Menggunakan Security Health Analytics

Halaman ini menjelaskan cara mengelola temuan Security Health Analytics menggunakan Security Command Center.

Security Health Analytics adalah layanan bawaan di Security Command Center yang menghasilkan temuan untuk organisasi atau project Anda. Untuk melihat temuan Security Health Analytics, Anda harus mengaktifkannya di setelan Layanan Security Command Center.

Temuan dari detektor Security Health Analytics dapat ditelusuri di Konsol Google Cloud dan menggunakan Security Command Center API.

Pemindaian dimulai sekitar satu jam setelah Security Command Center diaktifkan dan berjalan dalam dua mode: mode batch, yang otomatis berjalan sekali setiap hari; dan mode real-time, yang menjalankan pemindaian terhadap perubahan konfigurasi aset. Pendeteksi Security Health Analytics yang tidak mendukung mode pemindaian real-time tercantum dalam Ringkasan Latensi Security Command Center.

Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari peran Security Command Center lebih lanjut, lihat Kontrol akses.

Fitur menurut tingkat harga

Security Health Analytics menyediakan pemindaian penilaian kerentanan terkelola yang otomatis mendeteksi kerentanan dan kesalahan konfigurasi dengan tingkat keparahan tertinggi untuk aset Google Cloud Anda.

Dalam paket Standar Security Command Center, Security Health Analytics hanya menyertakan grup dasar detektor tingkat keparahan tinggi.

Paket Premium mencakup fitur Security Health Analytics berikut:

Beralih tingkat

Sebagian besar detektor Security Health Analytics hanya tersedia di paket Premium Security Command Center. Jika Anda adalah pelanggan Premium dan berencana beralih ke tingkat Standar, sebaiknya selesaikan semua temuan sebelum mengubah tingkat.

Temuan yang dihasilkan oleh pendeteksi Premium otomatis disetel statusnya menjadi INACTIVE setelah melakukan downgrade atau pada akhir uji coba Premium.

Mengaktifkan dan menonaktifkan pendeteksi

Pendeteksi Security Health Analytics berikut tidak diaktifkan secara default:

  • BIGQUERY_TABLE_CMEK_DISABLED
  • BUCKET_CMEK_DISABLED
  • CLOUD_ASSET_API_DISABLED
  • DATAPROC_CMEK_DISABLED
  • DATASET_CMEK_DISABLED
  • DISK_CMEK_DISABLED
  • DISK_CSEK_DISABLED
  • NODEPOOL_BOOT_CMEK_DISABLED
  • PUBSUB_CMEK_DISABLED
  • SQL_CMEK_DISABLED
  • SQL_NO_ROOT_PASSWORD
  • SQL_WEAK_ROOT_PASSWORD
  • VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Untuk mengaktifkan detektor, yang juga dikenal sebagai modul, jalankan perintah gcloud alpha modul enable di Google Cloud CLI di level organisasi atau level project.

Jika Anda mengaktifkan Security Command Center pada tingkat organisasi, jalankan perintah berikut:

  gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi Anda
  • DETECTOR_NAME: nama pendeteksi yang ingin diaktifkan

Jika Anda mengaktifkan Security Command Center di level project, jalankan perintah berikut:

  gcloud alpha scc settings services modules enable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Ganti kode berikut:

  • PROJECT_ID: project ID Anda
  • DETECTOR_NAME: nama pendeteksi yang ingin diaktifkan

Untuk menonaktifkan detektor, jalankan perintah modules disable di level organisasi atau level project.

Jika Anda mengaktifkan Security Command Center pada tingkat organisasi, jalankan perintah berikut:

  gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi Anda
  • DETECTOR_NAME: nama pendeteksi yang ingin dinonaktifkan

Jika Anda mengaktifkan Security Command Center di level project, jalankan perintah berikut:

  gcloud alpha scc settings services modules disable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Ganti kode berikut:

  • PROJECT_ID: project ID Anda
  • DETECTOR_NAME: nama pendeteksi yang ingin dinonaktifkan

Menonaktifkan detektor dapat memengaruhi status temuan aktif. Jika detektor dinonaktifkan, temuan yang ada akan ditandai sebagai tidak aktif.

Saat mengaktifkan Security Command Center di tingkat organisasi, Anda dapat menonaktifkan Security Health Analytics atau detektor tertentu untuk folder atau project tertentu. Jika Security Health Analytics atau detektor dinonaktifkan untuk folder dan project, semua temuan yang ada dan dilampirkan ke aset dalam resource tersebut akan ditandai sebagai tidak aktif.

Memfilter temuan di konsol Google Cloud

Sebuah organisasi besar mungkin memiliki banyak temuan kerentanan untuk ditinjau, disortir, dan dilacak. Dengan menggunakan filter yang tersedia di halaman Kerentanan dan Penemuan Security Command Center di Konsol Google Cloud, Anda dapat berfokus pada kerentanan dengan tingkat keparahan tertinggi di seluruh organisasi, dan meninjau kerentanan berdasarkan jenis aset, project, dan lainnya.

Untuk informasi selengkapnya tentang memfilter temuan kerentanan, lihat Memfilter temuan kerentanan di Security Command Center.

Nonaktifkan temuan

Untuk mengontrol volume temuan di Security Command Center, Anda dapat membisukan setiap temuan secara manual atau terprogram, atau membuat aturan penonaktifan yang secara otomatis menonaktifkan temuan saat ini dan temuan mendatang berdasarkan filter yang Anda tentukan.

Temuan yang dibisukan akan disembunyikan dan disenyapkan, tetapi terus dicatat dalam log untuk tujuan audit dan kepatuhan. Anda dapat melihat temuan yang dibisukan atau membunyikannya kapan saja. Untuk mempelajari lebih lanjut, lihat Menonaktifkan temuan di Security Command Center.

Menandai aset dan temuan dengan tanda keamanan

Anda dapat menambahkan properti khusus ke temuan dan aset di Security Command Center dengan menggunakan tanda keamanan. Tanda keamanan memungkinkan Anda mengidentifikasi area minat dengan prioritas tinggi seperti project produksi, memberi tag temuan dengan nomor pelacakan bug dan insiden, dan lainnya.

Untuk aset, Anda hanya dapat menambahkan tanda keamanan ke aset yang didukung oleh Security Command Center. Untuk daftar aset yang didukung, lihat Jenis aset yang didukung di Security Command Center.

Tambahkan aset ke daftar yang diizinkan

Meskipun bukan metode yang direkomendasikan, Anda dapat menyembunyikan temuan yang tidak diperlukan dengan menambahkan tanda keamanan khusus ke aset agar detektor Security Health Analytics tidak membuat temuan keamanan untuk aset tersebut.

Pendekatan yang direkomendasikan dan paling efektif untuk mengontrol temuan volume adalah dengan Menonaktifkan temuan. Jangan tampilkan temuan yang tidak perlu Anda tinjau, karena temuan tersebut ditujukan untuk aset yang terisolasi atau karena temuan tersebut berada dalam parameter bisnis yang dapat diterima.

Saat Anda menerapkan tanda keamanan khusus pada aset, aset akan ditambahkan ke daftar yang diizinkan di Security Health Analytics, yang menandai temuan apa pun untuk aset tersebut sebagai terselesaikan selama pemindaian batch berikutnya.

Tanda keamanan khusus harus diterapkan langsung ke aset, bukan temuan, seperti yang dijelaskan dalam Cara kerja daftar yang diizinkan dalam halaman ini nanti. Jika Anda menerapkan tanda pada temuan, aset yang mendasarinya masih dapat menghasilkan temuan.

Cara kerja daftar yang diizinkan

Setiap detektor Security Health Analytics memiliki jenis tanda khusus untuk daftar yang diizinkan, dalam bentuk allow_FINDING_TYPE:true. Menambahkan tanda khusus ini ke aset yang didukung oleh Security Command Center memungkinkan Anda mengecualikan aset dari kebijakan deteksi.

Misalnya, untuk mengecualikan jenis temuan SSL_NOT_ENFORCED, tetapkan tanda keamanan, allow_ssl_not_enforced:true, pada instance Cloud SQL terkait. Pendeteksi yang ditentukan tidak akan membuat temuan untuk aset yang ditandai.

Untuk mengetahui daftar lengkap jenis temuan, lihat daftar pendeteksi Analisis Kondisi Keamanan. Untuk mempelajari tanda keamanan dan teknik penggunaannya lebih lanjut, lihat Menggunakan tanda keamanan.

Jenis aset

Bagian ini menjelaskan cara kerja tanda keamanan untuk berbagai aset.

  • Daftar aset yang diizinkan: Jika Anda menambahkan tanda khusus ke aset, seperti bucket Cloud Storage atau firewall, temuan terkait akan ditandai sebagai terselesaikan saat pemindaian batch berikutnya dijalankan. Detektor tidak akan menghasilkan temuan baru atau memperbarui temuan yang ada untuk aset hingga tanda itu dihapus.

  • Daftar project yang diizinkan: Saat Anda menambahkan tanda ke resource project, temuan dari project yang dipindai atau targetnya adalah resource-nya diselesaikan. Namun, aset yang ada dalam project, seperti virtual machine atau kunci kripto, masih dapat menghasilkan temuan. Tanda keamanan ini hanya tersedia jika Anda mengaktifkan paket Premium Security Command Center di level organisasi.

  • Daftar folder yang diizinkan: Saat Anda menambahkan tanda ke resource folder, temuan yang foldernya dipindai, atau targetnya, akan diselesaikan. Namun, aset yang ada dalam folder, termasuk project, masih dapat menghasilkan temuan. Tanda keamanan ini hanya tersedia jika Anda mengaktifkan paket Premium Security Command Center di level organisasi.

  • Pendeteksi yang mendukung beberapa aset: Jika pendeteksi mendukung lebih dari satu jenis aset, Anda harus menerapkan tanda khusus untuk setiap aset. Misalnya, detektor, KMS_PUBLIC_KEY, mendukung dua aset Cloud Key Management Service: CryptoKey dan KeyRing. Jika Anda menerapkan tanda allow_kms_public_key:true pada aset CryptoKey, temuan KMS_PUBLIC_KEY untuk aset tersebut akan diselesaikan, tetapi masih dapat dibuat untuk aset KeyRing.

Tanda keamanan hanya diperbarui selama pemindaian batch, bukan pemindaian real-time. Jadi, jika tanda keamanan khusus dihapus dan aset memiliki kerentanan, perlu waktu hingga 24 jam sebelum tanda tersebut dihapus dan sebuah temuan ditulis.

Pendeteksi kasus khusus: Kunci Enkripsi yang Disediakan Pelanggan

Pendeteksi DISK_CSEK_DISABLED tidak diaktifkan secara default. Untuk menggunakan detektor ini, Anda harus menandai aset yang kunci enkripsinya ingin Anda gunakan sendiri.

Agar dapat mengaktifkan detektor DISK_CSEK_DISABLED untuk aset tertentu, terapkan tanda keamanan enforce_customer_supplied_disk_encryption_keys pada aset dengan nilai true.

Melihat jumlah temuan aktif dengan menemukan jenis

Anda dapat menggunakan konsol Google Cloud atau perintah Google Cloud CLI untuk melihat jumlah temuan aktif dengan menemukan jenis.

Konsol

Dengan Konsol Google Cloud, Anda dapat melihat jumlah temuan aktif untuk setiap jenis temuan.

Untuk melihat temuan Security Health Analytics dengan menemukan jenis, lakukan tindakan berikut:

  1. Buka Security Command Center di Konsol Google Cloud.

    Buka Security Command Center

  2. Untuk menampilkan temuan Security Health Analytics, klik halaman Kerentanan.

  3. Untuk mengurutkan temuan berdasarkan jumlah temuan aktif untuk setiap jenis temuan, klik header kolom Aktif.

gcloud

Untuk menggunakan gcloud CLI guna mendapatkan jumlah semua temuan aktif, Anda dapat membuat kueri pada Security Command Center untuk mendapatkan ID sumber Security Health Analytics. Kemudian, Anda menggunakan ID sumber untuk mengkueri jumlah temuan aktif.

Langkah 1: Mendapatkan ID sumber

Untuk menyelesaikan langkah ini, Anda memerlukan ID organisasi. Untuk mendapatkan ID organisasi Anda, jalankan gcloud organizations list dan catat nomor di samping nama organisasi.

Untuk mendapatkan ID sumber Security Health Analytics, jalankan salah satu perintah berikut, bergantung pada apakah Anda mengaktifkan Security Command Center di level organisasi atau level project:

gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='Security Health Analytics'

gcloud scc sources describe projects/PROJECT_ID \
  --source-display-name='Security Health Analytics'

Jika belum mengaktifkan Security Command Center API, Anda akan diminta untuk mengaktifkannya. Setelah Security Command Center API diaktifkan, jalankan kembali perintah sebelumnya. Perintah akan menampilkan output seperti berikut:

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

Catat SOURCE_ID yang akan digunakan di langkah berikutnya.

Langkah 2: Mendapatkan jumlah temuan aktif

Gunakan SOURCE_ID yang Anda catat di langkah sebelumnya untuk memfilter temuan dari Security Health Analytics. Perintah gcloud CLI berikut menampilkan jumlah temuan berdasarkan kategori.

Jika Anda mengaktifkan Security Command Center pada tingkat organisasi, jalankan perintah berikut:

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Jika Anda mengaktifkan Security Command Center di level project, jalankan perintah berikut:

gcloud scc findings group projects/PROJECT_ID/sources/SOURCE_ID \
 --group-by=category --page-size=PAGE_SIZE

Anda dapat menetapkan ukuran halaman ke semua nilai hingga 1.000. Perintah tersebut akan menampilkan output seperti berikut, dengan hasil dari organisasi tertentu Anda:

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

Mengelola temuan secara terprogram

Penggunaan Google Cloud CLI dengan Security Command Center SDK memungkinkan Anda mengotomatiskan hampir semua hal yang dapat Anda lakukan dengan Security Command Center di Konsol Google Cloud. Anda juga dapat memperbaiki banyak temuan menggunakan gcloud CLI. Untuk informasi selengkapnya, tinjau dokumentasi untuk jenis resource yang dijelaskan dalam setiap temuan:

Untuk mengekspor atau mencantumkan aset secara terprogram, gunakan Cloud Asset Inventory API. Untuk mengetahui informasi selengkapnya, lihat Mengekspor histori dan metadata aset.

Metode dan kolom aset Security Command Center API tidak digunakan lagi dan akan dihapus pada atau setelah 26 Juni 2024.

Sebelum dihapus, pengguna yang mengaktifkan Security Command Center sebelum 26 Juni 2023 dapat menggunakan metode aset Security Command Center API untuk mencantumkan aset, tetapi metode ini hanya mendukung aset yang didukung Security Command Center.

Untuk informasi tentang cara menggunakan metode API aset yang tidak digunakan lagi, lihat mencantumkan aset.

Memindai project yang dilindungi oleh perimeter layanan

Fitur ini hanya tersedia jika Anda mengaktifkan paket Premium Security Command Center di tingkat organisasi.

Jika Anda memiliki perimeter layanan yang memblokir akses ke project dan layanan tertentu, Anda harus memberikan akses masuk ke perimeter layanan tersebut kepada akun layanan Security Command Center. Jika tidak, Security Health Analytics tidak dapat membuat temuan terkait project dan layanan yang dilindungi.

ID akun layanan adalah alamat email dengan format berikut:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Ganti ORGANIZATION_ID dengan ID numerik organisasi Anda.

Untuk memberikan akses masuk ke akun layanan ke perimeter layanan, ikuti langkah-langkah berikut.

  1. Buka Kontrol Layanan VPC.

    Buka Kontrol Layanan VPC

  2. Di toolbar, pilih organisasi Google Cloud Anda.

    Pemilih project

  3. Di menu drop-down, pilih kebijakan akses yang berisi perimeter layanan yang ingin Anda berikan aksesnya.

    Daftar kebijakan akses

    Perimeter layanan yang terkait dengan kebijakan akses akan muncul dalam daftar.

  4. Klik nama perimeter layanan.

  5. Klik Edit perimeter

  6. Di menu navigasi, klik Ingress Policy.

  7. Klik Tambahkan Aturan.

  8. Konfigurasikan aturan sebagai berikut:

    Atribut FROM klien API

    1. Untuk Sumber, pilih Semua sumber.
    2. Untuk Identity, pilih Identitas yang dipilih.
    3. Di kolom Tambahkan Akun Pengguna/Layanan, klik Pilih.
    4. Masukkan alamat email akun layanan. Jika Anda memiliki akun layanan level organisasi dan level project, tambahkan keduanya.
    5. Klik Simpan.

    KE atribut layanan/resource GCP

    1. Untuk Project, pilih All projects.

    2. Untuk Services, pilih All services atau pilih setiap layanan individual berikut yang diperlukan Security Health Analytics:

      • BigQuery API
      • Binary Authorization API
      • Cloud Logging API
      • Cloud Monitoring API
      • Compute Engine API
      • Kubernetes Engine API

    Jika perimeter layanan membatasi akses ke layanan yang diperlukan, Security Health Analytics tidak dapat membuat temuan untuk layanan tersebut.

  9. Di menu navigasi, klik Simpan.

Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan traffic masuk dan keluar.

Langkah selanjutnya