Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menggunakan Event Threat Detection

Halaman ini menunjukkan cara meninjau temuan Event Threat Detection di konsol Google Cloud dan menyertakan contoh temuan Event Threat Detection.

Event Threat Detection adalah layanan bawaan yang memantau aliran logging Cloud Logging untuk organisasi atau project Anda dan mendeteksi ancaman secara hampir real time. Jika Anda mengaktifkan Security Command Center di tingkat organisasi, Event Threat Detection juga dapat memantau aliran logging Google Workspace organisasi Anda. Untuk mempelajari lebih lanjut, lihat Ringkasan Event Threat Detection.

Mengaktifkan atau menonaktifkan Event Threat Detection

Secara default, Event Threat Detection diaktifkan. Untuk mengetahui informasi umum tentang cara mengaktifkan atau menonaktifkan layanan bawaan atau modulnya, lihat Mengonfigurasi layanan Security Command Center.

Meninjau temuan

Untuk melihat temuan Event Threat Detection, layanan harus diaktifkan di setelan Layanan Security Command Center. Setelah Anda mengaktifkan Event Threat Detection, Event Threat Detection akan membuat temuan dengan memindai log tertentu. Beberapa log yang dapat dipindai oleh Event Threat Detection dinonaktifkan secara default, jadi Anda mungkin perlu mengaktifkannya.

Untuk mengetahui informasi selengkapnya tentang aturan deteksi bawaan yang digunakan Event Threat Detection dan log yang dipindai Event Threat Detection, lihat topik berikut:

Anda dapat melihat temuan Event Threat Detection di Security Command Center. Jika Anda mengonfigurasi Ekspor Berkelanjutan untuk menulis log, Anda juga dapat melihat temuan di Cloud Logging. Ekspor Berkelanjutan ke Cloud Logging hanya tersedia jika Anda mengaktifkan Security Command Center di tingkat organisasi. Untuk membuat temuan dan memverifikasi konfigurasi, Anda dapat memicu detektor secara sengaja dan menguji Event Threat Detection.

Pengaktifan Event Threat Detection terjadi dalam hitungan detik. Latensi deteksi umumnya kurang dari 15 menit dari saat log ditulis hingga saat temuan tersedia di Security Command Center. Untuk mengetahui informasi selengkapnya tentang latensi, lihat Ringkasan latensi Security Command Center.

Meninjau temuan di Security Command Center

Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari lebih lanjut peran Security Command Center, lihat Kontrol akses.

Gunakan prosedur berikut untuk meninjau temuan di konsol Google Cloud :

Di konsol Google Cloud , buka halaman Temuan Security Command Center.
Buka Temuan
Jika perlu, pilih Google Cloud project atau organisasi Anda.
Di bagian Filter cepat, di subbagian Nama tampilan sumber, pilih salah satu atau kedua opsi berikut:
- Event Threat Detection: untuk memfilter temuan yang dihasilkan oleh detektor Event Threat Detection bawaan
- Modul Kustom Event Threat Detection: untuk memfilter temuan yang dihasilkan oleh modul kustom untuk Event Threat Detection
Tabel diisi dengan temuan Event Threat Detection.
Untuk melihat detail temuan tertentu, klik nama temuan di bagian Category. Panel detail temuan diperluas untuk menampilkan informasi, termasuk:
- Kapan peristiwa terjadi
- Sumber data temuan
- Tingkat keparahan deteksi, misalnya Tinggi
- Tindakan yang dilakukan, seperti menambahkan peran Identity and Access Management (IAM) ke pengguna Gmail
- Pengguna yang melakukan tindakan, yang tercantum di samping Email utama
Untuk menampilkan semua temuan yang disebabkan oleh tindakan pengguna yang sama:
1. Di panel detail temuan, salin alamat email di samping Email utama.
2. Tutup panel.
3. Di editor kueri, masukkan kueri berikut:
```
access.principal_email="USER_EMAIL"
```
  Ganti USER_EMAIL dengan alamat email yang sebelumnya Anda salin.
  
  Security Command Center menampilkan semua temuan yang terkait dengan tindakan yang diambil oleh pengguna yang Anda tentukan.

Melihat temuan di Cloud Logging

Jika Anda mengonfigurasi Ekspor Berkelanjutan untuk menulis log, Anda dapat melihat temuan Event Threat Detection di Cloud Logging. Fitur ini hanya tersedia jika Anda mengaktifkan Security Command Center Premium di tingkat organisasi.

Untuk melihat temuan Event Threat Detection di Cloud Logging, lakukan hal berikut:

Buka Logs Explorer di konsol Google Cloud .

Buka Logs Explorer
Pilih Google Cloud project atau resource Google Cloud lainnya tempat Anda menyimpan log Event Threat Detection.
Gunakan panel Query untuk membuat kueri dengan salah satu cara berikut:
- Dalam daftar Semua resource, lakukan hal berikut:
  1. Pilih Detektor Ancaman untuk menampilkan daftar semua detektor.
  2. Untuk melihat temuan dari semua detektor, pilih all detector_name. Untuk melihat temuan dari detektor tertentu, pilih namanya.
  3. Klik Terapkan. Tabel Hasil kueri diperbarui dengan log yang Anda pilih.
- Masukkan kueri berikut di editor kueri, lalu klik Run query:
```
resource.type="threat_detector"
```
  Tabel Hasil kueri diperbarui dengan log yang Anda pilih.
Untuk melihat log, pilih baris tabel, lalu klik Luaskan kolom bertingkat.

Anda dapat membuat kueri log lanjutan untuk menentukan sekumpulan entri log dari sejumlah log.

Contoh format penemuan

Bagian ini menyediakan link ke contoh output JSON untuk temuan Event Threat Detection. Anda akan melihat output ini saat mengekspor temuan menggunakan konsolGoogle Cloud atau mencantumkan temuan menggunakan Security Command Center API atau Google Cloud CLI.

Contoh di halaman ini menunjukkan berbagai jenis temuan. Setiap contoh hanya menyertakan kolom yang paling relevan dengan jenis temuan tersebut. Untuk mengetahui daftar lengkap kolom yang tersedia dalam temuan, lihat dokumentasi API Security Command Center untuk resource Finding.

Untuk melihat contoh temuan, pilih salah satu link berikut.

Penemuan Ancaman	Contoh JSON
`Active Scan: Log4j Vulnerable to RCE`	Lihat Contoh JSON
`Brute force SSH`	Contoh Lihat JSON
`Cloud IDS: THREAT_IDENTIFIER`	Lihat Contoh JSON
`Defense Evasion: Breakglass Workload Deployment Created`	Lihat Contoh JSON
`Defense Evasion: Breakglass Workload Deployment Updated`	Lihat Contoh JSON
`Defense Evasion: Modify VPC Service Control`	Contoh Lihat JSON
`Discovery: Can get sensitive Kubernetes object check`	Lihat Contoh JSON
`Discovery: Service Account Self-Investigation`	Lihat Contoh JSON
`Evasion: Access from Anonymizing Proxy`	Contoh Lihat JSON
`Execution: Cryptomining Docker Image`	Lihat Contoh JSON
`Exfiltration: BigQuery Data Exfiltration`	Contoh Lihat JSON
`Exfiltration: BigQuery Data Extraction`	Lihat Contoh JSON
`Exfiltration: BigQuery Data to Google Drive`	Lihat Contoh JSON
`Exfiltration: Cloud SQL Data Exfiltration`	Lihat Contoh JSON
`Exfiltration: Cloud SQL Over-Privileged Grant`	Contoh Lihat JSON
`Exfiltration: Cloud SQL Restore Backup to External Organization`	Contoh Lihat JSON
`Impact: Cryptomining Commands`	Contoh Lihat JSON
`Impact: Deleted Google Cloud Backup and DR Backup`	Contoh Lihat JSON
`Impact: Deleted Google Cloud Backup and DR host`	Contoh Lihat JSON
`Impact: Deleted Google Cloud Backup and DR plan association`	Lihat Contoh JSON
`Impact: Deleted Google Cloud Backup and DR Vault`	Contoh Lihat JSON
`Impact: Google Cloud Backup and DR delete policy`	Lihat Contoh JSON
`Impact: Google Cloud Backup and DR delete profile`	Contoh Lihat JSON
`Impact: Google Cloud Backup and DR delete storage pool`	Contoh Lihat JSON
`Impact: Google Cloud Backup and DR delete template`	Contoh Lihat JSON
`Impact: Google Cloud Backup and DR expire all images`	Contoh Lihat JSON
`Impact: Google Cloud Backup and DR expire image`	Contoh Lihat JSON
`Impact: Google Cloud Backup and DR reduced backup expiration`	Contoh Lihat JSON
`Impact: Google Cloud Backup and DR reduced backup frequency`	Contoh Lihat JSON
`Impact: Google Cloud Backup and DR remove appliance`	Contoh Lihat JSON
`Impact: Google Cloud Backup and DR remove plan`	Contoh Lihat JSON
`Initial Access: Account Disabled Hijacked`	Contoh Lihat JSON
`Initial Access: Database Superuser Writes to User Tables`	Lihat Contoh JSON
`Initial Access: Disabled Password Leak`	Lihat Contoh JSON
`Initial Access: Dormant Service Account Action`	Contoh Lihat JSON
`Initial Access: Dormant Service Account Activity in AI Service`	Contoh Lihat JSON
`Initial Access: Dormant Service Account Key Created`	Lihat Contoh JSON
`Initial Access: Excessive Permission Denied Actions`	Lihat Contoh JSON
`Initial Access: Government Based Attack`	Lihat Contoh JSON
`Initial Access: Leaked Service Account Key Used`	Lihat Contoh JSON
`Initial Access: Log4j Compromise Attempt`	Lihat Contoh JSON
`Initial Access: Suspicious Login Blocked`	Lihat Contoh JSON
`Lateral Movement: Modified Boot Disk Attached to Instance`	Lihat Contoh JSON
`Malware: bad domain`	Contoh Lihat JSON
`Malware: bad IP`	Lihat Contoh JSON
`Malware: Cryptomining Bad Domain`	Lihat Contoh JSON
`Malware: Cryptomining Bad IP`	Contoh Lihat JSON
`Persistence: GCE Admin Added SSH Key`	Contoh Lihat JSON
`Persistence: GCE Admin Added Startup Script`	Lihat Contoh JSON
`Persistence: IAM Anomalous Grant`	Lihat Contoh JSON
`Persistence: New AI API Method`	Lihat Contoh JSON
`Persistence: New API Method`	Lihat Contoh JSON
`Persistence: New Geography`	Lihat Contoh JSON
`Persistence: New Geography for AI Service`	Contoh Lihat JSON
`Persistence: New User Agent`	Lihat Contoh JSON
`Persistence: SSO Enablement Toggle`	Lihat Contoh JSON
`Persistence: SSO Settings Changed`	Contoh Lihat JSON
`Persistence: Strong Authentication Disabled`	Contoh Lihat JSON
`Persistence: Two Step Verification Disabled`	Contoh Lihat JSON
`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables`	Contoh Lihat JSON
`Privilege Escalation: AlloyDB Over-Privileged Grant`	Lihat Contoh JSON
`Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity`	Contoh Lihat JSON
`Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity`	Lihat Contoh JSON
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity`	Lihat Contoh JSON
`Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity`	Lihat Contoh JSON
`Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access`	Contoh Lihat JSON
`Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access`	Contoh Lihat JSON
`Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity`	Lihat Contoh JSON
`Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity`	Lihat Contoh JSON
`Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access`	Lihat Contoh JSON
`Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	Lihat Contoh JSON
`Privilege Escalation: Changes to sensitive Kubernetes RBAC objects`	Lihat Contoh JSON
`Privilege Escalation: Create Kubernetes CSR for master cert`	Lihat Contoh JSON
`Privilege Escalation: Creation of sensitive Kubernetes bindings`	Contoh Lihat JSON
`Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy`	Lihat Contoh JSON
`Privilege Escalation: Dormant Service Account Granted Sensitive Role`	Lihat Contoh JSON
`Privilege Escalation: External Member Added To Privileged Group`	Lihat Contoh JSON
`Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	Lihat Contoh JSON
`Privilege Escalation: Impersonation Role Granted For Dormant Service Account`	Lihat Contoh JSON
`Privilege Escalation: Launch of privileged Kubernetes container`	Lihat Contoh JSON
`Privilege Escalation: Privileged Group Opened To Public`	Lihat Contoh JSON
`Privilege Escalation: Sensitive Role Granted To Hybrid Group`	Lihat Contoh JSON

Langkah berikutnya

Pelajari lebih lanjut cara kerja Event Threat Detection.
Pelajari cara menyelidiki dan mengembangkan rencana respons terhadap ancaman.