Kontrol Detektif

Last reviewed 2025-05-15 UTC

Kemampuan deteksi dan pemantauan ancaman disediakan menggunakan kombinasi kontrol keamanan bawaan dari Security Command Center dan solusi kustom yang memungkinkan Anda mendeteksi dan merespons peristiwa keamanan.

Logging terpusat untuk keamanan dan audit

Blueprint ini mengonfigurasi kemampuan logging untuk melacak dan menganalisis perubahan pada resource Google Cloud Anda dengan log yang diagregasi ke satu project.

Diagram berikut menunjukkan cara blueprint menggabungkan log dari beberapa sumber di beberapa project ke dalam sink log terpusat.

Struktur logging untuk example.com.

Diagram ini menjelaskan hal berikut:

Sink log dikonfigurasi di node organisasi untuk menggabungkan log dari semua project dalam hierarki resource.
Beberapa sink log dikonfigurasi untuk mengirim log yang cocok dengan filter ke tujuan yang berbeda untuk penyimpanan dan analisis.
Project prj-c-logging berisi semua resource untuk penyimpanan dan analisis log.
Secara opsional, Anda dapat mengonfigurasi alat tambahan untuk mengekspor log ke SIEM.

Blueprint ini menggunakan sumber log yang berbeda dan menyertakan log ini dalam filter sink log sehingga log dapat diekspor ke tujuan terpusat. Tabel berikut menjelaskan sumber log.

Sumber log	Deskripsi
Log audit Aktivitas Admin	Anda tidak dapat mengonfigurasi, menonaktifkan, atau mengecualikan log audit Aktivitas Admin.
Log audit Peristiwa Sistem	Anda tidak dapat mengonfigurasi, menonaktifkan, atau mengecualikan log audit Peristiwa Sistem.
Log audit Kebijakan Ditolak	Anda tidak dapat mengonfigurasi atau menonaktifkan log audit Kebijakan Ditolak, tetapi Anda dapat mengecualikannya secara opsional dengan filter pengecualian.
Log audit Akses Data	Secara default, blueprint tidak mengaktifkan log akses data karena volume dan biaya log ini dapat menjadi tinggi. Untuk menentukan apakah Anda harus mengaktifkan log akses data, evaluasi tempat workload Anda menangani data sensitif dan pertimbangkan apakah Anda memiliki persyaratan untuk mengaktifkan log akses data untuk setiap layanan dan lingkungan yang menangani data sensitif.
VPC Flow Logs	Blueprint ini mengaktifkan VPC Flow Logs untuk setiap subnet. Blueprint ini mengonfigurasi pengambilan sampel log untuk mengambil sampel 50% log guna mengurangi biaya. Jika membuat subnet tambahan, Anda harus memastikan bahwa VPC Flow Logs diaktifkan untuk setiap subnet.
Format logging aturan kebijakan firewall.	Blueprint ini mengaktifkan Firewall Rules Logging untuk setiap aturan kebijakan firewall. Jika membuat aturan kebijakan firewall tambahan untuk workload, Anda harus memastikan bahwa Firewall Rules Logging diaktifkan untuk setiap aturan baru.
Logging Cloud DNS	Blueprint ini mengaktifkan log Cloud DNS untuk zona terkelola. Jika membuat zona terkelola tambahan, Anda harus mengaktifkan log DNS tersebut.
Logging audit Google Workspace	Memerlukan langkah pengaktifan satu kali yang tidak diotomatiskan oleh blueprint. Untuk mengetahui informasi selengkapnya, lihat Berbagi data dengan Google Cloud layanan.
Log Transparansi Akses	Memerlukan langkah pengaktifan satu kali yang tidak diotomatiskan oleh blueprint. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan Transparansi Akses.

Tabel berikut menjelaskan sink log dan cara penggunaannya dengan tujuan yang didukung dalam blueprint.

Sink	Tujuan	Tujuan
`sk-c-logging-la`	Log yang dirutekan ke bucket Cloud Logging dengan Log Analytics dan set data BigQuery tertaut diaktifkan	Menganalisis log secara aktif. Menjalankan penyelidikan ad hoc menggunakan Logs Explorer di konsol, atau menulis kueri SQL, laporan, dan tampilan menggunakan set data BigQuery tertaut.
`sk-c-logging-bkt`	Log yang dirutekan ke Cloud Storage	Menyimpan log dalam jangka panjang untuk tujuan kepatuhan, audit, dan pelacakan insiden. Secara opsional, jika Anda memiliki persyaratan kepatuhan untuk retensi data wajib, sebaiknya konfigurasi Bucket Lock tambahan.
`sk-c-logging-pub`	Log yang dirutekan ke Pub/Sub	Mengekspor log ke platform eksternal seperti SIEM yang ada. Hal ini memerlukan pekerjaan tambahan untuk berintegrasi dengan SIEM Anda, seperti mekanisme berikut: Untuk banyak alat, integrasi pihak ketiga dengan Pub/Sub adalah metode yang lebih disukai untuk menyerap log. Untuk Google Security Operations, Anda dapat menyerap Google Cloud data ke Google Security Operations tanpa menyediakan infrastruktur tambahan. Untuk Splunk, Anda dapat melakukan streaming log dari Google Cloud ke Splunk menggunakan Dataflow.

Sink

Tujuan

sk-c-logging-la

Log yang dirutekan ke bucket Cloud Logging dengan Log Analytics dan set data BigQuery tertaut diaktifkan

Menganalisis log secara aktif. Menjalankan penyelidikan ad hoc menggunakan Logs Explorer di konsol, atau menulis kueri SQL, laporan, dan tampilan menggunakan set data BigQuery tertaut.

sk-c-logging-bkt

Log yang dirutekan ke Cloud Storage

Menyimpan log dalam jangka panjang untuk tujuan kepatuhan, audit, dan pelacakan insiden.

Secara opsional, jika Anda memiliki persyaratan kepatuhan untuk retensi data wajib, sebaiknya konfigurasi Bucket Lock tambahan.

sk-c-logging-pub

Log yang dirutekan ke Pub/Sub

Mengekspor log ke platform eksternal seperti SIEM yang ada.

Hal ini memerlukan pekerjaan tambahan untuk berintegrasi dengan SIEM Anda, seperti mekanisme berikut:

Untuk banyak alat, integrasi pihak ketiga dengan Pub/Sub adalah metode yang lebih disukai untuk menyerap log.
Untuk Google Security Operations, Anda dapat menyerap Google Cloud data ke Google Security Operations tanpa menyediakan infrastruktur tambahan.
Untuk Splunk, Anda dapat melakukan streaming log dari Google Cloud ke Splunk menggunakan Dataflow.

Untuk panduan tentang cara mengaktifkan jenis log tambahan dan menulis filter sink log, lihat alat cakupan log.

Pemantauan ancaman dengan Security Command Center

Sebaiknya aktifkan Security Command Center untuk mendeteksi ancaman, kerentanan, dan miskonfigurasi secara otomatis di Google Cloud resource Anda. Security Command Center membuat temuan keamanan dari beberapa sumber, termasuk yang berikut:

Security Health Analytics: mendeteksi kerentanan dan miskonfigurasi umum di seluruh Google Cloud resource.
Eksposur jalur serangan: menampilkan jalur simulasi tentang cara penyerang dapat mengeksploitasi resource bernilai tinggi Anda, berdasarkan kerentanan dan miskonfigurasi yang terdeteksi oleh sumber Security Command Center lainnya.
Event Threat Detection: menerapkan logika deteksi dan inteligensi ancaman eksklusif terhadap log Anda untuk mengidentifikasi ancaman dalam waktu hampir real time.
Deteksi Ancaman Container: mendeteksi serangan runtime container umum.
Deteksi Ancaman Mesin Virtual: mendeteksi aplikasi yang berpotensi berbahaya yang berjalan di mesin virtual.
Web Security Scanner: memindai kerentanan OWASP Top Ten di aplikasi yang terhubung ke web di Compute Engine, App Engine, atau Google Kubernetes Engine.

Untuk mengetahui informasi selengkapnya tentang kerentanan dan ancaman yang ditangani oleh Security Command Center, lihat Sumber Security Command Center.

Anda harus mengaktifkan Security Command Center setelah men-deploy blueprint. Untuk mengetahui petunjuknya, lihat Ringkasan pengaktifan Security Command Center.

Setelah mengaktifkan Security Command Center, sebaiknya ekspor temuan yang dihasilkan oleh Security Command Center ke alat atau proses yang ada untuk menentukan prioritas dan merespons ancaman. Blueprint ini membuat project prj-c-scc dengan topik Pub/Sub yang akan digunakan untuk integrasi ini. Bergantung pada alat yang ada, gunakan salah satu metode berikut untuk mengekspor temuan:

Jika Anda menggunakan konsol untuk mengelola temuan keamanan langsung di Security Command Center, konfigurasi peran tingkat folder dan tingkat project untuk Security Command Center agar tim dapat melihat dan mengelola temuan keamanan hanya untuk project yang menjadi tanggung jawab mereka.
Jika Anda menggunakan Google SecOps sebagai SIEM, serap Google Cloud data ke Google SecOps.
Jika Anda menggunakan alat SIEM atau SOAR dengan integrasi ke Security Command Center, bagikan data dengan Cortex XSOAR, Elastic Stack, ServiceNow, Splunk, atau QRadar.
Jika Anda menggunakan alat eksternal yang dapat menyerap temuan dari Pub/Sub, konfigurasi ekspor berkelanjutan ke Pub/Sub dan konfigurasi alat yang ada untuk menyerap temuan dari topik Pub/Sub.

Solusi kustom untuk analisis log otomatis

Anda mungkin memiliki persyaratan untuk membuat pemberitahuan untuk peristiwa keamanan yang didasarkan pada kueri kustom terhadap log. Kueri kustom dapat membantu melengkapi kemampuan SIEM Anda dengan menganalisis log di Google Cloud dan mengekspor hanya peristiwa yang layak diselidiki, terutama jika Anda tidak memiliki kapasitas untuk mengekspor semua log cloud ke SIEM.

Blueprint ini membantu mengaktifkan analisis log ini dengan menyiapkan sumber log terpusat yang dapat Anda kueri menggunakan set data BigQuery tertaut. Untuk mengotomatiskan kemampuan ini, Anda harus menerapkan contoh kode di bq-log-alerting dan memperluas kemampuan dasar. Contoh kode ini memungkinkan Anda mengkueri sumber log secara rutin dan mengirim temuan kustom ke Security Command Center.

Diagram berikut memperkenalkan alur tingkat tinggi dari analisis log otomatis.

Analisis logging otomatis.

Diagram ini menunjukkan konsep analisis log otomatis berikut:

Log dari berbagai sumber diagregasi ke dalam bucket log terpusat dengan analisis log dan set data BigQuery tertaut.
Tampilan BigQuery dikonfigurasi untuk mengkueri log untuk peristiwa keamanan yang ingin Anda pantau.
Cloud Scheduler mengirim peristiwa ke topik Pub/Sub setiap 15 menit dan memicu fungsi Cloud Run.
Fungsi Cloud Run mengkueri tampilan untuk peristiwa baru. Jika menemukan peristiwa, fungsi tersebut akan mengirimkannya ke Security Command Center sebagai temuan kustom.
Security Command Center memublikasikan notifikasi tentang temuan baru ke topik Pub/Sub lainnya.
Alat eksternal seperti SIEM berlangganan ke topik Pub/Sub untuk menyerap temuan baru.

Contoh ini memiliki beberapa kasus penggunaan untuk mengkueri perilaku yang berpotensi mencurigakan. Contohnya mencakup login dari daftar admin super atau akun dengan hak istimewa tinggi lainnya yang Anda tentukan, perubahan pada setelan logging, atau perubahan pada rute jaringan. Anda dapat memperluas kasus penggunaan dengan menulis tampilan kueri baru untuk persyaratan Anda. Tulis kueri Anda sendiri atau referensikan analisis log keamanan untuk library kueri SQL guna membantu Anda menganalisis Google Cloud log.

Solusi kustom untuk merespons perubahan aset

Untuk merespons peristiwa secara real time, sebaiknya gunakan Inventaris Aset Cloud untuk memantau perubahan aset. Dalam solusi kustom ini, feed aset dikonfigurasi untuk memicu notifikasi ke Pub/Sub tentang perubahan pada resource secara real time, lalu fungsi Cloud Run menjalankan kode kustom untuk menerapkan logika bisnis Anda sendiri berdasarkan apakah perubahan tersebut harus diizinkan.

Blueprint ini memiliki contoh solusi tata kelola kustom yang memantau perubahan IAM yang menambahkan peran yang sangat sensitif, termasuk Admin Organisasi, Pemilik, dan Editor. Diagram berikut menjelaskan solusi ini.

Secara otomatis mengembalikan perubahan kebijakan IAM dan mengirim notifikasi.

Diagram sebelumnya menunjukkan konsep berikut:

Perubahan dilakukan pada kebijakan izin.
Feed Inventaris Aset Cloud mengirim notifikasi real-time tentang perubahan kebijakan izin ke Pub/Sub.
Pub/Sub memicu fungsi.
Fungsi Cloud Run menjalankan kode kustom untuk menerapkan kebijakan Anda. Fungsi contoh memiliki logika untuk menilai apakah perubahan tersebut telah menambahkan peran Admin Organisasi, Pemilik, atau Editor ke kebijakan izin. Jika ya, fungsi tersebut akan membuat temuan keamanan kustom dan mengirimkannya ke Security Command Center.
Secara opsional, Anda dapat menggunakan model ini untuk mengotomatiskan upaya remediasi. Tulis logika bisnis tambahan di fungsi Cloud Run untuk otomatis mengambil tindakan pada temuan, seperti mengembalikan kebijakan izin ke status sebelumnya.

Selain itu, Anda dapat memperluas infrastruktur dan logika yang digunakan oleh solusi contoh ini untuk menambahkan respons kustom ke peristiwa lain yang penting bagi bisnis Anda.

Langkah berikutnya

Baca tentang kontrol pencegahan (dokumen berikutnya dalam rangkaian ini).

Kontrol Detektif Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.