Halaman ini diterjemahkan oleh Cloud Translation API.

Kontrol Detektif

Kemampuan deteksi dan pemantauan ancaman disediakan menggunakan kombinasi kontrol keamanan bawaan dari Security Command Center dan solusi kustom yang memungkinkan Anda mendeteksi dan merespons peristiwa keamanan.

Logging terpusat untuk keamanan dan audit

Blueprint ini mengonfigurasi kemampuan logging untuk melacak dan menganalisis perubahan pada resource Google Cloud Anda dengan log yang digabungkan ke satu project.

Diagram berikut menunjukkan cara blueprint menggabungkan log dari beberapa sumber di beberapa project ke dalam sink log terpusat.

Struktur logging untuk example.com.

Diagram ini menjelaskan hal berikut:

Sink log dikonfigurasi di node organisasi untuk menggabungkan log dari semua project dalam hierarki resource.
Beberapa sink log dikonfigurasi untuk mengirim log yang cocok dengan filter ke tujuan yang berbeda untuk penyimpanan dan analisis.
Project prj-c-logging berisi semua resource untuk penyimpanan dan analisis log.
Secara opsional, Anda dapat mengonfigurasi alat tambahan untuk mengekspor log ke SIEM.

Blueprint ini menggunakan sumber log yang berbeda dan menyertakan log ini dalam filter sink log sehingga log dapat diekspor ke tujuan terpusat. Tabel berikut menjelaskan sumber log.

Sumber log	Deskripsi
Log audit Aktivitas Admin	Anda tidak dapat mengonfigurasi, menonaktifkan, atau mengecualikan log audit Aktivitas Admin.
Log audit Peristiwa Sistem	Anda tidak dapat mengonfigurasi, menonaktifkan, atau mengecualikan log audit Peristiwa Sistem.
Log audit Kebijakan Ditolak	Anda tidak dapat mengonfigurasi atau menonaktifkan log audit Kebijakan Ditolak, tetapi Anda dapat mengecualikannya secara opsional dengan filter pengecualian.
Log audit Akses Data	Secara default, cetak biru tidak mengaktifkan log akses data karena volume dan biaya log ini bisa tinggi. Untuk menentukan apakah Anda harus mengaktifkan log akses data, evaluasi tempat beban kerja Anda menangani data sensitif dan pertimbangkan apakah Anda memiliki persyaratan untuk mengaktifkan log akses data untuk setiap layanan dan lingkungan yang menangani data sensitif.
VPC Flow Logs	Blueprint ini mengaktifkan Log Aliran VPC untuk setiap subnet. Blueprint mengonfigurasi pengambilan sampel log untuk mengambil sampel 50% log guna mengurangi biaya. Jika Anda membuat subnet tambahan, Anda harus memastikan bahwa Log Alur VPC diaktifkan untuk setiap subnet.
Firewall Rules Logging	Blueprint ini mengaktifkan Logging Aturan Firewall untuk setiap aturan kebijakan firewall. Jika Anda membuat aturan kebijakan firewall tambahan untuk beban kerja, Anda harus memastikan bahwa Logging Aturan Firewall diaktifkan untuk setiap aturan baru.
Logging Cloud DNS	Blueprint ini mengaktifkan log Cloud DNS untuk zona terkelola. Jika membuat zona terkelola tambahan, Anda harus mengaktifkan log DNS tersebut.
Logging audit Google Workspace	Memerlukan langkah pengaktifan satu kali yang tidak diotomatiskan oleh cetak biru. Untuk mengetahui informasi selengkapnya, lihat Berbagi data dengan layanan Google Cloud .
Log Transparansi Akses	Memerlukan langkah pengaktifan satu kali yang tidak diotomatiskan oleh blueprint. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan Transparansi Akses.

Tabel berikut menjelaskan sink log dan cara penggunaannya dengan tujuan yang didukung dalam cetak biru.

Sink	Tujuan	Tujuan
`sk-c-logging-la`	Log yang diarahkan ke bucket Cloud Logging dengan Log Analytics dan set data BigQuery tertaut yang diaktifkan	Menganalisis log secara aktif. Jalankan penyelidikan ad-hoc menggunakan Logs Explorer di konsol, atau tulis kueri, laporan, dan tampilan SQL menggunakan set data BigQuery yang ditautkan.
`sk-c-logging-bkt`	Log yang dirutekan ke Cloud Storage	Menyimpan log dalam jangka panjang untuk tujuan kepatuhan, audit, dan pelacakan insiden. Jika Anda memiliki persyaratan kepatuhan untuk retensi data wajib, sebaiknya konfigurasi Bucket Lock juga.
`sk-c-logging-pub`	Log yang diarahkan ke Pub/Sub	Mengekspor log ke platform eksternal seperti SIEM yang ada. Hal ini memerlukan pekerjaan tambahan untuk berintegrasi dengan SIEM Anda, seperti mekanisme berikut: Untuk banyak alat, integrasi pihak ketiga dengan Pub/Sub adalah metode yang lebih disukai untuk menyerap log. Untuk Google Security Operations, Anda dapat menyerahkan Google Cloud data ke Google Security Operations tanpa menyediakan infrastruktur tambahan. Untuk Splunk, Anda dapat melakukan streaming log dari Google Cloud ke Splunk menggunakan Dataflow.

Sink

Tujuan

sk-c-logging-la

Log yang diarahkan ke bucket Cloud Logging dengan Log Analytics dan set data BigQuery tertaut yang diaktifkan

Menganalisis log secara aktif. Jalankan penyelidikan ad-hoc menggunakan Logs Explorer di konsol, atau tulis kueri, laporan, dan tampilan SQL menggunakan set data BigQuery yang ditautkan.

sk-c-logging-bkt

Log yang dirutekan ke Cloud Storage

Menyimpan log dalam jangka panjang untuk tujuan kepatuhan, audit, dan pelacakan insiden.

Jika Anda memiliki persyaratan kepatuhan untuk retensi data wajib, sebaiknya konfigurasi Bucket Lock juga.

sk-c-logging-pub

Log yang diarahkan ke Pub/Sub

Mengekspor log ke platform eksternal seperti SIEM yang ada.

Hal ini memerlukan pekerjaan tambahan untuk berintegrasi dengan SIEM Anda, seperti mekanisme berikut:

Untuk banyak alat, integrasi pihak ketiga dengan Pub/Sub adalah metode yang lebih disukai untuk menyerap log.
Untuk Google Security Operations, Anda dapat menyerahkan Google Cloud data ke Google Security Operations tanpa menyediakan infrastruktur tambahan.
Untuk Splunk, Anda dapat melakukan streaming log dari Google Cloud ke Splunk menggunakan Dataflow.

Untuk mendapatkan panduan tentang cara mengaktifkan jenis log tambahan dan menulis filter sink log, lihat alat cakupan log.

Pemantauan ancaman dengan Security Command Center

Sebaiknya aktifkan Security Command Center untuk mendeteksi ancaman, kerentanan, dan kesalahan konfigurasi secara otomatis di Google Cloud sumber daya Anda. Security Command Center membuat temuan keamanan dari berbagai sumber, termasuk berikut ini:

Security Health Analytics: mendeteksi kerentanan dan kesalahan konfigurasi umum di seluruh Google Cloud resource.
Eksposur jalur serangan: menampilkan jalur simulasi tentang cara penyerang dapat mengeksploitasi resource bernilai tinggi Anda, berdasarkan kerentanan dan kesalahan konfigurasi yang terdeteksi oleh sumber Security Command Center lainnya.
Event Threat Detection: menerapkan logika deteksi dan inteligensi ancaman eksklusif terhadap log Anda untuk mengidentifikasi ancaman hampir secara real time.
Container Threat Detection: mendeteksi serangan runtime container umum.
Virtual Machine Threat Detection: mendeteksi aplikasi yang berpotensi berbahaya yang berjalan di virtual machine.
Web Security Scanner: memindai kerentanan OWASP Top Ten di aplikasi yang menghadap web Anda di Compute Engine, App Engine, atau Google Kubernetes Engine.

Untuk mengetahui informasi selengkapnya tentang kerentanan dan ancaman yang ditangani oleh Security Command Center, lihat Sumber Security Command Center.

Anda harus mengaktifkan Security Command Center setelah men-deploy blueprint. Untuk mengetahui petunjuknya, lihat Ringkasan pengaktifan Security Command Center.

Setelah mengaktifkan Security Command Center, sebaiknya ekspor temuan yang dihasilkan oleh Security Command Center ke alat atau proses yang sudah ada untuk menentukan prioritas dan merespons ancaman. Cetak biru ini membuat project prj-c-scc dengan topik Pub/Sub yang akan digunakan untuk integrasi ini. Bergantung pada alat yang ada, gunakan salah satu metode berikut untuk mengekspor temuan:

Jika Anda menggunakan konsol untuk mengelola temuan keamanan secara langsung di Security Command Center, konfigurasi peran tingkat folder dan tingkat project untuk Security Command Center agar tim dapat melihat dan mengelola temuan keamanan hanya untuk project yang menjadi tanggung jawab mereka.
Jika Anda menggunakan Google SecOps sebagai SIEM, serap Google Cloud data ke Google SecOps.
Jika Anda menggunakan alat SIEM atau SOAR dengan integrasi ke Security Command Center, bagikan data dengan Cortex XSOAR, Elastic Stack, ServiceNow, Splunk, atau QRadar.
Jika Anda menggunakan alat eksternal yang dapat menyerap temuan dari Pub/Sub, konfigurasikan ekspor berkelanjutan ke Pub/Sub dan konfigurasikan alat yang ada untuk menyerap temuan dari topik Pub/Sub.

Solusi khusus untuk analisis log otomatis

Anda mungkin memiliki persyaratan untuk membuat pemberitahuan untuk peristiwa keamanan yang didasarkan pada kueri kustom terhadap log. Kueri kustom dapat membantu melengkapi kemampuan SIEM Anda dengan menganalisis log di Google Cloud dan mengekspor hanya peristiwa yang memerlukan penyelidikan, terutama jika Anda tidak memiliki kapasitas untuk mengekspor semua log cloud ke SIEM Anda.

Blueprint ini membantu mengaktifkan analisis log ini dengan menyiapkan sumber log terpusat yang dapat Anda kueri menggunakan set data BigQuery yang ditautkan. Untuk mengotomatiskan kemampuan ini, Anda harus menerapkan contoh kode di bq-log-alerting dan memperluas kemampuan dasar. Kode contoh memungkinkan Anda membuat kueri sumber log secara rutin dan mengirimkan temuan kustom ke Security Command Center.

Diagram berikut memperkenalkan alur tingkat tinggi analisis log otomatis.

Analisis logging otomatis.

Diagram tersebut menunjukkan konsep analisis log otomatis berikut:

Log dari berbagai sumber digabungkan ke dalam bucket log terpusat dengan analisis log dan set data BigQuery yang ditautkan.
Tampilan BigQuery dikonfigurasi untuk mengkueri log untuk peristiwa keamanan yang ingin Anda pantau.
Cloud Scheduler mengirim peristiwa ke topik Pub/Sub setiap 15 menit dan memicu fungsi Cloud Run.
Fungsi Cloud Run mengkueri tampilan untuk peristiwa baru. Jika menemukan peristiwa, Cloud Function akan mendorongnya ke Security Command Center sebagai temuan kustom.
Security Command Center memublikasikan notifikasi tentang temuan baru ke topik Pub/Sub lain.
Alat eksternal seperti SIEM berlangganan topik Pub/Sub untuk menyerap temuan baru.

Contoh ini memiliki beberapa kasus penggunaan untuk mengkueri potensi perilaku mencurigakan. Contohnya mencakup login dari daftar admin super atau akun dengan hak istimewa tinggi lainnya yang Anda tentukan, perubahan pada setelan logging, atau perubahan pada rute jaringan. Anda dapat memperluas kasus penggunaan dengan menulis tampilan kueri baru untuk persyaratan Anda. Tulis kueri Anda sendiri atau lihat analisis log keamanan untuk kumpulan kueri SQL yang membantu Anda menganalisis log. Google Cloud

Solusi khusus untuk merespons perubahan aset

Untuk merespons peristiwa secara real time, sebaiknya gunakan Inventaris Aset Cloud untuk memantau perubahan aset. Dalam solusi kustom ini, feed aset dikonfigurasi untuk memicu notifikasi ke Pub/Sub tentang perubahan pada resource secara real time, lalu fungsi Cloud Run menjalankan kode kustom untuk menerapkan logika bisnis Anda sendiri berdasarkan apakah perubahan harus diizinkan.

Blueprint ini memiliki contoh solusi tata kelola kustom yang memantau perubahan IAM yang menambahkan peran yang sangat sensitif, termasuk Admin Organisasi, Pemilik, dan Editor. Diagram berikut menjelaskan solusi ini.

Secara otomatis mengembalikan perubahan kebijakan IAM dan mengirim notifikasi.

Diagram sebelumnya menunjukkan konsep berikut:

Perubahan dilakukan pada kebijakan izin.
Feed Inventaris Aset Cloud mengirim notifikasi real-time tentang perubahan kebijakan izin ke Pub/Sub.
Pub/Sub memicu fungsi.
Fungsi Cloud Run menjalankan kode kustom untuk menerapkan kebijakan Anda. Contoh fungsi memiliki logika untuk menilai apakah perubahan telah menambahkan peran Admin, Pemilik, atau Editor Organisasi ke kebijakan izin. Jika ya, fungsi membuat temuan keamanan kustom dan mengirimkannya ke Security Command Center.
Secara opsional, Anda dapat menggunakan model ini untuk mengotomatiskan upaya perbaikan. Tulis logika bisnis tambahan di Cloud Run Function untuk otomatis mengambil tindakan atas temuan, seperti mengembalikan kebijakan izinkan ke status sebelumnya.

Selain itu, Anda dapat memperluas infrastruktur dan logika yang digunakan oleh solusi contoh ini untuk menambahkan respons kustom ke peristiwa lain yang penting bagi bisnis Anda.

Langkah berikutnya

Baca kontrol pencegahan (dokumen berikutnya dalam rangkaian ini).

Kontrol Detektif Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.