Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menentukan dan mengelola set resource bernilai tinggi

Halaman ini menunjukkan cara membuat, mengedit, menghapus, dan melihat konfigurasi nilai resource.

Gunakan konfigurasi nilai resource untuk membuat kumpulan resource bernilai tinggi. Kumpulan resource bernilai tinggi Anda menentukan instance resource (disebut sebagai resource) mana yang dianggap resource bernilai tinggi oleh simulasi jalur serangan.

Anda dapat menentukan konfigurasi nilai resource untuk resource di Google Cloud. Selain itu, di paket layanan Enterprise, Anda dapat menentukan konfigurasi untuk resource di penyedia layanan cloud lain yang terhubung dengan Security Command Center.

Saat simulasi jalur serangan berjalan, simulasi tersebut akan mengidentifikasi jalur serangan dan menghitung skor eksposur serangan untuk resource yang ditetapkan sebagai resource bernilai tinggi dan untuk temuan class Vulnerability, class Misconfiguration, dan class Toxic combination.

Simulasi jalur serangan berjalan kira-kira setiap enam jam. Seiring pertumbuhan organisasi Anda, simulasi akan memerlukan waktu lebih lama, tetapi simulasi akan selalu berjalan setidaknya sekali sehari. Simulasi tidak dipicu oleh pembuatan, modifikasi, atau penghapusan resource atau konfigurasi nilai resource.

Untuk mengetahui pengantar tentang kumpulan resource bernilai tinggi dan konfigurasi nilai resource, lihat Kumpulan resource bernilai tinggi.

Sebelum memulai

Untuk mendapatkan izin yang Anda perlukan untuk melihat dan menggunakan konfigurasi nilai resource, minta administrator untuk memberi Anda peran IAM berikut di organisasi Anda:

Editor konfigurasi nilai resource (roles/securitycenter.resourceValueConfigEditor)
Pelihat konfigurasi nilai resource (roles/securitycenter.resourceValueConfigsViewer)
Editor Setelan Security Command Center (roles/securitycenter.settingsEditor)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat konfigurasi nilai resource

Anda membuat konfigurasi nilai resource menggunakan tab Attack path simulation di halaman Settings Security Command Center di Google Cloud konsol.

Untuk membuat konfigurasi nilai resource, klik tab untuk penyedia layanan cloud Anda dan ikuti langkah-langkah berikut:

Google Cloud

Buka halaman Attack path simulation di Security Command Center Settings:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Attack path simulation akan terbuka.
Klik Create new configuration. Panel Create resource value configuration akan terbuka.
Di kolom Name, tentukan nama untuk konfigurasi nilai resource ini.
Opsional: Masukkan deskripsi konfigurasi.
Di bagian Cloud provider, pilih Google Cloud.
Di kolom Select scope, klik Select dan gunakan browser project untuk memilih project, folder, atau organisasi. Konfigurasi ini hanya berlaku untuk instance resource dalam cakupan yang ditentukan.
Klik kolom Select resource type, lalu pilih jenis resource atau Any. Konfigurasi ini berlaku untuk instance jenis resource yang dipilih atau, jika Anda memilih Any, untuk instance semua jenis resource yang didukung. Any adalah nilai default.

Catatan: Jika Anda memilih Any dan mengaktifkan opsi Include discovery insights from Sensitive Data Protection, sistem akan otomatis menetapkan nilai resource berdasarkan klasifikasi sensitivitas data dari Sensitive Data Protection untuk semua resource yang didukung, dari Sensitive Data Protection.
Opsional: Di bagian Label, klik Add label untuk menentukan satu atau beberapa label. Jika label ditentukan, konfigurasi hanya berlaku untuk resource yang menyertakan label dalam metadatanya.

Jika Anda menerapkan label baru ke resource apa pun, mungkin perlu waktu beberapa jam sebelum label tersebut tersedia untuk dicocokkan oleh konfigurasi.
Opsional: Di bagian Tag, klik Add tag untuk menentukan satu atau beberapa tag. Jika tag ditentukan, konfigurasi hanya berlaku untuk resource yang menyertakan tag dalam metadatanya.

Jika Anda menentukan tag baru untuk resource, mungkin perlu waktu beberapa jam sebelum tag tersebut tersedia untuk dicocokkan oleh konfigurasi.
Tetapkan nilai prioritas untuk resource yang cocok dengan menentukan salah satu opsi berikut:
- Opsional: Jika Anda menggunakan layanan penemuan Sensitive Data Protection, aktifkan Security Command Center untuk otomatis menetapkan nilai prioritas resource data yang didukung berdasarkan klasifikasi sensitivitas data dari Sensitive Data Protection:
  1. Klik penggeser di samping Include discovery insights from Sensitive Data Protection.
  2. Di kolom Assign resource value pertama, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data sensitivitas tinggi.
  3. Di kolom Assign resource value kedua, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data sensitivitas sedang.
- Di kolom Assign resource value, pilih nilai yang akan ditetapkan ke instance resource. Nilai ini relatif terhadap instance resource lain dalam kumpulan resource bernilai tinggi Anda. Nilai ini digunakan selama penghitungan skor eksposur serangan.
Klik Save.

AWS

Sebelum Security Command Center dapat membuat skor eksposur serangan dan jalur serangan untuk resource yang Anda tentukan dalam konfigurasi nilai resource, Security Command Center harus terhubung ke AWS. Untuk mengetahui informasi selengkapnya, lihat Dukungan multicloud.

Buka halaman Attack path simulation di Security Command Center Settings:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Attack path simulation akan terbuka.
Klik Create new configuration. Panel Create resource value configuration akan terbuka.
Di kolom Name, tentukan nama untuk konfigurasi nilai resource ini.
Opsional: Masukkan deskripsi konfigurasi.
Di bagian Cloud provider, pilih Amazon Web Services.
Opsional: Di kolom Account ID, masukkan ID akun AWS 12 digit. Jika tidak ditentukan, konfigurasi nilai resource akan berlaku untuk semua akun AWS yang ditentukan dalam konfigurasi koneksi AWS.
Opsional: Di kolom Region, masukkan region AWS. Misalnya, us-east-1. Jika tidak ditentukan, konfigurasi nilai resource akan berlaku untuk semua region AWS.
Klik kolom Select resource type, lalu pilih jenis resource atau Any. Konfigurasi ini berlaku untuk instance jenis resource yang dipilih atau, jika Anda memilih Any, untuk semua jenis resource yang didukung. Any adalah nilai default.

Catatan: Jika Anda memilih Any dan mengaktifkan opsi Include discovery insights from Sensitive Data Protection , sistem akan otomatis menetapkan nilai resource berdasarkan klasifikasi sensitivitas data dari Sensitive Data Protection untuk semua resource AWS yang didukung.
Opsional: Di bagian Tag, klik Add tag untuk menentukan satu atau beberapa tag. Saat Anda menentukan tag, konektor hanya akan memindai resource yang menyertakan tag dalam metadatanya.

Jika Anda menentukan tag baru untuk resource, mungkin perlu waktu beberapa jam sebelum tag tersebut tersedia untuk dicocokkan oleh konfigurasi.
Di kolom Assign resource value, pilih nilai prioritas untuk resource yang cocok dengan menentukan salah satu opsi berikut:
- Opsional: Jika Anda menggunakan layanan penemuan Sensitive Data Protection, aktifkan Security Command Center untuk otomatis menetapkan nilai prioritas resource data AWS yang didukung berdasarkan klasifikasi sensitivitas data dari Sensitive Data Protection:
  1. Klik penggeser di samping Include discovery insights from Sensitive Data Protection.
  2. Di kolom Assign resource value pertama, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data sensitivitas tinggi.
  3. Di kolom Assign resource value kedua, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data sensitivitas sedang.
- Di kolom Assign resource value, pilih nilai yang akan ditetapkan ke instance resource. Nilai ini relatif terhadap instance resource lain dalam kumpulan resource bernilai tinggi Anda. Nilai ini digunakan selama penghitungan skor eksposur serangan.
Klik Save.

Azure

Sebelum Security Command Center dapat membuat skor eksposur serangan dan jalur serangan untuk resource Azure yang Anda tentukan dalam konfigurasi nilai resource, Security Command Center harus terhubung ke Azure. Untuk mengetahui informasi selengkapnya, lihat Dukungan multicloud.

Buka halaman Attack path simulation di Security Command Center Settings:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Attack path simulation akan terbuka.
Klik Create new configuration. Panel Create resource value configuration akan terbuka.
Di kolom Name, tentukan nama untuk konfigurasi nilai resource ini.
Opsional: Untuk Description, masukkan deskripsi konfigurasi.
Di bagian Cloud provider, pilih Microsoft Azure.
Opsional: Di Subscription ID, masukkan ID langganan Azure 36 digit. Jika tidak ditentukan, konfigurasi nilai resource akan berlaku untuk semua langganan yang ditentukan dalam konfigurasi konektor Azure .
Opsional: Di kolom Select location, pilih lokasi Azure—misalnya, East US 2. Jika Anda tidak menetapkan lokasi, konfigurasi nilai resource akan berlaku untuk semua lokasi yang ditentukan dalam konfigurasi konektor Azure.
Klik Select resource type, lalu pilih jenis resource atau Any. Konfigurasi ini berlaku untuk instance jenis resource yang dipilih atau, jika Anda memilih Any, untuk semua jenis resource yang didukung. Any adalah nilai default.
Opsional: Di bagian Tag, klik Add tag untuk menentukan satu atau beberapa tag. Jika tag ditentukan, konfigurasi hanya berlaku untuk resource yang menyertakan tag dalam metadatanya.

Jika Anda menentukan tag baru untuk resource, mungkin perlu waktu beberapa jam sebelum tag tersebut tersedia untuk dicocokkan oleh konfigurasi.
Di kolom Assign resource value, pilih nilai prioritas.
Klik Save.

Konfigurasi baru akan ditampilkan dalam skor eksposur serangan dan jalur serangan hanya setelah simulasi jalur serangan berikutnya berjalan.

Saat melihat kumpulan resource bernilai tinggi, Anda dapat melihat konfigurasi nilai resource yang cocok dengan resource dalam kumpulan tersebut. Untuk mengetahui informasi selengkapnya, lihat Melihat konfigurasi yang cocok dengan resource bernilai tinggi.

Untuk mengetahui informasi tentang cara mengonfigurasi Sensitive Data Protection agar mengirim klasifikasi sensitivitas data ke Security Command Center, lihat Memublikasikan profil data ke Security Command Center dalam dokumentasi Sensitive Data Protection.

Mengedit konfigurasi

Kecuali nama, Anda dapat memperbarui spesifikasi apa pun dalam konfigurasi nilai resource.

Langkah-langkah ini mengasumsikan bahwa Anda mengetahui nama konfigurasi nilai resource yang ingin diedit. Jika Anda hanya mengetahui nama resource yang relevan, lihat Melihat konfigurasi yang cocok dengan resource bernilai tinggi sebagai gantinya.

Untuk memperbarui konfigurasi nilai resource yang ada, ikuti langkah-langkah berikut:

Buka halaman Attack path simulation di Security Command Center Settings:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Attack path simulation akan terbuka dengan konfigurasi yang ada ditampilkan.
Di kolom Configuration name, klik nama konfigurasi yang perlu Anda perbarui. Halaman Edit resource value configuration akan terbuka.
Perbarui spesifikasi dalam konfigurasi sesuai kebutuhan.
Klik Save.

Perubahan akan ditampilkan dalam skor eksposur serangan dan jalur serangan hanya setelah simulasi jalur serangan berikutnya berjalan.

Menghapus konfigurasi

Untuk menghapus konfigurasi nilai resource, ikuti langkah-langkah berikut:

Buka halaman Attack path simulation di Security Command Center Settings:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Attack path simulation akan terbuka.
Di bagian Resource value configurations di sisi kanan baris untuk konfigurasi yang perlu Anda hapus, tampilkan menu tindakan dengan mengklik titik vertikal. Jika Anda tidak melihat titik vertikal, scroll ke kanan.
Dari menu tindakan yang ditampilkan, pilih Delete.
Di dialog konfirmasi, pilih Confirm.

Konfigurasi akan dihapus.

Melihat konfigurasi

Anda dapat melihat semua konfigurasi nilai resource yang ada di halaman Attack path simulation di Settings Security Command Center.

Untuk melihat konfigurasi nilai resource tertentu, buka halaman Attack path simulation:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Attack path simulation akan terbuka.
Di bagian Resource value configurations di halaman Attack path simulation, scroll daftar konfigurasi nilai resource hingga Anda menemukan konfigurasi yang diperlukan.
Untuk melihat properti konfigurasi, klik nama konfigurasi. Properti akan ditampilkan di halaman Edit resource value configuration.

Melihat konfigurasi yang cocok dengan resource bernilai tinggi

Anda dapat melihat semua konfigurasi yang cocok dengan resource yang ada dalam kumpulan resource bernilai tinggi. Fitur ini berguna jika Anda ingin meninjau aturan yang menentukan nilai resource dari kumpulan resource bernilai tinggi Anda.

Untuk melihat konfigurasi yang cocok dengan resource bernilai tinggi, ikuti langkah-langkah berikut:

Lihat kumpulan resource bernilai tinggi set.
Temukan resource yang konfigurasinya ingin Anda lihat. Konfigurasi yang cocok untuk resource tersebut tercantum di kolom Matching configurations. Konfigurasi dicantumkan dalam urutan menurun berdasarkan nilai resource yang ditetapkan ke resource—High, Medium, atau Low.
Untuk melihat properti konfigurasi, klik namanya. Properti akan ditampilkan di halaman Edit resource value configuration.

Konfigurasi yang baru saja dihapus akan tetap terlihat—tetapi tidak dapat diklik—hingga simulasi jalur serangan berikutnya berjalan.
Opsional: Edit konfigurasi dan klik Save.

Pemecahan masalah

Jika Anda menerima error setelah membuat, mengedit, atau menghapus konfigurasi nilai resource, periksa temuan class SCC Error di Google Cloud konsol dengan mengikuti langkah-langkah berikut:

Buka halaman Findings di Google Cloud konsol:

Buka Temuan
Di panel Quick filters, buka bagian Finding class dan pilih SCC Error.
Di panel Findings query results, pindai temuan untuk temuan SCC Error berikut dan klik nama kategori:
- APS no resource value configs match any resources
- APS resource value assignment limit exceeded
Panel detail temuan akan terbuka.
Di panel detail temuan, tinjau informasi di bagian Next steps.

Untuk meninjau petunjuk perbaikan untuk temuan SCC Error simulasi jalur serangan dalam dokumentasi, lihat:

Langkah berikutnya

Untuk mengetahui informasi tentang cara menggunakan temuan Security Command Center, lihat Meninjau dan mengelola temuan.