Memvalidasi kontrol dan konfigurasi keamanan

Panduan ini ditujukan bagi engineer keamanan yang ingin menguji keamanan mereka secara proaktif dengan menyimulasikan serangan di lingkungan Google Cloud mereka. Bagian ini menjelaskan cara menerapkan perjalanan Validasi Keamanan berkelanjutan.

Validasi Keamanan menggunakan tindakan dan skrip yang meniru teknik penyerang untuk memicu pemberitahuan deteksi di project Google Cloud Anda. Operasi berkelanjutan mengidentifikasi kerentanan dan tim keamanan dapat mengurangi risiko dengan memastikan bahwa konfigurasi dan kontrol merespons ancaman terbaru seperti yang diharapkan.

Penyelesaian yang berhasil dalam perjalanan ini memberikan bukti terukur tentang peningkatan postur keamanan dan memastikan bahwa aturan atau integrasi deteksi yang baru diterapkan beroperasi dengan benar tanpa intervensi manual.

Kasus penggunaan umum

Bagian ini mencantumkan kasus penggunaan umum Security Validation.

Mendeteksi regresi postur keamanan

Tujuan: Mengidentifikasi kapan perilaku penyerang yang sebelumnya diblokir berhasil dieksekusi di lingkungan.

Nilai: Memberi tahu tim keamanan dan operasi tentang penyimpangan konfigurasi yang tidak diinginkan, sehingga mereka dapat memperbaiki kerentanan sebelum dieksploitasi.

Memvalidasi penyesuaian kontrol keamanan

Tujuan: Mengonfirmasi bahwa aturan deteksi atau integrasi produk yang baru diterapkan berfungsi seperti yang diharapkan.

Nilai: Memberikan bukti terukur bahwa update aturan atau perubahan lingkungan telah berhasil meningkatkan postur keamanan, sehingga tim dapat dengan yakin menetapkan dasar pengukuran baru.

Terminologi utama

  • Konteks Validasi Keamanan: Konteks validasi keamanan menyiapkan lingkungan untuk pengujian keamanan Anda. Tindakan ini menentukan project yang akan digunakan, akun yang akan menjalankan pengujian, dan detail lain yang diperlukan tindakan Anda.

  • Tindakan Validasi Keamanan: Skrip yang dirancang untuk meniru teknik penyerang di dunia nyata, yang digunakan untuk memicu aturan deteksi guna memverifikasi postur keamanan Anda.

  • Eksekusi dasar: Eksekusi Validasi Keamanan tertentu yang telah selesai dan digunakan sebagai referensi standar untuk membandingkan eksekusi mendatang.

  • Monitor: Tugas terjadwal (SecurityValidationJob di API) yang mengeksekusi tindakan Validasi Keamanan dan mengevaluasi hasilnya terhadap dasar pengukuran yang ditentukan.

  • Status penyimpangan: Indikator kondisi Monitor berdasarkan apakah eksekusi terbaru cocok dengan dasar (sehat) atau menunjukkan penyimpangan (penyimpangan terdeteksi).

  • Jendela korelasi: Periode 12 jam setelah eksekusi saat sistem menelusuri dan mengaitkan peristiwa dan deteksi terkait, berdasarkan template filter peristiwa dalam metadata tindakan yang dieksekusi.

  • Waktu tunggu monitor: Durasi maksimum sistem menunggu setelah eksekusi agar peristiwa dan deteksi berkorelasi sebelum mengevaluasi status penyimpangan akhir. Waktu tunggu ini beroperasi dalam periode korelasi 12 jam yang lebih besar. Hasil yang diharapkan harus diamati sebelum waktu tunggu monitor ini tercapai agar monitor dianggap berhasil. Jika pemeriksaan tidak lulus sebelum waktu tunggu ini, sistem akan menandai monitor sebagai failed. Durasi ini secara default adalah 8 jam, tetapi dapat dikonfigurasi antara 15 menit dan 10 jam.

Sebelum memulai

Pastikan penyiapan dan izin berikut sudah ada.

Penyiapan yang diperlukan

Pastikan Anda memiliki penyiapan berikut:

  • Tenant Anda harus mengaktifkan Validasi Keamanan.

  • Validasi Keamanan hanya berfungsi dengan project yang dikelola sendiri.

  • Anda memerlukan satu atau dua project Google Cloud . Meskipun Anda dapat menggunakan project yang sama untuk eksekusi dan penargetan, sebaiknya gunakan project terpisah untuk keamanan yang lebih baik, menjaga kebersihan pengujian, dan mempermudah pengelolaan penyiapan.

    • Project eksekusi: Validasi Keamanan menjalankan pengujian keamanan Anda di project eksekusi. Solusi ini menggunakan Cloud Run dan Cloud Storage untuk melakukannya. Bucket dan tugas ini hanya ditujukan untuk digunakan oleh layanan validasi. Pengguna lain tidak boleh diberi akses ke data tersebut.

      Cloud Run API, Resource Manager API, dan IAM API harus diaktifkan di project ini dan Anda harus memiliki izin resourcemanager.projects.SetIamPolicy, storage.buckets.SetIamPolicy, storage.buckets.create, dan storage.buckets.delete untuk membuat konteks Validasi Keamanan untuk project tersebut. Lihat referensi izin IAM untuk mengetahui daftar peran yang memberikan izin ini.

    • Project target: tempat panggilan API yang dilakukan oleh skrip tindakan validasi keamanan beroperasi. Keberhasilan tindakan bergantung pada apakah API yang diperlukan yang digunakan oleh tindakan diaktifkan dalam project ini dan apakah akun layanan dalam konteks Validasi Keamanan memiliki izin yang diperlukan untuk tindakan tersebut.

  • Akun layanan: memerlukan satu atau beberapa akun layanan dalam project eksekusi. Akun ini menjalankan skrip tindakan. Setiap pengguna yang perlu menjalankan tindakan dengan konteks tertentu, harus memiliki izin iam.serviceAccounts.actAs pada akun layanan dalam konteks tersebut.

Izin yang diperlukan

Tetapkan salah satu peran standar berikut di project instance SecOps Anda.

  • chronicle.viewer: Akses hanya baca ke tindakan, konteks, tugas, dan resource eksekusi Validasi Keamanan.

  • chronicle.editor: Mencakup semua izin viewer, dan kemampuan untuk membuat, memperbarui, menjalankan, dan menghapus konteks dan tugas Validasi Keamanan.

  • chronicle.admin: Mencakup semua izin editor, dan kemampuan untuk membuat, memperbarui, dan menghapus tindakan Validasi Keamanan kustom (khusus API).

Jika Anda tidak menggunakan peran standar yang tercantum di atas, Anda dapat memberikan izin yang setara menggunakan peran khusus atau dengan menetapkan peran chronicle.securityValidationAdmin, yang mencakup izin yang sama dengan chronicle.admin.

Untuk mengetahui informasi selengkapnya, lihat Peran yang diperlukan.

Menerapkan validasi keamanan berkelanjutan

Memvalidasi postur keamanan Anda melibatkan progres terstruktur:

  • Menentukan lingkungan Anda

  • Menjalankan simulasi untuk menetapkan dasar pengukuran

  • Mengotomatiskan simulasi untuk mendeteksi penyimpangan.

Alur kerja ini memastikan bahwa kontrol keamanan Anda tetap efektif seiring dengan berkembangnya lingkungan Anda.

Membuat konteks Validasi Keamanan

Konteks Validasi Keamanan menyiapkan lingkungan untuk pengujian keamanan Anda. Tindakan ini menentukan project yang akan digunakan, akun yang akan menjalankan pengujian, dan detail lain yang diperlukan tindakan Anda. Anda dapat menggunakan kembali konteks yang sama untuk tindakan yang berbeda.

Untuk membuat konteks Validasi Keamanan, lakukan hal berikut:

  1. Login ke Google SecOps.

  2. Buka Validasi Keamanan, lalu buka tab Konteks Eksekusi.

  3. Klik Add Execution Context.

  4. Dalam dialog Add Execution Context, lakukan hal berikut:

    1. Di Basic Properties, masukkan nama dan deskripsi konteks, lalu klik Next.

    2. Di Environment Settings, masukkan project ID Google Cloud , akun layanan eksekusi, dan akun layanan pembersihan. Klik Next.

      Sebaiknya gunakan akun layanan terpisah untuk action profile (untuk mengeksekusi skrip tindakan) dan untuk setup/cleanup profile (untuk mengeksekusi skrip penyiapan dan pembersihan yang merupakan bagian dari beberapa tindakan). Akun layanan ini dapat diberi izin yang berbeda dalam project target.

    3. Di Runtime Variables, tambahkan satu atau beberapa variabel untuk mengganti parameter default secara dinamis. Tambahkan pasangan nilai kunci dengan key sebagai nama parameter dan value sebagai nilai penggantinya.

    4. Klik Create.

Menjalankan tindakan Validasi Keamanan

Untuk menjalankan tindakan Validasi Keamanan untuk konteks Validasi Keamanan, lakukan hal berikut:

  1. Login ke Google SecOps.

  2. Buka Validasi Keamanan, lalu buka tab Pustaka Konten.

  3. Pilih tindakan, lalu klik Jalankan.

  4. Pada dialog, pilih konteks eksekusi yang Anda buat, lalu klik Run Now.

Eksekusi baru dibuat dan muncul di tab Histori Eksekusi.

Mengelola Monitor Validasi Keamanan

Anda dapat menjalankan ulang tindakan yang berhasil secara otomatis secara berulang menggunakan fitur pemantauan. Hal ini memungkinkan pemantauan postur keamanan berkelanjutan tanpa intervensi manual.

Membuat Monitor

Anda dapat membuat Monitor hanya dari eksekusi yang berhasil diselesaikan. Untuk membuat Monitor dari eksekusi, lakukan hal berikut:

  1. Login ke Google SecOps.

  2. Buka Validasi Keamanan, lalu buka tab Histori eksekusi.

  3. Klik Execution ID eksekusi, lalu klik Create Monitor.

  4. Opsional: Di jendela Buat Monitor, beri nama Monitor.

    Jika Anda tidak memasukkan Nama monitor, Monitor akan dirujuk berdasarkan ID Monitor.

    Tinjau detail eksekusi dasar pengukuran yang ditampilkan di jendela ini.

  5. Klik Berikutnya.

  6. Konfigurasi setelan Monitor.

    Anda dapat menjalankan Monitor pada waktu tertentu atau menjalankannya setiap jam.

    Untuk menjalankan Monitor pada waktu tertentu, lakukan hal berikut:

    1. Di menu dropdown Time, pilih Run at specific time.

    2. Tentukan waktu dalam sehari di kotak teks yang berdekatan.

    3. Di opsi Hari, pilih salah satu opsi berikut:

      • Harian: Berjalan setiap hari pada waktu yang ditentukan.

      • Hari dalam seminggu: Hanya berjalan pada hari yang dipilih (misalnya, Sen, Rab, Jum) pada waktu yang ditentukan.

      • Hari dalam sebulan: Berjalan sebulan sekali pada hari yang ditentukan (misalnya, tanggal 15) pada waktu yang ditentukan.

    4. Di dropdown Bulan, pilih Bulanan (untuk dijalankan setiap bulan) atau Bulan Tertentu untuk menentukan bulan yang tepat saat Pemantauan harus dijalankan (misalnya, Januari, April, Juli).

    5. Di dropdown Zona waktu, pilih zona waktu yang diperlukan. Kolom ini secara default ditetapkan ke zona waktu yang ditetapkan di Preferensi Pengguna Anda (yang mungkin berbeda dengan setelan browser Anda). Untuk menemukan atau mengubah setelan default ini, buka Profil > Preferensi Pengguna > Pelokalan > Zona Waktu.

    6. Klik Berikutnya.

    Untuk menjalankan Monitor pada interval per jam, lakukan hal berikut:

    1. Di dropdown Waktu, pilih Ulangi setiap jam.

    2. Tetapkan frekuensi pengulangan siklus Pemantauan di kolom hour(s) dan tanda menit tertentu di kolom minute(s). Misalnya, menyetel 1 jam dan 30 menit berarti monitor berjalan setiap jam pada 30 menit setelah jam (TIDAK berjalan setiap 90 menit).

    3. Di opsi Jam, pilih salah satu opsi berikut:

      • Setiap jam sepanjang hari: Monitor akan berjalan sepanjang waktu, setiap jam sepanjang hari, berdasarkan frekuensi yang ditentukan.

      • Jam mulai dan berakhir: Monitor hanya akan berjalan dalam rentang jam mulai dan berakhir yang ditentukan (misalnya, antara pukul 08.00 dan 17.00).

    4. Di opsi Hari, pilih salah satu opsi berikut:

      • Harian: Berjalan setiap hari pada waktu yang ditentukan.

      • Hari dalam seminggu: Hanya berjalan pada hari yang dipilih (misalnya, Sen, Rab, Jum) pada waktu yang ditentukan.

      • Hari dalam sebulan: Berjalan sebulan sekali pada hari yang ditentukan (misalnya, tanggal 15) pada waktu yang ditentukan.

    5. Di dropdown Bulan, pilih Bulanan (untuk menjalankan setiap bulan) atau Bulan Tertentu untuk menentukan bulan yang tepat saat Pemantau harus berjalan (misalnya, Januari, April, Juli).

    6. Di dropdown Zona waktu, pilih zona waktu yang diperlukan. Kolom ini secara default ditetapkan ke zona waktu yang ditetapkan di Preferensi Pengguna Anda (yang mungkin berbeda dengan setelan browser Anda). Untuk menemukan atau mengubah setelan default ini, buka Profil > Preferensi Pengguna > Pelokalan > Zona Waktu.

    7. Klik Berikutnya.

  7. Di Hasil yang Diharapkan, centang atau hapus centang kondisi sesuai kebutuhan. Anda harus memilih setidaknya satu kondisi.

    • Hasil tindakan cocok dengan titik referensi: Mengevaluasi apakah status eksekusi, hasil, dan alasan hasil cocok dengan titik referensi. Ketiga parameter harus cocok agar pemeriksaan dievaluasi sebagai benar.

    • Produk peristiwa yang berkaitan cocok dengan titik referensi:

      • Mengelompokkan peristiwa yang berkaitan menurut produk.

      • Memverifikasi bahwa eksekusi saat ini memiliki setidaknya satu peristiwa untuk setiap produk yang tercantum dalam dasar.

      • Pemeriksaan ini mengabaikan peristiwa dari produk yang tidak memiliki peristiwa apa pun dalam titik referensi.

      • Nilainya adalah false jika peristiwa yang cocok dengan titik referensi tidak tiba sebelum waktu tunggu habis.

    • Aturan deteksi pemberitahuan yang berkaitan cocok dengan titik referensi:

      • Mengelompokkan deteksi menurut aturan dan status pemberitahuan.

      • Memverifikasi bahwa eksekusi saat ini memiliki setidaknya satu deteksi dari aturan yang memiliki deteksi dalam eksekusi dasar.

      • Mengabaikan deteksi dari aturan yang tidak memiliki deteksi dalam eksekusi titik referensi.

      • Mengevaluasi ke false jika deteksi yang cocok dengan titik referensi tidak tiba sebelum waktu tunggu habis.

  8. Klik Buat untuk membuat Monitor.

Melihat dan menjalankan Monitor

Untuk melihat Monitor yang dibuat, lakukan hal berikut:

  1. Buka Validasi Keamanan, lalu buka tab Monitor. Beberapa kolom disembunyikan secara default; klik Pengelola kolom untuk mengelola visibilitas kolom.

  2. Temukan Monitor spesifik Anda dalam daftar.

  3. Klik link untuk Monitor guna membuka halaman detail Monitor.

  4. Klik Jalankan sekarang untuk menjalankan Monitor.

Halaman detail Monitor memberikan ringkasan tingkat tinggi yang terpusat tentang Monitor. Hal ini membantu Anda menilai status dan kondisi keseluruhan Monitor secara sekilas. Fitur ini memberikan informasi penting berikut tentang Monitor:

Ringkasan Kesehatan

Kartu metrik berikut memberikan ringkasan umum tentang stabilitas Monitor:

  • Pantau Status Respons: Menampilkan status saat ini berdasarkan eksekusi terakhir dengan hasil pemantauan akhir (misalnya, Healthy) dan berapa lama status tersebut dipertahankan.

  • Hasil Kondisi Cocok atau Tidak Cocok Terbaru: Memberikan penunjuk ke eksekusi terbaru yang menyimpang dari dasar.

  • Keaktualan Hasil: Menampilkan waktu yang berlalu sejak eksekusi terakhir dengan status monitor yang sudah difinalisasi.

Hasil yang Diharapkan

Bagian ini menentukan kriteria keberhasilan yang berasal dari eksekusi dasar.

  • Hasil dan Alasan Tindakan: Hasil dan alasan tindakan yang cocok dengan eksekusi dasar (misalnya, NOT_BLOCKED dengan alasan yang menyertainya).

  • Produk yang menghasilkan peristiwa: Daftar produk untuk peristiwa yang berkorelasi yang cocok dengan eksekusi titik referensi.

  • Aturan Deteksi Pemberitahuan: Daftar aturan deteksi yang berkaitan dengan pemberitahuan yang cocok dengan eksekusi titik referensi.

Tabel Hasil Monitor menampilkan semua eksekusi untuk Monitor. Tabel ini mendukung Penelusuran teks, pemfilteran, dan konfigurasi kolom.

Mengaktifkan atau menonaktifkan Monitor

Untuk mengaktifkan atau menonaktifkan Monitor, lakukan hal berikut:

  1. Buka Validasi Keamanan, lalu buka tab Monitor.

  2. Klik tombol Status untuk mengaktifkan atau menonaktifkan Monitor. Atau, Anda dapat mengklik Jeda Pemantau atau Mulai Ulang Pemantau di halaman Detail pemantau untuk mengubah statusnya.

Mengubah atau menghapus Pemantauan

Untuk mengubah atau menghapus Monitor, lakukan langkah-langkah berikut:

  1. Buka Validasi Keamanan, lalu buka tab Monitor.

  2. Klik menu dari Monitor yang ingin Anda ubah.

  3. Klik Edit Monitor untuk mengubah monitor atau Hapus Monitor untuk menghapus monitor. Anda juga dapat mengklik Edit Monitor di halaman Monitor details untuk mengubahnya.

  4. Klik Perbarui atau Konfirmasi untuk menerapkan perubahan.

Meninjau hasil Monitor

Untuk melihat semua eksekusi Monitor, lakukan hal berikut:

  1. Buka Validasi Keamanan, lalu buka tab Monitor.

  2. Klik menu dari Monitor.

  3. Klik Lihat semua hasil. Halaman Execution history akan muncul.

Eksekusi difilter untuk menampilkan semua eksekusi yang terkait dengan Monitor tertentu tersebut.

Melihat hasil eksekusi terakhir

Untuk melihat hasil eksekusi terakhir Monitor, lakukan hal berikut:

  1. Buka Validasi Keamanan, lalu buka tab Monitor.

  2. Klik menu dari Monitor.

  3. Klik View last run results untuk membuka Execution details.

Sistem menampilkan detail eksekusi terbaru yang dijalankan untuk Monitor tersebut.

Meninjau hasil eksekusi

Anda dapat melihat tindakan Validasi Keamanan yang Anda jalankan di tab Execution History. Untuk meninjau hasil eksekusi, lakukan hal berikut:

  1. Login ke Google SecOps.

  2. Buka Security Validation, lalu buka tab Execution History untuk memantau status eksekusi.

    Kolom Status proses menunjukkan apakah eksekusi berhasil atau mengalami error. Jika berhasil, Anda dapat melihat peristiwa yang dihasilkan dan deteksi yang dipicu oleh tindakan Validasi Keamanan di Google SecOps.

  3. Klik ID eksekusi untuk melihat detail eksekusi.

Halaman Detail Eksekusi Tindakan memberikan status, hasil, dan analisis mendalam tindakan validasi. Gunakan halaman ini untuk memvalidasi postur keamanan Anda dengan memahami aturan deteksi mana yang dipicu oleh aktivitas tindakan.

Progres korelasi menampilkan progres alur kerja korelasi real-time untuk eksekusi. Saat korelasi berjalan, total jumlah peristiwa dapat meningkat hingga tugas selesai.

Menganalisis tabel Aturan yang Berkaitan

Tabel Aturan yang Berkorelasi mencantumkan aturan deteksi yang dipicu selama eksekusi tindakan, termasuk aturan kustom dan terkurasi.

Tabel menampilkan aturan kustom dan pilihan. Hal ini mencakup dua grup: * Aturan yang ditentukan secara eksplisit dalam metadata tindakan * Aturan tambahan yang dipicu oleh peristiwa yang berkorelasi

Hal ini membantu Anda mengidentifikasi aturan mana yang berperforma sesuai harapan dan aturan mana yang mungkin memerlukan penyelidikan lebih lanjut.

Tabel ini berisi kolom berikut:

  • Nama aturan: nama aturan deteksi. Klik nama aturan untuk melihat definisi aturan dan histori deteksinya.

  • Jumlah deteksi: jumlah deteksi yang dipicu oleh aturan. Nilai 0 menunjukkan bahwa tidak ada peristiwa yang cocok ditemukan.

  • Deteksi: link ke halaman Deteksi yang menampilkan deteksi yang dipicu dari proses ini.

  • Terkait dengan Tindakan: menunjukkan apakah aturan tersebut merupakan bagian dari metadata tindakan:

    • Ya: metadata tindakan mencakup aturan. Sistem mengharapkan pemicu saat tindakan dijalankan.

    • Tidak: metadata tindakan ini tidak menyertakan aturan, tetapi logikanya cocok dengan peristiwa yang dihasilkan dan memicunya.

Tabel ini membantu Anda mengidentifikasi hasilnya:

Kolom Terkait dengan Tindakan Kolom jumlah deteksi Definisi
YES 1 atau lebih Berhasil: Aturan yang diharapkan berhasil memicu satu atau beberapa deteksi.
NO 1 atau lebih Aturan yang tidak terduga dipicu oleh aktivitas.
YES 0 Aturan yang diharapkan gagal memicu deteksi apa pun.

Menganalisis peristiwa yang berkorelasi

Setelah Anda menjalankan tindakan Validasi Keamanan, gunakan peristiwa yang berkorelasi untuk menilai bagaimana lingkungan dan kontrol keamanan Anda merespons ancaman simulasi.

Analisis Anda mencakup dua komponen: status real-time alur kerja korelasi dan tabel mendetail dari semua peristiwa yang dihasilkan.

Status Korelasi Peristiwa menampilkan status alur kerja saat ini sebagai salah satu dari berikut:

  • Berjalan: sistem secara aktif menelusuri peristiwa yang berkorelasi.

  • Selesai: semua aktivitas korelasi peristiwa telah berhasil diselesaikan.

  • Terjadi Error: alur kerja korelasi mengalami error dan tidak dapat diselesaikan.

Alur kerja korelasi selesai pada menunjukkan estimasi waktu saat korelasi diperkirakan akan atau telah selesai.

Tabel peristiwa mencantumkan semua peristiwa yang dihasilkan oleh tindakan. Gunakan data ini untuk menganalisis setiap respons dalam kontrol keamanan dan lingkungan Anda.

Tabel ini berisi kolom berikut:

  • Acara: ID acara. Klik untuk melihat detail peristiwa di Penelusuran UDM.

  • Stempel waktu peristiwa: waktu terjadinya peristiwa di sistem sumber (misalnya, server atau firewall).

  • Stempel waktu yang diamati: waktu saat layanan Validasi Keamanan menemukan dan mengorelasikan peristiwa dengan eksekusi.

  • Produk: produk yang menghasilkan peristiwa.

  • Tindakan hasil keamanan: hasil peristiwa (Blocked atau Not blocked), berdasarkan kolom security_result.action dari peristiwa UDM.

Tindakan dapat menargetkan region di luar instance Google SecOps tempat tindakan tersebut dijalankan. Hasil eksekusi menampilkan log yang diambil dari project eksekusi.

Mengakses aset dan referensi lanjutan

Tinjau aset berikut untuk contoh konfigurasi dan pemetaan data referensi.

Contoh penerapan: Membuat token akses menggunakan signJWT

Pertimbangkan contoh tindakan Generate access token using signJWT permission. Contoh ini mengasumsikan bahwa Anda telah menyiapkan konteks Validasi Keamanan dan menjalankan tindakan dalam konteks tersebut. Tindakan ini diharapkan menghasilkan Cloud Audit Logs dan memicu pembuatan Token akses dengan aturan deteksi ancaman signJWT.

Penyiapan berikut diperlukan:

  • API yang diaktifkan: Identity and Access Management (IAM) Service Account Credentials API harus diaktifkan di project target dan eksekusi.

  • Izin akun layanan: akun layanan yang ditentukan di kolom profile konteks Validasi Keamanan harus memiliki izin iam.serviceAccounts.signJwt dalam project target. Peran ini dapat diberikan melalui peran Service Account Token Creator (roles/iam.serviceAccountTokenCreator). Peran ini dapat diberikan di project atau akun layanan target (yang, untuk tindakan ini, adalah akun layanan Compute Engine default dari project target).

  • Logging audit IAM: Logging audit IAM (ADMIN_READ) harus diaktifkan di project target untuk merekam peristiwa yang dihasilkan oleh tindakan ini.

  • Filter ekspor kustom: untuk menyerap peristiwa yang dihasilkan oleh tindakan ini melalui penyerapan SecOps Google Cloud , filter ekspor kustom yang menyertakan log_id("cloudaudit.googleapis.com/data_access") harus ditetapkan.

  • Kumpulan aturan: Kumpulan aturan Cloud Threats -> [Google Cloud] IAM Abuse harus diaktifkan dan disetel ke pemberitahuan untuk melihat deteksi di tampilan penelusuran dan penyelidikan.

Contoh penjadwalan pemantauan

Gunakan contoh ini sebagai referensi saat mengonfigurasi jadwal berulang untuk pemantauan berkelanjutan.

Konfigurasi Saat berjalan
Waktu: Jalankan pada waktu tertentu (22.00)
Hari: Hari dalam seminggu (Senin)
Bulan: Bulanan
Zona waktu: EST
Dijalankan setiap hari Senin pukul 22.00 Waktu Standar Timur.
Waktu: Jalankan pada waktu tertentu (01.00)
Hari: Hari dalam sebulan (1)
Bulan: Tentukan (Jan, Apr, Jul, Okt)
Zona waktu: PST
Dijalankan pada pukul 01.00 Waktu Standar Pasifik pada hari pertama bulan Januari, April, Juli, dan Oktober.
Waktu: Jalankan pada waktu tertentu (14.00)
Hari: Harian
Bulan: Bulanan
Zona Waktu: UTC
Dijalankan setiap hari pada pukul 02.00 PM Coordinated Universal Time.
Waktu: Jalankan pada waktu tertentu (09.30)
Hari: Hari dalam sebulan (15)
Bulan: Tentukan (Feb, Apr, Jun, Aug, Oct, Dec)
Zona waktu: EST
Dijalankan pada pukul 09.30 Waktu Standar Timur pada tanggal 15 setiap dua bulan (Februari, April, Juni, Agustus, Oktober, Desember).
Waktu: Ulangi setiap jam
Interval: Setiap 1 jam
Jam: Semua jam
Berjalan tanpa henti. Dieksekusi tepat di awal setiap jam, 24 jam sehari (misalnya, 1.00, 2.00, 3.00, dan sebagainya).
Waktu: Ulangi setiap jam
Interval: Setiap 4 jam
Jam: Jam mulai dan berakhir (22.00 hingga 06.00)
Hanya berjalan semalaman. Dieksekusi pada pukul 22.00, 02.00, dan 06.00 untuk merekam status server selama periode traffic rendah.

Pemecahan masalah

Latensi dan batas

Hasil untuk eksekusi pemantau yang baru dipicu tidak langsung diisi dengan data deteksi dan peristiwa karena jendela korelasi.

Perbaikan error

Error Deskripsi Masalah Perbaiki
Error Izin IAM Izin iam.serviceaccounts.actAs ditolak di akun layanan. Jika Anda membuat atau memperbarui konteks tepat sebelum menjalankan tindakan, tunggu beberapa menit dan coba lagi. Perubahan IAM bersifat konsisten, tetapi penetapan peran dapat memerlukan waktu untuk diterapkan di seluruh sistem.

Pastikan identitas yang menjalankan tindakan memiliki izin `iam.serviceaccounts.actAs` pada akun layanan yang ditentukan.

Validasi dan pengujian

Untuk memverifikasi bahwa Monitor Anda dikonfigurasi dengan benar tanpa menunggu interval terjadwal berikutnya, gunakan tombol Jalankan sekarang di halaman detail Monitor. Muat ulang halaman setelah periode korelasi berakhir untuk memverifikasi Status proses.