Menggunakan Security Health Analytics

Halaman ini menjelaskan cara mengelola temuan Security Health Analytics menggunakan Security Command Center.

Security Health Analytics adalah layanan bawaan di Security Command Center yang memindai resource di lingkungan cloud Anda dan mengeluarkan temuan untuk kesalahan konfigurasi yang terdeteksi.

Untuk menerima temuan Security Health Analytics, layanan ini harus diaktifkan di setelan Layanan Security Command Center.

Untuk menerima temuan untuk platform cloud lain, Security Command Center harus terhubung ke platform cloud lain.

Temuan dari detektor Security Health Analytics dapat ditelusuri di konsol Google Cloud, menggunakan Security Command Center API, dan, jika Anda menggunakan tingkat Enterprise Security Command Center, di konsol Security Operations.

Pemindaian dimulai sekitar satu jam setelah Security Command Center diaktifkan. Di Google Cloud, jalankan dalam dua mode: mode batch, yang otomatis berjalan sekali setiap hari; dan mode real-time, yang menjalankan pemindaian terhadap perubahan konfigurasi aset.

Detektor Security Health Analytics yang tidak mendukung mode pemindaian real-time tercantum dalam ringkasan latensi Security Command Center.

Security Health Analytics hanya memindai platform cloud lainnya dalam mode batch.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan guna mengelola temuan Security Health Analytics, minta administrator untuk memberi Anda peran IAM berikut di organisasi, folder, atau project Anda:

• Mengaktifkan dan menonaktifkan detektor: Security Center Settings Editor (roles/securitycenter.settingsEditor)
• Melihat dan memfilter temuan: Security Center Findings Viewer (roles/securitycenter.findingsViewer)
• Mengelola aturan bisukan: Security Center Mute Configurations Editor (roles/securitycenter.muteConfigsEditor)
• Mengelola tanda keamanan: Security Center Finding Security Marks Writer (roles/securitycenter.findingSecurityMarksWriter)
• Mengelola temuan secara terprogram: Security Center Findings Editor (roles/securitycenter.findingsEditor)
• Memberikan akses masuk ke perimeter layanan Kontrol Layanan VPC: Access Context Manager Editor (roles/accesscontextmanager.policyEditor)
• Selesaikan tugas apa pun di halaman ini: Security Center Settings Admin (roles/securitycenter.settingsAdmin)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengaktifkan dan menonaktifkan detektor

Menonaktifkan detektor dapat memengaruhi status temuan aktif. Jika detektor dinonaktifkan, temuan yang ada akan otomatis ditandai sebagai tidak aktif.

Saat mengaktifkan Security Command Center di tingkat organisasi, Anda dapat menonaktifkan Security Health Analytics atau detektor tertentu untuk folder atau project tertentu. Jika Security Health Analytics atau detektor dinonaktifkan untuk folder dan project, temuan yang ada yang dilampirkan ke aset di resource tersebut akan ditandai sebagai tidak aktif.

Pendeteksi Security Health Analytics berikut untuk Google Cloud dinonaktifkan secara default:

• ALLOYDB_AUTO_BACKUP_DISABLED
• ALLOYDB_CMEK_DISABLED
• BIGQUERY_TABLE_CMEK_DISABLED
• BUCKET_CMEK_DISABLED
• CLOUD_ASSET_API_DISABLED
• DATAPROC_CMEK_DISABLED
• DATASET_CMEK_DISABLED
• DISK_CMEK_DISABLED
• DISK_CSEK_DISABLED
• NODEPOOL_BOOT_CMEK_DISABLED
• PUBSUB_CMEK_DISABLED
• SQL_CMEK_DISABLED
• SQL_NO_ROOT_PASSWORD
• SQL_WEAK_ROOT_PASSWORD
• VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Untuk mengaktifkan atau menonaktifkan modul deteksi Security Health Analytics, lakukan tindakan berikut:

gcloud alpha scc settings services modules enable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules enable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --organization=ORGANIZATION_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

gcloud alpha scc settings services modules disable \
    --project=PROJECT_ID \
    --service=SECURITY_HEALTH_ANALYTICS \
    --module=DETECTOR_NAME

Memfilter temuan di konsol Google Cloud

Organisasi besar mungkin memiliki banyak temuan kerentanan di seluruh deployment mereka untuk ditinjau, diprioritaskan, dan dilacak. Dengan menggunakan filter yang tersedia di halaman Kerentanan dan Temuan Security Command Center di konsol Google Cloud, Anda dapat berfokus pada kerentanan dengan tingkat keparahan tertinggi di seluruh organisasi, dan meninjau kerentanan menurut jenis aset, project, dan lainnya.

Untuk informasi selengkapnya tentang memfilter temuan kerentanan, lihat Memfilter temuan kerentanan di Security Command Center.

Mengelola temuan dengan kasus

Security Command Center akan otomatis membuka kasus di konsol Security Operations untuk temuan kerentanan dan kesalahan konfigurasi yang memiliki tingkat keparahan HIGH atau CRITICAL. Satu kasus dapat berisi beberapa temuan terkait.

Gunakan kasus, yang dapat diintegrasikan dengan sistem pemberian tiket pilihan Anda, untuk mengelola investigasi dan perbaikan temuan, dengan menetapkan pemilik, meninjau informasi terkait, dan, dengan playbook, mengotomatiskan alur kerja respons Anda.

Jika temuan memiliki kasus yang sesuai, Anda dapat menemukan link ke kasusnya di halaman detail temuan. Buka halaman detail untuk temuan dari halaman Findings di konsol Google Cloud. Anda juga dapat melihat jumlah total kasus kerentanan yang terbuka di halaman Ringkasan risiko di konsol Google Cloud.

Untuk mengetahui informasi selengkapnya tentang kasus, lihat Ringkasan kasus.

Menonaktifkan temuan

Untuk mengontrol volume temuan di konsol Google Cloud, Anda dapat membisukan setiap temuan secara manual atau secara terprogram, atau membuat aturan bisukan yang otomatis membisukan temuan berdasarkan filter yang Anda tentukan. Ada dua jenis aturan bisukan yang dapat Anda gunakan untuk mengontrol volume penemuan:

• Aturan bisukan statis yang membisukan temuan mendatang tanpa batas waktu.
• Aturan bisukan dinamis yang berisi opsi untuk menonaktifkan sementara temuan saat ini dan mendatang.

Sebaiknya gunakan aturan bisukan dinamis secara eksklusif untuk mengurangi jumlah temuan yang Anda tinjau secara manual. Untuk menghindari kebingungan, sebaiknya jangan gunakan aturan bisukan statis dan dinamis secara bersamaan. Untuk perbandingan kedua jenis aturan, lihat Jenis aturan bisukan.

Temuan yang Anda bisukan di konsol Google Cloud akan disembunyikan dan dibisukan, tetapi terus dicatat ke dalam log untuk tujuan audit dan kepatuhan. Anda dapat melihat temuan yang dibisukan atau membunyikannya kembali kapan saja. Untuk mempelajari lebih lanjut, lihat Menonaktifkan temuan di Security Command Center.

Menandai aset dan temuan dengan tanda keamanan

Anda dapat menambahkan properti kustom ke temuan dan aset di Security Command Center menggunakan tanda keamanan. Tanda keamanan memungkinkan Anda mengidentifikasi area minat prioritas tinggi seperti project produksi, memberi tag pada temuan dengan nomor pelacakan bug dan insiden, dan lainnya.

Untuk aset, Anda hanya dapat menambahkan tanda keamanan ke aset yang didukung Security Command Center. Untuk daftar aset yang didukung, lihat Jenis aset yang didukung di Security Command Center.

Menambahkan aset ke daftar yang diizinkan

Meskipun bukan metode yang direkomendasikan, Anda dapat menyembunyikan temuan yang tidak diperlukan dengan menambahkan tanda keamanan khusus ke aset sehingga detektor Security Health Analytics tidak membuat temuan keamanan untuk aset tersebut.

Pendekatan yang direkomendasikan dan paling efektif untuk mengontrol volume temuan adalah dengan Membisukan temuan. Bisukan temuan yang tidak perlu Anda tinjau karena ditujukan untuk aset yang terisolasi atau karena temuan tersebut berada dalam parameter bisnis yang dapat diterima.

Saat Anda menerapkan tanda keamanan khusus ke aset, aset tersebut akan ditambahkan ke daftar yang diizinkan di Security Health Analytics, yang menandai temuan apa pun untuk aset tersebut sebagai terselesaikan selama pemindaian batch berikutnya.

Tanda keamanan khusus harus diterapkan langsung ke aset, bukan temuan, seperti yang dijelaskan dalam Cara kerja daftar yang diizinkan nanti di halaman ini. Jika Anda menerapkan tanda ke temuan, aset pokoknya masih dapat menghasilkan temuan.

Cara kerja daftar yang diizinkan

Setiap detektor Security Health Analytics memiliki jenis tanda khusus untuk daftar yang diizinkan, dalam bentuk allow_FINDING_TYPE:true. Dengan menambahkan tanda khusus ini ke aset yang didukung oleh Security Command Center, Anda dapat mengecualikan aset dari kebijakan deteksi.

Misalnya, untuk mengecualikan jenis temuan SSL_NOT_ENFORCED, tetapkan tanda keamanan, allow_ssl_not_enforced:true, pada instance Cloud SQL terkait. Detektor yang ditentukan tidak akan membuat temuan untuk aset yang ditandai.

Untuk mengetahui daftar lengkap jenis temuan, lihat Daftar detektor Security Health Analytics. Untuk mempelajari lebih lanjut tanda keamanan dan teknik penggunaannya, lihat Menggunakan tanda keamanan.

Jenis aset

Bagian ini menjelaskan cara kerja tanda keamanan untuk berbagai aset.

• Aset daftar yang diizinkan: Saat Anda menambahkan tanda khusus ke aset, seperti bucket Cloud Storage atau firewall, temuan terkait akan ditandai sebagai terselesaikan saat pemindaian batch berikutnya berjalan. Detektor tidak akan menghasilkan temuan baru atau memperbarui temuan yang ada untuk aset hingga tanda dihapus.

• Project daftar yang diizinkan: Saat Anda menambahkan tanda ke resource project, temuan yang project-nya sendiri merupakan resource yang dipindai atau target akan diselesaikan. Namun, aset yang terdapat dalam project, seperti virtual machine atau kunci kripto, masih dapat menghasilkan temuan. Tanda keamanan ini hanya tersedia jika Anda mengaktifkan paket Premium Security Command Center di tingkat organisasi.

• Folder daftar yang diizinkan: Saat Anda menambahkan tanda ke resource folder, temuan yang foldernya sendiri adalah resource yang dipindai atau ditargetkan akan di-resolve. Namun, aset yang ada dalam folder, termasuk project, masih dapat menghasilkan temuan. Tanda keamanan ini hanya tersedia jika Anda mengaktifkan paket Premium Security Command Center di tingkat organisasi.

• Detektor yang mendukung beberapa aset: Jika detektor mendukung lebih dari satu jenis aset, Anda harus menerapkan tanda khusus ke setiap aset. Misalnya, detektor KMS_PUBLIC_KEY mendukung aset Cloud Key Management Service CryptoKey dan KeyRing. Jika Anda menerapkan tanda allow_kms_public_key:true ke aset CryptoKey, temuan KMS_PUBLIC_KEY untuk aset tersebut akan di-resolve. Namun, temuan masih dapat dihasilkan untuk aset KeyRing.

Tanda keamanan hanya diperbarui selama pemindaian batch, bukan pemindaian real-time. Jika tanda keamanan khusus dihapus, dan aset memiliki kerentanan, mungkin perlu waktu hingga 24 jam sebelum tanda dihapus dan temuan ditulis.

Pelacak kasus khusus: Kunci Enkripsi yang Disediakan Pelanggan

Pendeteksi DISK_CSEK_DISABLED tidak aktif secara default. Untuk menggunakan detektor ini, Anda harus menandai aset yang ingin menggunakan kunci enkripsi yang dikelola sendiri.

Untuk mengaktifkan detektor DISK_CSEK_DISABLED untuk aset tertentu, terapkan tanda keamanan enforce_customer_supplied_disk_encryption_keys ke aset dengan nilai true.

Melihat jumlah temuan aktif menurut jenis temuan

Anda dapat menggunakan perintah konsol Google Cloud atau Google Cloud CLI untuk melihat jumlah temuan aktif berdasarkan jenis temuan.

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

groupByResults:
- count: '1'
properties:
  category: MFA_NOT_ENFORCED
- count: '3'
properties:
  category: ADMIN_SERVICE_ACCOUNT
- count: '2'
properties:
  category: API_KEY_APIS_UNRESTRICTED
- count: '1'
properties:
  category: API_KEY_APPS_UNRESTRICTED
- count: '2'
properties:
  category: API_KEY_EXISTS
- count: '10'
properties:
  category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
properties:
  category: AUDIT_LOGGING_DISABLED
- count: '1'
properties:
  category: AUTO_UPGRADE_DISABLED
- count: '10'
properties:
  category: BUCKET_IAM_NOT_MONITORED
- count: '10'
properties:
  category: BUCKET_LOGGING_DISABLED
nextPageToken: TOKEN
readTime: '2023-08-05T21:56:13.862Z'
totalSize: 50

Mengelola temuan secara terprogram

Dengan menggunakan Google Cloud CLI dengan Security Command Center SDK, Anda dapat mengotomatiskan hampir semua hal yang dapat Anda lakukan dengan Security Command Center di Konsol Google Cloud. Anda juga dapat memperbaiki banyak temuan menggunakan gcloud CLI. Untuk informasi selengkapnya, tinjau dokumentasi untuk jenis resource yang dijelaskan dalam setiap temuan:

• Mencantumkan temuan keamanan
• Membuat, mengubah, dan membuat kueri tanda keamanan
• Membuat dan memperbarui temuan keamanan
• Membuat, memperbarui, dan mencantumkan sumber temuan
• Mengonfigurasi setelan organisasi

Untuk mengekspor atau mencantumkan aset secara terprogram, gunakan Cloud Asset Inventory API. Untuk informasi selengkapnya, lihat Mengekspor histori dan metadata aset.

Metode dan kolom aset Security Command Center API tidak digunakan lagi dan akan dihapus pada atau setelah 26 Juni 2024.

Hingga dihapus, pengguna yang mengaktifkan Security Command Center sebelum 26 Juni 2023 dapat menggunakan metode aset Security Command Center API untuk mencantumkan aset, tetapi metode ini hanya mendukung aset yang didukung Security Command Center.

Untuk informasi tentang cara menggunakan metode API aset yang tidak digunakan lagi, lihat mencantumkan aset.

Memindai project yang dilindungi oleh perimeter layanan

Fitur ini hanya tersedia jika Anda mengaktifkan paket Premium Security Command Center di tingkat organisasi.

Jika memiliki perimeter layanan yang memblokir akses ke project dan layanan tertentu, Anda harus memberikan akses masuk akun layanan Security Command Center ke perimeter layanan tersebut. Jika tidak, Security Health Analytics tidak dapat menghasilkan temuan terkait project dan layanan yang dilindungi.

ID akun layanan adalah alamat email dengan format berikut:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Ganti ORGANIZATION_ID dengan ID angka organisasi Anda.

Untuk memberikan akses masuk akun layanan ke perimeter layanan, ikuti langkah-langkah berikut.

1. Buka Kontrol Layanan VPC.

   Buka Kontrol Layanan VPC

2. Di toolbar, pilih organisasi Google Cloud Anda.

   

3. Dalam menu drop-down, pilih kebijakan akses yang berisi perimeter layanan yang ingin Anda berikan aksesnya.

   

   Perimeter layanan yang terkait dengan kebijakan akses akan muncul dalam daftar.

4. Klik nama perimeter layanan.

5. Klik edit Edit perimeter

6. Di menu navigasi, klik Ingress Policy.

7. Klik Tambahkan Aturan.

8. Konfigurasikan aturan sebagai berikut:

   Atribut FROM klien API

   1. Untuk Sumber, pilih Semua sumber.
   2. Untuk Identity, pilih Selected identities.
   3. Di kolom Tambahkan Akun Pengguna/Akun Layanan, klik Pilih.
   4. Masukkan alamat email akun layanan. Jika Anda memiliki akun layanan tingkat organisasi dan tingkat project, tambahkan keduanya.
   5. Klik Simpan.

   Atribut TO layanan/resource GCP

   1. Untuk Project, pilih All projects.

   2. Untuk Layanan, pilih Semua layanan atau pilih setiap layanan individual berikut yang diperlukan Security Health Analytics:

      • BigQuery API
      • Binary Authorization API
      • Cloud Logging API
      • Cloud Monitoring API
      • Compute Engine API
      • Kubernetes Engine API

   Jika perimeter layanan membatasi akses ke layanan yang diperlukan, Security Health Analytics tidak dapat menghasilkan temuan untuk layanan tersebut.

9. Di menu navigasi, klik Simpan.

Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan traffic masuk dan keluar.

Langkah selanjutnya

• Pelajari detektor dan temuan Security Health Analytics.
• Baca rekomendasi untuk memperbaiki temuan Security Health Analytics.
• Pelajari cara menggunakan tanda keamanan Security Command Center.
• Pelajari kasus.
• Pelajari lebih lanjut cara menggunakan Security Command Center di konsol Google Cloud untuk meninjau aset dan temuan.