Mengelola kombinasi negatif

Halaman ini memberikan petunjuk untuk mengidentifikasi dan merespons konten negatif kombinasi menggunakan kasus dan temuan.

Sebelum memulai

Untuk memastikan akurasi deteksi kombinasi negatif, pastikan bahwa perangkat lunak komponen operasi keamanan sudah terbaru, nilai tinggi Anda ditentukan secara akurat, dan bahwa Anda memiliki Izin IAM.

Mendapatkan izin yang diperlukan

Untuk bekerja dengan temuan dan kasus kombinasi yang toksik di seluruh Anda memerlukan izin untuk Konsol Google Cloud dan konsol Security Operations yang diberikan kepada Anda di kedua konsol.

Peran IAM di Konsol Google Cloud

Pastikan Anda memiliki peran berikut di organisasi:

• Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
• Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
• Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
• Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
• Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
• Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Memeriksa peran

1. Di konsol Google Cloud, buka halaman IAM.

   Buka IAM
2. Pilih organisasi.

3. Di kolom Akun utama, cari baris yang berisi alamat email Anda.

   Jika alamat email Anda tidak ada di kolom tersebut, berarti Anda tidak memiliki peran apa pun.

4. Di kolom Peran untuk baris yang berisi alamat email Anda, periksa apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

1. Di konsol Google Cloud, buka halaman IAM.

   Buka IAM
2. Pilih organisasi.
3. Klik person_add Berikan akses.
4. Di kolom Akun utama baru, masukkan alamat email Anda.
5. Di daftar Pilih peran, pilih peran.
6. Untuk memberikan peran tambahan, klik add Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
7. Klik Simpan.

Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.

Peran konsol Security Operations

Untuk bekerja dengan temuan dan kasus kombinasi yang toksik di Konsol Security Operations, Anda memerlukan salah satu peran berikut:

• Pengelola Kerentanan Chronicle SOAR
• Chronicle SOAR Threat Manager
• Admin Chronicle SOAR

Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan memberikan otorisasi kepada pengguna menggunakan IAM.

Menginstal kasus penggunaan operasi keamanan terbaru

Fitur kombinasi negatif memerlukan rilis 25 Juni 2024 atau yang lebih baru kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation.

Untuk mengetahui informasi tentang cara menginstal kasus penggunaan, lihat Perbarui kasus penggunaan Enterprise, Juni 2024.

Menentukan resource mana yang bernilai tinggi

Anda tidak perlu mengaktifkan deteksi kombinasi negatif, karena tetapi Anda perlu menentukan resource cloud mana yang bernilai tinggi.

Sampai Anda menentukan resource mana yang merupakan resource bernilai tinggi, Mesin Risiko mendeteksi kombinasi beracun yang mengekspos untuk set resource default bernilai tinggi.

Temuan kombinasi toksik yang dihasilkan berdasarkan default set resource bernilai tinggi cenderung tidak mencerminkan prioritas keamanan.

Untuk menentukan resource mana yang merupakan resource bernilai tinggi, Anda harus membuat konfigurasi nilai resource di Konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Tentukan dan kelola set resource bernilai tinggi.

Lihat kasus kombinasi negatif

Anda dapat melihat ringkasan semua kasus kombinasi negatif dan melihat detail dari setiap kasus di konsol Security Operations.

Lihat ringkasan semua kasus kombinasi negatif

Di halaman Ringkasan Postur, beberapa widget memberi Anda ringkasan kasus kombinasi negatif di lingkungan cloud Anda. Anda dapat temukan informasi berikut:

• Kasus Kombinasi Toksik yang Terbuka: Jumlah kombinasi negatif yang terbuka kasus di setiap tingkat prioritas. Klik panel untuk prioritas tertentu untuk membuka tampilan daftar kasus.
• Kasus Kombinasi Toksik Teratas: Kasus kombinasi toksik teratas diurutkan berdasarkan skor eksposur serangan. Klik ID kasus untuk membuka kasus.
• Kasus Kombinasi Toksik yang melebihi SLA: Kasus kombinasi negatif diurutkan berdasarkan waktu yang tersisa dalam perjanjian tingkat layanan (SLA). Klik ID kasus untuk membuka kasus.

Anda dapat menemukan halaman Ringkasan Postur di URL berikut:

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan.

Lihat detail kasus kombinasi negatif

Dalam tampilan daftar kasus kombinasi negatif, Anda dapat membuka detail kasus dengan mengklik ID kasus.

1. Di konsol Security Operations, buka Cases.

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
   

   Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan.

   Halaman Cases akan terbuka dengan tampilan Side-by-Side yang dipilih.

2. Di bagian atas daftar kasus, klik ikon filter, , untuk membuka panel filter. Panel Filter antrean kasus akan terbuka.

3. Pada Filter antrean kasus, tentukan hal berikut:

   1. Dalam kolom Jangka Waktu, tentukan jangka waktu untuk kasus tersebut aktif.
   2. Tetapkan Logical operator ke AND.
   3. Untuk nilai pertama di bagian Operator logika, pilih Tag dari menu.
   4. Untuk nilai kedua, pilih Kombinasi toksik.
   5. Tentukan pasangan nilai lain yang diperlukan untuk menemukan kasus tertentu yang Anda perlu dilihat.
   6. Klik Terapkan. Kasus dalam antrean kasus akan diperbarui agar hanya menampilkan kasus yang sesuai dengan filter yang Anda tentukan.

4. Dari antrean kasus, pilih kasus yang perlu Anda lihat. Informasi kasus layar, termasuk tampilan dengan tab berikut:

   • Tab Case Overview () memberikan informasi tentang toksisitas yang sederhana, termasuk diagram jalur serangan yang disederhanakan, daftar temuan terkait, daftar kasus serupa, pemberitahuan, grafik entity, dan lain-lain.
   • Tab Case Wall () berisi catatan tindakan, perubahan status, tugas, komentar, dan lain-lain.
   • Tab Menemukan pemberitahuan memberikan informasi yang lebih mendetail tentang kombinasi negatif, termasuk yang berikut ini:
     • Di bagian Ringkasan, deskripsi kombinasi negatif dan langkah selanjutnya yang dapat Anda ambil untuk memperbaiki kombinasi negatif tersebut.
     • Di bagian Peristiwa, listingan properti temuan.
     • Di bagian Playbook, listingan playbook terkait.

Memprioritaskan kasus kombinasi negatif

Untuk memprioritaskan kasus kombinasi negatif dibandingkan dengan kasus postur lainnya, bandingkan skor eksposur serangannya.

Secara umum, prioritaskan perbaikan kasus kombinasi negatif daripada perbaikan kasus untuk kategori temuan postur lain, kecuali jika serangan skor eksposur pada kasus untuk kategori temuan lain secara signifikan lebih tinggi daripada skor kasus kombinasi negatif.

Kasus kombinasi toksik harus diprioritaskan lebih tinggi karena bersifat negatif kombinasi mewakili jalur lengkap yang, jika penyerang yang ditetapkan mendapatkan akses ke lingkungan {i>cloud<i} Anda, penyerang dapat secara wajar mengikuti dari internet publik ke satu atau beberapa sumber daya bernilai tinggi Anda.

Di konsol Security Operations, Anda dapat melihat yang memiliki skor eksposur serangan tertinggi di Widget Kasus Kombinasi Toksik Teratas di halaman Ringkasan di bagian Postur.

Anda dapat mengurutkan semua kasus kombinasi toksik berdasarkan eksposur serangan di halaman Cases. Untuk informasi selengkapnya tentang menampilkan, memfilter, dan menyortir kasus kombinasi beracun, lihat Melihat kasus kombinasi negatif.

Mengatasi kombinasi negatif

Anda dapat menemukan panduan untuk memperbaiki temuan kombinasi yang negatif di yang dibuka untuk temuan di konsol Security Operations, atau dalam rekaman temuan itu sendiri.

Melihat panduan perbaikan dalam kasus

Untuk melihat panduan perbaikan dalam kasus kombinasi negatif, ikuti langkah-langkah berikut:

1. Buka halaman Cases di konsol Security Operations.

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
   

   Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan.

2. Buka kasus untuk kombinasi negatif yang perlu Anda perbaiki.

3. Klik tab Kasus atau tab Pemberitahuan.

4. Tinjau bagian Langkah berikutnya di salah satu widget berikut:

   • Jika Anda mengklik tab Case, widget Case summary.
   • Jika Anda mengklik tab Alert, widget Finding summary.

   Jika perlu, scroll melewati Deskripsi temuan untuk melihat Langkah berikutnya.

Lihat panduan perbaikan dalam temuan kombinasi yang negatif

Untuk melihat panduan perbaikan dalam data temuan, ikuti langkah-langkah berikut:

1. Di konsol Security Operations, buka Posture > Temuan.

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
   

   Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan.

2. Temukan temuan kombinasi negatif dengan memilih Filter Cepat atau mengedit kueri temuan.

3. Klik nama kategori temuan untuk membuka detail temuan. Temuan halaman detail akan terbuka.

4. Di halaman detail temuan di bagian Langkah berikutnya dalam Tab Ringkasan, tinjau panduan perbaikan.

Meninjau temuan dalam kasus kombinasi negatif

Biasanya, kombinasi yang negatif mencakup satu atau lebih temuan dari suatu perangkat lunak kerentanan atau kesalahan konfigurasi. Untuk setiap temuan ini, Security Command Center otomatis membuka kasus terpisah dan menjalankan playbook terkait. Anda dapat meninjau kasus untuk temuan ini, dan meminta pemilik tiket untuk memprioritaskan perbaikan mereka agar dari kombinasi yang negatif.

Untuk meninjau temuan dalam kombinasi yang negatif, ikuti langkah-langkah berikut:

1. Di konsol Security Operations, buka Cases.

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
   

   Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan.

2. Temukan dan buka kasus kombinasi {i>toxic<i} (toksik).

3. Pilih tab ringkasan kasus ().

4. Di bagian Temuan pada tab ringkasan kasus, tinjau temuan yang tercantum temuan proyek.

5. Klik temuan untuk menampilkan informasi ringkasan tentang temuan tersebut, termasuk ID kasus, skor eksposur serangan, dan ID tiket apa pun untuk temuan tersebut.

   • Klik ID kasus dari temuan untuk membuka kasus dan melihat statusnya. pemilik yang ditetapkan, dan informasi kasus lainnya.
   • Klik skor eksposur serangan untuk meninjau jalur serangan guna menemukan temuan.
   • Klik ID tiket untuk membuka tiket untuk temuan.

Tutup kasus kombinasi negatif

Anda dapat menutup kasus untuk kombinasi negatif dengan memperbaiki kombinasi toksik yang mendasarinya atau dengan membisukan temuan kombinasi toksik di konsol Google Cloud.

Menutup kasus dengan memperbaiki kombinasi negatif

Setelah Anda memperbaiki satu atau beberapa masalah keamanan yang menimbulkan yang negatif, sehingga tidak lagi mengekspos sumber daya bernilai tinggi, Risk Engine menutup kasus kombinasi {i>toxic<i} (toksik) secara otomatis selama simulasi jalur serangan berikutnya, yang berjalan setiap enam jam, kurang lebih.

Untuk mengatasi kombinasi negatif, ikuti panduan disertakan dalam kasus kombinasi negatif di bagian Langkah berikutnya.

Untuk informasi selengkapnya, lihat Cara memperbaiki kombinasi negatif.

Menutup kasus dengan menonaktifkan temuan

Jika risiko yang ditimbulkan oleh kombinasi negatif dapat diterima oleh bisnis atau Anda tidak dapat memulihkan kombinasi yang negatif, Anda dapat menutup kasus ini dengan menonaktifkan temuan kombinasi negatif.

Untuk membisukan temuan kombinasi negatif, ikuti langkah-langkah berikut:

1. Di konsol Security Operations, buka Cases.

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
   

   Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan.

2. Temukan dan buka kasus kombinasi {i>toxic<i} (toksik).

3. Pilih tab pemberitahuan penemuan.

4. Di sudut kanan bawah widget Finding summary, klik Eksplorasi. Temuan kombinasi negatif akan terbuka.

5. Gunakan Opsi bisukan di pojok kanan atas temuan untuk menonaktifkan temuan tersebut.

Anda juga dapat membisukan temuan di Konsol Google Cloud. Untuk selengkapnya informasi selengkapnya, lihat Menonaktifkan data temuan.

Melihat kasus kombinasi negatif tertutup

Saat kasus di konsol Security Operations ditutup, Security Command Center menghapusnya dari halaman Cases.

Untuk melihat kasus kombinasi negatif yang sudah ditutup, ikuti langkah-langkah berikut:

1. Di konsol Security Operations, buka halaman SOAR Search.

   https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search
   

   Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan.

2. Di sebelah kiri halaman, pada bagian Status, tentukan Closed.

3. Di bagian Tag, tentukan Kombinasi toksik.

4. Klik Terapkan. Setiap kasus kombinasi negatif tertutup ditampilkan di hasil penelusuran.

Lihat temuan kombinasi negatif

Temuan kombinasi yang toksik adalah catatan awal yang Risk Engine mengalami masalah saat mendeteksi kombinasi beracun di lingkungan cloud Anda. Security Command Center otomatis membuka kasus untuk setiap kombinasi negatif yang menemukan masalah Mesin Risiko tersebut.

Anda dapat melihat temuan kombinasi negatif secara langsung di Konsol Google Cloud di halaman Ringkasan risiko atau di Temuan.

Di halaman Ringkasan risiko, temuan kombinasi negatif yang memiliki yang ditampilkan adalah skor eksposur serangan tertinggi. Masing-masing temuan ini dicantumkan dengan tautan ke kasus yang sesuai di konsol Security Operations.

Untuk melihat temuan kombinasi yang negatif, ikuti langkah-langkah berikut:

1. Di Konsol Google Cloud, buka Temuan Security Command Center kami.

   Buka Temuan

2. Jika perlu, pilih organisasi Google Cloud Anda.

3. Di bagian Menemukan class pada panel Filter cepat, pilih Kombinasi toksik. Panel Hasil kueri temuan pembaruan yang hanya menampilkan temuan kombinasi yang negatif.

4. Untuk memprioritaskan temuan kombinasi yang {i>toksik<i}, urutkan temuan dalam urutan menurun berdasarkan skor, dengan mengklik Skor kombinasi toksik judul kolom.