Mengelola kombinasi toksik

Halaman ini memberikan petunjuk untuk mengidentifikasi dan merespons kombinasi toksik menggunakan kasus dan temuan.

Sebelum memulai

Untuk memastikan bahwa deteksi kombinasi beracun akurat, pastikan software komponen operasi keamanan sudah yang terbaru, kumpulan resource bernilai tinggi Anda ditetapkan secara akurat, dan Anda memiliki izin IAM yang sesuai.

Mendapatkan izin yang diperlukan

Untuk menangani temuan dan kasus kombinasi beracun di konsol Google Cloud dan konsol Security Operations, Anda memerlukan izin yang diberikan kepada Anda di kedua konsol tersebut.

Peran IAM konsol Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.

  4. Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.

  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.

    8. Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.

    Peran konsol Security Operations

    Untuk menangani temuan dan kasus kombinasi beracun di konsol Security Operations, Anda memerlukan salah satu peran berikut:

    • Pengelola Kerentanan Chronicle SOAR
    • Chronicle SOAR Threat Manager
    • Chronicle SOAR Admin

    Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan memberi otorisasi pengguna menggunakan IAM.

    Menginstal kasus penggunaan operasi keamanan terbaru

    Fitur kombinasi beracun memerlukan rilis 25 Juni 2024 atau yang lebih baru dari kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation.

    Untuk informasi tentang cara menginstal kasus penggunaan, lihat Kasus penggunaan Update Enterprise, Juni 2024.

    Menentukan set resource bernilai tinggi Anda

    Anda tidak perlu mengaktifkan deteksi kombinasi beracun—deteksi ini selalu aktif. Mesin Risiko secara otomatis mendeteksi kombinasi beracun yang mengekspos set resource bernilai tinggi default.

    Temuan kombinasi toksik yang dihasilkan berdasarkan kumpulan resource bernilai tinggi default kemungkinan tidak mencerminkan prioritas keamanan Anda secara akurat. Oleh karena itu, sebaiknya tentukan resource dalam set resource bernilai tinggi Anda.

    Untuk menentukan resource mana yang merupakan bagian dari set resource bernilai tinggi, Anda membuat konfigurasi nilai resource di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Menentukan dan mengelola set resource bernilai tinggi.

    Melihat kasus kombinasi toksik

    Anda dapat melihat ringkasan semua kasus kombinasi toksik dan melihat detail setiap kasus di konsol Security Operations.

    Melihat ringkasan semua kasus kombinasi toksik

    Di halaman Ringkasan Postur, beberapa widget memberikan ringkasan cepat tentang kasus kombinasi beracun di lingkungan cloud Google Cloud dan Amazon Web Services (AWS) (Pratinjau). Anda dapat menemukan informasi berikut:

    • Semua Kasus Postur Terbuka atau Kasus Kombinasi Toksik Terbuka: Untuk melihat kasus kombinasi toksik yang terbuka, pilih Kombinasi Toksik dari pemilih. Widget menampilkan jumlah kasus kombinasi toksik yang terbuka di setiap tingkat prioritas. Klik panel untuk prioritas tertentu guna membuka tampilan daftar kasus.

    • TTR dan Tren Kasus Kombinasi Toksik: Tren untuk kasus kombinasi toksik yang terbuka dan tertutup selama rentang waktu tertentu. Tahan kursor di atas garis tren untuk melihat jumlah kasus terbuka dan tertutup tertentu untuk titik data tertentu dalam rentang waktu. Widget ini juga memberikan nilai waktu hingga perbaikan (TTR) yang menunjukkan jumlah rata-rata waktu yang diperlukan untuk menyelesaikan kasus kombinasi beracun berdasarkan rentang waktu tertentu.

    • Kasus Kombinasi Toksik teratas: Kasus kombinasi toksik teratas yang diurutkan berdasarkan skor eksposur serangan. Klik ID kasus untuk membuka kasus.

    • Kasus Kombinasi Toksik yang tidak sejalan dengan SLA: Kasus kombinasi toksik yang diurutkan berdasarkan waktu yang tersisa dalam perjanjian tingkat layanan (SLA)-nya. Klik ID kasus untuk membuka kasus.

    Anda dapat menemukan halaman Posture Overview di URL berikut:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

    Melihat detail kasus kombinasi toksik

    Dalam tampilan daftar kasus kombinasi toksik, Anda dapat membuka detail kasus dengan mengklik ID kasus.

    1. Di konsol Security Operations, buka Kasus.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

      Halaman Kasus akan terbuka dengan tampilan Berdampingan dipilih.

    2. Di bagian atas daftar kasus, klik ikon filter, , untuk membuka panel filter. Panel Filter antrean kasus akan terbuka.

    3. Di Case queue filter, tentukan hal berikut:

      1. Di kolom Rentang Waktu, tentukan jangka waktu saat kasus aktif.
      2. Tetapkan Operator logika ke AND.
      3. Untuk nilai pertama di bagian Logical operator, pilih Tags dari menu.
      4. Untuk nilai kedua, pilih Kombinasi beracun.
      5. Tentukan pasangan nilai lain sesuai kebutuhan untuk menemukan kasus tertentu yang perlu Anda lihat.
      6. Klik Terapkan. Kasus dalam antrean kasus diperbarui untuk hanya menampilkan kasus yang cocok dengan filter yang Anda tentukan.

    4. Dari antrean kasus, pilih kasus yang perlu Anda lihat. Informasi kasus akan ditampilkan, termasuk tampilan tab berikut:

      • Tab Ringkasan kasus (): memberikan informasi tentang kasus kombinasi toksik, termasuk diagram jalur serangan yang disederhanakan, daftar temuan terkait, daftar resource yang terpengaruh, daftar kasus serupa, notifikasi, grafik entitas, dan lainnya.
      • Tab Case wall (): berisi catatan tindakan, perubahan status, tugas, komentar, dan lainnya.
      • Tab Notifikasi terkait: memberikan informasi yang lebih mendetail tentang setiap temuan terkait, termasuk hal berikut:
        • Di bagian Ringkasan, terdapat deskripsi setiap temuan dan langkah berikutnya yang dapat Anda lakukan untuk memperbaikinya.
        • Di bagian Peristiwa, listingan properti temuan.
        • Di bagian Playbook, listingan playbook terkait.

    Memprioritaskan kasus kombinasi toksik

    Secara default, kombinasi negatif diklasifikasikan sebagai temuan tingkat keparahan kritis dan kasus prioritas kritis. Oleh karena itu, kasus tersebut harus diprioritaskan daripada remidiasi kasus untuk kategori temuan postur lainnya. Kombinasi beracun mewakili jalur lengkap yang, jika penyerang yang bertekad mendapatkan akses ke lingkungan cloud Anda, penyerang dapat mengikutinya secara wajar dari internet publik ke satu atau beberapa resource dalam kumpulan resource bernilai tinggi Anda.

    Bandingkan skor kombinasi beracun di halaman Temuan di Konsol Google Cloud untuk membantu Anda memprioritaskan antara kasus kombinasi beracun. Di konsol Security Operations, Anda dapat melihat kasus kombinasi toksik yang memiliki skor eksposur serangan tertinggi di widget Kasus Kombinasi Toksik teratas di halaman Ringkasan pada bagian Postur.

    Anda dapat mengurutkan semua kasus kombinasi toksik menurut skor eksposur serangan di halaman Kasus. Untuk informasi selengkapnya tentang cara melihat, memfilter, dan mengurutkan kasus kombinasi toksik, lihat Melihat kasus kombinasi toksik.

    Memperbaiki kombinasi toksik

    Anda dapat menemukan panduan untuk memperbaiki temuan kombinasi beracun dalam kasus yang dibuka untuk temuan tersebut di konsol Security Operations, atau dalam data temuan itu sendiri.

    Melihat panduan perbaikan dalam kasus

    Untuk melihat panduan perbaikan dalam kasus kombinasi toksik, ikuti langkah-langkah berikut:

    1. Buka halaman Kasus di konsol Security Operations.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

    2. Buka kasus untuk kombinasi toksik yang perlu Anda perbaiki.

    3. Klik tab Case atau tab Alert.

    4. Tinjau bagian Langkah berikutnya di salah satu widget berikut:

      • Jika Anda mengklik tab Kasus, widget Ringkasan kasus.
      • Jika Anda mengklik tab Peringatan, widget Ringkasan penemuan.

      Jika perlu, scroll melewati Menemukan deskripsi untuk melihat Langkah berikutnya.

    Melihat panduan perbaikan dalam temuan kombinasi toksik

    Untuk melihat panduan perbaikan dalam catatan temuan, ikuti langkah-langkah berikut:

    1. Di konsol Security Operations, buka Posture > Findings.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

    2. Temukan temuan kombinasi beracun dengan memilih Filter Cepat atau mengedit kueri temuan.

    3. Klik nama kategori temuan untuk membuka detail temuan. Halaman detail penemuan akan terbuka.

    4. Di halaman detail temuan di bagian Langkah berikutnya pada tab Ringkasan, tinjau panduan perbaikan.

    Meninjau temuan dalam kasus kombinasi toksik

    Biasanya, kombinasi toksik mencakup satu atau beberapa temuan kerentanan software atau kesalahan konfigurasi. Untuk setiap temuan ini, Security Command Center akan otomatis membuka kasus terpisah dan menjalankan playbook terkait. Anda dapat meninjau kasus untuk temuan ini, dan meminta pemilik tiket untuk memprioritaskan perbaikan mereka guna menyelesaikan kombinasi toksik.

    Untuk meninjau temuan dalam kombinasi beracun, ikuti langkah-langkah berikut:

    1. Di konsol Security Operations, buka Kasus.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

    2. Temukan dan buka kasus kombinasi toksik.

    3. Pilih tab ringkasan kasus ().

    4. Di bagian Temuan pada tab ringkasan kasus, tinjau temuan yang tercantum.

    5. Klik temuan untuk menampilkan informasi ringkasan tentang temuan tersebut, termasuk ID kasus, skor eksposur serangan, dan ID tiket apa pun untuk temuan tersebut.

      • Klik ID kasus temuan untuk membuka kasus dan melihat statusnya, pemilik yang ditetapkan, dan informasi kasus lainnya.
      • Klik skor eksposur serangan untuk meninjau jalur serangan temuan.
      • Klik ID tiket untuk membuka tiket terkait temuan.

    Menutup kasus kombinasi toksik

    Anda dapat menutup kasus untuk kombinasi beracun dengan memperbaiki kombinasi beracun yang mendasarinya atau dengan membisukan temuan kombinasi beracun di konsol Google Cloud.

    Menutup kasus dengan memperbaiki kombinasi toksik

    Setelah Anda memperbaiki satu atau beberapa masalah keamanan yang membentuk kombinasi beracun, sehingga tidak lagi mengekspos resource apa pun dalam kumpulan resource bernilai tinggi, Mesin Risiko akan menutup kasus kombinasi beracun secara otomatis selama simulasi jalur serangan berikutnya, yang berjalan setiap enam jam, kira-kira.

    Untuk memperbaiki kombinasi beracun, ikuti panduan yang diberikan dalam kasus kombinasi beracun di bagian Langkah berikutnya.

    Untuk mengetahui informasi selengkapnya, lihat Cara memperbaiki kombinasi beracun.

    Menutup kasus dengan menonaktifkan temuan

    Jika risiko yang ditimbulkan oleh kombinasi toksik dapat diterima oleh bisnis Anda atau Anda tidak dapat memperbaiki kombinasi toksik, Anda dapat menutup kasus dengan membisukan temuan kombinasi toksik.

    Untuk membisukan temuan kombinasi beracun, ikuti langkah-langkah berikut:

    1. Di konsol Security Operations, buka Kasus.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

    2. Temukan dan buka kasus kombinasi toksik.

    3. Pilih tab pemberitahuan temuan.

    4. Di pojok kanan bawah widget Ringkasan penemuan, klik Jelajahi. Temuan kombinasi toksik akan terbuka.

    5. Gunakan Opsi bisukan di sudut kanan atas halaman detail temuan untuk membisukan temuan.

    Anda juga dapat membisukan temuan di konsol Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan temuan individual.

    Melihat kasus kombinasi toksik yang ditutup

    Saat kasus di konsol Security Operations ditutup, Security Command Center akan menghapusnya dari halaman Kasus.

    Untuk melihat kasus kombinasi toksik yang ditutup, ikuti langkah-langkah berikut:

    1. Di konsol Security Operations, buka halaman Penelusuran SOAR.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

    2. Di sisi kiri halaman, pada bagian Status, tentukan Ditutup.

    3. Di bagian Tags, tentukan Toxic combination.

    4. Klik Terapkan. Semua kasus kombinasi toksik yang ditutup akan ditampilkan di hasil penelusuran.

    Melihat temuan kombinasi toksik

    Temuan kombinasi beracun adalah data awal yang dirilis Risk Engine saat mendeteksi kombinasi beracun di lingkungan cloud Anda. Security Command Center akan otomatis membuka kasus untuk setiap temuan kombinasi toksik yang dikeluarkan Mesin Risiko.

    Anda dapat melihat temuan kombinasi beracun secara langsung di konsol Google Cloud pada halaman Ringkasan risiko atau di halaman Temuan.

    Di halaman Ringkasan risiko, temuan kombinasi toksik yang memiliki skor eksposur serangan tertinggi akan ditampilkan. Setiap temuan dicantumkan dengan link ke kasus yang sesuai di konsol Security Operations.

    Untuk melihat temuan kombinasi beracun, ikuti langkah-langkah berikut:

    1. Di konsol Google Cloud, buka halaman Temuan Security Command Center.

      Buka Temuan

    2. Jika perlu, pilih organisasi Google Cloud Anda.

    3. Di bagian Finding class pada panel Quick filters, pilih Toxic combination. Panel Hasil kueri temuan diperbarui untuk hanya menampilkan temuan kombinasi beracun.

    4. Untuk memprioritaskan temuan kombinasi toksik, urutkan temuan dalam urutan menurun berdasarkan skor, dengan mengklik judul kolom Skor kombinasi toksik.