Halaman ini menjelaskan cara menggunakan temuan Security Command Center di konsol Google Cloud dan konsol Security Operations.
Temuan adalah kumpulan data masalah keamanan yang dibuat layanan Security Command Center saat mendeteksi masalah keamanan. Temuan tercantum di halaman Temuan. Anda dapat mengklik temuan untuk melihat detailnya dan format JSON lengkap.
Beberapa tindakan yang dapat Anda lakukan di halaman Temuan mencakup hal berikut:
- Temuan kueri
- Memeriksa temuan
- Menonaktifkan temuan
- Menambahkan tanda keamanan ke temuan
Untuk informasi tentang cara menggunakan temuan secara terprogram, lihat Library klien Security Command Center.
Menggunakan temuan di konsol Security Command Center Enterprise
Jika Anda adalah pelanggan Security Command Center Enterprise, Anda dapat menangani temuan di dua konsol:
- Konsol Google Cloud: tersedia di semua tingkat layanan
- Konsol Operasi Keamanan: hanya tersedia di tingkat Enterprise
Untuk informasi selengkapnya, lihat Konsol Enterprise Security Command Center.
Mendapatkan izin yang diperlukan
Bagian ini mencantumkan peran IAM yang Anda perlukan untuk menggunakan temuan di konsol.
Peran IAM konsol Google Cloud
Untuk menggunakan temuan di konsol Google Cloud, Anda memerlukan peran IAM berikut.
Make sure that you have the following role or roles on the organization:
- Security Center Findings Viewer (
roles/securitycenter.findingsViewer
) - Security Center Findings Editor (
roles/securitycenter.findingsEditor
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Buka IAM - Pilih organisasi.
- Klik Berikan akses.
-
Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin
) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager
) - Pengelola Kerentanan Chronicle SOAR
(
roles/chronicle.soarVulnerabilityManager
) - Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di panel Filter cepat, pilih satu atau beberapa filter atribut standar untuk menambahkannya ke kueri. Gunakan panel Filter cepat untuk opsi filter tingkat tinggi yang biasa digunakan.
- Di menu Tambahkan filter pada panel Query editor, pilih satu atau beberapa filter atribut standar untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter yang lebih terperinci dan lanjutan yang didasarkan pada atribut penemuan tingkat rendah. Untuk informasi selengkapnya, lihat Mengedit kueri temuan di konsol.
- Edit kueri temuan langsung di panel Editor kueri.
- Di tampilan detail temuan, dari menu drop-down untuk atribut tertentu, pilih filter standar untuk atribut tersebut guna menambahkannya ke kueri.
- Di panel Aggregations, pilih satu atau beberapa filter atribut standar untuk menambahkannya ke kueri. Gunakan panel Aggregations untuk opsi filter tingkat tinggi yang biasa digunakan.
- Di menu Tambahkan filter Mengedit kueri temuan di konsol. pada panel Query editor, pilih satu atau beberapa filter atribut standar untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter yang lebih terperinci dan lanjutan yang didasarkan pada atribut penemuan tingkat rendah. Untuk informasi selengkapnya, lihat
- Edit kueri temuan langsung di panel Query editor.
- Tab Summary, yang merupakan tampilan default, menyoroti informasi utama dan atribut tentang temuan.
- Tab Source properties, tempat Anda dapat melihat atribut
objek
sourceProperties
dari JSON temuan. - Tab JSON, tempat Anda dapat melihat format JSON lengkap dari temuan.
- Yang terdeteksi (atau Ringkasan)
Detail tentang temuan yang terdeteksi, seperti berikut:
- Tingkat keparahan temuan
- Status temuan,
ACTIVE
atauINACTIVE
- Semua kolom kunci yang terkait dengan temuan tertentu
- Kerentanan
Informasi dari data CVE yang sesuai dengan kerentanan, jika ada. Bagian Vulnerability menyertakan informasi dari data CVE, seperti:
- ID CVE
- Skor CVE
- Dampak
- Aktivitas eksploitasi
- Eksposur serangan
Skor eksposur serangan dan waktu saat skor terakhir dihitung. Mengklik skor akan membuka penggambaran visual resource bernilai tinggi yang terpengaruh dan jalur serangan terkait.
- Resource yang terpengaruh
Detail tentang resource yang terkait dengan temuan, termasuk informasi berikut:
- Nama lengkap resource yang terpengaruh
- Penyedia layanan cloud resource
- Kontak teknis dan keamanan
- Informasi kasus
Detail tentang kasus yang terkait dengan temuan, termasuk informasi berikut.
- Nama resource lengkap sistem eksternal yang terkait dengan temuan
- Grup yang ditetapkan ke kasus
- ID kasus, yang ditautkan ke kasus di konsol Security Operations
- Status kasus
- Waktu pembaruan di sistem pengelolaan kasus eksternal
- Batas waktu yang dijanjikan untuk menutup kasus
- Tanda keamanan
Security mark yang terkait dengan temuan ini, jika ada.
- Langkah berikutnya
Panduan tentang tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang terdeteksi. Hanya layanan tertentu, seperti Security Health Analytics, yang memberikan langkah berikutnya.
- Link terkait
Link ke sumber utama informasi keamanan di luar Security Command Center. Hanya layanan tertentu, seperti Event Threat Detection, yang menyediakan link terkait.
- Layanan deteksi
Detail tentang layanan, atau sumber, yang mendeteksi temuan.
findings
: Atribut temuan. Atribut ini distandarisasi di semua layanan bawaan dan terintegrasi (juga dikenal sebagai sumber keamanan). Untuk informasi selengkapnya, lihatFinding
.resource
: Atribut resource yang terpengaruh. Untuk informasi selengkapnya, lihatResource
.sourceProperties
: Properti khusus layanan dari temuan.- Di halaman Temuan, klik temuan untuk melihat detailnya.
- Di tampilan detail temuan, temukan atribut yang ingin Anda filter.
- Di samping atribut, buka menu drop-down.
- Pilih filter standar untuk atribut. Filter ditambahkan ke kueri temuan di halaman Temuan.
- Di halaman Temuan, klik temuan untuk melihat detailnya.
- Di tampilan detail temuan, temukan atribut yang ingin Anda filter.
- Di samping atribut, buka menu drop-down.
- Pilih filter standar untuk atribut. Filter ditambahkan ke kueri temuan di halaman Temuan.
- Di halaman Temuan, klik temuan untuk melihat detailnya.
-
Pada tampilan detail temuan, Anda dapat menemukan dan menyalin nama API yang sesuai dari setiap atribut yang ditampilkan.
Nama API yang setara untuk setiap atribut tercantum di baris yang sama dengan atribut. Semua nama API ada di kolom terakhir. Misalnya, untuk atribut Status, nama API yang setara adalah
state
. - Di halaman Temuan, klik temuan untuk melihat detailnya.
- Pada tampilan detail temuan, temukan atribut yang API-nya setara dengan yang ingin Anda salin.
- Di samping atribut, buka menu drop-down.
- Klik Salin API yang Setara.
- Di halaman Temuan, klik temuan untuk melihat detailnya.
- Klik Tindakan > Salin link.
- Di halaman Temuan, klik temuan untuk melihat detailnya.
- Klik Salin link.
- Di halaman Temuan, klik temuan untuk melihat detailnya.
- Klik Tindakan > Kirim masukan.
- Masukkan deskripsi masukan Anda.
- Untuk menyertakan screenshot, klik Ambil screenshot.
- Klik Kirim.
- Hasil kueri temuan di halaman Findings
- Tampilan detail temuan
- Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di panel Findings query results, pilih temuan
- Di panel tindakan Hasil kueri temuan, klik Ubah status aktif. Menu pop-up akan muncul.
- Di menu pop-up Ubah status aktif, pilih Aktif atau Tidak aktif.
- Kategori: nama jenis temuan.
- Keparahan: tingkat keparahan temuan. Untuk informasi selengkapnya tentang menemukan tingkat keparahan, lihat Klasifikasi tingkat keparahan untuk temuan.
- Skor kombinasi toksik: Skor eksposur serangan
pada temuan class
Toxic combination
. - Skor eksposur serangan: Skor eksposur serangan dari temuan.
- Waktu peristiwa: saat temuan pertama kali terdeteksi atau saat terakhir diperbarui.
- Waktu pembuatan: saat temuan dibuat di Security Command Center.
- Class temuan: class temuan, seperti
THREAT
,VULNERABILITY
, danMISCONFIGURATION
. - Nama tampilan resource: nama tampilan resource tempat masalah terdeteksi.
- Nama lengkap resource: nama lengkap resource tempat masalah terdeteksi.
- Penyedia cloud resource: Penyedia layanan cloud tempat resource dihosting.
- Jalur resource: jalur ke resource tempat masalah terdeteksi.
- Resource type: jenis resource tempat masalah terdeteksi.
- Tanda keamanan: Tanda keamanan apa pun yang ditambahkan ke temuan.
- Di sebelah kanan panel tindakan Hasil kueri temuan, klik view_column Kolom.
- Pilih kolom yang ingin ditampilkan.
- Hapus pilihan untuk kolom yang ingin disembunyikan.
- Klik Terapkan untuk menerapkan perubahan pada panel Hasil kueri temuan.
- Di panel tindakan Temuan, klik view_column Kelola kolom. Menu Kelola kolom akan terbuka.
- Pilih kolom yang ingin ditampilkan.
- Hapus pilihan untuk kolom yang ingin disembunyikan.
- Tutup menu.
- Panel Filter cepat
- Panel Editor kueri
- Untuk menyembunyikan panel samping Aggregations, klik chevron_left Close sidebar.
- Untuk menampilkan panel samping Aggregations, klik chevron_right Open sidebar.
- Untuk menyembunyikan panel Query editor, klik keyboard_arrow_up Close query editor.
- Untuk menampilkan panel Editor kueri, klik keyboard_arrow_down Buka editor kueri.
- Pelajari layanan deteksi.
- Pelajari cara menggunakan tanda keamanan.
- Pelajari cara mengonfigurasi layanan Security Command Center.
- Pelajari cara membuat filter temuan menggunakan Security Command Center API.
Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.
Peran IAM konsol Security Operations
Jika Anda adalah pelanggan Security Command Center Enterprise, Anda dapat menggunakan temuan di konsol Security Operations. Anda memerlukan salah satu peran IAM berikut:
Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan memberi otorisasi pengguna menggunakan IAM.
Lihat temuan
Untuk informasi tentang cara menemukan halaman Temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Di konsol Security Operations, buka halaman Temuan.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda.
Untuk informasi selengkapnya tentang konsol ini, lihat Konsol Security Operations.
Menyesuaikan rentang waktu untuk melihat lebih banyak temuan
Anda dapat menyesuaikan rentang waktu yang digunakan untuk kueri. Rentang waktu default-nya adalah Last 7 days
.
Rentang waktu didasarkan pada nilai atribut eventTime
dari
temuan, yang mencerminkan waktu saat data temuan terakhir kali
diperbarui.
Untuk informasi tentang cara menyesuaikan rentang waktu, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Di halaman Findings di konsol Google Cloud, tetapkan Time range field.
Konsol Security Operations
Di bagian atas daftar temuan di halaman Temuan di konsol Security Operations, tetapkan kolom Tampilkan.
Menemukan ketersediaan
Temuan biasanya tersedia untuk Anda buat kueri di Security Command Center kurang dari satu menit setelah layanan yang menghasilkan temuan menyimpannya di database temuan Security Command Center. Temuan tingkat Premium dan Enterprise tetap tersedia untuk kueri setidaknya selama 13 bulan. Temuan tingkat standar tetap tersedia selama setidaknya 35 hari.
Security Command Center menyimpan satu atau beberapa snapshot dari setiap temuan. Ringkasan temuan tingkat Premium atau Enterprise akan dihapus 13 bulan setelah stempel waktu di kolom eventTime
. Jika semua snapshot untuk temuan dihapus,
temuan tidak dapat lagi dikueri atau dipulihkan.
Untuk informasi selengkapnya tentang retensi data Security Command Center, lihat Retensi data.
Menemukan dan melihat temuan tertentu
Secara default, halaman Temuan menampilkan semua temuan aktif yang tidak bisukan dan yang baru atau diperbarui selama tujuh hari terakhir.
Untuk melihat temuan tertentu, edit kueri temuan untuk menentukan nilai atau atribut yang harus atau tidak boleh disertakan dalam temuan yang perlu Anda lihat.
Contoh berikut adalah kueri temuan default:
state="ACTIVE" AND NOT mute="MUTED"
Anda dapat melihat kueri temuan saat ini di panel Query editor. Anda dapat mengedit kueri secara langsung atau memilih filter standar untuk membuat kueri. Untuk mengetahui informasi selengkapnya, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Di halaman Temuan di konsol Google Cloud, Anda dapat melakukan hal berikut:
Konsol Security Operations
Di halaman Temuan di konsol Security Operations, Anda dapat melakukan hal berikut:
Melihat detail temuan
Untuk mempelajari temuan lebih lanjut, buka tampilan mendetail temuan dengan mengklik nama temuan di kolom Kategori dalam hasil kueri temuan.
Dalam tampilan detail, Anda dapat menemukan informasi yang penting untuk memahami temuan, menyelidiki ancaman, atau mengatasi kerentanan.
Tampilan detail untuk temuan mencakup tab berikut yang dapat Anda pilih untuk mempelajari temuan lebih lanjut dan mengambil tindakan:
Anda dapat melakukan tindakan tertentu pada temuan di tampilan detail, serta menemukan link ke informasi tambahan yang terkait dengan temuan.
Mempelajari temuan di tampilan detail
Tampilan detail temuan menyoroti informasi penting tentang temuan yang dapat Anda gunakan untuk memahami dan mengatasi masalah keamanan yang mendasarinya.
Informasi di tab Ringkasan
Tab Ringkasan memberikan informasi tentang temuan di bagian berikut:
Informasi di tab Properti sumber
Untuk beberapa temuan, panel detail menyertakan tab Source properties
yang menandai properti tertentu dari objek sourceProperties
dari
JSON temuan.
Properti sumber berbeda untuk setiap temuan dan untuk setiap layanan yang berjalan di Security Command Center. Tidak ada jaminan bahwa properti sumber distandarisasi di semua layanan. Oleh karena itu, sebaiknya jangan gunakan properti sumber secara terprogram. Jika Anda ingin properti sumber distandarisasi di semua layanan, beri tahu kami dengan mengirim masukan.
Informasi di tab JSON
Tab JSON berisi struktur JSON lengkap dari temuan, yang dapat berguna saat Anda menyelidiki temuan atau mencari atribut yang dapat Anda gunakan dalam kueri temuan.
Untuk menyalin objek JSON ke papan klip, klik
Salin.Struktur JSON temuan berisi objek berikut:
Anda juga dapat menggunakan
ListFindings
API untuk mencantumkan
temuan dan mendapatkan definisi JSON-nya.
Mengambil tindakan berdasarkan temuan dari tampilan detail
Anda dapat melakukan berbagai tindakan pada temuan dari tampilan detail temuan, seperti menonaktifkan temuan. Jika melihat tampilan detail temuan di konsol Google Cloud, Anda juga dapat menambahkan atribut dari temuan ke kueri temuan saat ini.
Menonaktifkan temuan di tampilan detail
Dari tampilan detail temuan, Anda dapat menonaktifkan atau mengaktifkan temuan. Anda juga dapat membuat aturan yang menonaktifkan semua temuan mendatang seperti temuan saat ini.
Untuk petunjuk lengkap tentang cara menonaktifkan temuan atau membuat aturan bisukan, lihat Menonaktifkan temuan di Security Command Center.
Menambahkan filter atribut ke kueri dari tampilan detail
Di konsol Google Cloud, di tampilan detail temuan, Anda dapat menambahkan filter untuk atribut yang ditampilkan ke kueri temuan saat ini.
Untuk informasi tentang cara menambahkan filter atribut ke kueri dari tampilan detail, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Melihat atau menyalin nama API atribut di tampilan detail temuan
Sebagian besar atribut temuan yang ditampilkan di konsol Google Cloud memiliki nama yang sesuai yang digunakan di Security Command Center API.
Untuk informasi tentang cara melihat atau menyalin nama API atribut dalam tampilan detail temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Membagikan tampilan detail temuan
Untuk membagikan tampilan detail temuan, Anda dapat menyalin URL halaman tampilan detail untuk dibagikan kepada orang lain.
Untuk informasi tentang cara menyalin URL tampilan detail temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Mengirim masukan tentang temuan ke Google Cloud
Untuk informasi tentang cara mengirim masukan tentang temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Fitur ini tidak tersedia di konsol Security Operations.
Menampilkan detail temuan lainnya dalam hasil kueri temuan
Untuk melihat detail temuan yang mendahului atau mengikuti temuan yang Anda lihat, gunakan tombol
berikutnya atau sebelumnya untuk membuka temuan berikutnya atau sebelumnya, tanpa harus kembali ke halaman Temuan.Menambahkan tanda keamanan ke temuan
Tanda keamanan adalah label nilai kunci kustom yang dapat Anda gunakan untuk menganotasi temuan, mengaitkan temuan dengan temuan lain yang memiliki tanda keamanan yang sama, dan membuat kueri temuan.
Untuk petunjuk lengkap tentang cara menetapkan tanda keamanan pada temuan atau aset, lihat Menggunakan tanda keamanan.
Menonaktifkan temuan di konsol
Anda dapat membisukan dan membunyikan temuan dari tampilan berikut:
Anda dapat membisukan setiap temuan atau membuat aturan bisukan yang membisukan temuan saat ini dan mendatang berdasarkan filter yang Anda tentukan.
Temuan yang dibisukan akan disembunyikan dan dibisukan, tetapi Anda masih dapat melihatnya dengan menambahkan filter mute="MUTED"
ke kueri temuan. Temuan yang dibisukan akan terus
dicatat ke dalam log untuk tujuan audit dan kepatuhan.
Untuk petunjuk mendetail tentang cara menonaktifkan dan mengaktifkan kembali temuan, lihat Menonaktifkan temuan di Security Command Center.
Mengubah status temuan
Temuan dapat memiliki salah satu dari dua status: Active
atau Inactive
.
Status Active
berarti masalah keamanan yang diidentifikasi oleh
temuan tetap ada di lingkungan Anda sebagai potensi ancaman atau
kerentanan.
Status Inactive
berarti masalah keamanan telah ditangani.
Anda mungkin ingin mengubah status temuan karena berbagai alasan,
seperti mengubah status temuan menjadi Inactive
segera setelah
ditangani, sehingga Anda tidak perlu menunggu pemindaian berikutnya untuk mengubah status
untuk Anda.
Untuk mengetahui informasi cara mengubah status temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Konsol Security Operations
Fitur ini tidak tersedia di konsol Security Operations.
Menyesuaikan halaman Temuan
Untuk mengontrol ruang layar, Anda dapat menyesuaikan beberapa elemen yang muncul di hasil kueri temuan.
Menyembunyikan atau menampilkan kolom di hasil kueri temuan
Dalam hasil kueri temuan, Anda dapat menyembunyikan kolom apa pun kecuali Kategori.
Berikut adalah contoh kolom yang tersedia:
Untuk informasi tentang cara menyembunyikan atau menampilkan kolom dalam hasil kueri temuan, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Pilihan kolom akan dipertahankan saat Anda melihat halaman Temuan berikutnya, meskipun Anda mengubah project atau organisasi. Untuk menghapus semua pilihan kolom kustom, klik Hapus pilihan kolom.
Konsol Security Operations
Pilihan kolom Anda hanya berlaku untuk tab atau jendela saat ini. Setelan kolom Anda akan direset saat Anda login ke konsol Security Operations lagi.
Menyembunyikan atau menampilkan panel halaman Penemuan
Untuk menambah ruang layar guna mengedit kueri atau melihat temuan, Anda dapat menyembunyikan atau menampilkan panel. Untuk informasi selengkapnya, klik tab untuk konsol yang Anda gunakan.
Konsol Google Cloud
Anda dapat menyembunyikan atau menampilkan panel berikut:
Untuk menyembunyikan panel, klik ikon Alihkan panel, first_page, atau first_page.
Untuk menampilkan panel, klik ikon lagi.