Meninjau dan mengelola temuan

Halaman ini menjelaskan cara menggunakan temuan Security Command Center. Temuan adalah catatan yang dibuat oleh layanan Security Command Center saat mendeteksi masalah keamanan. Temuan tercantum di halaman Temuan. Anda dapat mengklik temuan untuk melihat detail dan format JSON lengkapnya.

Beberapa tindakan yang dapat Anda lakukan di halaman Temuan meliputi hal berikut:

  • Temuan kueri.
  • Periksa temuan.
  • Nonaktifkan temuan.
  • Menambahkan tanda keamanan ke temuan.

Untuk informasi tentang cara menggunakan temuan secara terprogram, lihat Library klien Security Command Center.

Mendapatkan izin yang diperlukan

Bagian ini mencantumkan peran IAM yang Anda perlukan untuk menangani temuan di konsol.

Peran IAM konsolGoogle Cloud

Untuk menggunakan temuan di konsol Google Cloud , Anda memerlukan peran IAM berikut.

Pastikan Anda memiliki peran berikut di organisasi:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Memeriksa peran

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.

  3. Di kolom Akun utama, temukan semua baris yang mengidentifikasi Anda atau grup yang Anda ikuti. Untuk mengetahui grup mana saja yang Anda ikuti, hubungi administrator Anda.

  4. Untuk semua baris yang menentukan atau menyertakan Anda, periksa kolom Peran untuk melihat apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Grant access.

  4. Di kolom New principals, masukkan ID pengguna Anda. Biasanya, ini adalah alamat email untuk Akun Google.

  5. Klik Pilih peran, lalu telusuri peran.
  6. Untuk memberikan peran tambahan, klik Add another role, lalu tambahkan tiap peran tambahan.
  7. Klik Simpan.

Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.

Lihat temuan

  1. Buka halaman Temuan.

  2. Di konsol Google Cloud , buka halaman Findings di Security Command Center.

    Buka Temuan

  3. Pilih Google Cloud organisasi, folder, atau project Anda.

    Temuan yang muncul adalah untuk Google Cloud resource (organisasi, folder, atau project) yang Anda pilih. Misalnya, memilih project hanya akan menampilkan temuan yang terkait dengan project tersebut, sedangkan memilih folder dengan beberapa project akan menampilkan temuan untuk semua project yang disertakan.

  4. Untuk memperbarui daftar temuan di Findings query results, klik autorenewRefresh findings.

Sesuaikan rentang waktu untuk melihat lebih banyak temuan

Anda dapat menyesuaikan rentang waktu yang digunakan untuk kueri Anda. Rentang waktu default adalah Last 7 days.

Rentang waktu didasarkan pada nilai atribut eventTime dari temuan, yang mencerminkan waktu saat catatan temuan terakhir diperbarui.

Di halaman Temuan di konsol Google Cloud , tetapkan kolom Rentang waktu.

Menemukan ketersediaan

Temuan biasanya tersedia untuk Anda kueri di Security Command Center kurang dari satu menit setelah layanan yang membuat temuan menyimpannya di database temuan Security Command Center. Untuk mengetahui informasi yang lebih mendetail tentang apa yang terjadi setelah Anda mengaktifkan Security Command Center, lihat Kapan temuan dapat diharapkan di Security Command Center.

Bergantung pada paket Security Command Center Anda, temuan tetap tersedia untuk Anda cantumkan atau kueri selama jangka waktu tertentu. Untuk mengetahui informasi selengkapnya tentang retensi data Security Command Center, lihat Retensi data.

Menemukan dan melihat temuan tertentu

Secara default, halaman Temuan menampilkan semua temuan aktif yang tidak dinonaktifkan dan yang baru atau diperbarui selama tujuh hari terakhir. Untuk menampilkan temuan yang tidak aktif atau dibisukan, pilih Tidak aktif atau Dibisukan di panel Filter cepat.

Menggunakan tampilan filter standar

Untuk menampilkan kategori temuan tertentu, klik tampilan filter bawaan berikut yang menampilkan kategori temuan tertentu:

  • Paket standar lama: Semua Temuan, Kerentanan, dan Identitas
  • Tingkat standar: Semua Temuan, Kerentanan, Identitas, Data, dan Ancaman
  • Tingkat Premium: Semua Temuan, Kerentanan, Identitas, Data, dan Ancaman
  • Paket Enterprise: Semua Temuan, Kerentanan, Identitas, Ancaman, dan Data

Tampilan menerapkan, dan menjalankan, kueri yang telah ditentukan sebelumnya.

Di Security Command Center Enterprise, klik Menampilkan semua untuk memfilter hasil menurut penyedia cloud: Google Cloud, Amazon Web Services (AWS), atau Microsoft Azure. Untuk mengetahui informasi tentang cara menyiapkan koneksi ke penyedia cloud lain, lihat referensi berikut:

Menggunakan editor kueri

Bagian ini menjelaskan berbagai cara Anda dapat menyesuaikan kueri temuan di konsol Google Cloud untuk memfilter temuan tertentu.

Contoh berikut adalah kueri temuan default:

state="ACTIVE"
AND NOT mute="MUTED"
AND launch_state="LAUNCH_STATE_DEPRECATED"

Untuk mengetahui informasi tentang temuan dengan kolom launch_state yang ditetapkan ke LAUNCH_STATE_DEPRECATED, lihat Tingkat standar yang ditingkatkan dan diaktifkan secara otomatis untuk beberapa pelanggan.

Anda dapat melihat kueri temuan saat ini di panel Query editor. Anda dapat mengedit kueri secara langsung atau memilih filter yang telah ditentukan sebelumnya untuk membuat kueri. Untuk mengetahui informasi selengkapnya, klik tab untuk tingkat layanan Anda.

Di halaman Temuan di konsol Google Cloud , Anda dapat melakukan tindakan berikut:

  • Di panel Quick filters, pilih satu atau beberapa filter atribut yang telah ditentukan sebelumnya untuk menambahkannya ke kueri. Gunakan panel Filter cepat untuk opsi filter tingkat tinggi yang umum digunakan.
  • Di menu Tambahkan filter pada panel Editor kueri, pilih satu atau beberapa filter atribut yang telah ditentukan sebelumnya untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter lanjutan dan yang lebih terperinci berdasarkan atribut temuan tingkat bawah. Untuk mengetahui informasi selengkapnya, lihat Mengedit kueri temuan di konsol.
  • Edit kueri temuan langsung di panel Query editor.
  • Dalam tampilan detail temuan, dari menu drop-down untuk atribut tertentu, pilih filter standar untuk atribut tersebut guna menambahkannya ke kueri.

Melihat detail temuan

Untuk mempelajari temuan lebih lanjut, buka tampilan mendetail temuan dengan mengklik nama temuan di kolom Kategori dalam hasil kueri temuan.

Dalam tampilan detail, Anda dapat menemukan informasi yang penting untuk memahami temuan, menyelidiki ancaman, atau mengatasi kerentanan.

Tampilan detail untuk temuan mencakup tab berikut yang dapat Anda pilih untuk mempelajari lebih lanjut temuan dan mengambil tindakan:

  • Tab Ringkasan, yang merupakan tampilan default, menyoroti informasi dan atribut utama tentang temuan.
  • Tab Source properties, tempat Anda dapat melihat atribut objek sourceProperties dari JSON temuan.
  • Tab JSON, tempat Anda dapat melihat format JSON lengkap temuan.

Anda dapat melakukan tindakan tertentu pada temuan di tampilan detail, serta menemukan link ke informasi tambahan yang terkait dengan temuan tersebut.

Mempelajari temuan dalam tampilan detail

Tampilan detail temuan menyoroti informasi penting tentang temuan yang dapat Anda gunakan untuk memahami dan mengatasi masalah keamanan yang mendasarinya.

Informasi di tab Ringkasan

Tab Ringkasan memberikan informasi tentang temuan di bagian berikut:

Yang terdeteksi (atau Ringkasan)

Detail tentang temuan yang terdeteksi, seperti berikut:

  • Tingkat keparahan temuan
  • Status temuan, ACTIVE atau INACTIVE
  • Kolom kunci apa pun yang terkait dengan temuan tertentu
Kerentanan

Informasi dari catatan CVE yang sesuai dengan kerentanan, jika ada. Bagian Kerentanan mencakup informasi dari data CVE, seperti:

  • ID CVE
  • Skor CVE
  • Dampak
  • Aktivitas eksploitasi
Eksposur serangan

Skor eksposur serangan dan waktu terakhir skor dihitung. Dengan mengklik skor, Anda dapat melihat gambaran visual resource bernilai tinggi yang terpengaruh dan jalur serangan terkait.

Resource yang terpengaruh

Detail tentang resource yang terkait dengan temuan, termasuk informasi berikut:

  • Nama lengkap resource yang terpengaruh
  • Penyedia layanan cloud resource
  • Kontak teknis dan keamanan
Informasi kasus

Detail tentang kasus yang terkait dengan temuan, termasuk informasi berikut.

  • Nama lengkap resource sistem eksternal yang terkait dengan temuan
  • Grup yang ditugaskan untuk kasus ini
  • ID kasus, yang ditautkan ke kasus di konsol Security Operations
  • Status kasus
  • Waktu update di sistem pengelolaan kasus eksternal
  • Batas waktu yang ditetapkan untuk menutup kasus
Tanda keamanan

Tanda keamanan yang terkait dengan temuan ini, jika ada.

Langkah berikutnya

Panduan tentang tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang terdeteksi. Hanya layanan tertentu, seperti Analisis Kondisi Keamanan, yang memberikan langkah selanjutnya.

Link terkait

Link ke sumber utama informasi keamanan di luar Security Command Center. Hanya layanan tertentu, seperti Event Threat Detection, yang menyediakan link terkait.

Layanan deteksi

Detail tentang layanan, atau sumber, yang mendeteksi temuan.

Informasi di tab Properti sumber

Untuk beberapa temuan, panel detail menyertakan tab Source properties yang menandai properti tertentu dari objek sourceProperties JSON temuan.

Properti sumber berbeda untuk setiap temuan dan untuk setiap layanan yang berjalan di Security Command Center. Tidak ada jaminan bahwa properti sumber distandardisasi di semua layanan. Oleh karena itu, sebaiknya jangan menggunakan properti sumber secara terprogram. Jika Anda ingin properti sumber distandardisasi di semua layanan, beri tahu kami dengan mengirimkan masukan Anda.

Informasi di tab JSON

Tab JSON berisi struktur JSON lengkap temuan, yang dapat berguna saat Anda menyelidiki temuan atau mencari atribut yang dapat digunakan dalam kueri temuan.

Untuk menyalin objek JSON ke papan klip, klik Salin.

Struktur JSON temuan berisi objek berikut:

  • findings: Atribut temuan. Atribut ini distandardisasi di semua layanan bawaan dan terintegrasi (juga dikenal sebagai sumber keamanan). Untuk mengetahui informasi selengkapnya, lihat Finding.
  • resource: Atribut resource yang terpengaruh. Untuk informasi selengkapnya, lihat Resource.
  • sourceProperties: Properti spesifik per layanan dari temuan.

Anda juga dapat menggunakan ListFindings API untuk mencantumkan temuan dan mendapatkan definisi JSON-nya.

Melihat temuan untuk resource yang terdaftar di aplikasi

Lakukan hal berikut untuk memfilter dan menampilkan temuan yang terkait dengan resource yang terdaftar ke aplikasi App Hub.

  • Gunakan menu Pilih aplikasi untuk memilih aplikasi. Tindakan ini menambahkan kueri dengan istilah untuk hanya menampilkan temuan yang terkait dengan aplikasi tersebut.

  • Di panel Quick filters, pilih satu atau beberapa aplikasi di bagian App ID.

Saat Anda memilih temuan, panel Detail temuan akan menampilkan informasi tentang aplikasi tempat resource terdaftar.

Menindaklanjuti temuan dari tampilan detail

Anda dapat melakukan berbagai tindakan pada temuan dari tampilan detail temuan, seperti menonaktifkan temuan. Jika Anda melihat tampilan detail temuan di konsol Google Cloud , Anda juga dapat menambahkan atribut dari temuan ke kueri temuan saat ini.

Menonaktifkan temuan dalam tampilan detail

Dari tampilan detail temuan, Anda dapat membisukan atau membunyikan temuan. Anda juga dapat membuat aturan yang menonaktifkan semua temuan di masa mendatang seperti temuan saat ini.

Untuk petunjuk lengkap tentang cara menonaktifkan temuan atau membuat aturan penonaktifan, lihat Menonaktifkan temuan di Security Command Center.

Menambahkan filter atribut ke kueri dari tampilan detail

Di konsol Google Cloud , dalam tampilan detail temuan, Anda dapat menambahkan filter untuk atribut yang ditampilkan ke kueri temuan saat ini.

Untuk menambahkan filter atribut ke kueri dari tampilan detail:

  • Di halaman Temuan, klik temuan untuk melihat detailnya.
  • Di tampilan detail temuan, temukan atribut yang ingin Anda filter.
  • Di samping atribut, buka menu drop-down.
  • Pilih filter standar untuk atribut. Filter ditambahkan ke kueri temuan di halaman Temuan.

Melihat atau menyalin nama API atribut dalam tampilan detail temuan

Sebagian besar atribut temuan yang ditampilkan di konsol Google Cloud memiliki nama yang sesuai yang digunakan di Security Command Center API.

  1. Di halaman Temuan, klik temuan untuk melihat detailnya.

  2. Dalam tampilan detail temuan, Anda dapat menemukan dan menyalin nama API yang sesuai dari setiap atribut yang ditampilkan.

    Nama API yang setara untuk setiap atribut tercantum dalam baris yang sama dengan atribut. Semua nama API ada di kolom terakhir. Misalnya, untuk atribut Negara Bagian, nama API yang setara adalah state.

Membagikan tampilan detail temuan

Untuk membagikan tampilan detail temuan, Anda dapat menyalin URL halaman tampilan detail untuk dibagikan kepada orang lain.

Untuk mengetahui informasi tentang cara menyalin URL tampilan detail temuan, klik tab untuk konsol yang Anda gunakan.

  1. Di halaman Temuan, klik temuan untuk melihat detailnya.
  2. Klik Lakukan tindakan > Salin link.

Kirim masukan tentang temuan ini ke Google Cloud

Untuk mengetahui informasi tentang cara mengirimkan masukan terkait temuan, klik tab untuk tingkat layanan Anda.

  1. Di halaman Temuan, klik temuan untuk melihat detailnya.
  2. Klik Ambil tindakan > Kirim masukan.
  3. Masukkan deskripsi masukan Anda.
  4. Untuk menyertakan screenshot, klik Ambil screenshot.
  5. Klik Kirim.

Menampilkan detail temuan lainnya dalam hasil kueri temuan

Untuk melihat detail temuan yang mendahului atau mengikuti temuan yang sedang Anda lihat, gunakan tombol berikutnya atau sebelumnya untuk membuka temuan berikutnya atau sebelumnya, tanpa harus kembali ke halaman Temuan.

Menambahkan tanda keamanan ke temuan

Tanda keamanan adalah label nilai kunci kustom yang dapat Anda gunakan untuk memberi anotasi pada temuan, mengaitkan temuan dengan temuan lain yang memiliki tanda keamanan yang sama, dan membuat kueri temuan.

Untuk petunjuk lengkap tentang cara menyetel tanda keamanan pada temuan atau aset, lihat Menggunakan tanda keamanan.

Menonaktifkan temuan di konsol

Anda dapat membisukan dan membunyikan temuan dari tampilan berikut:

  • Hasil kueri temuan di halaman Temuan
  • Tampilan detail temuan

Anda dapat menonaktifkan temuan satu per satu atau membuat aturan penonaktifan yang menonaktifkan temuan saat ini dan mendatang berdasarkan filter yang Anda tentukan.

Temuan yang dibisukan disembunyikan dan dibisukan, tetapi Anda tetap dapat melihatnya dengan menambahkan filter mute="MUTED" ke kueri temuan Anda. Temuan yang disenyapkan akan terus dicatat untuk tujuan audit dan kepatuhan.

Untuk melihat petunjuk mendetail tentang cara menonaktifkan dan mengaktifkan kembali temuan, lihat Menonaktifkan temuan di Security Command Center.

Mengubah status temuan

Temuan dapat memiliki salah satu dari dua status: Active atau Inactive.

Status Active berarti masalah keamanan yang diidentifikasi oleh temuan tetap ada di lingkungan Anda sebagai potensi ancaman atau kerentanan.

Status Inactive berarti masalah keamanan telah ditangani.

Anda mungkin ingin mengubah status temuan karena berbagai alasan, seperti mengubah status temuan menjadi Inactive segera setelah ditangani, sehingga Anda tidak perlu menunggu pemindaian berikutnya untuk mengubah status tersebut.

Untuk mengetahui informasi tentang cara mengubah status temuan, klik tab untuk tingkat layanan Anda.

  1. Di konsol Google Cloud , buka halaman Findings di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Anda. Google Cloud
  3. Di panel Findings query results, pilih temuan
  4. Di panel tindakan Findings query results, klik Change active state.
  5. Di menu Ubah status aktif, pilih Aktif atau Tidak aktif.

Menyesuaikan halaman Temuan

Untuk mengontrol ruang layar, Anda dapat menyesuaikan beberapa elemen yang muncul di hasil kueri temuan.

Menyembunyikan atau menampilkan kolom di hasil kueri temuan

Dalam hasil kueri temuan, Anda dapat menyembunyikan kolom apa pun kecuali Kategori.

Berikut adalah contoh kolom yang tersedia:

  • Category: nama jenis temuan.
  • Severity: tingkat keparahan temuan. Untuk mengetahui informasi selengkapnya tentang tingkat keparahan temuan, lihat Klasifikasi tingkat keparahan temuan.
  • Tahap aplikasi: Tahap dalam siklus proses aplikasi saat temuan dideteksi, seperti Desain atau Operasikan.
  • Kekritisan aplikasi: Kekritisan bisnis aplikasi yang terkait dengan temuan.
  • Skor kombinasi toksik: Skor eksposur serangan pada temuan kelas Toxic combination.
  • Skor eksposur serangan: Skor eksposur serangan dari temuan.
  • Waktu peristiwa: saat temuan pertama kali terdeteksi atau saat terakhir kali diperbarui.
  • Waktu pembuatan: saat temuan dibuat di Security Command Center.
  • Menemukan class: class temuan, seperti THREAT, VULNERABILITY, dan MISCONFIGURATION.
  • Nama tampilan resource: nama tampilan resource tempat masalah terdeteksi.
  • Nama lengkap resource: nama lengkap resource tempat masalah terdeteksi.
  • Penyedia cloud resource: Penyedia layanan cloud tempat resource dihosting.
  • Jalur resource: jalur ke resource tempat masalah terdeteksi.
  • Jenis resource: jenis resource tempat masalah terdeteksi.
  • Tanda keamanan: Tanda keamanan apa pun yang ditambahkan ke temuan.

Untuk mengetahui informasi tentang cara menyembunyikan atau menampilkan kolom dalam hasil kueri temuan, klik tab untuk tingkat layanan Anda.

  1. Di sebelah kanan panel tindakan Hasil kueri temuan, klik Kolom.
  2. Pilih kolom yang ingin Anda tampilkan.
  3. Hapus pilihan untuk kolom yang ingin Anda sembunyikan.
  4. Klik Terapkan untuk menerapkan perubahan pada panel Hasil kueri temuan.

Pilihan kolom dipertahankan saat Anda melihat halaman Temuan berikutnya, meskipun Anda mengubah project atau organisasi. Untuk menghapus semua pilihan kolom kustom, klik Hapus pilihan kolom.

Menyembunyikan atau menampilkan panel halaman Temuan

Untuk memperluas ruang layar saat mengedit kueri atau melihat temuan, Anda dapat menyembunyikan atau menampilkan panel. Untuk mengetahui informasi selengkapnya, klik tab untuk tingkat layanan Anda.

Anda dapat menyembunyikan atau menampilkan panel berikut:

  • Panel Filter cepat
  • Panel Editor kueri

Untuk menyembunyikan panel, klik ikon Alihkan panel, atau .

Untuk menampilkan panel, klik ikon lagi.

Langkah berikutnya