Meninjau dan mengelola temuan di konsol

Halaman ini menjelaskan cara menggunakan temuan Security Command Center di konsol Google Cloud dan konsol Security Operations.

Temuan adalah kumpulan data masalah keamanan yang dibuat layanan Security Command Center saat mendeteksi masalah keamanan. Temuan tercantum di halaman Temuan. Anda dapat mengklik temuan untuk melihat detailnya dan format JSON lengkap.

Beberapa tindakan yang dapat Anda lakukan di halaman Temuan mencakup hal berikut:

  • Temuan kueri
  • Memeriksa temuan
  • Menonaktifkan temuan
  • Menambahkan tanda keamanan ke temuan

Untuk informasi tentang cara menggunakan temuan secara terprogram, lihat Library klien Security Command Center.

Menggunakan temuan di konsol Security Command Center Enterprise

Jika Anda adalah pelanggan Security Command Center Enterprise, Anda dapat menangani temuan di dua konsol:

  • Konsol Google Cloud: tersedia di semua tingkat layanan
  • Konsol Operasi Keamanan: hanya tersedia di tingkat Enterprise

Untuk informasi selengkapnya, lihat Konsol Enterprise Security Command Center.

Mendapatkan izin yang diperlukan

Bagian ini mencantumkan peran IAM yang Anda perlukan untuk menggunakan temuan di konsol.

Peran IAM konsol Google Cloud

Untuk menggunakan temuan di konsol Google Cloud, Anda memerlukan peran IAM berikut.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.
  4. Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.

  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.
  8. Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.

    Peran IAM konsol Security Operations

    Jika Anda adalah pelanggan Security Command Center Enterprise, Anda dapat menggunakan temuan di konsol Security Operations. Anda memerlukan salah satu peran IAM berikut:

    • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Pengelola Kerentanan Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan memberi otorisasi pengguna menggunakan IAM.

    Lihat temuan

    Untuk informasi tentang cara menemukan halaman Temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

      Buka Temuan

    2. Pilih project atau organisasi Google Cloud Anda.

    Konsol Security Operations

    Di konsol Security Operations, buka halaman Temuan.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

    Untuk informasi selengkapnya tentang konsol ini, lihat Konsol Security Operations.

    Menyesuaikan rentang waktu untuk melihat lebih banyak temuan

    Anda dapat menyesuaikan rentang waktu yang digunakan untuk kueri. Rentang waktu default-nya adalah Last 7 days.

    Rentang waktu didasarkan pada nilai atribut eventTime dari temuan, yang mencerminkan waktu saat data temuan terakhir kali diperbarui.

    Untuk informasi tentang cara menyesuaikan rentang waktu, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    Di halaman Findings di konsol Google Cloud, tetapkan Time range field.

    Konsol Security Operations

    Di bagian atas daftar temuan di halaman Temuan di konsol Security Operations, tetapkan kolom Tampilkan.

    Menemukan ketersediaan

    Temuan biasanya tersedia untuk Anda buat kueri di Security Command Center kurang dari satu menit setelah layanan yang menghasilkan temuan menyimpannya di database temuan Security Command Center. Temuan tingkat Premium dan Enterprise tetap tersedia untuk kueri setidaknya selama 13 bulan. Temuan tingkat standar tetap tersedia selama setidaknya 35 hari.

    Security Command Center menyimpan satu atau beberapa snapshot dari setiap temuan. Ringkasan temuan tingkat Premium atau Enterprise akan dihapus 13 bulan setelah stempel waktu di kolom eventTime. Jika semua snapshot untuk temuan dihapus, temuan tidak dapat lagi dikueri atau dipulihkan.

    Untuk informasi selengkapnya tentang retensi data Security Command Center, lihat Retensi data.

    Menemukan dan melihat temuan tertentu

    Secara default, halaman Temuan menampilkan semua temuan aktif yang tidak bisukan dan yang baru atau diperbarui selama tujuh hari terakhir.

    Untuk melihat temuan tertentu, edit kueri temuan untuk menentukan nilai atau atribut yang harus atau tidak boleh disertakan dalam temuan yang perlu Anda lihat.

    Contoh berikut adalah kueri temuan default:

    state="ACTIVE"
    AND NOT mute="MUTED"

    Anda dapat melihat kueri temuan saat ini di panel Query editor. Anda dapat mengedit kueri secara langsung atau memilih filter standar untuk membuat kueri. Untuk mengetahui informasi selengkapnya, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    Di halaman Temuan di konsol Google Cloud, Anda dapat melakukan hal berikut:

    • Di panel Filter cepat, pilih satu atau beberapa filter atribut standar untuk menambahkannya ke kueri. Gunakan panel Filter cepat untuk opsi filter tingkat tinggi yang biasa digunakan.
    • Di menu Tambahkan filter pada panel Query editor, pilih satu atau beberapa filter atribut standar untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter yang lebih terperinci dan lanjutan yang didasarkan pada atribut penemuan tingkat rendah. Untuk informasi selengkapnya, lihat Mengedit kueri temuan di konsol.
    • Edit kueri temuan langsung di panel Editor kueri.
    • Di tampilan detail temuan, dari menu drop-down untuk atribut tertentu, pilih filter standar untuk atribut tersebut guna menambahkannya ke kueri.

    Konsol Security Operations

    Di halaman Temuan di konsol Security Operations, Anda dapat melakukan hal berikut:

    • Di panel Aggregations, pilih satu atau beberapa filter atribut standar untuk menambahkannya ke kueri. Gunakan panel Aggregations untuk opsi filter tingkat tinggi yang biasa digunakan.
    • Di menu Tambahkan filter pada panel Query editor, pilih satu atau beberapa filter atribut standar untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter yang lebih terperinci dan lanjutan yang didasarkan pada atribut penemuan tingkat rendah. Untuk informasi selengkapnya, lihat Mengedit kueri temuan di konsol.
    • Edit kueri temuan langsung di panel Query editor.

    Melihat detail temuan

    Untuk mempelajari temuan lebih lanjut, buka tampilan mendetail temuan dengan mengklik nama temuan di kolom Kategori dalam hasil kueri temuan.

    Dalam tampilan detail, Anda dapat menemukan informasi yang penting untuk memahami temuan, menyelidiki ancaman, atau mengatasi kerentanan.

    Tampilan detail untuk temuan mencakup tab berikut yang dapat Anda pilih untuk mempelajari temuan lebih lanjut dan mengambil tindakan:

    • Tab Summary, yang merupakan tampilan default, menyoroti informasi utama dan atribut tentang temuan.
    • Tab Source properties, tempat Anda dapat melihat atribut objek sourceProperties dari JSON temuan.
    • Tab JSON, tempat Anda dapat melihat format JSON lengkap dari temuan.

    Anda dapat melakukan tindakan tertentu pada temuan di tampilan detail, serta menemukan link ke informasi tambahan yang terkait dengan temuan.

    Mempelajari temuan di tampilan detail

    Tampilan detail temuan menyoroti informasi penting tentang temuan yang dapat Anda gunakan untuk memahami dan mengatasi masalah keamanan yang mendasarinya.

    Informasi di tab Ringkasan

    Tab Ringkasan memberikan informasi tentang temuan di bagian berikut:

    Yang terdeteksi (atau Ringkasan)

    Detail tentang temuan yang terdeteksi, seperti berikut:

    • Tingkat keparahan temuan
    • Status temuan, ACTIVE atau INACTIVE
    • Semua kolom kunci yang terkait dengan temuan tertentu
    Kerentanan

    Informasi dari data CVE yang sesuai dengan kerentanan, jika ada. Bagian Vulnerability menyertakan informasi dari data CVE, seperti:

    • ID CVE
    • Skor CVE
    • Dampak
    • Aktivitas eksploitasi
    Eksposur serangan

    Skor eksposur serangan dan waktu saat skor terakhir dihitung. Mengklik skor akan membuka penggambaran visual resource bernilai tinggi yang terpengaruh dan jalur serangan terkait.

    Resource yang terpengaruh

    Detail tentang resource yang terkait dengan temuan, termasuk informasi berikut:

    • Nama lengkap resource yang terpengaruh
    • Penyedia layanan cloud resource
    • Kontak teknis dan keamanan
    Informasi kasus

    Detail tentang kasus yang terkait dengan temuan, termasuk informasi berikut.

    • Nama resource lengkap sistem eksternal yang terkait dengan temuan
    • Grup yang ditetapkan ke kasus
    • ID kasus, yang ditautkan ke kasus di konsol Security Operations
    • Status kasus
    • Waktu pembaruan di sistem pengelolaan kasus eksternal
    • Batas waktu yang dijanjikan untuk menutup kasus
    Tanda keamanan

    Security mark yang terkait dengan temuan ini, jika ada.

    Langkah berikutnya

    Panduan tentang tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang terdeteksi. Hanya layanan tertentu, seperti Security Health Analytics, yang memberikan langkah berikutnya.

    Link terkait

    Link ke sumber utama informasi keamanan di luar Security Command Center. Hanya layanan tertentu, seperti Event Threat Detection, yang menyediakan link terkait.

    Layanan deteksi

    Detail tentang layanan, atau sumber, yang mendeteksi temuan.

    Informasi di tab Properti sumber

    Untuk beberapa temuan, panel detail menyertakan tab Source properties yang menandai properti tertentu dari objek sourceProperties dari JSON temuan.

    Properti sumber berbeda untuk setiap temuan dan untuk setiap layanan yang berjalan di Security Command Center. Tidak ada jaminan bahwa properti sumber distandarisasi di semua layanan. Oleh karena itu, sebaiknya jangan gunakan properti sumber secara terprogram. Jika Anda ingin properti sumber distandarisasi di semua layanan, beri tahu kami dengan mengirim masukan.

    Informasi di tab JSON

    Tab JSON berisi struktur JSON lengkap dari temuan, yang dapat berguna saat Anda menyelidiki temuan atau mencari atribut yang dapat Anda gunakan dalam kueri temuan.

    Untuk menyalin objek JSON ke papan klip, klik Salin.

    Struktur JSON temuan berisi objek berikut:

    • findings: Atribut temuan. Atribut ini distandarisasi di semua layanan bawaan dan terintegrasi (juga dikenal sebagai sumber keamanan). Untuk informasi selengkapnya, lihat Finding.
    • resource: Atribut resource yang terpengaruh. Untuk informasi selengkapnya, lihat Resource.
    • sourceProperties: Properti khusus layanan dari temuan.

    Anda juga dapat menggunakan ListFindings API untuk mencantumkan temuan dan mendapatkan definisi JSON-nya.

    Mengambil tindakan berdasarkan temuan dari tampilan detail

    Anda dapat melakukan berbagai tindakan pada temuan dari tampilan detail temuan, seperti menonaktifkan temuan. Jika melihat tampilan detail temuan di konsol Google Cloud, Anda juga dapat menambahkan atribut dari temuan ke kueri temuan saat ini.

    Menonaktifkan temuan di tampilan detail

    Dari tampilan detail temuan, Anda dapat menonaktifkan atau mengaktifkan temuan. Anda juga dapat membuat aturan yang menonaktifkan semua temuan mendatang seperti temuan saat ini.

    Untuk petunjuk lengkap tentang cara menonaktifkan temuan atau membuat aturan bisukan, lihat Menonaktifkan temuan di Security Command Center.

    Menambahkan filter atribut ke kueri dari tampilan detail

    Di konsol Google Cloud, di tampilan detail temuan, Anda dapat menambahkan filter untuk atribut yang ditampilkan ke kueri temuan saat ini.

    Untuk informasi tentang cara menambahkan filter atribut ke kueri dari tampilan detail, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Di tampilan detail temuan, temukan atribut yang ingin Anda filter.
    3. Di samping atribut, buka menu drop-down.
    4. Pilih filter standar untuk atribut. Filter ditambahkan ke kueri temuan di halaman Temuan.

    Konsol Security Operations

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Di tampilan detail temuan, temukan atribut yang ingin Anda filter.
    3. Di samping atribut, buka menu drop-down.
    4. Pilih filter standar untuk atribut. Filter ditambahkan ke kueri temuan di halaman Temuan.

    Melihat atau menyalin nama API atribut di tampilan detail temuan

    Sebagian besar atribut temuan yang ditampilkan di konsol Google Cloud memiliki nama yang sesuai yang digunakan di Security Command Center API.

    Untuk informasi tentang cara melihat atau menyalin nama API atribut dalam tampilan detail temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Pada tampilan detail temuan, Anda dapat menemukan dan menyalin nama API yang sesuai dari setiap atribut yang ditampilkan.

      Nama API yang setara untuk setiap atribut tercantum di baris yang sama dengan atribut. Semua nama API ada di kolom terakhir. Misalnya, untuk atribut Status, nama API yang setara adalah state.

    Konsol Security Operations

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Pada tampilan detail temuan, temukan atribut yang API-nya setara dengan yang ingin Anda salin.
    3. Di samping atribut, buka menu drop-down.
    4. Klik Salin API yang Setara.

    Membagikan tampilan detail temuan

    Untuk membagikan tampilan detail temuan, Anda dapat menyalin URL halaman tampilan detail untuk dibagikan kepada orang lain.

    Untuk informasi tentang cara menyalin URL tampilan detail temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Klik Tindakan > Salin link.

    Konsol Security Operations

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Klik Salin link.

    Mengirim masukan tentang temuan ke Google Cloud

    Untuk informasi tentang cara mengirim masukan tentang temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Klik Tindakan > Kirim masukan.
    3. Masukkan deskripsi masukan Anda.
    4. Untuk menyertakan screenshot, klik Ambil screenshot.
    5. Klik Kirim.

    Konsol Security Operations

    Fitur ini tidak tersedia di konsol Security Operations.

    Menampilkan detail temuan lainnya dalam hasil kueri temuan

    Untuk melihat detail temuan yang mendahului atau mengikuti temuan yang Anda lihat, gunakan tombol berikutnya atau sebelumnya untuk membuka temuan berikutnya atau sebelumnya, tanpa harus kembali ke halaman Temuan.

    Menambahkan tanda keamanan ke temuan

    Tanda keamanan adalah label nilai kunci kustom yang dapat Anda gunakan untuk menganotasi temuan, mengaitkan temuan dengan temuan lain yang memiliki tanda keamanan yang sama, dan membuat kueri temuan.

    Untuk petunjuk lengkap tentang cara menetapkan tanda keamanan pada temuan atau aset, lihat Menggunakan tanda keamanan.

    Menonaktifkan temuan di konsol

    Anda dapat membisukan dan membunyikan temuan dari tampilan berikut:

    • Hasil kueri temuan di halaman Findings
    • Tampilan detail temuan

    Anda dapat membisukan setiap temuan atau membuat aturan bisukan yang membisukan temuan saat ini dan mendatang berdasarkan filter yang Anda tentukan.

    Temuan yang dibisukan akan disembunyikan dan dibisukan, tetapi Anda masih dapat melihatnya dengan menambahkan filter mute="MUTED" ke kueri temuan. Temuan yang dibisukan akan terus dicatat ke dalam log untuk tujuan audit dan kepatuhan.

    Untuk petunjuk mendetail tentang cara menonaktifkan dan mengaktifkan kembali temuan, lihat Menonaktifkan temuan di Security Command Center.

    Mengubah status temuan

    Temuan dapat memiliki salah satu dari dua status: Active atau Inactive.

    Status Active berarti masalah keamanan yang diidentifikasi oleh temuan tetap ada di lingkungan Anda sebagai potensi ancaman atau kerentanan.

    Status Inactive berarti masalah keamanan telah ditangani.

    Anda mungkin ingin mengubah status temuan karena berbagai alasan, seperti mengubah status temuan menjadi Inactive segera setelah ditangani, sehingga Anda tidak perlu menunggu pemindaian berikutnya untuk mengubah status untuk Anda.

    Untuk mengetahui informasi cara mengubah status temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

      Buka Temuan

    2. Pilih project atau organisasi Google Cloud Anda.
    3. Di panel Findings query results, pilih temuan
    4. Di panel tindakan Hasil kueri temuan, klik Ubah status aktif. Menu pop-up akan muncul.
    5. Di menu pop-up Ubah status aktif, pilih Aktif atau Tidak aktif.

    Konsol Security Operations

    Fitur ini tidak tersedia di konsol Security Operations.

    Menyesuaikan halaman Temuan

    Untuk mengontrol ruang layar, Anda dapat menyesuaikan beberapa elemen yang muncul di hasil kueri temuan.

    Menyembunyikan atau menampilkan kolom di hasil kueri temuan

    Dalam hasil kueri temuan, Anda dapat menyembunyikan kolom apa pun kecuali Kategori.

    Berikut adalah contoh kolom yang tersedia:

    • Kategori: nama jenis temuan.
    • Keparahan: tingkat keparahan temuan. Untuk informasi selengkapnya tentang menemukan tingkat keparahan, lihat Klasifikasi tingkat keparahan untuk temuan.
    • Skor kombinasi toksik: Skor eksposur serangan pada temuan class Toxic combination.
    • Skor eksposur serangan: Skor eksposur serangan dari temuan.
    • Waktu peristiwa: saat temuan pertama kali terdeteksi atau saat terakhir diperbarui.
    • Waktu pembuatan: saat temuan dibuat di Security Command Center.
    • Class temuan: class temuan, seperti THREAT, VULNERABILITY, dan MISCONFIGURATION.
    • Nama tampilan resource: nama tampilan resource tempat masalah terdeteksi.
    • Nama lengkap resource: nama lengkap resource tempat masalah terdeteksi.
    • Penyedia cloud resource: Penyedia layanan cloud tempat resource dihosting.
    • Jalur resource: jalur ke resource tempat masalah terdeteksi.
    • Resource type: jenis resource tempat masalah terdeteksi.
    • Tanda keamanan: Tanda keamanan apa pun yang ditambahkan ke temuan.

    Untuk informasi tentang cara menyembunyikan atau menampilkan kolom dalam hasil kueri temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di sebelah kanan panel tindakan Hasil kueri temuan, klik Kolom.
    2. Pilih kolom yang ingin ditampilkan.
    3. Hapus pilihan untuk kolom yang ingin disembunyikan.
    4. Klik Terapkan untuk menerapkan perubahan pada panel Hasil kueri temuan.

    Pilihan kolom akan dipertahankan saat Anda melihat halaman Temuan berikutnya, meskipun Anda mengubah project atau organisasi. Untuk menghapus semua pilihan kolom kustom, klik Hapus pilihan kolom.

    Konsol Security Operations

    1. Di panel tindakan Temuan, klik Kelola kolom. Menu Kelola kolom akan terbuka.
    2. Pilih kolom yang ingin ditampilkan.
    3. Hapus pilihan untuk kolom yang ingin disembunyikan.
    4. Tutup menu.

    Pilihan kolom Anda hanya berlaku untuk tab atau jendela saat ini. Setelan kolom Anda akan direset saat Anda login ke konsol Security Operations lagi.

    Menyembunyikan atau menampilkan panel halaman Penemuan

    Untuk menambah ruang layar guna mengedit kueri atau melihat temuan, Anda dapat menyembunyikan atau menampilkan panel. Untuk informasi selengkapnya, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    Anda dapat menyembunyikan atau menampilkan panel berikut:

    • Panel Filter cepat
    • Panel Editor kueri

    Untuk menyembunyikan panel, klik ikon Alihkan panel, , atau .

    Untuk menampilkan panel, klik ikon lagi.

    Konsol Security Operations

    • Untuk menyembunyikan panel samping Aggregations, klik chevron_left Close sidebar.
    • Untuk menampilkan panel samping Aggregations, klik chevron_right Open sidebar.
    • Untuk menyembunyikan panel Query editor, klik keyboard_arrow_up Close query editor.
    • Untuk menampilkan panel Editor kueri, klik keyboard_arrow_down Buka editor kueri.

    Langkah selanjutnya