Halaman ini memberikan petunjuk untuk mengidentifikasi dan merespons kombinasi toksik menggunakan kasus dan temuan.
Sebelum memulai
Untuk memastikan deteksi kombinasi beracun akurat, pastikan software komponen operasi keamanan sudah yang terbaru, kumpulan resource bernilai tinggi Anda ditetapkan secara akurat, dan Anda memiliki izin IAM yang sesuai.
Mendapatkan izin yang diperlukan
Untuk menangani temuan dan kasus kombinasi beracun di konsol Google Cloud dan konsol Security Operations, Anda memerlukan izin yang diberikan kepada Anda di kedua konsol tersebut.
Peran IAM konsol Google Cloud
Make sure that you have the following role or roles on the organization:
-
Security Center Admin Viewer
(
roles/securitycenter.adminViewer
), to view assets, findings, and attack paths in Security Command Center. -
Security Center Assets Viewer
(
roles/securitycenter.assetsViewer
), to view only resources. -
Security Center Attack Paths Reader
(
roles/securitycenter.attackPathsViewer
), to view only attack paths. -
Security Center Findings Editor
(
roles/securitycenter.findingsEditor
), to view, mute, and edit findings. -
Security Center Findings Mute Setter
(
roles/securitycenter.findingsMuteSetter
), to mute findings only. -
Security Center Findings Viewer
(
roles/securitycenter.findingsViewer
), to view only findings.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Buka IAM - Pilih organisasi.
- Klik Berikan akses.
-
Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
- Pengelola Kerentanan Chronicle SOAR
- Chronicle SOAR Threat Manager
- Chronicle SOAR Admin
Semua Kasus Postur Terbuka atau Kasus Kombinasi Toksik yang Terbuka: Untuk melihat kasus kombinasi toksik yang terbuka, pilih Kombinasi Toksik dari pemilih. Widget menampilkan jumlah kasus kombinasi toksik yang terbuka di setiap tingkat prioritas. Klik panel untuk prioritas tertentu guna membuka tampilan daftar kasus.
TTR dan Tren Kasus Kombinasi Toksik: Tren untuk kasus kombinasi toksik yang terbuka dan tertutup selama rentang waktu tertentu. Tahan kursor di atas garis tren untuk melihat jumlah kasus terbuka dan tertutup tertentu untuk titik data tertentu dalam rentang waktu. Widget ini juga memberikan nilai waktu hingga perbaikan (TTR) yang menunjukkan jumlah rata-rata waktu yang diperlukan untuk menyelesaikan kasus kombinasi beracun berdasarkan rentang waktu tertentu.
Kasus Kombinasi Toksik teratas: Kasus kombinasi toksik teratas yang diurutkan berdasarkan skor eksposur serangan. Klik ID kasus untuk membuka kasus.
Kasus Kombinasi Toksik yang tidak sejalan dengan SLA: Kasus kombinasi toksik yang diurutkan berdasarkan waktu yang tersisa dalam perjanjian tingkat layanan (SLA). Klik ID kasus untuk membuka kasus.
Di konsol Security Operations, buka Kasus.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda.Halaman Kasus akan terbuka dengan tampilan Berdampingan dipilih.
Dalam daftar kasus, klik Cases filter untuk membuka panel filter. Panel Filter antrean kasus akan terbuka.
Di Case queue filter, tentukan hal berikut:
- Di kolom Rentang waktu, tentukan jangka waktu saat kasus aktif.
- Tetapkan Operator logika ke AND.
- Untuk nilai pertama di bagian Logical operator, pilih Tags dari menu.
- Untuk nilai kedua, pilih Kombinasi beracun.
- Tentukan pasangan nilai lain sesuai kebutuhan untuk menemukan kasus tertentu yang perlu Anda lihat.
- Klik Terapkan. Kasus dalam antrean kasus diperbarui untuk hanya menampilkan kasus yang cocok dengan filter yang Anda tentukan.
Dari antrean kasus, pilih kasus yang perlu Anda lihat. Informasi kasus akan ditampilkan, termasuk tampilan tab berikut:
- Tab Ringkasan kasus (): memberikan informasi tentang kasus kombinasi beracun, termasuk diagram jalur serangan yang disederhanakan, daftar temuan terkait, daftar resource yang terpengaruh, daftar kasus serupa, pemberitahuan, grafik entitas, dan lainnya.
- Tab Case wall (): berisi catatan tindakan, perubahan status, tugas, komentar, dan lainnya.
Tab Notifikasi terkait: memberikan informasi yang lebih mendetail tentang setiap temuan terkait. Informasi ditampilkan di tab berikut:
- Ringkasan: deskripsi setiap temuan dan langkah berikutnya yang dapat Anda lakukan untuk memperbaikinya.
- Peristiwa: listingan properti temuan.
- Playbook: listingan playbook terkait.
Buka halaman Kasus di konsol Security Operations.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda.Buka kasus untuk kombinasi toksik yang perlu Anda perbaiki.
Klik tab Case atau tab Alert.
Tinjau bagian Langkah berikutnya di salah satu widget berikut:
- Jika Anda mengklik tab Kasus, widget Ringkasan kasus.
- Jika Anda mengklik tab Peringatan, widget Ringkasan penemuan.
Jika perlu, scroll melewati Menemukan deskripsi untuk melihat Langkah berikutnya.
Di konsol Security Operations, buka Posture > Findings.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda.Temukan temuan kombinasi toksik dengan memilih Quick Filters atau mengedit kueri temuan.
Klik nama kategori temuan untuk membuka detail temuan. Halaman detail penemuan akan terbuka.
Di halaman detail temuan di bagian Langkah berikutnya pada tab Ringkasan, tinjau panduan perbaikan.
Di konsol Security Operations, buka Kasus.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda.Temukan dan buka kasus kombinasi toksik.
Pilih tab ringkasan kasus ():
Di bagian Temuan pada tab ringkasan kasus, tinjau temuan yang tercantum.
Klik temuan untuk menampilkan informasi ringkasan tentang temuan, termasuk ID kasus, skor eksposur serangan, dan ID tiket apa pun untuk temuan tersebut.
- Klik ID kasus temuan untuk membuka kasus dan melihat statusnya, pemilik yang ditetapkan, dan informasi kasus lainnya.
- Klik skor eksposur serangan untuk meninjau jalur serangan temuan.
- Klik ID tiket untuk membuka tiket terkait temuan.
Di konsol Security Operations, buka Kasus.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda.Temukan dan buka kasus kombinasi toksik.
Klik tab pemberitahuan terkait.
Di widget Ringkasan temuan, klik Jelajahi temuan di SCC. Penemuan kombinasi toksik akan terbuka.
Gunakan Opsi bisukan di halaman detail temuan untuk membisukan temuan.
Di konsol Security Operations, buka halaman Penelusuran SOAR.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search
Ganti
CUSTOMER_SUBDOMAIN
dengan ID khusus pelanggan Anda.Luaskan bagian Status, lalu pilih Tutup.
Luaskan bagian Tag, lalu pilih Kombinasi beracun.
Klik Terapkan. Semua kasus kombinasi toksik yang ditutup akan ditampilkan di hasil penelusuran.
Di konsol Google Cloud, buka halaman Temuan Security Command Center.
Jika perlu, pilih organisasi Google Cloud Anda.
Di bagian Finding class pada panel Quick filters, pilih Toxic combination. Panel Hasil kueri temuan diperbarui untuk hanya menampilkan temuan kombinasi beracun.
Untuk memprioritaskan temuan kombinasi toksik, urutkan temuan dalam urutan menurun berdasarkan skor, dengan mengklik judul kolom Skor kombinasi toksik.
Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.
Peran konsol Security Operations
Untuk menangani temuan dan kasus kombinasi beracun di konsol Security Operations, Anda memerlukan salah satu peran berikut:
Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan memberi otorisasi pengguna menggunakan IAM.
Menginstal kasus penggunaan operasi keamanan terbaru
Fitur kombinasi beracun memerlukan rilis kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation pada 25 Juni 2024 atau yang lebih baru.
Untuk informasi tentang cara menginstal kasus penggunaan, lihat Kasus penggunaan Update Enterprise, Juni 2024.
Menentukan set resource bernilai tinggi Anda
Anda tidak perlu mengaktifkan deteksi kombinasi beracun—deteksi ini selalu aktif. Mesin Risiko secara otomatis mendeteksi kombinasi beracun yang mengekspos set resource bernilai tinggi default.
Temuan kombinasi toksik yang dihasilkan berdasarkan kumpulan resource bernilai tinggi default kemungkinan tidak mencerminkan prioritas keamanan Anda secara akurat. Oleh karena itu, sebaiknya tentukan resource dalam set resource bernilai tinggi Anda.
Untuk menentukan resource mana yang merupakan bagian dari set resource bernilai tinggi, Anda membuat konfigurasi nilai resource di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Menentukan dan mengelola set resource bernilai tinggi.
Melihat kasus kombinasi toksik
Anda dapat melihat ringkasan semua kasus kombinasi toksik dan melihat detail setiap kasus di konsol Security Operations.
Melihat ringkasan semua kasus kombinasi toksik
Di halaman Ringkasan Postur, beberapa widget memberikan ringkasan cepat tentang kasus kombinasi beracun di lingkungan cloud Google Cloud dan Amazon Web Services (AWS) (Pratinjau). Anda dapat menemukan informasi berikut:
Anda dapat menemukan halaman Posture Overview di URL berikut:
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview
Ganti CUSTOMER_SUBDOMAIN
dengan ID khusus
pelanggan Anda.
Melihat detail kasus kombinasi toksik
Dalam tampilan daftar kasus kombinasi toksik, Anda dapat membuka detail kasus dengan mengklik ID kasus.
Memprioritaskan kasus kombinasi toksik
Secara default, kombinasi negatif diklasifikasikan sebagai temuan tingkat keparahan kritis dan kasus prioritas kritis. Oleh karena itu, kasus tersebut harus diprioritaskan daripada remidiasi kasus untuk kategori temuan postur lainnya. Kombinasi beracun mewakili jalur lengkap yang, jika penyerang yang bertekad mendapatkan akses ke lingkungan cloud Anda, penyerang dapat mengikutinya secara wajar dari internet publik ke satu atau beberapa resource dalam kumpulan resource bernilai tinggi Anda.
Bandingkan skor kombinasi beracun di halaman Temuan di konsol Google Cloud untuk membantu Anda memprioritaskan antara kasus kombinasi beracun. Di konsol Security Operations, Anda dapat melihat kasus kombinasi toksik yang memiliki skor eksposur serangan tertinggi di widget Kasus Kombinasi Toksik Teratas di halaman Ringkasan di Postur.
Anda dapat mengurutkan semua kasus kombinasi toksik berdasarkan skor eksposur serangan di halaman Kasus. Untuk informasi selengkapnya tentang cara melihat, memfilter, dan mengurutkan kasus kombinasi toksik, lihat Melihat kasus kombinasi toksik.
Memperbaiki kombinasi toksik
Anda dapat menemukan panduan untuk memperbaiki temuan kombinasi beracun dalam kasus yang dibuka untuk temuan di konsol Security Operations, atau dalam data temuan itu sendiri.
Melihat panduan perbaikan dalam kasus
Untuk melihat panduan perbaikan dalam kasus kombinasi beracun, ikuti langkah-langkah berikut:
Melihat panduan perbaikan dalam temuan kombinasi toksik
Untuk melihat panduan perbaikan dalam catatan temuan, ikuti langkah-langkah berikut:
Meninjau temuan dalam kasus kombinasi toksik
Biasanya, kombinasi toksik mencakup satu atau beberapa temuan kerentanan software atau kesalahan konfigurasi. Untuk setiap temuan ini, Security Command Center akan otomatis membuka kasus terpisah dan menjalankan playbook terkait. Anda dapat meninjau kasus untuk menemukan hal ini, dan meminta pemilik tiket untuk memprioritaskan perbaikan mereka guna menyelesaikan kombinasi toksik.
Untuk meninjau temuan dalam kombinasi beracun, ikuti langkah-langkah berikut:
Menutup kasus kombinasi toksik
Anda dapat menutup kasus untuk kombinasi beracun dengan memperbaiki kombinasi beracun yang mendasarinya atau dengan membisukan temuan kombinasi beracun di konsol Google Cloud.
Menutup kasus dengan memperbaiki kombinasi toksik
Setelah Anda memperbaiki satu atau beberapa masalah keamanan yang membentuk kombinasi beracun, sehingga tidak lagi mengekspos resource apa pun dalam kumpulan resource bernilai tinggi, Mesin Risiko akan menutup kasus kombinasi beracun secara otomatis selama simulasi jalur serangan berikutnya, yang berjalan setiap enam jam, kira-kira.
Untuk memperbaiki kombinasi beracun, ikuti panduan yang diberikan dalam kasus kombinasi beracun di Langkah berikutnya.
Untuk mengetahui informasi selengkapnya, lihat Cara memperbaiki kombinasi beracun.
Menutup kasus dengan menonaktifkan temuan
Jika risiko yang ditimbulkan oleh kombinasi toksik dapat diterima oleh bisnis Anda atau Anda tidak dapat memperbaiki kombinasi toksik, Anda dapat menutup kasus dengan menonaktifkan temuan kombinasi toksik.
Untuk membisukan temuan kombinasi beracun, ikuti langkah-langkah berikut:
Anda juga dapat membisukan temuan di konsol Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan temuan individual.
Melihat kasus kombinasi toksik yang ditutup
Saat kasus di konsol Security Operations ditutup, Security Command Center akan menghapusnya dari halaman Kasus.
Untuk melihat kasus kombinasi toksik yang ditutup, ikuti langkah-langkah berikut:
Melihat temuan kombinasi toksik
Temuan kombinasi beracun adalah data awal yang dirilis Risk Engine saat mendeteksi kombinasi beracun di lingkungan cloud Anda. Security Command Center akan otomatis membuka kasus untuk setiap temuan kombinasi toksik yang dikeluarkan Mesin Risiko.
Anda dapat melihat temuan kombinasi beracun secara langsung di konsol Google Cloud di halaman Ringkasan risiko atau di halaman Temuan.
Di halaman Ringkasan risiko, temuan kombinasi berbahaya yang memiliki skor eksposur serangan tertinggi akan ditampilkan. Setiap temuan dicantumkan dengan link ke kasus terkait di konsol Security Operations.
Untuk melihat temuan kombinasi beracun, ikuti langkah-langkah berikut: