Halaman ini memberikan petunjuk untuk mengidentifikasi dan merespons kombinasi toksik dan titik bottleneck menggunakan halaman berikut:
- Masalah, tersedia di tingkat layanan Premium dan Enterprise.
- Kasus, tersedia di tingkat layanan Enterprise.
- Temuan, tersedia di tingkat layanan Premium dan Enterprise.
Sebelum memulai
Untuk memastikan deteksi kombinasi toksik dan titik bottleneck akurat, pastikan software komponen operasi keamanan sudah yang terbaru, kumpulan resource bernilai tinggi Anda ditetapkan dengan akurat, dan Anda memiliki izin IAM yang tepat.
Opsional: Mengumpulkan data dari cloud lain
Risk Engine mendukung simulasi data dari Amazon Web Services (AWS) (Pratinjau) dan Microsoft Azure (Pratinjau) untuk mengidentifikasi kombinasi toksik dan titik bottleneck.
Konfigurasi koneksi dari Security Command Center ke penyedia cloud ini untuk mengumpulkan data resource dan konfigurasi. Untuk mengetahui informasi tentang cara menyiapkan koneksi, lihat artikel berikut:
- Menghubungkan ke AWS untuk pengumpulan data konfigurasi dan resource
- Menghubungkan ke Microsoft Azure untuk pengumpulan data konfigurasi dan resource
Untuk mengetahui daftar resource yang didukung, lihat Dukungan fitur Risk Engine.
Mendapatkan izin yang diperlukan
Untuk menggunakan kombinasi toksik dan titik bottleneck, Anda memerlukan izin yang memberikan akses ke fitur Security Command Center dan Google SecOps.
Peran IAM Security Command Center
Untuk mendapatkan izin yang diperlukan untuk menggunakan kombinasi toksik dan titik bottleneck, minta administrator untuk memberi Anda peran IAM berikut di organisasi Anda:
-
Melihat jalur serangan:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) - Security Center Attack Paths Reader (
roles/securitycenter.attackPathsViewer) - Security Center Findings Viewer (
roles/securitycenter.findingsViewer)
- Security Center Admin Viewer (
-
Melihat temuan jalur serangan:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) - Security Center Attack Paths Reader (
roles/securitycenter.attackPathsViewer) - Security Center Findings Viewer (
roles/securitycenter.findingsViewer)
- Security Center Admin Viewer (
-
Melihat temuan:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) - Security Center Findings Viewer (
roles/securitycenter.findingsViewer)
- Security Center Admin Viewer (
-
Membisukan temuan:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) - Security Center Findings Editor (
roles/securitycenter.findingsEditor) - Security Center Findings Mute Setter (
roles/securitycenter.findingsMuteSetter)
- Security Center Admin Viewer (
-
Melihat resource:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) - Security Center Findings Mute Setter (
roles/securitycenter.findingsMuteSetter)
- Security Center Admin Viewer (
-
Mengedit temuan:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) - Security Center Findings Editor (
roles/securitycenter.findingsEditor) - Security Center Findings Viewer (
roles/securitycenter.findingsViewer)
- Security Center Admin Viewer (
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.
Peran IAM Google SecOps
Untuk tingkat layanan Enterprise, agar dapat menggunakan kombinasi toksik dan kasus, Anda memerlukan salah satu peran berikut:
- Chronicle SOAR Vulnerability Manager
(
roles/chronicle.soarVulnerabilityManager) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Admin (
roles/chronicle.soarAdmin)
Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan mengotorisasi pengguna menggunakan IAM.
Menginstal kasus penggunaan operasi keamanan terbaru
Fitur kombinasi toksik memerlukan kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation versi 25 Juni 2024 atau yang lebih baru.
Untuk mengetahui informasi tentang cara menginstal kasus penggunaan, lihat Mengupdate kasus penggunaan Enterprise, Juni 2024.
Menentukan kumpulan resource bernilai tinggi
Anda tidak perlu mengaktifkan deteksi kombinasi toksik dan titik bottleneck—fitur ini selalu aktif. Risk Engine otomatis mendeteksi kombinasi toksik dan titik bottleneck yang mengekspos kumpulan resource bernilai tinggi default.
Temuan kombinasi toksik dan titik bottleneck yang dihasilkan berdasarkan kumpulan resource bernilai tinggi default kemungkinan tidak akan mencerminkan prioritas keamanan Anda secara akurat. Untuk menentukan resource mana yang merupakan bagian dari kumpulan resource bernilai tinggi, Anda membuat konfigurasi nilai resource di Google Cloud konsol. Untuk mengetahui petunjuknya, lihat Menentukan dan mengelola kumpulan resource bernilai tinggi.
Memperbaiki kombinasi toksik dan titik bottleneck
Kombinasi toksik dan titik bottleneck dapat mengekspos banyak resource bernilai tinggi kepada calon penyerang. Anda harus memperbaikinya sebelum risiko lain di lingkungan cloud Anda.
Anda dapat memprioritaskan urutan perbaikan kombinasi toksik dan titik bottleneck berdasarkan skor eksposur serangan. Cara melakukannya akan berubah, bergantung pada tempat Anda melihat kombinasi toksik dan titik bottleneck.
Masalah
Untuk tingkat layanan Premium dan Enterprise, Anda dapat mengakses kombinasi toksik dan titik bottleneck dengan risiko tertinggi (ditampilkan sebagai masalah) di halaman berikut:
- Tingkat layanan Enterprise: Risk > Halaman Overview
- Tingkat layanan Premium: Security Command Center > Risk Overview
Semua kombinasi toksik dan titik bottleneck dapat dilihat di halaman Risk > Issues.
Untuk memperbaiki masalah, selesaikan petunjuk berikut:
Premium
Melihat semua masalah
- Untuk melihat semua masalah, buka halaman Issues Security Command Center.
- Pilih organisasi Anda Google Cloud .
Mengurutkan menurut skor eksposur serangan
- Secara default, masalah yang dikelompokkan diurutkan berdasarkan tingkat keparahan. Dalam grup, masalah diurutkan berdasarkan skor eksposur serangan. Untuk mengurutkan semua masalah berdasarkan skor eksposur serangan, nonaktifkan Group by detections.
- Pilih masalah.
- Tinjau deskripsi dan bukti masalah.
Mengakses informasi lebih lanjut
- Jika ada temuan terkait, lihat detailnya.
- Jika beberapa masalah kritis ditemukan pada resource utama dalam
kombinasi toksik atau titik bottleneck, pesan akan ditampilkan setelah
diagram Evidence. Untuk mengoptimalkan upaya perbaikan, klik
Filter issues for this primary resource dalam pesan ini untuk berfokus pada
penyelesaian masalah untuk resource tertentu tersebut. Klik panah kembali di dekat
Add filter jika Anda ingin menghapus filter. - Klik Explore full attack paths di diagram Evidence untuk memahami masalah secara mendalam, dan cara jalur serangan mengekspos resource bernilai tinggi.
- Klik How to fix, dan ikuti panduan untuk membantu mengurangi risiko.
Enterprise
Melihat semua masalah
- Untuk melihat semua masalah, buka halaman Risk > Issues Security Command Center.
- Pilih organisasi Anda Google Cloud .
Mengurutkan menurut skor eksposur serangan
- Secara default, masalah yang dikelompokkan diurutkan berdasarkan tingkat keparahan. Dalam grup, masalah diurutkan berdasarkan skor eksposur serangan. Untuk mengurutkan semua masalah berdasarkan skor eksposur serangan, nonaktifkan Group by detections.
- Pilih masalah.
- Tinjau deskripsi dan bukti masalah.
Mengakses informasi lebih lanjut
- Jika ada temuan terkait, lihat detailnya.
- Jika beberapa masalah kritis ditemukan pada resource utama dalam
kombinasi toksik atau titik bottleneck, pesan akan ditampilkan setelah
diagram Evidence. Untuk mengoptimalkan upaya perbaikan, klik
Filter issues for this primary resource dalam pesan ini untuk berfokus pada
penyelesaian masalah untuk resource tertentu tersebut. Klik panah kembali di dekat
Add filter jika Anda ingin menghapus filter.
- Klik Explore full attack paths di diagram Evidence untuk memahami masalah secara mendalam, dan cara jalur serangan mengekspos resource bernilai tinggi.
- Klik How to fix, dan ikuti panduan untuk membantu mengurangi risiko.
Kasus
Untuk tingkat layanan Enterprise, Anda dapat melihat semua kasus kombinasi toksik dengan membuka halaman Cases. Titik bottleneck tidak otomatis membuat kasus, dan harus dilihat di halaman Issues.
Untuk menemukan kombinasi toksik dalam kasus, selesaikan petunjuk berikut:
- Di Google Cloud konsol, buka Risk > Cases. Halaman konsol Operasi Keamanan Cases akan terbuka.
- Dalam daftar kasus, klik
Cases filter untuk membuka panel filter. Panel Case queue filter akan terbuka.
- Di Case queue filter, tentukan hal berikut: 1. Di kolom Time frame, tentukan periode waktu kasus aktif. 1. Tetapkan Logical operator ke AND. 1. Di kotak daftar kunci filter, pilih Tags. 1. Tetapkan operator kesamaan ke is. 1. Di kotak daftar nilai filter, pilih Toxic combination. 1. Klik Apply. Kasus dalam antrean kasus akan diperbarui untuk hanya menampilkan kasus yang cocok dengan filter yang Anda tentukan.
- Klik Sort di samping
Cases filter, lalu pilih Sort by attack exposure (high to low).
- Dari antrean kasus, klik kasus yang ingin Anda lihat. Jika Anda melihat kasus dalam List view, klik ID kasus. Informasi kasus akan ditampilkan.
- Klik
Case overview. - Di bagian Case summary, ikuti panduan Next steps.
Meninjau temuan terkait dalam kasus kombinasi toksik
Biasanya, kombinasi toksik mencakup satu atau beberapa temuan kerentanan software atau kesalahan konfigurasi. Untuk setiap temuan ini, Security Command Center akan otomatis membuka kasus terpisah dan menjalankan playbook terkait. Anda dapat meninjau kasus untuk temuan ini, dan meminta pemilik tiket untuk memprioritaskan perbaikan guna membantu menyelesaikan kombinasi toksik.
Untuk meninjau temuan terkait dalam kombinasi toksik, ikuti langkah-langkah berikut:
- Dari tab
Case overview kasus, buka bagian Findings.
Di bagian Findings, tinjau temuan yang tercantum.
- Klik ID kasus temuan untuk membuka kasus dan melihat status, pemilik yang ditetapkan, dan informasi kasus lainnya.
- Klik skor eksposur serangan untuk meninjau jalur serangan untuk temuan tersebut.
- Jika temuan memiliki ID tiket, klik ID tersebut untuk membuka tiket.
Atau, Anda dapat melihat temuan terkait di tab pemberitahuannya sendiri dalam kasus.
Temuan
Temuan kombinasi toksik atau titik bottleneck adalah catatan awal yang dihasilkan Risk Engine saat mendeteksi kombinasi toksik atau titik bottleneck di lingkungan cloud Anda.
Buka halaman Findings.
Pilih organisasi Anda Google Cloud .
Di bagian Finding class pada panel Quick filters , pilih Toxic combination atau Chokepoint. Panel Findings query results akan diperbarui untuk hanya menampilkan temuan kombinasi toksik atau titik bottleneck.
Untuk mengurutkan temuan berdasarkan tingkat keparahan, klik judul kolom Attack Exposure Score hingga skor berada dalam urutan menurun.
Klik kategori temuan untuk membuka panel detail temuan. Buka bagian Next steps, dan ikuti panduannya untuk membantu memperbaiki masalah keamanan.
Menutup kasus kombinasi toksik
Anda dapat menutup kasus untuk kombinasi toksik dengan memperbaiki kombinasi toksik yang mendasarinya, atau dengan membisukan temuan terkait di Google Cloud konsol.
Menutup kasus dengan memperbaiki kombinasi toksik
Setelah Anda memperbaiki masalah keamanan yang membentuk kombinasi toksik, dan masalah tersebut tidak lagi mengekspos resource apa pun dalam kumpulan resource bernilai tinggi Anda, Risk Engine akan otomatis menutup kasus selama simulasi jalur serangan berikutnya, yang berjalan kira-kira setiap enam jam.
Menutup kasus dengan membisukan temuan
Jika risiko yang ditimbulkan oleh kombinasi toksik dapat diterima oleh bisnis Anda atau Anda tidak dapat memperbaiki kombinasi toksik, Anda dapat menutup kasus dengan membisukan temuan terkait.
Untuk membisukan temuan kombinasi toksik, ikuti langkah-langkah berikut:
- Di Google Cloud konsol, buka Risk > Cases.
- Temukan dan buka kasus kombinasi toksik.
- Klik tab pemberitahuan terkait.
- Di widget Finding summary, klik Explore findings in SCC. Temuan terkait akan terbuka.
- Gunakan Mute options di halaman detail temuan untuk membisukan temuan.
Anda juga dapat membisukan temuan di Google Cloud konsol. Untuk mengetahui informasi selengkapnya, lihat Membisukan temuan individual.
Melihat kasus kombinasi toksik yang ditutup
Saat kasus ditutup, Security Command Center akan menghapusnya dari halaman Cases.
Untuk melihat kasus kombinasi toksik yang ditutup, ikuti langkah-langkah berikut:
- Di Google Cloud konsol, buka halaman Cases. Konsol Operasi Keamanan akan terbuka.
- Luaskan bagian Status, lalu pilih Closed.
- Luaskan bagian Tags, lalu pilih Toxic combination.
- Klik Apply. Kasus kombinasi toksik yang ditutup akan ditampilkan di hasil penelusuran.