Halaman ini diterjemahkan oleh Cloud Translation API.

Menentukan dan mengelola set resource bernilai tinggi

Halaman ini menunjukkan cara membuat, mengedit, menghapus, dan melihat konfigurasi nilai resource.

Gunakan konfigurasi nilai resource untuk membuat set resource bernilai tinggi Anda. Kumpulan resource bernilai tinggi Anda menentukan instance resource (disebut sebagai resource) mana yang dianggap sebagai resource bernilai tinggi oleh simulasi jalur serangan.

Anda dapat menentukan konfigurasi nilai resource untuk resource di Google Cloud atau, jika Anda memiliki tingkat Enterprise Security Command Center, untuk resource di penyedia layanan cloud lain yang terhubung ke Security Command Center.

Saat simulasi jalur serangan berjalan, simulasi tersebut akan mengidentifikasi jalur serangan dan menghitung skor eksposur serangan untuk resource yang ditetapkan sebagai resource bernilai tinggi dan untuk temuan class Vulnerability, class Misconfiguration, dan class Toxic combination.

Simulasi jalur serangan dijalankan kira-kira setiap enam jam. Seiring berkembangnya organisasi Anda, simulasi akan membutuhkan waktu lebih lama, tetapi akan selalu berjalan setidaknya sekali sehari. Eksekusi simulasi tidak dipicu oleh pembuatan, modifikasi, atau penghapusan konfigurasi nilai resource atau resource.

Untuk pengantar tentang set resource bernilai tinggi dan konfigurasi nilai resource, lihat Set resource bernilai tinggi.

Sebelum memulai

Untuk mendapatkan izin yang Anda perlukan guna melihat dan menggunakan konfigurasi nilai resource, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi Anda:

Editor konfigurasi nilai resource (roles/securitycenter.resourceValueConfigEditor)
Penampil konfigurasi nilai resource (roles/securitycenter.resourceValueConfigsViewer)
Security Center Settings Editor (roles/securitycenter.settingsEditor)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat konfigurasi nilai resource

Anda membuat konfigurasi nilai resource menggunakan tab Simulasi jalur serangan di halaman Setelan Security Command Center di konsol Google Cloud .

Untuk membuat konfigurasi nilai resource, klik tab untuk penyedia layanan cloud Anda dan ikuti langkah-langkahnya:

Google Cloud

Buka halaman Simulasi jalur serangan di Security Command Center Setelan:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka.
Klik Buat konfigurasi baru. Panel Create resource value configuration akan terbuka.
Di kolom Name, tentukan nama untuk konfigurasi nilai resource ini.
Opsional: Masukkan deskripsi konfigurasi.
Di bagian Penyedia cloud, pilih Google Cloud.
Di kolom Pilih cakupan, klik Pilih dan gunakan penjelajah project untuk memilih project, folder, atau organisasi. Konfigurasi ini hanya berlaku untuk instance resource dalam cakupan yang ditentukan.
Klik kolom Pilih jenis resource, lalu pilih jenis resource atau Semua. Konfigurasi berlaku untuk instance jenis resource yang dipilih atau, jika Anda memilih Semua, untuk instance semua jenis resource yang didukung. Semua adalah defaultnya.

Catatan: Jika Anda memilih Semua dan mengaktifkan opsi Sertakan insight penemuan dari Sensitive Data Protection, maka untuk semua resource yang didukung, sistem akan otomatis menetapkan nilai resource berdasarkan klasifikasi sensitivitas data dari Sensitive Data Protection.
Opsional: Di bagian Label, klik Tambahkan label untuk menentukan satu atau beberapa label. Jika label ditentukan, konfigurasi hanya berlaku untuk resource yang menyertakan label dalam metadatanya.

Jika Anda menerapkan label baru ke resource, diperlukan waktu beberapa jam sebelum label tersebut tersedia untuk dicocokkan oleh konfigurasi.
Opsional: Di bagian Tag, klik Tambahkan tag untuk menentukan satu atau beberapa tag. Jika tag ditentukan, konfigurasi hanya berlaku untuk resource yang menyertakan tag dalam metadatanya.

Jika Anda menentukan tag baru untuk resource, diperlukan waktu beberapa jam sebelum tag tersedia untuk dicocokkan oleh konfigurasi.
Tetapkan nilai prioritas untuk resource yang cocok dengan menentukan salah satu opsi berikut:
- Opsional: Jika Anda menggunakan layanan penemuan Sensitive Data Protection, aktifkan Security Command Center untuk otomatis menetapkan nilai prioritas resource data yang didukung berdasarkan klasifikasi sensitivitas data dari Sensitive Data Protection:
  1. Klik penggeser di samping Sertakan insight penemuan dari Perlindungan Data Sensitif.
  2. Di kolom Tetapkan nilai resource pertama, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data dengan sensitivitas tinggi.
  3. Di kolom Tetapkan nilai resource kedua, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data sensitivitas sedang.
- Di kolom Tetapkan nilai resource, pilih nilai yang akan ditetapkan ke instance resource. Nilai ini relatif terhadap instance resource lain dalam set resource bernilai tinggi Anda. Nilai ini digunakan selama penghitungan skor eksposur serangan.
Klik Simpan.

AWS

Sebelum Security Command Center dapat membuat skor eksposur serangan dan jalur serangan untuk resource yang Anda tentukan dalam konfigurasi nilai resource, Security Command Center harus terhubung ke AWS. Untuk mengetahui informasi selengkapnya, lihat Dukungan multicloud.

Buka halaman Simulasi jalur serangan di Security Command Center Setelan:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka.
Klik Buat konfigurasi baru. Panel Create resource value configuration akan terbuka.
Di kolom Name, tentukan nama untuk konfigurasi nilai resource ini.
Opsional: Masukkan deskripsi konfigurasi.
Di bagian Cloud provider, pilih Amazon Web Services.
Opsional: Di kolom Account ID, masukkan ID akun AWS 12 digit. Jika tidak ditentukan, konfigurasi nilai resource berlaku untuk semua akun AWS yang ditentukan dalam konfigurasi koneksi AWS.
Opsional: Di kolom Region, masukkan region AWS. Contoh, us-east-1. Jika tidak ditentukan, konfigurasi nilai resource berlaku untuk semua region AWS.
Klik kolom Pilih jenis resource, lalu pilih jenis resource atau Semua. Konfigurasi berlaku untuk instance jenis resource yang dipilih atau, jika Anda memilih Semua, untuk semua jenis resource yang didukung. Semua adalah defaultnya.

Catatan: Jika Anda memilih Semua dan mengaktifkan opsi Sertakan insight penemuan dari Perlindungan Data Sensitif, maka untuk semua resource AWS yang didukung, sistem akan otomatis menetapkan nilai resource berdasarkan klasifikasi sensitivitas data dari Perlindungan Data Sensitif.
Opsional: Di bagian Tag, klik Tambahkan tag untuk menentukan satu atau beberapa tag. Saat Anda menentukan tag, konektor hanya memindai resource yang menyertakan tag dalam metadatanya.

Jika Anda menentukan tag baru untuk resource, diperlukan waktu beberapa jam sebelum tag tersedia untuk dicocokkan oleh konfigurasi.
Di kolom Tetapkan nilai resource, pilih nilai prioritas untuk resource yang cocok dengan menentukan salah satu opsi berikut:
- Opsional: Jika Anda menggunakan layanan penemuan Sensitive Data Protection, aktifkan Security Command Center untuk otomatis menetapkan nilai prioritas resource data AWS yang didukung berdasarkan klasifikasi sensitivitas data dari Sensitive Data Protection:
  1. Klik penggeser di samping Sertakan insight penemuan dari Perlindungan Data Sensitif.
  2. Di kolom Tetapkan nilai resource pertama, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data dengan sensitivitas tinggi.
  3. Di kolom Tetapkan nilai resource kedua, pilih nilai prioritas yang akan ditetapkan ke resource yang cocok yang berisi data sensitivitas sedang.
- Di kolom Tetapkan nilai resource, pilih nilai yang akan ditetapkan ke instance resource. Nilai ini relatif terhadap instance resource lain dalam set resource bernilai tinggi Anda. Nilai ini digunakan selama penghitungan skor eksposur serangan.
Klik Simpan.

Azure

Sebelum Security Command Center dapat membuat skor eksposur serangan dan jalur serangan untuk resource Azure yang Anda tentukan dalam konfigurasi nilai resource, Security Command Center harus terhubung ke Azure. Untuk mengetahui informasi selengkapnya, lihat Dukungan multicloud.

Buka halaman Simulasi jalur serangan di Security Command Center Setelan:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka.
Klik Buat konfigurasi baru. Panel Create resource value configuration akan terbuka.
Di kolom Name, tentukan nama untuk konfigurasi nilai resource ini.
Opsional: Untuk Deskripsi, masukkan deskripsi konfigurasi.
Di bagian Cloud provider, pilih Microsoft Azure.
Opsional: Di Subscription ID, masukkan ID langganan Azure 36 digit. Jika tidak ditentukan, konfigurasi nilai resource berlaku untuk semua langganan yang ditentukan dalam konfigurasi konektor Azure.
Opsional: Di kolom Select location, pilih lokasi Azure—misalnya, East US 2. Jika Anda tidak menyetel lokasi, konfigurasi nilai resource akan berlaku untuk semua lokasi yang ditentukan dalam konfigurasi konektor Azure.
Klik Pilih jenis resource, lalu pilih jenis resource atau Semua. Konfigurasi berlaku untuk instance jenis resource yang dipilih atau, jika Anda memilih Semua, untuk semua jenis resource yang didukung. Semua adalah defaultnya.
Opsional: Di bagian Tag, klik Tambahkan tag untuk menentukan satu atau beberapa tag. Jika tag ditentukan, konfigurasi hanya berlaku untuk resource yang menyertakan tag dalam metadatanya.

Jika Anda menentukan tag baru untuk resource, diperlukan waktu beberapa jam sebelum tag tersedia untuk dicocokkan oleh konfigurasi.
Di kolom Tetapkan nilai resource, pilih nilai prioritas.
Klik Simpan.

Konfigurasi baru tercermin dalam skor eksposur serangan dan jalur serangan hanya setelah simulasi jalur serangan berikutnya dijalankan.

Saat melihat set resource bernilai tinggi, Anda dapat melihat konfigurasi nilai resource yang cocok dengan resource dalam set. Untuk mengetahui informasi selengkapnya, lihat Melihat konfigurasi yang cocok dengan resource bernilai tinggi.

Untuk mengetahui informasi tentang cara mengonfigurasi Perlindungan Data Sensitif untuk mengirimkan klasifikasi sensitivitas data ke Security Command Center, lihat Memublikasikan profil data ke Security Command Center dalam dokumentasi Perlindungan Data Sensitif.

Mengedit konfigurasi

Kecuali nama, Anda dapat memperbarui spesifikasi apa pun dalam konfigurasi nilai resource.

Langkah-langkah ini mengasumsikan bahwa Anda mengetahui nama konfigurasi nilai resource yang ingin Anda edit. Jika Anda hanya mengetahui nama resource yang relevan, lihat Melihat konfigurasi yang cocok dengan resource bernilai tinggi.

Untuk memperbarui konfigurasi nilai resource yang ada, ikuti langkah-langkah berikut:

Buka halaman Simulasi jalur serangan di Security Command Center Setelan:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka dengan konfigurasi yang ada ditampilkan.
Di kolom Nama konfigurasi, klik nama konfigurasi yang perlu Anda perbarui. Halaman Edit konfigurasi nilai resource akan terbuka.
Perbarui spesifikasi dalam konfigurasi sesuai kebutuhan.
Opsional: Klik Pratinjau resource yang cocok untuk melihat jumlah resource yang cocok dengan konfigurasi yang diperbarui dan daftar instance resource yang cocok.
Klik Simpan.

Perubahan ini tercermin dalam skor eksposur serangan dan jalur serangan hanya setelah simulasi jalur serangan berikutnya dijalankan.

Menghapus konfigurasi

Untuk menghapus konfigurasi nilai resource, ikuti langkah-langkah berikut:

Buka halaman Simulasi jalur serangan di Security Command Center Setelan:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka.
Di bagian Konfigurasi nilai resource di sisi kanan baris untuk konfigurasi yang perlu Anda hapus, tampilkan menu tindakan dengan mengklik titik vertikal. Jika Anda tidak melihat titik vertikal, scroll ke kanan.
Dari menu tindakan yang ditampilkan, pilih Hapus.
Pada dialog konfirmasi, pilih Konfirmasi.

Konfigurasi dihapus.

Melihat konfigurasi

Anda dapat melihat semua konfigurasi nilai resource yang ada di halaman Simulasi jalur serangan di Setelan Security Command Center.

Untuk melihat konfigurasi nilai resource tertentu, buka halaman Simulasi jalur serangan:

Buka Simulasi jalur serangan
Pilih organisasi Anda. Halaman Simulasi jalur serangan akan terbuka.
Di bagian Konfigurasi nilai resource di halaman Simulasi jalur serangan, scroll daftar konfigurasi nilai resource hingga Anda menemukan konfigurasi yang Anda butuhkan.
Untuk melihat properti konfigurasi, klik nama konfigurasi. Properti ditampilkan di halaman Edit konfigurasi nilai resource.

Melihat konfigurasi yang cocok dengan resource bernilai tinggi

Anda dapat melihat semua konfigurasi yang cocok dengan resource yang ada di kumpulan resource bernilai tinggi. Fitur ini berguna jika Anda ingin meninjau aturan yang menentukan nilai resource dari set resource bernilai tinggi Anda.

Untuk melihat konfigurasi yang cocok dengan resource bernilai tinggi, ikuti langkah-langkah berikut:

Lihat set resource bernilai tinggi.
Temukan resource yang konfigurasinya ingin Anda lihat. Konfigurasi yang cocok untuk resource tersebut tercantum di kolom Konfigurasi yang cocok. Konfigurasi dicantumkan dalam urutan menurun berdasarkan nilai resource yang ditetapkan ke resource—High, Medium, atau Low.
Untuk melihat properti konfigurasi, klik namanya. Properti ditampilkan di halaman Edit konfigurasi nilai resource.

Konfigurasi yang baru saja dihapus tetap terlihat—tetapi tidak dapat diklik—hingga simulasi jalur serangan berikutnya dijalankan.
Opsional: Edit konfigurasi, lalu klik Simpan.

Pemecahan masalah

Jika Anda menerima error setelah membuat, mengedit, atau menghapus konfigurasi nilai resource, periksa temuan class SCC Error di konsolGoogle Cloud dengan mengikuti langkah-langkah berikut:

Buka halaman Temuan di konsol Google Cloud :

Buka Temuan
Di panel Quick filters, buka bagian Finding class lalu pilih SCC Error.
Di panel Findings query results, pindai temuan untuk menemukan temuan SCC Error berikut dan klik nama kategorinya:
- APS no resource value configs match any resources
- APS resource value assignment limit exceeded
Panel detail temuan akan terbuka.
Di panel detail temuan, tinjau informasi di bagian Langkah berikutnya.

Untuk meninjau petunjuk perbaikan untuk temuan simulasi jalur serangan SCC Error dalam dokumentasi, lihat:

Langkah berikutnya

Untuk mengetahui informasi tentang cara menangani temuan Security Command Center, lihat Meninjau dan mengelola temuan.