Mengelola kombinasi toksik dan titik hambatan

Halaman ini memberikan petunjuk untuk mengidentifikasi dan merespons kombinasi dan hambatan yang merugikan dengan menggunakan halaman berikut:

  • Masalah, tersedia di tingkat layanan Premium dan Enterprise.
  • Kasus, tersedia di tingkat layanan Enterprise.
  • Temuan, tersedia di tingkat layanan Enterprise dan Premium.

Sebelum memulai

Untuk memastikan deteksi kombinasi dan titik hambatan berbahaya akurat, periksa apakah software komponen operasi keamanan sudah diupdate, set aset bernilai tinggi Anda ditetapkan secara akurat, dan Anda memiliki izin IAM yang tepat.

Opsional: Mengumpulkan data dari cloud lain

Risk Engine mendukung simulasi data dari Amazon Web Services (AWS) (Pratinjau) dan Microsoft Azure (Pratinjau) untuk mengidentifikasi kombinasi dan hambatan yang merugikan.

Konfigurasi koneksi dari Security Command Center ke penyedia cloud ini untuk mengumpulkan data resource dan konfigurasi. Untuk mengetahui informasi tentang cara menyiapkan koneksi, lihat artikel berikut:

Untuk mengetahui daftar resource yang didukung, lihat Dukungan fitur Risk Engine.

Mendapatkan izin yang diperlukan

Untuk menggunakan kombinasi beracun dan titik hambatan, Anda memerlukan izin yang memberikan akses ke fitur Security Command Center dan Google SecOps.

Peran IAM Security Command Center

Untuk mendapatkan izin yang Anda perlukan untuk menggunakan Security Command Center, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi Anda:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.

Peran IAM Google SecOps

Untuk menggunakan kombinasi dan kasus berbahaya, Anda memerlukan salah satu peran berikut:

  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Admin (roles/chronicle.soarAdmin)

Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan memberi otorisasi kepada pengguna menggunakan IAM.

Menginstal kasus penggunaan operasi keamanan terbaru

Fitur kombinasi berbahaya memerlukan rilis SCC Enterprise – Cloud Orchestration and Remediation versi 25 Juni 2024 atau yang lebih baru.

Untuk mengetahui informasi tentang cara menginstal kasus penggunaan, lihat Memperbarui kasus penggunaan Enterprise, Juni 2024.

Tentukan set resource bernilai tinggi Anda

Anda tidak perlu mengaktifkan deteksi kombinasi dan titik hambatan yang merugikan—fitur ini selalu aktif. Mesin Risiko otomatis mendeteksi kombinasi beracun dan titik hambatan yang mengekspos set resource bernilai tinggi default.

Temuan kombinasi toksik dan titik hambatan yang dihasilkan berdasarkan set resource bernilai tinggi default kemungkinan tidak mencerminkan prioritas keamanan Anda secara akurat. Untuk menentukan resource mana yang merupakan bagian dari set resource bernilai tinggi, Anda membuat konfigurasi nilai resource di konsol Google Cloud . Untuk mengetahui petunjuknya, lihat Menentukan dan mengelola set resource bernilai tinggi.

Memperbaiki kombinasi toksik dan titik hambatan

Kombinasi toksik dan titik hambatan dapat mengekspos banyak resource bernilai tinggi kepada calon penyerang. Anda harus memperbaikinya sebelum risiko lain di lingkungan cloud Anda.

Anda dapat memprioritaskan urutan perbaikan kombinasi toksik dan titik hambatan berdasarkan skor eksposur serangan. Cara Anda melakukannya akan berubah, bergantung pada tempat Anda melihat kombinasi berbahaya dan titik hambatan.

Masalah

Anda dapat mengakses kombinasi dan titik hambatan toksik dengan risiko tertinggi (ditampilkan sebagai masalah) di halaman berikut:

  • Paket layanan Security Command Center Enterprise: Halaman Ringkasan > Risiko
  • Paket layanan Premium Security Command Center: Security Command Center > Risk Overview

Semua kombinasi toksik dan titik hambatan dapat dilihat di halaman Risiko > Masalah.

Untuk memperbaiki masalah, selesaikan petunjuk berikut:

Premium

  1. Untuk melihat semua masalah, buka halaman Masalah di Security Command Center.

    Buka Masalah

  2. Secara default, masalah yang dikelompokkan diurutkan berdasarkan tingkat keparahan. Dalam grup, masalah diurutkan berdasarkan skor eksposur serangan. Untuk mengurutkan semua masalah menurut skor eksposur serangan, nonaktifkan Kelompokkan menurut deteksi.
  3. Pilih masalah.
  4. Tinjau deskripsi dan bukti masalah.
  5. Jika ada temuan terkait, lihat detailnya.
  6. Jika beberapa masalah kritis ditemukan pada resource utama dalam kombinasi atau titik hambatan yang merugikan, pesan akan ditampilkan setelah diagram Bukti. Untuk mengoptimalkan upaya perbaikan, klik Filter masalah untuk resource utama ini dalam pesan ini untuk berfokus pada penyelesaian masalah untuk resource tertentu tersebut. Klik panah kembali di dekat Buka panel filter Tambahkan filter jika Anda ingin menghapus filter.
  7. Klik Jelajahi jalur serangan lengkap dalam diagram Bukti untuk mendapatkan pemahaman mendalam tentang masalah ini, dan bagaimana jalur serangan mengekspos resource bernilai tinggi.
  8. Klik Cara memperbaiki, lalu ikuti panduan untuk membantu mengurangi risiko.

Enterprise

  1. Untuk melihat semua masalah, buka halaman Risiko > Masalah di Security Command Center.

    Buka Masalah

  2. Secara default, masalah yang dikelompokkan diurutkan berdasarkan tingkat keparahan. Dalam grup, masalah diurutkan berdasarkan skor eksposur serangan. Untuk mengurutkan semua masalah menurut skor eksposur serangan, nonaktifkan Kelompokkan menurut deteksi.
  3. Pilih masalah.
  4. Tinjau deskripsi dan bukti masalah.
  5. Jika ada temuan terkait, lihat detailnya.
  6. Jika beberapa masalah kritis ditemukan pada resource utama dalam kombinasi atau titik hambatan yang merugikan, pesan akan ditampilkan setelah diagram Bukti. Untuk mengoptimalkan upaya perbaikan, klik Filter masalah untuk resource utama ini dalam pesan ini untuk berfokus pada penyelesaian masalah untuk resource tertentu tersebut. Klik panah kembali di dekat Buka panel filter Tambahkan filter jika Anda ingin menghapus filter.
  7. Klik Jelajahi jalur serangan lengkap dalam diagram Bukti untuk mendapatkan pemahaman mendalam tentang masalah ini, dan bagaimana jalur serangan mengekspos resource bernilai tinggi.
  8. Klik Cara memperbaiki, lalu ikuti panduan untuk membantu mengurangi risiko.

Kasus

Anda dapat melihat semua kasus kombinasi toksik dengan membuka halaman Kasus. Titik hambatan tidak otomatis membuat kasus, dan harus dilihat di halaman Masalah.

Untuk menemukan kombinasi beracun dalam kasus, selesaikan petunjuk berikut:

  1. Di konsol Google Cloud , buka Risk > Cases. Halaman konsol Operasi Keamanan Kasus akan terbuka.
  2. Dalam daftar kasus, klik Buka panel filter Filter kasus untuk membuka panel filter. Panel Filter antrean kasus akan terbuka.
  3. Di Filter antrean kasus, tentukan hal berikut: 1. Di kolom Rentang waktu, tentukan jangka waktu saat kasus aktif. 1. Tetapkan Operator logis ke AND. 1. Di kotak daftar kunci filter, pilih Tag. 1. Tetapkan operator persamaan ke is. 1. Di kotak daftar nilai filter, pilih Kombinasi berbahaya. 1. Klik Terapkan. Kasus dalam antrean kasus diperbarui untuk menampilkan hanya kasus yang cocok dengan filter yang Anda tentukan.
  4. Klik Urutkan di samping Buka panel filter Filter kasus, lalu pilih Urutkan menurut eksposur serangan (tinggi ke rendah).
  5. Dari antrean kasus, klik kasus yang ingin Anda lihat. Jika Anda melihat kasus dalam Tampilan daftar, klik ID kasus. Informasi kasus akan ditampilkan.
  6. Klik Kasus Ringkasan kasus.
  7. Di bagian Ringkasan kasus, ikuti panduan Langkah berikutnya.

Biasanya, kombinasi toksik mencakup satu atau beberapa temuan kerentanan software atau kesalahan konfigurasi. Untuk setiap temuan ini, Security Command Center akan otomatis membuka kasus terpisah dan menjalankan playbook terkait. Anda dapat meninjau kasus untuk temuan ini, dan meminta pemilik tiket untuk memprioritaskan perbaikan mereka guna membantu menyelesaikan kombinasi berbahaya tersebut.

Untuk meninjau temuan terkait dalam kombinasi berbahaya, ikuti langkah-langkah berikut:

  1. Dari tab Kasus Ringkasan kasus kasus, buka bagian Temuan.

  2. Di bagian Temuan, tinjau temuan yang tercantum.

    • Klik ID kasus temuan untuk membuka kasus dan melihat status, pemilik yang ditetapkan, dan informasi kasus lainnya.
    • Klik skor eksposur serangan untuk meninjau jalur serangan untuk temuan.
    • Jika temuan memiliki ID tiket, klik ID tersebut untuk membuka tiket.

Atau, Anda dapat melihat temuan terkait di tab pemberitahuannya sendiri dalam kasus ini.

Temuan

Temuan kombinasi berbahaya atau hambatan adalah catatan awal yang dibuat Risk Engine saat mendeteksi kombinasi berbahaya atau hambatan di lingkungan cloud Anda.

  1. Buka halaman Temuan.

    Buka Temuan

  2. Pilih Google Cloud organisasi Anda.

  3. Di bagian Finding class pada panel Quick filters, pilih Toxic combination atau Chokepoint. Panel Findings query results diperbarui untuk menampilkan hanya temuan chokepoint atau kombinasi berbahaya.

  4. Untuk mengurutkan temuan berdasarkan tingkat keparahan, klik judul kolom Skor Eksposur Serangan hingga skor diurutkan dalam urutan menurun.

  5. Klik kategori temuan untuk membuka panel detail temuan. Buka bagian Langkah berikutnya, dan ikuti panduannya untuk membantu memperbaiki masalah keamanan.

Menutup kasus kombinasi toksik

Anda dapat menutup kasus untuk kombinasi toksik dengan memperbaiki kombinasi toksik yang mendasarinya, atau dengan membisukan temuan terkait di konsolGoogle Cloud .

Menutup kasus dengan memperbaiki kombinasi toksik

Setelah Anda memperbaiki masalah keamanan yang membentuk kombinasi berbahaya, dan masalah tersebut tidak lagi mengekspos resource apa pun dalam kumpulan resource bernilai tinggi Anda, Risk Engine akan menutup kasus secara otomatis selama simulasi jalur serangan berikutnya, yang dijalankan kira-kira setiap enam jam.

Menutup kasus dengan membisukan temuan

Jika risiko yang ditimbulkan oleh kombinasi toksik dapat diterima oleh bisnis Anda atau Anda tidak dapat memperbaiki kombinasi toksik tersebut, Anda dapat menutup kasus dengan membisukan temuan terkait.

Untuk membisukan temuan kombinasi berbahaya, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka Risk > Cases.
  2. Temukan dan buka kasus kombinasi toksik.
  3. Klik tab notifikasi terkait.
  4. Di widget Ringkasan temuan, klik Jelajahi temuan di SCC. Temuan terkait akan terbuka.
  5. Gunakan Opsi nonaktifkan di halaman detail temuan untuk menonaktifkan temuan.

Anda juga dapat membisukan temuan di konsol Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Membisukan temuan individu.

Melihat kasus kombinasi toksik yang ditutup

Saat kasus ditutup, Security Command Center akan menghapusnya dari halaman Kasus.

Untuk melihat kasus kombinasi toksik yang sudah ditutup, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka Investigation > SOAR Search. Halaman konsol Operasi Keamanan Penelusuran SOAR akan terbuka.
  2. Luaskan bagian Status, lalu pilih Ditutup.
  3. Luaskan bagian Tag, lalu pilih Kombinasi berbahaya.
  4. Klik Terapkan. Kasus kombinasi toksik yang ditutup ditampilkan di hasil penelusuran.