Praktik terbaik Security Command Center

Halaman ini memberikan rekomendasi untuk mengelola layanan dan fitur Security Command Center guna membantu Anda mengoptimalkan produk tersebut.

Security Command Center adalah platform yang andal untuk memantau risiko data dan keamanan di seluruh organisasi atau project individual. Security Command Center dirancang untuk memberikan perlindungan maksimum dengan konfigurasi minimal yang diperlukan. Namun, ada beberapa langkah yang dapat Anda ambil untuk menyesuaikan platform dengan alur kerja Anda dan memastikan resource Anda terlindungi.

Aktifkan paket Premium Security Command Center

Paket Premium Security Command Center mencakup lebih banyak fitur daripada paket Standar.

Security Command Center Standard mencakup Security Health Analytics, Deteksi Anomali, dan pemindaian yang tidak dikelola di Web Security Scanner, yang bersama-sama mendeteksi kerentanan dan anomali umum di project situs atau aplikasi Anda. Pada tingkat Standar, Security Health Analytics hanya mencakup grup dasar detektor tingkat keparahan sedang dan tinggi.

Security Command Center Premium mencakup layanan tingkat Standar dan menambahkan pelaporan kepatuhan, pemindaian Web Security Scanner terkelola, semua pendeteksi Analisis Security Health, serta layanan bawaan khusus premium berikut:

Security Command Center Premium juga mencakup skor eksposur serangan yang dapat Anda gunakan untuk memprioritaskan temuan kerentanan dan kesalahan konfigurasi, serta jalur serangan interaktif yang membantu Anda memvisualisasikan cara calon penyerang dapat mengakses resource bernilai tinggi.

Anda dapat mengaktifkan sendiri paket Premium untuk organisasi atau project individual di Konsol Google Cloud.

Dengan aktivasi level project, fitur tertentu yang memerlukan akses tingkat organisasi tidak akan tersedia, apa pun tingkatannya. Untuk mengetahui informasi selengkapnya, baca Ketersediaan fitur dengan aktivasi level project.

Aktivasi paket Premium ditagih berdasarkan konsumsi resource, kecuali jika Anda membeli langganan tingkat organisasi. Untuk informasi selengkapnya, lihat Harga.

Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan salah satu tingkat Security Command Center, lihat Ringkasan mengaktifkan Security Command Center.

Untuk informasi selengkapnya tentang cara menggunakan Security Command Center guna meningkatkan postur keamanan, lihat:

Aktifkan semua layanan bawaan

Sebaiknya aktifkan semua layanan bawaan, dengan tunduk kepada rekomendasi praktik terbaik setiap layanan.

Jika Security Command Center sudah diaktifkan, Anda dapat mengonfirmasi layanan mana yang diaktifkan di halaman Settings.

Anda dapat menonaktifkan layanan apa pun, tetapi sebaiknya semua layanan di tingkat Anda tetap diaktifkan sepanjang waktu. Dengan tetap mengaktifkan semua layanan, Anda dapat memanfaatkan update berkelanjutan dan membantu memastikan bahwa perlindungan disediakan untuk resource baru dan yang diubah.

Sebelum mengaktifkan Deteksi Kerentanan Cepat atau Web Security Scanner dalam produksi, tinjau informasi praktik terbaik mereka:

Misalnya, selama pemindaian, Rapid Vulnerability Detection melakukan tindakan yang dapat berdampak negatif pada resource produksi Anda, seperti mengakses antarmuka administrator dan mencoba login ke VM. Sebagai praktik terbaik, gunakan Deteksi Kerentanan Cepat untuk memindai resource di lingkungan non-produksi sebelum Anda men-deploy-nya ke produksi.

Selain itu, pertimbangkan untuk mengaktifkan layanan terintegrasi (Deteksi Anomali, Perlindungan Data Sensitif, dan Google Cloud Armor), mempelajari layanan keamanan pihak ketiga, serta mengaktifkan Cloud Logging untuk Deteksi Anomali Peristiwa dan Deteksi Ancaman Container. Bergantung pada kuantitas informasinya, biaya Perlindungan Data Sensitif dan Google Cloud Armor dapat sangat besar. Ikuti praktik terbaik untuk menjaga kontrol biaya Perlindungan Data Sensitif dan baca panduan harga Google Cloud Armor.

Untuk mempelajari layanan Security Command Center lebih lanjut, tonton video berikut:

Mengaktifkan log untuk Event Threat Detection

Jika menggunakan Event Threat Detection, Anda mungkin perlu mengaktifkan log tertentu yang dipindai Event Threat Detection. Meskipun beberapa log selalu aktif, seperti log audit Aktivitas Admin Cloud Logging, log lain, seperti sebagian besar log audit Akses Data, dinonaktifkan secara default dan harus diaktifkan sebelum Event Threat Detection dapat memindainya.

Beberapa log yang sebaiknya Anda pertimbangkan untuk diaktifkan antara lain:

  • Log audit Akses Data Cloud Logging
  • Log Google Workspace (khusus aktivasi tingkat organisasi)

Log yang perlu Anda aktifkan bergantung pada:

  • Layanan Google Cloud yang Anda gunakan
  • Kebutuhan keamanan bisnis Anda

Logging mungkin mengenakan biaya untuk penyerapan dan penyimpanan log tertentu. Sebelum mengaktifkan log apa pun, tinjau Harga Logging.

Setelah log diaktifkan, Event Threat Detection akan mulai memindainya secara otomatis.

Untuk mengetahui informasi lebih mendetail tentang modul deteksi yang memerlukan log dan log mana yang perlu diaktifkan, lihat Log yang perlu diaktifkan.

Menentukan set resource bernilai tinggi

Untuk membantu Anda memprioritaskan temuan kerentanan dan kesalahan konfigurasi yang mengekspos resource yang paling penting untuk dilindungi, tentukan resource bernilai tinggi mana yang termasuk dalam set resource bernilai tinggi Anda.

Temuan yang mengekspos resource dalam set resource bernilai tinggi mendapatkan skor eksposur serangan yang lebih tinggi.

Anda menentukan resource yang termasuk dalam set resource bernilai tinggi dengan membuat konfigurasi nilai resource. Sampai Anda membuat konfigurasi nilai resource pertama, Security Command Center akan menggunakan set resource bernilai tinggi default yang tidak disesuaikan dengan prioritas keamanan Anda.

Menggunakan Security Command Center di Konsol Google Cloud

Di Konsol Google Cloud, Security Command Center menyediakan fitur dan elemen visual yang belum tersedia di Security Command Center API. Fiturnya, termasuk antarmuka intuitif, diagram berformat, laporan kepatuhan, dan hierarki visual resource, memberi Anda insight yang lebih baik tentang organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Security Command Center di Konsol Google Cloud.

Memperluas fungsi dengan API dan gcloud

Jika Anda memerlukan akses terprogram, coba Security Command Center API, yang memungkinkan Anda mengakses dan mengontrol lingkungan Security Command Center Anda. Anda dapat menggunakan API Explorer, berlabel "Coba API Ini" di panel pada halaman referensi API, untuk mempelajari secara interaktif Security Command Center API tanpa kunci API. Anda dapat memeriksa metode dan parameter yang tersedia, mengeksekusi permintaan, dan melihat respons secara real time.

Security Command Center API memungkinkan analis dan administrator mengelola resource dan temuan Anda. Engineer dapat menggunakan API untuk membuat solusi pelaporan dan pemantauan kustom. Dalam salah satu contoh, lihat cara arsitek solusi kami menggunakan Security Command Center API untuk Melaporkan pelanggaran audit Pengontrol Kebijakan di Security Command Center.

Memperluas fungsi dengan modul deteksi kustom

Jika Anda memerlukan detektor yang memenuhi kebutuhan unik organisasi Anda, pertimbangkan untuk membuat modul kustom:

Meninjau dan mengelola referensi

Security Command Center menampilkan semua aset Anda pada halaman Assets di Google Cloud Console, tempat Anda dapat membuat kueri pada aset dan melihat informasi tentang aset tersebut, termasuk temuan terkait, histori perubahan, metadata, dan kebijakan IAM.

Informasi aset di halaman Aset dibaca dari Inventaris Aset Cloud. Untuk menerima notifikasi real-time terkait perubahan resource dan kebijakan, buat dan berlangganan feed.

Untuk informasi selengkapnya, lihat halaman Aset.

Merespons dengan cepat kerentanan dan ancaman

Temuan Security Command Center memberikan catatan masalah keamanan yang terdeteksi, termasuk detail lengkap tentang resource yang terpengaruh dan petunjuk langkah demi langkah yang disarankan untuk menyelidiki serta mengatasi kerentanan dan ancaman.

Temuan kerentanan menjelaskan kerentanan atau kesalahan konfigurasi yang terdeteksi, menghitung skor eksposur serangan, dan perkiraan keparahan. Temuan kerentanan juga memberi tahu Anda tentang pelanggaran standar atau tolok ukur keamanan. Untuk informasi selengkapnya, lihat Tolok ukur yang didukung.

Dengan Security Command Center Premium, temuan kerentanan juga menyertakan informasi dari Mandiant tentang eksploitasi dan potensi dampak kerentanan berdasarkan data CVE yang terkait dengan kerentanan. Anda dapat menggunakan informasi ini untuk membantu memprioritaskan perbaikan kerentanan. Untuk mengetahui informasi selengkapnya, lihat Membuat prioritas menurut dampak dan eksploitasi CVE.

Temuan ancaman mencakup data dari framework MITRE ATT&CK, yang menjelaskan teknik serangan terhadap resource cloud dan memberikan panduan perbaikan, serta VirusTotal, layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.

Panduan berikut adalah titik awal untuk membantu Anda memperbaiki masalah dan melindungi resource Anda.

Mengontrol volume temuan

Untuk mengontrol volume temuan di Security Command Center, Anda dapat membisukan setiap temuan secara manual atau terprogram, atau membuat aturan penonaktifan yang secara otomatis menonaktifkan temuan saat ini dan temuan mendatang berdasarkan filter yang Anda tentukan.

Temuan yang dibisukan akan disembunyikan dan disenyapkan, tetapi terus dicatat dalam log untuk tujuan audit dan kepatuhan. Anda dapat melihat temuan yang dibisukan atau membunyikannya kapan saja. Untuk mempelajari lebih lanjut, lihat Menonaktifkan temuan di Security Command Center.

Menonaktifkan temuan adalah pendekatan yang direkomendasikan dan paling efektif untuk mengontrol volume temuan. Atau, Anda dapat menggunakan tanda keamanan untuk menambahkan aset ke daftar yang diizinkan.

Setiap detektor Security Health Analytics memiliki jenis tanda khusus yang memungkinkan Anda mengecualikan resource yang ditandai dari kebijakan deteksi. Fitur ini berguna jika Anda tidak ingin temuan dibuat untuk resource atau project tertentu.

Untuk mempelajari tanda keamanan lebih lanjut, lihat Menggunakan tanda keamanan.

Menyiapkan notifikasi

Notifikasi memperingatkan Anda tentang temuan baru dan yang diperbarui hampir secara real time, dan dengan notifikasi email dan chat, dapat melakukannya meskipun Anda tidak login ke Security Command Center. Pelajari lebih lanjut di Menyiapkan menemukan notifikasi.

Security Command Center Premium memungkinkan Anda membuat Ekspor Berkelanjutan, yang menyederhanakan proses ekspor temuan ke Pub/Sub.

Mempelajari Cloud Functions

Cloud Functions adalah layanan Google Cloud yang memungkinkan Anda menghubungkan layanan cloud dan menjalankan kode sebagai respons terhadap peristiwa. Anda dapat menggunakan Notifications API dan Cloud Functions untuk mengirim temuan ke sistem perbaikan dan tiket pihak ketiga atau mengambil tindakan otomatis, seperti menutup temuan secara otomatis.

Untuk memulai, buka repositori open source kode Cloud Functions milik Security Command Center. Repositori berisi solusi untuk membantu Anda mengambil tindakan otomatis pada temuan keamanan.

Tetap aktifkan komunikasi

Security Command Center diupdate secara berkala dengan detektor dan fitur baru. Catatan rilis menginformasikan perubahan produk dan pembaruan dokumentasi kepada Anda. Namun, Anda dapat menetapkan preferensi komunikasi di Konsol Google Cloud untuk menerima info terbaru terkait produk dan promosi khusus melalui email atau perangkat seluler. Anda juga dapat memberi tahu kami apakah Anda tertarik untuk berpartisipasi dalam survei pengguna dan program uji coba.

Jika ada komentar atau pertanyaan, Anda dapat memberikan masukan dengan berbicara dengan staf penjualan, menghubungi staf Dukungan Cloud kami, atau melaporkan bug.

Langkah selanjutnya