Meninjau dan mengelola temuan di konsol

Halaman ini menjelaskan cara menggunakan temuan Security Command Center di Konsol Google Cloud, dan konsol Security Operations.

Temuan adalah catatan masalah keamanan yang ditangani oleh layanan Security Command Center buat ketika mereka mendeteksi masalah keamanan. Temuan tercantum dalam Temuan. Anda dapat mengklik temuan untuk melihat detail dan JSON lengkapnya format font.

Beberapa tindakan yang dapat Anda lakukan di halaman Temuan antara lain berikut ini:

  • Temuan kueri
  • Memeriksa temuan
  • Bisukan temuan
  • Menambahkan tanda keamanan ke temuan

Untuk mengetahui informasi tentang cara menangani temuan secara terprogram, lihat Library klien Security Command Center.

Bekerja dengan temuan di konsol Security Command Center Enterprise

Jika Anda adalah pelanggan Security Command Center Enterprise, Anda dapat menangani temuan dalam dua konsol:

  • Konsol Google Cloud: tersedia di semua tingkat layanan
  • Konsol Security Operations: hanya tersedia di tingkat Enterprise

Untuk informasi selengkapnya, lihat Konsol Security Command Center Enterprise.

Mendapatkan izin yang diperlukan

Bagian ini mencantumkan peran IAM yang perlu Anda gunakan temuan di konsol.

Peran IAM di Konsol Google Cloud

Untuk menangani temuan di Konsol Google Cloud, Anda memerlukan peran IAM berikut.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.
  4. Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.

  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.
  8. Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.

    Peran IAM Security Operations Console

    Jika Anda pelanggan Security Command Center Enterprise, Anda dapat menangani temuan di konsol Security Operations. Anda memerlukan salah satu IAM berikut peran:

    • Admin Chronicle SOAR (roles/chronicle.soarAdmin)
    • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
    • Pengelola Kerentanan Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

    Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan memberikan otorisasi kepada pengguna menggunakan IAM.

    Lihat temuan

    Untuk informasi tentang cara menemukan halaman Temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di Konsol Google Cloud, buka halaman Temuan di Security Command Center.

      Buka Temuan

    2. Pilih project atau organisasi Google Cloud Anda.

    Konsol Security Operations

    Di konsol Security Operations, buka halaman Temuan.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

    Untuk informasi selengkapnya tentang konsol ini, lihat Konsol Security Operations.

    Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.

    Menyesuaikan rentang waktu untuk melihat lebih banyak temuan

    Anda dapat menyesuaikan waktu rentang yang digunakan untuk kueri Anda. Rentang waktu default adalah Last 7 days.

    Rentang waktu didasarkan pada nilai atribut eventTime elemen temuan, yang mencerminkan waktu di mana catatan temuan itu terakhir diperbarui.

    Untuk informasi mengenai cara menyesuaikan rentang waktu, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    Di halaman Temuan di konsol Google Cloud, tetapkan kolom Time range kolom.

    Konsol Security Operations

    Di bagian atas daftar temuan pada Temuan di konsol Security Operations, setel kolom Menampilkan.

    Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.

    Mencari ketersediaan

    Temuan biasanya tersedia untuk Anda kueri Security Command Center kurang dari satu menit setelah layanan yang menghasilkan temuan yang menyimpannya di temuan Security Command Center di skrip untuk menyiapkan database. Temuan tingkat Premium dan Enterprise tetap tersedia untuk pembuatan kueri selama setidaknya 13 bulan. Temuan tingkat standar tetap tersedia untuk setidaknya 35 hari.

    Security Command Center menyimpan satu atau beberapa snapshot dari setiap temuan. J ringkasan temuan tingkat Premium atau Enterprise dihapus dalam 13 bulan setelah stempel waktu di kolom eventTime. Jika semua {i>snapshot<i} untuk suatu temuan dihapus, temuan itu tidak lagi dapat dikueri atau dipulihkan.

    Untuk informasi selengkapnya tentang retensi data Security Command Center, lihat Retensi data.

    Menemukan dan melihat temuan tertentu

    Secara default, halaman Temuan menampilkan semua temuan aktif yang dibisukan dan yang baru atau diperbarui selama tujuh hari terakhir.

    Untuk melihat temuan secara spesifik, edit kueri temuan untuk menentukan nilai atau atribut temuan yang perlu Anda lihat harus atau tidak boleh berisi.

    Contoh berikut adalah kueri temuan default:

    state="ACTIVE"
    AND NOT mute="MUTED"

    Anda dapat melihat kueri temuan saat ini di panel Query editor. Anda dapat edit kueri secara langsung atau pilih filter yang telah ditetapkan untuk membuat kueri. Sebagai informasi selengkapnya, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    Pada halaman Temuan di Konsol Google Cloud, Anda dapat melakukan berikut ini:

    • Di panel Filter cepat, pilih satu atau beberapa atribut standar filter untuk menambahkannya ke kueri. Gunakan panel Filter cepat untuk opsi filter tingkat tinggi yang umum digunakan.
    • Di bagian Add filter, menu panel Query editor, pilih satu atau beberapa opsi filter atribut untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter yang lebih terperinci dan canggih berdasarkan temuan tingkat rendah . Untuk mengetahui informasi selengkapnya, lihat Mengedit temuan kueri di konsol.
    • Mengedit kueri temuan langsung di kolom Kueri panel editor.
    • Dalam tampilan detail temuan, dari drop-down untuk atribut tertentu, pilih filter standar untuk atribut tersebut untuk menambahkannya ke kueri.

    Konsol Security Operations

    Pada halaman Findings di konsol Security Operations, Anda dapat melakukan hal berikut:

    • Di panel Agregasi, pilih satu atau beberapa atribut yang telah ditentukan sebelumnya filter untuk menambahkannya ke kueri. Gunakan panel Agregasis untuk opsi filter tingkat tinggi yang umum digunakan.
    • Di bagian Tambahkan filter di panel Query editor, pilih satu atau beberapa opsi filter atribut untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter yang lebih terperinci dan canggih berdasarkan temuan tingkat rendah . Untuk mengetahui informasi selengkapnya, lihat Mengedit temuan kueri di konsol.
    • Edit kueri temuan langsung di panel Query editor.

    Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.

    Melihat detail temuan

    Untuk mempelajari suatu temuan lebih lanjut, buka tampilan mendetail dari temuan dengan mengklik nama temuan di kolom Kategori dalam temuan hasil kueri.

    Dalam tampilan detail, Anda dapat menemukan informasi yang penting untuk memahami temuan, menyelidiki ancaman, atau menangani kerentanan.

    Tampilan detail untuk temuan mencakup tab berikut yang dapat Anda pilih untuk mempelajari lebih lanjut sebuah temuan dan mengambil tindakan:

    • Tab Ringkasan, yang merupakan tampilan default, menyoroti informasi utama dan atribut tentang temuan itu.
    • Tab Properti sumber, tempat Anda dapat melihat atribut objek sourceProperties JSON temuan.
    • Tab JSON, tempat Anda dapat melihat format JSON lengkap dari temuan.

    Anda dapat melakukan tindakan tertentu pada temuan di tampilan detail, sebagai serta menemukan tautan ke informasi tambahan yang terkait dengan temukan.

    Mempelajari temuan di tampilan detail

    Tampilan detail temuan menyoroti informasi penting tentang yang dapat Anda gunakan untuk memahami dan mengatasi masalah keamanan yang mendasari masalah performa.

    Informasi di tab Ringkasan

    Tab Ringkasan memberikan informasi tentang temuan berikut bagian:

    Yang terdeteksi (atau Ringkasan)

    Detail tentang temuan yang terdeteksi, seperti berikut:

    • Tingkat keparahan temuan
    • Status temuan, ACTIVE atau INACTIVE
    • Semua kolom kunci yang terkait dengan temuan tertentu
    Kerentanan

    Informasi dari data CVE yang sesuai dengan kerentanan, jika ada. Bagian Kerentanan menyertakan informasi dari data CVE, seperti:

    • ID CVE
    • Skor CVE
    • Dampak
    • Aktivitas eksploitasi
    Eksposur serangan

    Tujuan skor eksposur serangan dan waktu saat skor terakhir dihitung. Mengklik skor akan membuka gambaran visual dari nilai tinggi yang terpengaruh sumber daya dan jalur serangan yang terkait.

    Resource yang terpengaruh

    Detail tentang resource yang terkait dengan temuan, termasuk informasi berikut:

    • Nama lengkap resource yang terpengaruh
    • Penyedia layanan cloud resource
    • Kontak teknis dan keamanan
    Informasi kasus

    Detail tentang kasus yang terkait dengan temuan, termasuk informasi berikut.

    • Nama lengkap resource sistem eksternal yang terkait dengan menemukan
    • Grup yang ditetapkan untuk kasus
    • ID kasus, yang ditautkan ke kasus di konsol Security Operations
    • Status kasus
    • Waktu update dalam sistem pengelolaan kasus eksternal
    • Batas waktu komitmen untuk menutup kasus
    Tanda keamanan

    Tanda keamanan yang terkait dengan temuan ini, jika ada.

    Langkah berikutnya

    Panduan tentang apa yang dapat Anda lakukan untuk memperbaiki masalah yang terdeteksi. Hanya layanan tertentu, seperti Security Health Analytics, memberikan langkah selanjutnya.

    Link terkait

    Link ke sumber utama informasi keamanan di luar dengan Security Command Center. Hanya layanan tertentu, seperti Event Threat Detection, menyediakan link terkait.

    Layanan deteksi

    Detail tentang layanan, atau sumber, yang mendeteksi temuan tersebut.

    Informasi tentang tab Properti sumber

    Untuk beberapa temuan, panel detail menyertakan tab Properti sumber yang menyoroti properti tertentu dari objek sourceProperties untuk menemukan JSON.

    Properti sumber berbeda untuk setiap temuan dan untuk setiap layanan yang berjalan di Security Command Center. Tidak ada jaminan bahwa properti sumber telah distandarisasi di semua layanan IT perusahaan mereka. Karena alasan ini, kami sangat tidak menyarankan untuk menggunakan sumber properti secara terprogram. Jika Anda ingin properti sumber distandarisasi di semua layanan, izinkan kami tahu dengan mengirimkan masukan Anda.

    Informasi di tab JSON

    Tab JSON berisi struktur JSON lengkap dari Anda temukan, yang dapat berguna ketika Anda menyelidiki menemukan atau mencari atribut yang dapat Anda gunakan dalam kueri temuan.

    Untuk menyalin objek JSON ke papan klip, klik Copy.

    Struktur JSON temuan berisi objek berikut:

    • findings: Atribut temuan. Atribut ini distandarisasi di seluruh layanan bawaan dan terintegrasi (juga dikenal sebagai sumber keamanan). Untuk informasi selengkapnya, lihat Finding
    • resource: Atribut resource yang terpengaruh. Untuk informasi selengkapnya, lihat Resource.
    • sourceProperties: Properti khusus layanan dari temuan.

    Anda juga dapat menggunakan ListFindings API untuk dicantumkan temuan dan mendapatkan definisi JSON mereka.

    Menindaklanjuti temuan dari tampilan detail

    Anda dapat melakukan berbagai tindakan pada temuan dari tampilan detail temuan, misalnya menonaktifkan temuan. Jika Anda melihat tampilan detail temuan di di konsol Google Cloud, Anda juga dapat menambahkan mulai dari temuan hingga kueri temuan saat ini.

    Membisukan temuan di tampilan detail

    Dari tampilan detail temuan, Anda dapat membisukan atau membunyikan temuan. Anda dapat membuat aturan yang menonaktifkan semua temuan mendatang seperti temuan saat ini.

    Untuk petunjuk lengkap cara menonaktifkan temuan atau membuat aturan bisukan, lihat Menonaktifkan temuan di Security Command Center.

    Menambahkan filter atribut ke kueri dari tampilan detail

    Di konsol Google Cloud, dalam tampilan detail temuan, Anda dapat menambahkan filter untuk atribut yang ditampilkan pada kueri temuan saat ini.

    Untuk mengetahui informasi tentang cara menambahkan filter atribut ke kueri dari detail klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Dalam tampilan detail temuan, temukan atribut yang ingin Anda filter aktif.
    3. Di samping atribut, buka menu drop-down.
    4. Pilih filter standar untuk atribut. Tujuan ditambahkan ke kueri temuan di halaman Temuan.

    Konsol Security Operations

    1. Pada halaman Temuan, klik temuan untuk melihat spesifikasi pendukung.
    2. Dalam tampilan detail temuan, temukan atribut yang ingin Anda filter aktif.
    3. Di samping atribut, buka menu drop-down.
    4. Pilih filter standar untuk atribut. Tujuan ditambahkan ke kueri temuan di halaman Temuan kami.

    Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.

    Melihat atau menyalin nama API atribut dalam tampilan detail temuan

    Atribut temuan paling banyak yang ditampilkan di Konsol Google Cloud memiliki nama yang sesuai yang digunakan di Security Command Center API.

    Untuk mengetahui informasi tentang cara melihat atau menyalin nama API atribut di tampilan detail dari sebuah temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Dalam tampilan detail temuan, Anda dapat menemukan dan menyalin nama API yang sesuai dari setiap atribut temuan yang ditampilkan.
    Padanan API untuk menemukan nama atribut

    Konsol Security Operations

    1. Pada halaman Temuan, klik temuan untuk melihat spesifikasi pendukung.
    2. Dalam tampilan detail temuan, temukan atribut yang setara dengan API yang ingin Anda salin.
    3. Di samping atribut, buka menu drop-down.
    4. Klik Copy API Equivalent.

    Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.

    Membagikan tampilan detail suatu temuan

    Untuk membagikan tampilan detail temuan, Anda dapat menyalin URL detail lihat halaman untuk berbagi dengan orang lain.

    Untuk mengetahui informasi tentang cara menyalin URL tampilan detail suatu temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Klik Ambil tindakan &gt; Salin link.

    Konsol Security Operations

    1. Pada halaman Temuan, klik temuan untuk melihat spesifikasi pendukung.
    2. Klik Salin link.

    Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.

    Mengirim masukan tentang temuan ke Google Cloud

    Untuk informasi tentang cara mengirim masukan tentang temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Klik Ambil tindakan &gt; Kirim masukan.
    3. Masukkan deskripsi masukan Anda.
    4. Untuk menyertakan screenshot, klik Ambil screenshot.
    5. Klik Kirim.

    Konsol Security Operations

    Fitur ini tidak tersedia di konsol Security Operations.

    Menampilkan detail temuan lain dalam hasil kueri temuan

    Untuk melihat detail temuan yang mendahului atau mengikuti temuan yang yang sedang Anda lihat, gunakan berikutnya atau tombol sebelumnya untuk melanjutkan ke temuan berikutnya atau sebelumnya, tanpa harus kembali ke Halaman Temuan.

    Menambahkan tanda keamanan ke temuan

    Tanda keamanan adalah label nilai kunci kustom yang dapat Anda gunakan untuk menganotasi sebuah temuan, mengaitkan temuan dengan temuan lain yang membagikan tanda keamanan yang sama, dan temuan kueri.

    Untuk petunjuk lengkap guna menetapkan tanda keamanan pada temuan atau pada aset, lihat Menggunakan tanda keamanan.

    Membisukan temuan di konsol

    Anda dapat membisukan dan membunyikan temuan dari tampilan berikut:

    • Hasil kueri temuan di halaman Temuan
    • Tampilan detail temuan

    Anda dapat membisukan setiap temuan atau membuat aturan bisukan yang membisukan audio saat ini dan temuan mendatang berdasarkan filter yang Anda tentukan.

    Temuan yang dinonaktifkan disembunyikan dan disenyapkan, tetapi Anda masih dapat melihatnya dengan menambahkan filter mute="MUTED" ke kueri temuan Anda. Temuan yang dinonaktifkan akan berlanjut untuk keperluan audit dan kepatuhan.

    Untuk petunjuk mendetail tentang cara membisukan dan membunyikan temuan, lihat Menonaktifkan temuan di Security Command Center.

    Mengubah status temuan

    Temuan dapat memiliki salah satu dari dua status: Active atau Inactive.

    Status Active berarti masalah keamanan yang diidentifikasi oleh temuan itu tetap ada di lingkungan Anda sebagai potensi ancaman atau kerentanan.

    Status Inactive berarti masalah keamanan telah teratasi.

    Anda mungkin ingin mengubah status temuan karena berbagai alasan, seperti mengubah status temuan menjadi Inactive segera setelah telah ditangani, sehingga Anda tidak perlu menunggu pemindaian berikutnya untuk mengubah status keamanan untuk Anda.

    Untuk informasi tentang cara mengubah status temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di Konsol Google Cloud, buka halaman Temuan di Security Command Center.

      Buka Temuan

    2. Pilih project atau organisasi Google Cloud Anda.
    3. Di panel Hasil kueri temuan, pilih temuan
    4. Di panel tindakan pada panel Findings query results, klik Mengubah status aktif. Menu pop-up akan muncul.
    5. Di menu pop-up Change active state, pilih Active atau Tidak aktif.

    Konsol Security Operations

    Fitur ini tidak tersedia di konsol Security Operations.

    Menyesuaikan halaman Temuan

    Untuk mengontrol ruang layar, Anda dapat menyesuaikan beberapa elemen yang muncul di hasil kueri temuan.

    Menyesuaikan kolom hasil kueri

    Anda dapat menambahkan atau menghapus kolom dari hasil kueri temuan.

    Anda dapat menghapus kolom apa pun kecuali Kategori.

    Berikut contoh kolom yang tersedia:

    • Kategori: nama jenis temuan.
    • Keparahan: tingkat keseriusan temuan. Untuk mengetahui informasi selengkapnya tentang menemukan tingkat keparahan, lihat Klasifikasi tingkat keparahan untuk temuan.
    • Skor kombinasi toksik: An skor eksposur serangan pada temuan class Toxic combination.
    • Skor eksposur serangan: skor eksposur serangan dari temuan.
    • Waktu peristiwa: saat temuan pertama kali terdeteksi atau kapan terakhir diperbarui.
    • Waktu pembuatan: saat temuan dibuat di Security Command Center.
    • Finding class: class temuan, seperti THREAT, VULNERABILITY, dan MISCONFIGURATION.
    • Nama tampilan resource: nama tampilan resource tempat masalah terdeteksi.
    • Nama lengkap resource: nama lengkap resource tempat masalah terjadi terdeteksi.
    • Penyedia cloud resource: Penyedia layanan cloud tempat resource yang dihosting.
    • Jalur resource: jalur ke resource tempat masalah terjadi terdeteksi.
    • Jenis resource: jenis resource tempat masalah terdeteksi.
    • Tanda keamanan: Tanda keamanan apa pun yang ditambahkan ke temuan.

    Untuk mendapatkan informasi tentang cara menyesuaikan kolom hasil kueri temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    1. Di sebelah kanan panel tindakan Findings query results, klik Kolom.
    2. Pilih kolom yang ingin ditampilkan.
    3. Hapus pilihan untuk kolom yang ingin disembunyikan.
    4. Klik Terapkan untuk menerapkan perubahan ke Panel Hasil kueri temuan.
    Pilihan kolom dipertahankan saat berikutnya Anda melihat halaman Temuan, meskipun Anda mengubah project atau organisasi. Untuk menghapus semua kolom kustom pilihan, klik Hapus pilihan kolom.

    Konsol Security Operations

    1. Di panel tindakan Findings, klik Kelola kolom. Menu Kelola kolom akan terbuka.
    2. Pilih kolom yang ingin ditampilkan.
    3. Hapus pilihan untuk kolom yang ingin disembunyikan.
    4. Tutup menu.

    Fitur ini berada dalam Pratinjau dan tersedia untuk Khusus pelanggan Security Command Center Enterprise.

    Menyembunyikan atau menampilkan Panel halaman temuan

    Untuk mengetahui informasi tentang cara menyesuaikan panel halaman Temuan, klik tab untuk konsol yang Anda gunakan.

    Konsol Google Cloud

    Untuk menyediakan lebih banyak ruang layar untuk mengedit kueri atau melihat temuan, Anda dapat menyembunyikan atau menampilkan panel berikut:

    • Panel filter cepat
    • Panel Editor kueri

    Untuk menyembunyikan panel, klik ikon Aktifkan/nonaktifkan panel, atau .

    Untuk menampilkan panel, klik ikon lagi.

    Konsol Security Operations

    Fitur ini tidak tersedia di konsol Security Operations.

    Langkah selanjutnya