Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Kapan temuan akan muncul di Security Command Center

Halaman ini memberikan ringkasan proses aktivasi yang terjadi saat Anda mengaktifkan Security Command Center. Tujuannya adalah untuk menjawab pertanyaan umum:

Apa yang terjadi saat Security Command Center diaktifkan?
Mengapa ada penundaan sebelum pemindaian pertama dimulai?
Berapa lama runtime yang diharapkan untuk pemindaian pertama dan pemindaian berkelanjutan?
Bagaimana perubahan resource dan setelan akan memengaruhi performa?

Ringkasan

Saat pertama kali mengaktifkan Security Command Center, proses aktivasi harus diselesaikan sebelum Security Command Center dapat mulai memindai resource Anda. Kemudian, pemindaian harus diselesaikan sebelum Anda melihat kumpulan temuan lengkap untuk lingkungan Anda. Google Cloud

Waktu yang dibutuhkan untuk menyelesaikan proses aktivasi dan pemindaian bergantung pada sejumlah faktor, termasuk jumlah aset dan resource di lingkungan Anda serta apakah Security Command Center diaktifkan di tingkat organisasi atau tingkat project.

Dengan aktivasi tingkat organisasi, Security Command Center harus mengulangi langkah-langkah tertentu dari proses aktivasi untuk setiap project di organisasi. Bergantung pada jumlah project dalam organisasi, waktu yang diperlukan untuk proses aktivasi dapat berkisar dari menit hingga jam. Untuk organisasi dengan lebih dari 100.000 project, banyak resource di setiap project, dan faktor rumit lainnya, pengaktifan dan pemindaian awal dapat memerlukan waktu hingga 24 jam atau lebih untuk diselesaikan.

Dengan aktivasi Security Command Center tingkat project, proses aktivasi jauh lebih cepat, karena prosesnya terbatas pada satu project tempat Security Command Center diaktifkan.

Faktor-faktor yang dapat menyebabkan latensi dalam memulai pemindaian, memproses perubahan pada setelan, dan runtime pemindaian dibahas di bagian berikut.

Latensi dalam orientasi

Sebelum pemindaian dimulai, Security Command Center menemukan dan mengindeks resource Anda.

Layanan yang diindeks mencakup App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management, dan Google Kubernetes Engine.

Untuk aktivasi Security Command Center tingkat project, penemuan dan pengindeksan terbatas pada satu project tempat Security Command Center diaktifkan.

Untuk aktivasi tingkat organisasi, Security Command Center menemukan dan mengindeks resource di seluruh organisasi Anda.

Selama proses orientasi ini, dua langkah penting akan dilakukan.

Pemindaian aset

Security Command Center melakukan pemindaian aset awal untuk mengidentifikasi jumlah total, lokasi, dan status project, folder, file, cluster, identitas, kebijakan akses, pengguna terdaftar, dan resource lainnya. Proses ini biasanya selesai dalam beberapa menit.

Aktivasi API

Saat resource ditemukan, Security Command Center mengaktifkan bagian Google Cloud yang diperlukan agar Security Health Analytics, Event Threat Detection, Container Threat Detection, dan Web Security Scanner dapat beroperasi. Beberapa layanan deteksi memerlukan API tertentu untuk diaktifkan di project yang dilindungi agar dapat berfungsi.

Saat Anda mengaktifkan Security Command Center di tingkat project, aktivasi API biasanya memerlukan waktu kurang dari satu menit.

Dengan aktivasi tingkat organisasi, Security Command Center melakukan iterasi melalui semua project yang Anda pilih untuk dipindai guna mengaktifkan API yang diperlukan.

Jumlah project dalam organisasi sebagian besar menentukan durasi proses orientasi dan pengaktifan. Karena API harus diaktifkan untuk project satu per satu, aktivasi API biasanya merupakan tugas yang paling memakan waktu, terutama untuk organisasi dengan lebih dari 100.000 project.

Waktu yang diperlukan untuk mengaktifkan layanan di seluruh project akan meningkat secara linear. Artinya, secara umum, diperlukan waktu dua kali lebih lama untuk mengaktifkan layanan dan setelan keamanan di organisasi dengan 30.000 project dibandingkan dengan organisasi yang memiliki 15.000 project.

Untuk organisasi dengan 100.000 project, orientasi dan pengaktifan tingkat layanan Premium dan Enterprise harus diselesaikan dalam waktu kurang dari lima jam. Waktu Anda dapat bervariasi bergantung pada banyak faktor, termasuk jumlah project atau container yang Anda gunakan dan jumlah layanan Security Command Center yang Anda pilih untuk diaktifkan.

Latensi pemindaian awal

Saat menyiapkan Security Command Center, Anda memutuskan layanan bawaan dan terintegrasi mana yang akan diaktifkan, dan memilih resource Google Cloud yang ingin Anda analisis, atau pindai, untuk menemukan ancaman dan kerentanan. Saat API diaktifkan untuk project, layanan yang dipilih akan memulai pemindaiannya. Durasi pemindaian ini juga bergantung pada jumlah project dalam organisasi.

Temuan dari layanan bawaan tersedia saat pemindaian awal selesai. Layanan mengalami latensi seperti yang dijelaskan di bagian berikut.

Deteksi Ancaman Platform Agen (Pratinjau) memiliki latensi berikut:
- Latensi aktivasi hingga 3,5 jam untuk project atau organisasi yang baru di-onboard.
- Latensi deteksi dalam hitungan menit.
Cloud Run Threat Detection memiliki latensi berikut:
- Latensi aktivasi hingga 3,5 jam untuk project atau organisasi yang baru di-onboard.
- Latensi deteksi dalam hitungan menit.
Compliance Manager: Lihat Latensi pemindaian Compliance Manager untuk kontrol detektif.
Container Threat Detection memiliki latensi berikut:
- Latensi aktivasi hingga 3,5 jam untuk project atau organisasi yang baru di-onboard.
- Latensi aktivasi dalam hitungan menit untuk cluster yang baru dibuat.
- Latensi deteksi dalam hitungan menit untuk ancaman di cluster yang telah diaktifkan.
Aktivasi Event Threat Detection terjadi dalam hitungan detik untuk detektor bawaan. Untuk detektor kustom baru atau yang diperbarui, perubahan Anda mungkin memerlukan waktu hingga 15 menit untuk diterapkan. Pada praktiknya, biasanya diperlukan waktu kurang dari 5 menit.

Untuk detektor bawaan dan kustom, latensi deteksi umumnya kurang dari 15 menit, mulai dari waktu log ditulis hingga saat temuan tersedia di Security Command Center.
Data Masalah untuk tingkat Security Command Center Premium dan Enterprise dapat memerlukan waktu sekitar 6 jam untuk muncul.
Data grafik keamanan untuk tingkat Security Command Center Premium dan Enterprise dapat memerlukan waktu sekitar 2 jam untuk muncul.
Security Health Analytics: Lihat Latensi pemindaian Security Health Analytics.
VM Threat Detection memiliki latensi aktivasi hingga 48 jam untuk organisasi yang baru di-onboard. Untuk project, latensi aktivasi adalah hingga 15 menit.
Vulnerability Assessment for Google Cloud: Lihat Temuan yang dihasilkan oleh Vulnerability Assessment for Google Cloud untuk mengetahui informasi tentang frekuensi pemindaian setelah diaktifkan.
Vulnerability Assessment for Amazon Web Services (AWS) mulai memindai resource di akun AWS sekitar 15 menit setelah template CloudFormation yang diperlukan pertama kali di-deploy di akun tersebut. Saat kerentanan software terdeteksi di akun AWS, temuan yang sesuai akan tersedia di Security Command Center sekitar 10 menit kemudian.

Waktu yang dibutuhkan untuk menyelesaikan pemindaian bergantung pada jumlah instance EC2. Biasanya, pemindaian satu instance EC2 memerlukan waktu kurang dari 5 menit.
Pemindaian Web Security Scanner dapat memerlukan waktu hingga 24 jam untuk dimulai setelah layanan diaktifkan dan berjalan setiap minggu setelah pemindaian pertama.
Pemindaian Data Security Posture Management (DSPM) dapat memerlukan waktu hingga 24 jam untuk dimulai setelah layanan diaktifkan.

Security Command Center menjalankan detektor error, yang mendeteksi error konfigurasi terkait Security Command Center dan layanannya. Detektor error ini diaktifkan secara default dan tidak dapat dinonaktifkan. Latensi deteksi bervariasi bergantung pada detektor error. Untuk mengetahui informasi selengkapnya, lihat Error Security Command Center.

Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari peran Security Command Center lebih lanjut, lihat Kontrol akses.

Melihat temuan awal

Anda mungkin melihat beberapa temuan di Google Cloud konsol saat pemindaian awal sedang berlangsung, tetapi sebelum proses orientasi selesai. Temuan awal akurat dan dapat ditindaklanjuti, tetapi tidak komprehensif. Sebaiknya jangan gunakan temuan ini untuk penilaian kepatuhan dalam waktu 24 jam pertama.

Pemindaian berikutnya

Perubahan yang dilakukan dalam organisasi atau project Anda, seperti memindahkan resource atau, untuk aktivasi tingkat organisasi, menambahkan folder dan project baru, biasanya tidak akan memengaruhi waktu penemuan resource atau runtime pemindaian secara signifikan. Namun, beberapa pemindaian dilakukan sesuai jadwal yang ditetapkan, yang menentukan seberapa cepat Security Command Center mendeteksi perubahan.

Agent Platform Threat Detection (Pratinjau) menggunakan proses pengamat untuk mengumpulkan informasi peristiwa saat workload agen berjalan. Proses pengamat dapat memerlukan waktu hingga satu menit untuk memulai dan mengumpulkan informasi.
Simulasi jalur serangan: Untuk mengetahui informasi, lihat bagian Simulasi jalur serangan.
Cloud Run Threat Detection menggunakan proses pengamat untuk mengumpulkan informasi container dan peristiwa selama durasi workload Cloud Run. Proses pengamat dapat memerlukan waktu hingga satu menit untuk memulai dan mengumpulkan informasi.
Event Threat Detection dan Container Threat Detection: layanan ini berjalan secara real time saat diaktifkan dan langsung mendeteksi resource baru atau yang diubah, seperti cluster, bucket, atau log, di project yang diaktifkan.
Security Health Analytics: Untuk mengetahui informasi tentang jenis pemindaian, lihat Jenis pemindaian Security Health Analytics. Untuk mengetahui informasi tentang latensi deteksi, lihat Pemindaian berikutnya Security Health Analytics.
VM Threat Detection: Untuk pemindaian memori, VM Threat Detection memindai setiap instance VM segera setelah instance dibuat. Selain itu, VM Threat Detection memindai setiap instance VM setiap 30 menit.
- Untuk deteksi penambangan mata uang kripto, VM Threat Detection menghasilkan satu temuan per proses, per VM, per hari. Setiap temuan hanya mencakup ancaman yang terkait dengan proses yang diidentifikasi oleh temuan tersebut. Jika VM Threat Detection menemukan ancaman tetapi tidak dapat mengaitkannya dengan proses apa pun, VM Threat Detection akan mengelompokkan semua ancaman yang tidak terkait ke dalam satu temuan yang dihasilkan sekali per periode 24 jam untuk setiap VM. Untuk ancaman yang berlangsung lebih dari 24 jam, VM Threat Detection menghasilkan temuan baru sekali setiap 24 jam.
- Untuk deteksi rootkit mode kernel, VM Threat Detection menghasilkan satu temuan per kategori, per VM, setiap tiga hari.
Untuk pemindaian persistent disk, yang mendeteksi keberadaan malware yang diketahui, VM Threat Detection memindai setiap instance VM setidaknya setiap hari.
Vulnerability Assessment for AWS menjalankan pemindaian tiga kali sehari.

Waktu yang dibutuhkan untuk menyelesaikan pemindaian bergantung pada jumlah instance EC2. Biasanya, pemindaian satu instance EC2 memerlukan waktu kurang dari 5 menit.

Saat kerentanan software terdeteksi di akun AWS, temuan yang sesuai akan tersedia di Security Command Center sekitar 10 menit kemudian.
Web Security Scanner: Web Security Scanner berjalan setiap minggu, pada hari yang sama dengan pemindaian awal. Karena berjalan setiap minggu, Web Security Scanner tidak akan mendeteksi perubahan secara real time. Jika Anda memindahkan resource atau mengubah aplikasi, perubahan tersebut mungkin tidak terdeteksi hingga satu minggu. Anda dapat menjalankan pemindaian sesuai permintaan untuk memeriksa resource baru atau yang diubah di antara pemindaian terjadwal.
DSPM: Temuan yang dihasilkan oleh DSPM muncul hampir secara real time di dasbor DSPM.

Detektor error Security Command Center berjalan secara berkala dalam mode batch. Frekuensi pemindaian batch bervariasi bergantung pada detektor error. Untuk mengetahui informasi selengkapnya, lihat Error Security Command Center.

Simulasi jalur serangan

Simulasi jalur serangan berjalan setiap enam jam, kira-kira. Seiring bertambahnya ukuran atau kompleksitas organisasi Anda Google Cloud , waktu antar-interval dapat meningkat.

Saat pertama kali mengaktifkan Security Command Center, simulasi jalur serangan menggunakan kumpulan resource bernilai tinggi default, yang berfokus pada subset jenis resource yang didukung yang ditemukan di organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat daftar jenis resource yang didukung.

Saat Anda mulai menentukan kumpulan resource bernilai tinggi sendiri dengan membuat konfigurasi nilai resource, Anda mungkin melihat waktu antar-interval simulasi menurun jika jumlah instance resource dalam kumpulan resource bernilai tinggi Anda jauh lebih rendah daripada kumpulan default.

Langkah berikutnya

Pelajari cara menggunakan Security Command Center di Google Cloud konsol.
Pelajari tentang layanan deteksi.