis dan menunjukkan kemungkinan eksploitasi aktif terhadap satu atau beberapa resource. Rekomendasi perbaikan mungkin tidak efektif dalam mengamankan resource Anda karena metode persis yang digunakan untuk melakukan eksploitasi mungkin tidak diketahui.

Misalnya, temuan Added Binary Executed menunjukkan bahwa biner yang tidak sah diluncurkan dalam container. Rekomendasi perbaikan dasar mungkin menyarankan Anda untuk mengarantina container dan menghapus biner, tetapi hal itu mungkin tidak menyelesaikan akar penyebab yang mendasarinya yang memungkinkan penyerang mengakses untuk mengeksekusi biner. Anda perlu mengetahui cara image container rusak untuk memperbaiki eksploitasi tersebut. Menentukan apakah file ditambahkan melalui port yang salah dikonfigurasi atau dengan cara lain memerlukan penyelidikan menyeluruh. Analis dengan pengetahuan tingkat ahli tentang sistem Anda mungkin perlu meninjaunya untuk menemukan kelemahan.

Pelaku kejahatan menyerang resource menggunakan berbagai teknik, sehingga menerapkan perbaikan untuk eksploitasi tertentu mungkin tidak efektif terhadap variasi serangan tersebut. Misalnya, sebagai respons terhadap temuan Brute Force: SSH, Anda dapat menurunkan tingkat izin untuk beberapa akun pengguna guna membatasi akses ke resource. Namun, sandi yang lemah masih dapat memberikan jalur serangan.

Luasnya vektor serangan menyulitkan penyediaan langkah-langkah perbaikan yang berfungsi dalam semua situasi. Peran Security Command Center dalam rencana keamanan cloud Anda adalah mengidentifikasi resource yang terpengaruh hampir secara real-time, memberi tahu Anda ancaman yang Anda hadapi, serta memberikan bukti dan konteks untuk membantu penyelidikan Anda. Namun, personel keamanan Anda harus menggunakan informasi ekstensif dalam temuan Security Command Center untuk menentukan cara terbaik dalam memperbaiki masalah dan mengamankan resource dari serangan di masa mendatang.

Langkah berikutnya

• Lihat Indeks temuan ancaman.