Halaman ini menjelaskan cara menggunakan temuan Security Command Center di Konsol Google Cloud, dan konsol Security Operations.
Temuan adalah catatan masalah keamanan yang ditangani oleh layanan Security Command Center buat ketika mereka mendeteksi masalah keamanan. Temuan tercantum dalam Temuan. Anda dapat mengklik temuan untuk melihat detail dan JSON lengkapnya format font.
Beberapa tindakan yang dapat Anda lakukan di halaman Temuan antara lain berikut ini:
- Temuan kueri
- Memeriksa temuan
- Bisukan temuan
- Menambahkan tanda keamanan ke temuan
Untuk mengetahui informasi tentang cara menangani temuan secara terprogram, lihat Library klien Security Command Center.
Bekerja dengan temuan di konsol Security Command Center Enterprise
Jika Anda adalah pelanggan Security Command Center Enterprise, Anda dapat menangani temuan dalam dua konsol:
- Konsol Google Cloud: tersedia di semua tingkat layanan
- Konsol Security Operations: hanya tersedia di tingkat Enterprise
Untuk informasi selengkapnya, lihat Konsol Security Command Center Enterprise.
Mendapatkan izin yang diperlukan
Bagian ini mencantumkan peran IAM yang perlu Anda gunakan temuan di konsol.
Peran IAM di Konsol Google Cloud
Untuk menangani temuan di Konsol Google Cloud, Anda memerlukan peran IAM berikut.
Make sure that you have the following role or roles on the organization:
- Security Center Findings Viewer (
roles/securitycenter.findingsViewer
) - Security Center Findings Editor (
roles/securitycenter.findingsEditor
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Buka IAM - Pilih organisasi.
- Klik Berikan akses.
-
Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
- Admin Chronicle SOAR (
roles/chronicle.soarAdmin
) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager
) - Pengelola Kerentanan Chronicle SOAR
(
roles/chronicle.soarVulnerabilityManager
) - Di Konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di panel Filter cepat, pilih satu atau beberapa atribut standar filter untuk menambahkannya ke kueri. Gunakan panel Filter cepat untuk opsi filter tingkat tinggi yang umum digunakan.
- Di bagian Add filter, menu panel Query editor, pilih satu atau beberapa opsi filter atribut untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter yang lebih terperinci dan canggih berdasarkan temuan tingkat rendah . Untuk mengetahui informasi selengkapnya, lihat Mengedit temuan kueri di konsol.
- Mengedit kueri temuan langsung di kolom Kueri panel editor.
- Dalam tampilan detail temuan, dari drop-down untuk atribut tertentu, pilih filter standar untuk atribut tersebut untuk menambahkannya ke kueri.
- Di panel Agregasi, pilih satu atau beberapa atribut yang telah ditentukan sebelumnya filter untuk menambahkannya ke kueri. Gunakan panel Agregasis untuk opsi filter tingkat tinggi yang umum digunakan.
- Di bagian Mengedit temuan kueri di konsol. Tambahkan filter di panel Query editor, pilih satu atau beberapa opsi filter atribut untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter yang lebih terperinci dan canggih berdasarkan temuan tingkat rendah . Untuk mengetahui informasi selengkapnya, lihat
- Edit kueri temuan langsung di panel Query editor.
- Tab Ringkasan, yang merupakan tampilan default, menyoroti informasi utama dan atribut tentang temuan itu.
- Tab Properti sumber, tempat Anda dapat melihat atribut
objek
sourceProperties
JSON temuan. - Tab JSON, tempat Anda dapat melihat format JSON lengkap dari temuan.
- Yang terdeteksi (atau Ringkasan)
Detail tentang temuan yang terdeteksi, seperti berikut:
- Tingkat keparahan temuan
- Status temuan,
ACTIVE
atauINACTIVE
- Semua kolom kunci yang terkait dengan temuan tertentu
- Kerentanan
Informasi dari data CVE yang sesuai dengan kerentanan, jika ada. Bagian Kerentanan menyertakan informasi dari data CVE, seperti:
- ID CVE
- Skor CVE
- Dampak
- Aktivitas eksploitasi
- Eksposur serangan
Tujuan skor eksposur serangan dan waktu saat skor terakhir dihitung. Mengklik skor akan membuka gambaran visual dari nilai tinggi yang terpengaruh sumber daya dan jalur serangan yang terkait.
- Resource yang terpengaruh
Detail tentang resource yang terkait dengan temuan, termasuk informasi berikut:
- Nama lengkap resource yang terpengaruh
- Penyedia layanan cloud resource
- Kontak teknis dan keamanan
- Informasi kasus
Detail tentang kasus yang terkait dengan temuan, termasuk informasi berikut.
- Nama lengkap resource sistem eksternal yang terkait dengan menemukan
- Grup yang ditetapkan untuk kasus
- ID kasus, yang ditautkan ke kasus di konsol Security Operations
- Status kasus
- Waktu update dalam sistem pengelolaan kasus eksternal
- Batas waktu komitmen untuk menutup kasus
- Tanda keamanan
Tanda keamanan yang terkait dengan temuan ini, jika ada.
- Langkah berikutnya
Panduan tentang apa yang dapat Anda lakukan untuk memperbaiki masalah yang terdeteksi. Hanya layanan tertentu, seperti Security Health Analytics, memberikan langkah selanjutnya.
- Link terkait
Link ke sumber utama informasi keamanan di luar dengan Security Command Center. Hanya layanan tertentu, seperti Event Threat Detection, menyediakan link terkait.
- Layanan deteksi
Detail tentang layanan, atau sumber, yang mendeteksi temuan tersebut.
findings
: Atribut temuan. Atribut ini distandarisasi di seluruh layanan bawaan dan terintegrasi (juga dikenal sebagai sumber keamanan). Untuk informasi selengkapnya, lihatFinding
resource
: Atribut resource yang terpengaruh. Untuk informasi selengkapnya, lihatResource
.sourceProperties
: Properti khusus layanan dari temuan.- Di halaman Temuan, klik temuan untuk melihat detailnya.
- Dalam tampilan detail temuan, temukan atribut yang ingin Anda filter aktif.
- Di samping atribut, buka menu drop-down.
- Pilih filter standar untuk atribut. Tujuan ditambahkan ke kueri temuan di halaman Temuan.
- Pada halaman Temuan, klik temuan untuk melihat spesifikasi pendukung.
- Dalam tampilan detail temuan, temukan atribut yang ingin Anda filter aktif.
- Di samping atribut, buka menu drop-down.
- Pilih filter standar untuk atribut. Tujuan ditambahkan ke kueri temuan di halaman Temuan kami.
- Di halaman Temuan, klik temuan untuk melihat detailnya.
- Dalam tampilan detail temuan, Anda dapat menemukan dan menyalin nama API yang sesuai dari setiap atribut temuan yang ditampilkan.
- Pada halaman Temuan, klik temuan untuk melihat spesifikasi pendukung.
- Dalam tampilan detail temuan, temukan atribut yang setara dengan API yang ingin Anda salin.
- Di samping atribut, buka menu drop-down.
- Klik Copy API Equivalent.
- Di halaman Temuan, klik temuan untuk melihat detailnya.
- Klik Ambil tindakan > Salin link.
- Pada halaman Temuan, klik temuan untuk melihat spesifikasi pendukung.
- Klik Salin link.
- Di halaman Temuan, klik temuan untuk melihat detailnya.
- Klik Ambil tindakan > Kirim masukan.
- Masukkan deskripsi masukan Anda.
- Untuk menyertakan screenshot, klik Ambil screenshot.
- Klik Kirim.
- Hasil kueri temuan di halaman Temuan
- Tampilan detail temuan
- Di Konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di panel Hasil kueri temuan, pilih temuan
- Di panel tindakan pada panel Findings query results, klik Mengubah status aktif. Menu pop-up akan muncul.
- Di menu pop-up Change active state, pilih Active atau Tidak aktif.
- Kategori: nama jenis temuan.
- Keparahan: tingkat keseriusan temuan. Untuk mengetahui informasi selengkapnya tentang menemukan tingkat keparahan, lihat Klasifikasi tingkat keparahan untuk temuan.
- Skor kombinasi toksik: An
skor eksposur serangan
pada temuan class
Toxic combination
. - Skor eksposur serangan: skor eksposur serangan dari temuan.
- Waktu peristiwa: saat temuan pertama kali terdeteksi atau kapan terakhir diperbarui.
- Waktu pembuatan: saat temuan dibuat di Security Command Center.
- Finding class: class temuan, seperti
THREAT
,VULNERABILITY
, danMISCONFIGURATION
. - Nama tampilan resource: nama tampilan resource tempat masalah terdeteksi.
- Nama lengkap resource: nama lengkap resource tempat masalah terjadi terdeteksi.
- Penyedia cloud resource: Penyedia layanan cloud tempat resource yang dihosting.
- Jalur resource: jalur ke resource tempat masalah terjadi terdeteksi.
- Jenis resource: jenis resource tempat masalah terdeteksi.
- Tanda keamanan: Tanda keamanan apa pun yang ditambahkan ke temuan.
- Di sebelah kanan panel tindakan Findings query results, klik view_column Kolom.
- Pilih kolom yang ingin ditampilkan.
- Hapus pilihan untuk kolom yang ingin disembunyikan.
- Klik Terapkan untuk menerapkan perubahan ke Panel Hasil kueri temuan.
- Di panel tindakan Findings, klik view_column Kelola kolom. Menu Kelola kolom akan terbuka.
- Pilih kolom yang ingin ditampilkan.
- Hapus pilihan untuk kolom yang ingin disembunyikan.
- Tutup menu.
- Panel filter cepat
- Panel Editor kueri
- Pelajari layanan deteksi.
- Pelajari cara menggunakan tanda keamanan.
- Pelajari cara mengonfigurasi layanan Security Command Center.
- Pelajari cara membuat filter temuan menggunakan Security Command Center API.
Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.
Peran IAM Security Operations Console
Jika Anda pelanggan Security Command Center Enterprise, Anda dapat menangani temuan di konsol Security Operations. Anda memerlukan salah satu IAM berikut peran:
Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan memberikan otorisasi kepada pengguna menggunakan IAM.
Lihat temuan
Untuk informasi tentang cara menemukan halaman Temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Di konsol Security Operations, buka halaman Temuan.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda.
Untuk informasi selengkapnya tentang konsol ini, lihat Konsol Security Operations.
Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.
Menyesuaikan rentang waktu untuk melihat lebih banyak temuan
Anda dapat menyesuaikan waktu
rentang yang digunakan
untuk kueri Anda. Rentang waktu default adalah Last 7 days
.
Rentang waktu didasarkan pada nilai atribut eventTime
elemen
temuan, yang mencerminkan waktu di mana catatan temuan itu terakhir
diperbarui.
Untuk informasi mengenai cara menyesuaikan rentang waktu, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Di halaman Temuan di konsol Google Cloud, tetapkan kolom Time range kolom.
Konsol Security Operations
Di bagian atas daftar temuan pada Temuan di konsol Security Operations, setel kolom Menampilkan.
Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.
Mencari ketersediaan
Temuan biasanya tersedia untuk Anda kueri Security Command Center kurang dari satu menit setelah layanan yang menghasilkan temuan yang menyimpannya di temuan Security Command Center di skrip untuk menyiapkan database. Temuan tingkat Premium dan Enterprise tetap tersedia untuk pembuatan kueri selama setidaknya 13 bulan. Temuan tingkat standar tetap tersedia untuk setidaknya 35 hari.
Security Command Center menyimpan satu atau beberapa snapshot dari setiap temuan. J
ringkasan temuan tingkat Premium atau Enterprise dihapus dalam 13 bulan
setelah stempel waktu
di kolom eventTime
. Jika semua {i>snapshot<i} untuk suatu temuan dihapus,
temuan itu tidak lagi dapat
dikueri atau dipulihkan.
Untuk informasi selengkapnya tentang retensi data Security Command Center, lihat Retensi data.
Menemukan dan melihat temuan tertentu
Secara default, halaman Temuan menampilkan semua temuan aktif yang dibisukan dan yang baru atau diperbarui selama tujuh hari terakhir.
Untuk melihat temuan secara spesifik, edit kueri temuan untuk menentukan nilai atau atribut temuan yang perlu Anda lihat harus atau tidak boleh berisi.
Contoh berikut adalah kueri temuan default:
state="ACTIVE" AND NOT mute="MUTED"
Anda dapat melihat kueri temuan saat ini di panel Query editor. Anda dapat edit kueri secara langsung atau pilih filter yang telah ditetapkan untuk membuat kueri. Sebagai informasi selengkapnya, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Pada halaman Temuan di Konsol Google Cloud, Anda dapat melakukan berikut ini:
Konsol Security Operations
Pada halaman Findings di konsol Security Operations, Anda dapat melakukan hal berikut:
Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.
Melihat detail temuan
Untuk mempelajari suatu temuan lebih lanjut, buka tampilan mendetail dari temuan dengan mengklik nama temuan di kolom Kategori dalam temuan hasil kueri.
Dalam tampilan detail, Anda dapat menemukan informasi yang penting untuk memahami temuan, menyelidiki ancaman, atau menangani kerentanan.
Tampilan detail untuk temuan mencakup tab berikut yang dapat Anda pilih untuk mempelajari lebih lanjut sebuah temuan dan mengambil tindakan:
Anda dapat melakukan tindakan tertentu pada temuan di tampilan detail, sebagai serta menemukan tautan ke informasi tambahan yang terkait dengan temukan.
Mempelajari temuan di tampilan detail
Tampilan detail temuan menyoroti informasi penting tentang yang dapat Anda gunakan untuk memahami dan mengatasi masalah keamanan yang mendasari masalah performa.
Informasi di tab Ringkasan
Tab Ringkasan memberikan informasi tentang temuan berikut bagian:
Informasi tentang tab Properti sumber
Untuk beberapa temuan, panel detail menyertakan tab Properti sumber
yang menyoroti properti tertentu dari objek sourceProperties
untuk menemukan JSON.
Properti sumber berbeda untuk setiap temuan dan untuk setiap layanan yang berjalan di Security Command Center. Tidak ada jaminan bahwa properti sumber telah distandarisasi di semua layanan IT perusahaan mereka. Karena alasan ini, kami sangat tidak menyarankan untuk menggunakan sumber properti secara terprogram. Jika Anda ingin properti sumber distandarisasi di semua layanan, izinkan kami tahu dengan mengirimkan masukan Anda.
Informasi di tab JSON
Tab JSON berisi struktur JSON lengkap dari Anda temukan, yang dapat berguna ketika Anda menyelidiki menemukan atau mencari atribut yang dapat Anda gunakan dalam kueri temuan.
Untuk menyalin objek JSON ke papan klip, klik
Copy.Struktur JSON temuan berisi objek berikut:
Anda juga dapat menggunakan
ListFindings
API untuk dicantumkan
temuan dan mendapatkan definisi JSON mereka.
Menindaklanjuti temuan dari tampilan detail
Anda dapat melakukan berbagai tindakan pada temuan dari tampilan detail temuan, misalnya menonaktifkan temuan. Jika Anda melihat tampilan detail temuan di di konsol Google Cloud, Anda juga dapat menambahkan mulai dari temuan hingga kueri temuan saat ini.
Membisukan temuan di tampilan detail
Dari tampilan detail temuan, Anda dapat membisukan atau membunyikan temuan. Anda dapat membuat aturan yang menonaktifkan semua temuan mendatang seperti temuan saat ini.
Untuk petunjuk lengkap cara menonaktifkan temuan atau membuat aturan bisukan, lihat Menonaktifkan temuan di Security Command Center.
Menambahkan filter atribut ke kueri dari tampilan detail
Di konsol Google Cloud, dalam tampilan detail temuan, Anda dapat menambahkan filter untuk atribut yang ditampilkan pada kueri temuan saat ini.
Untuk mengetahui informasi tentang cara menambahkan filter atribut ke kueri dari detail klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.
Melihat atau menyalin nama API atribut dalam tampilan detail temuan
Atribut temuan paling banyak yang ditampilkan di Konsol Google Cloud memiliki nama yang sesuai yang digunakan di Security Command Center API.
Untuk mengetahui informasi tentang cara melihat atau menyalin nama API atribut di tampilan detail dari sebuah temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.
Membagikan tampilan detail suatu temuan
Untuk membagikan tampilan detail temuan, Anda dapat menyalin URL detail lihat halaman untuk berbagi dengan orang lain.
Untuk mengetahui informasi tentang cara menyalin URL tampilan detail suatu temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.
Mengirim masukan tentang temuan ke Google Cloud
Untuk informasi tentang cara mengirim masukan tentang temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Fitur ini tidak tersedia di konsol Security Operations.
Menampilkan detail temuan lain dalam hasil kueri temuan
Untuk melihat detail temuan yang mendahului atau mengikuti temuan yang yang sedang Anda lihat, gunakan
berikutnya atau tombol sebelumnya untuk melanjutkan ke temuan berikutnya atau sebelumnya, tanpa harus kembali ke Halaman Temuan.Menambahkan tanda keamanan ke temuan
Tanda keamanan adalah label nilai kunci kustom yang dapat Anda gunakan untuk menganotasi sebuah temuan, mengaitkan temuan dengan temuan lain yang membagikan tanda keamanan yang sama, dan temuan kueri.
Untuk petunjuk lengkap guna menetapkan tanda keamanan pada temuan atau pada aset, lihat Menggunakan tanda keamanan.
Membisukan temuan di konsol
Anda dapat membisukan dan membunyikan temuan dari tampilan berikut:
Anda dapat membisukan setiap temuan atau membuat aturan bisukan yang membisukan audio saat ini dan temuan mendatang berdasarkan filter yang Anda tentukan.
Temuan yang dinonaktifkan disembunyikan dan disenyapkan, tetapi Anda masih dapat melihatnya dengan menambahkan
filter mute="MUTED"
ke kueri temuan Anda. Temuan yang dinonaktifkan akan berlanjut
untuk keperluan audit dan kepatuhan.
Untuk petunjuk mendetail tentang cara membisukan dan membunyikan temuan, lihat Menonaktifkan temuan di Security Command Center.
Mengubah status temuan
Temuan dapat memiliki salah satu dari dua status: Active
atau Inactive
.
Status Active
berarti masalah keamanan yang diidentifikasi oleh
temuan itu tetap ada di lingkungan
Anda sebagai potensi ancaman atau
kerentanan.
Status Inactive
berarti masalah keamanan telah teratasi.
Anda mungkin ingin mengubah status temuan
karena berbagai alasan,
seperti mengubah status temuan menjadi Inactive
segera setelah
telah ditangani, sehingga Anda tidak perlu menunggu
pemindaian berikutnya untuk mengubah status
keamanan untuk Anda.
Untuk informasi tentang cara mengubah status temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Fitur ini tidak tersedia di konsol Security Operations.
Menyesuaikan halaman Temuan
Untuk mengontrol ruang layar, Anda dapat menyesuaikan beberapa elemen yang muncul di hasil kueri temuan.
Menyesuaikan kolom hasil kueri
Anda dapat menambahkan atau menghapus kolom dari hasil kueri temuan.
Anda dapat menghapus kolom apa pun kecuali Kategori.
Berikut contoh kolom yang tersedia:
Untuk mendapatkan informasi tentang cara menyesuaikan kolom hasil kueri temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.
Menyembunyikan atau menampilkan Panel halaman temuan
Untuk mengetahui informasi tentang cara menyesuaikan panel halaman Temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Untuk menyediakan lebih banyak ruang layar untuk mengedit kueri atau melihat temuan, Anda dapat menyembunyikan atau menampilkan panel berikut:
Untuk menyembunyikan panel, klik ikon Aktifkan/nonaktifkan panel, first_page atau first_page.
Untuk menampilkan panel, klik ikon lagi.
Konsol Security Operations
Fitur ini tidak tersedia di konsol Security Operations.