Halaman ini menjelaskan cara menggunakan temuan untuk masalah keamanan yang terkait dengan identitas dan akses (temuan identitas dan akses) di konsolGoogle Cloud untuk menyelidiki dan mengidentifikasi potensi kesalahan konfigurasi.
Sebagai bagian dari kemampuan Cloud Infrastructure Entitlement Management (CIEM) yang ditawarkan dengan paket Enterprise, Security Command Center membuat temuan identitas dan akses serta membuatnya dapat diakses dengan mudah di halaman Ringkasan Risiko Security Command Center. Temuan ini dikurasi dan dikategorikan di panel Temuan identitas dan akses.
Sebelum memulai
Pastikan Anda telah menyelesaikan tugas berikut sebelum melanjutkan:
- Pelajari kemampuan CIEM Security Command Center.
- Siapkan izin untuk CIEM.
- Aktifkan layanan deteksi CIEM untuk cloud Anda.
Melihat temuan identitas dan akses di halaman Temuan
Tampilan Identitas di halaman Temuan Security Command Center menampilkan temuan identitas dan akses di seluruh lingkungan cloud Anda, seperti Google Cloud dan Amazon Web Services (AWS).
Di Google Cloud konsol, pilih Temuan di navigasi.
Pilih tampilan Identitas.
Tampilan Identitas menambahkan kondisi filter untuk hanya menampilkan temuan yang kolom domains.category-nya berisi nilai IDENTITY_AND_ACCESS.
Untuk menampilkan hanya hasil dari platform cloud tertentu, gunakan tombol AWS dan Google.
Gunakan panel Agregasi dan Editor Kueri untuk memfilter hasil lebih lanjut. Untuk melihat hanya temuan yang terdeteksi oleh layanan tertentu, pilih layanan tersebut dari kategori Nama tampilan sumber di panel Penggabungan. Misalnya, jika Anda hanya ingin melihat temuan yang terdeteksi oleh layanan deteksi CIEM, pilih CIEM. Contoh lainnya meliputi:
- Kategori: Memfilter kueri hasil untuk kategori temuan tertentu yang ingin Anda pelajari lebih lanjut.
- Project ID: Memfilter kueri hasil untuk temuan yang terkait dengan project tertentu.
- Jenis resource: Memfilter untuk mengkueri hasil temuan yang terkait dengan jenis resource tertentu.
- Keparahan: Memfilter untuk membuat kueri hasil temuan dengan tingkat keparahan tertentu.
- Nama tampilan sumber: Memfilter untuk mengkueri hasil temuan yang terdeteksi oleh layanan tertentu yang mendeteksi kesalahan konfigurasi.
Panel Hasil kueri temuan terdiri dari beberapa kolom yang memberikan detail tentang temuan. Di antaranya, kolom berikut relevan untuk tujuan CIEM:
- Keparahan: Menampilkan tingkat keparahan temuan tertentu untuk membantu Anda memprioritaskan perbaikan.
- Nama tampilan resource: Menampilkan resource tempat temuan terdeteksi.
- Nama tampilan sumber: Menampilkan layanan yang mendeteksi temuan. Sumber yang menghasilkan temuan terkait identitas mencakup CIEM, IAM Recommender, Security Health Analytics, dan Event Threat Detection.
- Penyedia cloud: Menampilkan lingkungan cloud tempat temuan dideteksi, seperti Google Cloud, AWS, dan Microsoft Azure.
- Pemberian akses yang melanggar: Menampilkan link untuk meninjau akun utama yang berpotensi diberi peran yang tidak sesuai.
- ID Kasus: Menampilkan nomor ID kasus yang terkait dengan temuan.
Untuk mengetahui informasi selengkapnya tentang cara menangani temuan, lihat Meninjau dan mengelola temuan.
Menyelidiki temuan identitas dan akses untuk berbagai platform cloud
Security Command Center memungkinkan Anda menyelidiki temuan kesalahan konfigurasi identitas dan akses untuk lingkungan AWS, Microsoft Azure, dan Google Cloud di halaman Temuan Security Command Center.
Banyak layanan deteksi Security Command Center yang berbeda, seperti CIEM, pemberi rekomendasi IAM, Analisis Kondisi Keamanan, dan Deteksi Ancaman Peristiwa menghasilkan kategori temuan khusus CIEM yang mendeteksi potensi masalah keamanan identitas dan akses untuk platform cloud Anda.
Layanan deteksi CIEM Security Command Center menghasilkan temuan spesifik untuk lingkungan AWS dan Microsoft Azure Anda, dan layanan deteksi IAM recommender, Security Health Analytics, dan Event Threat Detection menghasilkan temuan spesifik untuk lingkungan Google CloudAnda.
Untuk melihat hanya temuan yang terdeteksi oleh layanan tertentu, pilih layanan tersebut dari kategori filter cepat Nama tampilan sumber. Misalnya, jika Anda hanya ingin melihat temuan yang terdeteksi oleh layanan deteksi CIEM, pilih CIEM.
Tabel berikut menjelaskan semua temuan yang dianggap sebagai bagian dari kemampuan CIEM Security Command Center.
| Platform cloud | Kategori temuan | Deskripsi | Sumber |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Peran IAM yang diasumsikan terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk mengetahui informasi selengkapnya, lihat temuan CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grup AWS IAM atau AWS IAM Identity Center yang terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk informasi selengkapnya, lihat temuan CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Pengguna AWS IAM atau AWS IAM Identity Center terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk informasi selengkapnya, lihat temuan CIEM. | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | Pengguna AWS IAM atau AWS IAM Identity Center yang tidak aktif terdeteksi di lingkungan AWS Anda. Untuk mengetahui informasi selengkapnya, lihat temuan CIEM. | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | Grup AWS IAM atau AWS IAM Identity Center yang terdeteksi di lingkungan AWS Anda tidak aktif. Untuk mengetahui informasi selengkapnya, lihat temuan CIEM. | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | Peran IAM yang diasumsikan dan terdeteksi di lingkungan AWS Anda tidak aktif. Untuk mengetahui informasi selengkapnya, lihat temuan CIEM. | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | Kebijakan kepercayaan yang diterapkan pada peran IAM yang diasumsikan sangat permisif. Untuk mengetahui informasi selengkapnya, lihat temuan CIEM. | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | Satu atau beberapa identitas dapat bergerak secara lateral di lingkungan AWS Anda melalui peniruan peran. Untuk mengetahui informasi selengkapnya, lihat temuan CIEM. | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Principal layanan atau identitas terkelola yang terdeteksi di lingkungan Azure Anda dengan penetapan peran yang sangat permisif. Untuk mengetahui informasi selengkapnya, lihat temuan CIEM. | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Grup yang terdeteksi di lingkungan Azure Anda dengan penetapan peran yang sangat permisif. Untuk informasi selengkapnya, lihat temuan CIEM. | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Pengguna yang terdeteksi di lingkungan Azure Anda dengan penetapan peran yang sangat permisif. Untuk informasi selengkapnya, lihat temuan CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Ada pengguna yang tidak menggunakan Verifikasi 2 Langkah. Untuk mengetahui informasi selengkapnya, lihat Temuan autentikasi multi-faktor. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan Peran Khusus. Untuk mengetahui informasi selengkapnya, lihat Memantau temuan kerentanan. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | Pembagian tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu peran Cloud Key Management Service berikut secara bersamaan: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Pengguna memiliki salah satu
peran dasar berikut: Pemilik (roles/owner),
Editor (roles/editor), atau
Viewer (roles/viewer). Untuk mengetahui informasi selengkapnya,
lihat Temuan kerentanan
IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Peran IAM Redis ditetapkan di tingkat organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Pengguna telah diberi peran Service Account Admin dan Service Account User. Hal ini melanggar prinsip "Pemisahan Tugas". Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Ada pengguna yang tidak menggunakan kredensial organisasi. Berdasarkan CIS Google Cloud Foundations 1.0, hanya identitas dengan alamat email @gmail.com yang memicu detektor ini. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Akun Google Grup yang dapat diikuti tanpa persetujuan digunakan sebagai akun utama kebijakan izin IAM. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | Pemberi rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang tidak digunakan dalam 90 hari terakhir. Untuk mengetahui informasi selengkapnya, lihat Temuan pemberi rekomendasi IAM. | Pemberi rekomendasi IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM Recommender mendeteksi akun layanan yang memiliki satu atau beberapa peran IAM yang memberikan izin berlebihan ke akun pengguna. Untuk mengetahui informasi selengkapnya, lihat Temuan pemberi rekomendasi IAM. | Pemberi rekomendasi IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
IAM Recommender mendeteksi bahwa peran IAM default asli yang diberikan kepada agen layanan telah diganti dengan salah satu peran IAM dasar: Pemilik, Editor, atau Pelihat. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Untuk mengetahui informasi selengkapnya, lihat temuan pemberi rekomendasi IAM. | Pemberi rekomendasi IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Pemberi rekomendasi IAM mendeteksi IAM bahwa agen layanan telah diberi salah satu peran IAM dasar: Pemilik, Editor, atau Pelihat. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Untuk mengetahui informasi selengkapnya, lihat temuan pemberi rekomendasi IAM. | Pemberi rekomendasi IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini tidak boleh ditetapkan ke akun layanan yang dibuat pengguna. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Instance dikonfigurasi untuk menggunakan akun layanan default. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan instance Compute. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Akun layanan memiliki akses project yang terlalu luas dalam cluster. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Pengguna memiliki peran Pengguna Akun Layanan atau Pembuat Token Akun Layanan di tingkat project, bukan untuk akun layanan tertentu. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Kunci akun layanan belum dirotasi selama lebih dari 90 hari. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Akun layanan node memiliki cakupan akses yang luas. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan container. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Kunci kriptografis Cloud KMS dapat diakses secara publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Bucket Cloud Storage dapat diakses secara publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan penyimpanan. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Bucket penyimpanan yang digunakan sebagai sink log dapat diakses secara publik. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan penyimpanan. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Pengguna mengelola kunci akun layanan. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Ada lebih dari tiga pengguna kunci kriptografis. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Pengguna memiliki izin Pemilik di project yang memiliki kunci kriptografis. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project. Untuk mengetahui informasi selengkapnya, lihat Memantau temuan kerentanan. | Security Health Analytics |
Memfilter temuan identitas dan akses menurut platform cloud
Dari panel Hasil kueri temuan, Anda dapat mengetahui temuan mana yang terkait dengan platform cloud tertentu dengan memeriksa konten kolom Penyedia cloud, Nama tampilan resource, atau Jenis resource.
Hasil kueri Penemuan menampilkan temuan identitas dan akses untuk lingkungan Google Cloud, AWS, dan Microsoft Azure secara default. Untuk mengedit hasil kueri temuan default agar hanya menampilkan temuan untuk platform cloud tertentu, pilih Amazon Web Services atau Google Cloud Platform dari kategori filter cepat Penyedia cloud.
Memeriksa temuan identitas dan akses secara mendetail
Untuk mempelajari lebih lanjut temuan identitas dan akses, buka tampilan mendetail temuan dengan mengklik nama temuan di kolom Kategori pada panel Temuan. Untuk mengetahui informasi selengkapnya tentang tampilan detail temuan, lihat Melihat detail temuan.
Bagian berikut di tab Ringkasan pada tampilan detail akan berguna saat menyelidiki temuan identitas dan akses.
Pemberian akses yang bermasalah
Di tab Ringkasan pada panel detail temuan, baris Pemberian akses yang melanggar memberikan cara untuk memeriksa pokok dengan cepat, termasuk identitas gabungan, dan aksesnya ke resource Anda. Informasi ini hanya muncul untuk temuan saat IAM Recommender mendeteksi akun utama di Google Cloud resource dengan peran yang sangat permisif, dasar, dan tidak digunakan.
Klik Tinjau pemberian akses yang bermasalah untuk membuka panel Tinjau pemberian akses yang bermasalah, yang berisi informasi berikut:
- Nama kepala sekolah. Akun utama yang ditampilkan di kolom ini dapat berupa gabungan Google Cloud akun pengguna, grup, identitas gabungan, dan akun layanan.
- Nama peran yang diberikan kepada akun utama.
- Tindakan yang direkomendasikan yang dapat Anda lakukan untuk memperbaiki akses yang melanggar.
Informasi kasus
Di tab Ringkasan pada halaman detail temuan, bagian Informasi kasus ditampilkan jika ada kasus atau tiket yang sesuai dengan temuan tertentu.
Bagian Informasi kasus menyediakan cara untuk melacak upaya perbaikan untuk temuan tertentu. Bagian ini memberikan detail tentang kasus yang sesuai, seperti link ke kasus yang sesuai dan tiket sistem ticketing (Jira atau ServiceNow), penerima tugas, status kasus, dan prioritas kasus.
Untuk mengakses kasus yang sesuai dengan temuan, klik nomor ID kasus di baris ID Kasus.
Untuk mengakses tiket Jira atau ServiceNow yang sesuai dengan temuan, klik nomor ID tiket di baris ID Tiket.
Untuk menghubungkan sistem penyediaan tiket dengan Security Command Center Enterprise, lihat Mengintegrasikan Security Command Center Enterprise dengan sistem penyediaan tiket.
Untuk mengetahui informasi selengkapnya tentang cara meninjau kasus yang sesuai, lihat Meninjau kasus temuan identitas dan akses.
Langkah berikutnya
Di tab Ringkasan pada halaman detail temuan, bagian Langkah berikutnya memberikan panduan langkah demi langkah tentang cara segera memperbaiki masalah yang terdeteksi. Rekomendasi ini disesuaikan dengan temuan spesifik yang Anda lihat.
Langkah berikutnya
- Pelajari cara meninjau dan mengelola temuan.
- Pelajari cara meninjau kasus temuan identitas dan akses.
- Pelajari pendeteksi CIEM yang menghasilkan temuan AWS dan Microsoft Azure.