Konsol Security Command Center Enterprise

Paket Security Command Center Enterprise mencakup dua konsol: konsol Google Cloud dan konsol Security Operations.

Anda dapat login ke kedua konsol menggunakan nama pengguna dan kredensial yang sama.

Konsol Google Cloud

Konsol Google Cloud memungkinkan Anda melakukan tugas seperti berikut:

  • Aktifkan Security Command Center.
  • Siapkan izin Identity and Access Management (IAM) untuk semua pengguna Security Command Center.
  • Mengonfigurasi konektivitas AWS untuk pengelolaan kerentanan.
  • Menggunakan dan mengekspor temuan.
  • Mengelola postur keamanan.
  • Menilai risiko dengan skor eksposur serangan.
  • Identifikasi data sensitivitas tinggi dengan Sensitive Data Protection.
  • Mendeteksi dan memperbaiki setiap temuan secara langsung.
  • Konfigurasikan Security Health Analytics, Web Security Scanner, dan layanan terintegrasi Google Cloud lainnya.
  • Menilai dan melaporkan kepatuhan Anda terhadap standar keamanan atau benchmark umum.
  • Melihat dan menelusuri aset Google Cloud Anda.

Anda dapat mengakses konten Security Command Center di konsol Google Cloud dari halaman Ringkasan Risiko.

Buka Security Command Center

Gambar berikut menunjukkan konten Security Command Center di konsol Google Cloud.

Konsol Google Cloud.

Konsol Security Operations

Konsol Security Operations memungkinkan Anda melakukan tugas seperti berikut:

  • Konfigurasi konektivitas AWS untuk deteksi ancaman.
  • Konfigurasikan pengguna dan grup untuk pengelolaan insiden.
  • Konfigurasikan setelan orkestrasi, otomatisasi, dan respons keamanan (SOAR).
  • Konfigurasikan penyerapan data ke dalam informasi keamanan dan pengelolaan peristiwa (SIEM).
  • Selidiki dan perbaiki setiap temuan untuk organisasi Google Cloud dan lingkungan AWS Anda.
  • Menggunakan kasus, yang mencakup pengelompokan temuan, penetapan tiket, dan menggunakan pemberitahuan.
  • Gunakan urutan langkah otomatis yang dikenal sebagai playbook untuk memperbaiki masalah.
  • Gunakan Workdesk untuk mengelola tindakan dan tugas yang menunggu Anda dari kasus terbuka dan playbook.

Anda dapat mengakses konsol Security Operations dari https://customer_subdomain.backstory.chronicle.security, dengan customer_subdomain adalah ID khusus pelanggan Anda. Anda dapat menentukan URL menggunakan salah satu metode berikut:

  • Dalam panduan penyiapan di konsol Google Cloud, langkah 4 hingga langkah 6 akan mengalihkan Anda ke konsol Security Operations. Untuk mengakses panduan penyiapan, selesaikan langkah-langkah berikut:

    1. Buka Panduan penyiapan Security Command Center.

      Buka Panduan penyiapan

    2. Pilih organisasi tempat Security Command Center diaktifkan.

    3. Klik link di salah satu langkah berikut:

      • Langkah 4: Siapkan pengguna dan grup
      • Langkah 5: Konfigurasikan integrasi
      • Langkah 6: Konfigurasikan penyerapan log

  • Di konsol Google Cloud, klik salah satu link kasus. Untuk mengakses link kasus, selesaikan langkah-langkah berikut:

    1. Buka halaman Kerentanan menurut kasus.

      Buka Kerentanan menurut kasus

    2. Pilih organisasi tempat Security Command Center diaktifkan.

    3. Klik link apa pun di kolom Case Id di tabel Vulnerability findings.

  • Di konsol Google Cloud, akses link di halaman Setelan administrasi Google Security Operations. Metode ini mengharuskan Anda mengetahui project manajemen yang digunakan untuk mengaktifkan Security Command Center Enterprise untuk organisasi Anda.

    1. Buka halaman Google SecOps.

      Buka Google SecOps

    2. Pilih project pengelolaan organisasi Anda.

    3. Klik Buka Google Security Operations.

Gambar berikut menampilkan konsol Security Operations.

Konsol Security Operations.

Dasbor pengelolaan kerentanan

Dasbor di konsol Security Operations memberi Anda tampilan cepat tentang kasus postur dan kerentanan di seluruh lingkungan cloud Anda.

Dengan menggunakan dasbor Pengelolaan kerentanan di konsol Security Operations, Anda dapat menyelidiki kerentanan CVE yang diidentifikasi di lingkungan Google Cloud dan AWS.

Untuk melihat dasbor, buka halaman Temuan. 

  https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview/cve-vulnerabilities

Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

Jika halaman tidak muncul, pilih Posture > Overview dari navigasi, lalu pilih Vulnerability Management Dashboard dari menu.

Dalam setiap laporan, Anda dapat menggunakan filter untuk menampilkan data untuk semua penyedia cloud atau subkumpulan penyedia cloud. Dasbor ini mencakup laporan berikut:

  • Kerentanan dan eksploit umum teratas menampilkan temuan kerentanan yang dikelompokkan berdasarkan eksploitabilitas dan dampak.

    Kemungkinan nilai Kemampuan Eksploitasi adalah sebagai berikut:

    • WIDE: eksploit untuk kerentanan telah dilaporkan atau dikonfirmasi terjadi secara luas.
    • CONFIRMED: ada aktivitas eksploitasi yang dilaporkan atau dikonfirmasi terbatas untuk kerentanan tersebut.
    • AVAILABLE: eksploit tersedia secara publik untuk kerentanan ini.
    • ANTICIPATED: kerentanan tidak memiliki aktivitas eksploitasi yang diketahui, tetapi memiliki potensi eksploitasi yang tinggi.
    • NO_KNOWN: kerentanan tidak memiliki aktivitas eksploitasi yang diketahui.

    Ini adalah nilai ExploitationActivity yang ditampilkan untuk CVE oleh organizations.sources.findings API.

    Kemungkinan nilai Dampak adalah ukuran ketersediaan potensi eksploit:

    • LOW: eksploitasi akan memiliki sedikit atau tidak ada dampak keamanan.
    • MEDIUM: eksploit akan memungkinkan penyerang melakukan aktivitas, atau dapat memungkinkan penyerang memiliki dampak langsung, tetapi akan memerlukan langkah tambahan.
    • HIGH: eksploit akan memungkinkan penyerang memiliki dampak langsung yang signifikan tanpa perlu mengatasi faktor mitigasi utama.
    • CRITICAL: eksploit secara mendasar akan merusak keamanan sistem yang terpengaruh, memungkinkan pelaku melakukan serangan yang signifikan dengan sedikit upaya dan dengan sedikit atau tanpa faktor mitigasi yang harus diatasi.

    Ini adalah nilai RiskRating yang ditampilkan untuk CVE oleh organizations.sources.findings API.

    Klik sel di peta panas untuk melihat kerentanan terkait yang difilter berdasarkan kriteria yang Anda pilih.

    Kolom Resources menampilkan jumlah ID resource unik yang diidentifikasi. Kolom Temuan menampilkan jumlah total temuan yang diidentifikasi di semua resource. Setiap referensi dapat memiliki beberapa temuan. Klik nilai di kolom Temuan untuk melihat informasi mendetail tentang temuan ini.

  • Kerentanan kritis paling umum yang dapat dieksploitasi menampilkan kerentanan CVE dan jumlah ID resource unik tempat kerentanan teridentifikasi.

    Luaskan baris untuk satu ID CVE guna melihat daftar temuan terkait dan jumlah resource tempat temuan diidentifikasi. Beberapa temuan dapat diidentifikasi di satu resource. Jumlah semua jumlah resource untuk penemuan terkait mungkin lebih besar dari jumlah ID resource unik untuk ID CVE.

  • Kerentanan komputasi terbaru dengan eksploit yang diketahui menampilkan kerentanan CVE yang terkait dengan software pada instance compute dengan eksploit yang diketahui. Temuan dalam laporan ini memiliki kategori OS_VULNERABILITY dan SOFTWARE_VULNERABILITY. Tabel ini mencakup informasi berikut:

    • Tanggal rilis exploit dan Tanggal pertama tersedia: kapan exploit dirilis, dan kapan pertama kali tersedia, atau dikonfirmasi.

    • Resource yang Diekspos: jumlah resource yang diidentifikasi yang juga dikonfigurasi dalam konfigurasi nilai resource Risk Engine. Jumlah ini mencakup konfigurasi nilai resource apa pun: tinggi, sedang, atau rendah.

    • Skor eksposur serangan: kolom ini diisi jika Risk Engine menghitung nilai. Klik nilai untuk melihat detail tentang skor.

    • Virtual Machine: ID instance virtual machine. Klik nilai untuk melihat detail tentang resource di lingkungan cloud tertentu.

    • Ditemukan dalam kasus nyata dan Kemampuan eksploitasi: apakah eksploit telah ditemukan dalam kasus nyata dan ukuran aktivitas eksploitasi.

  • Container dengan kerentanan yang dapat dieksploitasi menampilkan container yang memiliki kerentanan CVE yang dapat dieksploitasi dengan aktivitas eksploitasi adalah available, confirmed, atau wide dan rating risiko adalah critical, berdasarkan penilaian Google Threat Intelligence.

    Laporan ini menyertakan detail tentang setiap penampung dan diurutkan berdasarkan skor eksposur serangan. Penampung dengan jumlah resource yang terpengaruh terbesar akan muncul di bagian atas.

    • Container: menampilkan nama penampung dan lingkungan cloud tempat penampung berjalan.

    • Image container: menampilkan nama image yang digunakan untuk men-deploy penampung.

    • Temuan: menampilkan ID CVE dan memberikan link ke detail temuan.

    • Link resource: untuk penampung yang berjalan di Google Cloud, memberikan link untuk menampilkan detail selengkapnya tentang resource. Untuk penampung yang berjalan di lingkungan cloud lain, berikan link ke lingkungan cloud lain untuk mengetahui detail selengkapnya jika memungkinkan untuk membuat link langsung.

    • Skor AES: menampilkan skor eksposur serangan. Klik skor untuk melihat jalur serangan.

Langkah selanjutnya