Menggunakan Deteksi Kerentanan Cepat

Halaman ini menjelaskan cara melihat dan mengelola temuan untuk Deteksi Kerentanan Cepat, layanan bawaan untuk Security Command Center Premium yang menemukan kerentanan penting dalam aplikasi App Engine dan mesin virtual Compute Engine Anda.

Ringkasan

Deteksi Kerentanan Cepat melakukan pemindaian aktif endpoint publik. Privacy Sandbox mendeteksi kerentanan yang kemungkinan besar akan dieksploitasi, termasuk kredensial yang lemah, penginstalan software yang tidak lengkap, dan kerentanan kritis lainnya yang diketahui. Temuan ditulis ke Security Command Center. Untuk mempelajari lebih lanjut, baca Ringkasan Deteksi Kerentanan Cepat.

Penggunaan resource

Umumnya, makin besar jumlah endpoint di VM, dan makin banyak layanan yang dihosting oleh VM, makin besar jumlah pemindaian yang harus dilakukan Deteksi Kerentanan Cepat, karena setiap endpoint dan aplikasi memerlukan pemindaian terpisah.

Karena traffic jaringan selama pemindaian Rapid Vulnerability Detection ditagih sebagai traffic keluar, pemindaian ini mungkin dikenai biaya tambahan.

Pertimbangkan project atau organisasi yang semua target pemindaiannya berada di region Amerika Utara. Jika satu pemindaian menggunakan sekitar 200 KB traffic keluar dan 100.000 pemindaian dijalankan setiap bulan, total traffic akan menjadi 20 GB.

Untuk mengetahui informasi selengkapnya tentang potensi biaya yang terkait dengan penggunaan resource oleh target pemindaian, lihat Harga Security Command Center.

Sebelum memulai

Anda memerlukan peran Identity and Access Management (IAM) yang memadai untuk melihat atau mengedit temuan, dan memodifikasi resource Google Cloud. Jika Anda mengalami error akses di Security Command Center, minta bantuan administrator dan lihat Kontrol akses untuk mempelajari peran.

Mengaktifkan Deteksi Kerentanan Cepat

Saat Anda mengaktifkan Deteksi Kerentanan Cepat di organisasi, folder, atau project, Deteksi Kerentanan Cepat akan otomatis memindai semua resource yang didukung dalam organisasi atau project.

Untuk mengaktifkan Deteksi Kerentanan Cepat, ikuti langkah-langkah berikut:

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'

Pemindaian akan dimulai secara otomatis dalam waktu 24 jam atau lebih setelah Anda pertama kali mengaktifkan Deteksi Kerentanan Cepat. Setelah pemindaian pertama, Rapid Vulnerability Detection menjalankan pemindaian terkelola setiap minggu.

Untuk menguji Deteksi Kerentanan Cepat, Anda dapat menyiapkan resource pengujian. Untuk menyertakan resource pengujian dalam pemindaian Deteksi Kerentanan Cepat pertama, buat resource dalam project sebelum project ditambahkan ke daftar pemindaian Deteksi Kerentanan Cepat.

Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan layanan bawaan seperti Deteksi Kerentanan Cepat, lihat mengonfigurasi resource Security Command Center.

Latensi dan interval pemindaian

Setelah Deteksi Kerentanan Cepat diaktifkan untuk sebuah project, mungkin ada penundaan hingga 24 jam sebelum pemindaian pertama dimulai dan temuannya muncul di Security Command Center.

Rapid Vulnerability Detection melakukan pemindaian berikutnya setiap minggu sejak tanggal pemindaian pertama. Jika resource baru ditambahkan ke project di sela-sela pemindaian, Deteksi Kerentanan Cepat tidak akan memindai resource hingga pemindaian mingguan berikutnya.

Menguji Deteksi Kerentanan Cepat

Untuk memastikan bahwa Deteksi Kerentanan Cepat berfungsi, Anda dapat menggunakan Testbed for Tsunami Security open source yang tersedia di GitHub untuk menghasilkan temuan kerentanan seperti sandi yang lemah atau path traversal, dan kerentanan pengungkapan. Untuk mengetahui informasi selengkapnya, lihat google/tsunami-security-scanner-testbed.

Meninjau temuan

Fitur pemindaian terkelola Rapid Vulnerability Detection secara otomatis mengonfigurasi dan menjadwalkan pemindaian untuk setiap project dalam cakupan Anda.

Temuan berisi kerentanan yang terdeteksi dan informasi tentang project yang terpengaruh. Kerentanan dilaporkan untuk project, bukan target pemindaian spesifik (endpoint dan software aplikasi) atau VM yang terdapat dalam project.

Anda dapat melihat temuan di Konsol Google Cloud atau dengan menggunakan Security Command Center API.

Meninjau temuan di Security Command Center

Untuk meninjau temuan Deteksi Kerentanan Cepat di Security Command Center, ikuti langkah-langkah berikut:

1. Buka halaman Findings di Konsol Google Cloud.

   Buka Temuan

2. Di bagian Filter cepat, scroll ke bawah ke bagian Nama tampilan sumber, lalu klik Deteksi Kerentanan Cepat. Pembaruan Menemukan hasil kueri untuk hanya menampilkan temuan yang dihasilkan oleh Deteksi Kerentanan Cepat.

3. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Kategori. Panel detail temuan akan terbuka.

   • Untuk melihat ringkasan detail temuan, yang merupakan tampilan default, di bagian nama temuan, klik Ringkasan.
   • Untuk melihat detail lengkap temuan, di bagian nama temuan, klik JSON.

Menampilkan semua temuan untuk port atau alamat IP

Target pemindaian mungkin melayani beberapa aplikasi web di port yang sama. Deteksi Kerentanan Cepat mengidentifikasi dan memindai semua aplikasi yang diketahui yang disalurkan pada port dan dapat menghasilkan beberapa temuan untuk masing-masing port dan alamat IP.

Untuk menampilkan semua temuan yang terkait dengan alamat IP tertentu dalam pemindaian, lakukan langkah berikut:

1. Buka halaman Findings di Google Cloud Console:

   Buka Temuan

2. Klik Edit kueri. Kueri default berikut ditampilkan di editor kueri:

   state="ACTIVE"
   AND NOT mute="MUTED"
   

3. Klik Add filter. Panel Pilih filter akan terbuka.

4. Di kolom sebelah kiri, scroll ke bawah, lalu pilih Koneksi. Kolom di sebelah kanan diperbarui untuk menampilkan properti koneksi.

5. Di kolom sebelah kanan, pilih jenis properti yang ingin Anda tambahkan ke filter. Kolom baru akan terbuka untuk menampilkan semua properti jenis tersebut yang terdapat dalam temuan yang tersedia.

6. Dari properti yang ditampilkan, pilih satu atau beberapa alamat atau port tujuan atau sumber untuk menambahkan kueri Anda.

7. Klik Terapkan. Kueri di panel Query editor diupdate untuk menyertakan alamat IP, seperti yang ditunjukkan dalam contoh berikut:

     state="ACTIVE"
     AND NOT mute="MUTED"
     AND parent_display_name="Rapid Vulnerability Detection"
     AND contains(connections, source_ip="203.0.113.1")
   

8. Klik TERAPKAN.

   Semua temuan Deteksi Kerentanan Cepat dengan alamat IP tersebut ditampilkan di hasil kueri Temuan.

Untuk meninjau temuan menggunakan Security Command Center API, lihat Mencantumkan temuan keamanan menggunakan Security Command Center API.

Untuk melihat daftar lengkap temuan Deteksi Kerentanan Cepat dan langkah-langkah perbaikan yang disarankan, lihat Temuan dan perbaikan Deteksi Kerentanan Cepat.

Memfilter temuan di konsol Google Cloud

Sebuah organisasi besar mungkin memiliki banyak temuan kerentanan untuk ditinjau, disortir, dan dilacak. Dengan menggunakan filter yang tersedia di halaman Kerentanan dan Penemuan Security Command Center di Konsol Google Cloud, Anda dapat berfokus pada kerentanan dengan tingkat keparahan tertinggi di seluruh organisasi, dan meninjau kerentanan berdasarkan jenis aset, project, dan lainnya.

Untuk informasi selengkapnya tentang memfilter temuan kerentanan, lihat Memfilter temuan kerentanan di Security Command Center.

Nonaktifkan temuan

Untuk mengontrol volume temuan di Security Command Center, Anda dapat membisukan setiap temuan secara manual atau terprogram, atau membuat aturan penonaktifan yang secara otomatis menonaktifkan temuan saat ini dan temuan mendatang berdasarkan filter yang Anda tentukan.

Temuan yang dibisukan akan disembunyikan dan disenyapkan, tetapi terus dicatat dalam log untuk tujuan audit dan kepatuhan. Anda dapat melihat temuan yang dibisukan atau membunyikannya kapan saja. Untuk mempelajari lebih lanjut, lihat Menonaktifkan temuan di Security Command Center.

Menonaktifkan pemindaian

Jika Anda menonaktifkan Deteksi Kerentanan Cepat di organisasi atau project, layanan akan berhenti memindai semua resource yang didukung dalam organisasi atau project tersebut.

Untuk menonaktifkan Deteksi Kerentanan Cepat, ikuti langkah-langkah berikut:

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'

Langkah selanjutnya

• Untuk mengetahui petunjuk cara menguji Deteksi Kerentanan Cepat, baca artikel Menguji Deteksi Kerentanan Cepat.

• Untuk mengetahui informasi selengkapnya tentang Deteksi Kerentanan Cepat, lihat Ringkasan konseptual Deteksi Kerentanan Cepat.