Halaman ini memberikan ringkasan proses aktivasi yang terjadi saat Anda mengaktifkan Security Command Center. Tujuannya adalah untuk menjawab pertanyaan umum:
- Apa yang terjadi jika Security Command Center diaktifkan?
- Mengapa ada penundaan sebelum pemindaian pertama dimulai?
- Berapa perkiraan waktu proses untuk pemindaian pertama dan pemindaian berkelanjutan?
- Bagaimana pengaruh perubahan resource dan setelan terhadap performa?
Ringkasan
Saat Anda pertama kali mengaktifkan Security Command Center, proses aktivasi harus selesai sebelum Security Command Center dapat mulai memindai resource Anda. Kemudian, pemindaian harus selesai sebelum Anda melihat kumpulan lengkap temuan untuk lingkunganGoogle Cloud .
Waktu yang dibutuhkan untuk menyelesaikan proses aktivasi dan pemindaian bergantung pada sejumlah faktor, termasuk jumlah aset dan resource di lingkungan Anda serta apakah Security Command Center diaktifkan di level organisasi atau level project.
Dengan aktivasi level organisasi, Security Command Center harus mengulangi langkah-langkah tertentu dalam proses aktivasi untuk setiap project di organisasi. Bergantung pada jumlah project dalam organisasi, waktu yang diperlukan untuk proses aktivasi dapat berkisar dari beberapa menit hingga beberapa jam. Untuk organisasi dengan lebih dari 100.000 project, banyak resource di setiap project, dan faktor rumit lainnya, pengaktifan dan pemindaian awal dapat memerlukan waktu hingga 24 jam atau lebih untuk diselesaikan.
Dengan aktivasi Security Command Center di level project, proses aktivasi akan jauh lebih cepat, karena prosesnya terbatas pada satu project tempat Security Command Center diaktifkan.
Faktor-faktor yang dapat menyebabkan latensi dalam memulai pemindaian, memproses perubahan pada setelan, dan runtime pemindaian dibahas di bagian berikut.
Topologi
Gambar di bawah ini memberikan ilustrasi umum tentang proses aktivasi dan pengaktifan.
Latensi dalam orientasi
Sebelum pemindaian dimulai, Security Command Center menemukan dan mengindeks resource Anda.
Layanan yang diindeks mencakup App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management, dan Google Kubernetes Engine.
Untuk aktivasi Security Command Center di level project, penemuan dan pengindeksan dibatasi pada satu project tempat Security Command Center diaktifkan.
Untuk aktivasi level organisasi, Security Command Center menemukan dan mengindeks resource di seluruh organisasi Anda.
Selama proses aktivasi ini, ada dua langkah penting yang dilakukan.
Pemindaian aset
Security Command Center melakukan pemindaian aset awal untuk mengidentifikasi jumlah total, lokasi, dan status project, folder, file, cluster, identitas, kebijakan akses, pengguna yang terdaftar, dan resource lainnya. Proses ini biasanya selesai dalam beberapa menit.
Aktivasi API
Saat resource ditemukan, Security Command Center mengaktifkan bagian yang diperlukan agar Security Health Analytics, Event Threat Detection, Container Threat Detection, dan Web Security Scanner dapat beroperasi.Google Cloud Beberapa layanan deteksi memerlukan API tertentu diaktifkan di project yang dilindungi agar dapat berfungsi.
Saat Anda mengaktifkan Security Command Center di level project, aktivasi API biasanya memerlukan waktu kurang dari satu menit.
Dengan aktivasi level organisasi, Security Command Center melakukan iterasi di semua project yang Anda pilih untuk dipindai guna mengaktifkan API yang diperlukan.
Jumlah project dalam organisasi sebagian besar menentukan durasi proses aktivasi dan pengaktifan. Karena API harus diaktifkan untuk project satu per satu, pengaktifan API biasanya merupakan tugas yang paling memakan waktu, terutama untuk organisasi dengan lebih dari 100.000 project.
Waktu yang diperlukan untuk mengaktifkan layanan di seluruh project akan meningkat secara linear. Artinya, secara umum, dibutuhkan waktu dua kali lebih lama untuk mengaktifkan layanan dan setelan keamanan di organisasi dengan 30.000 project dibandingkan dengan organisasi yang memiliki 15.000 project.
Untuk organisasi dengan 100.000 project, aktivasi dan pengaktifan paket Premium harus diselesaikan dalam waktu kurang dari lima jam. Waktu yang diperlukan dapat berbeda-beda bergantung pada banyak faktor, termasuk jumlah project atau penampung yang Anda gunakan dan jumlah layanan Security Command Center yang Anda pilih untuk diaktifkan.
Latensi pemindaian
Saat menyiapkan Security Command Center, Anda memutuskan layanan bawaan dan terintegrasi mana yang akan diaktifkan, serta memilih Google Cloud resource yang ingin dianalisis, atau dipindai, untuk mendeteksi ancaman dan kerentanan. Saat API diaktifkan untuk project, layanan yang dipilih akan memulai pemindaiannya. Durasi pemindaian ini juga bergantung pada jumlah project dalam organisasi.
Hasil temuan dari layanan bawaan tersedia setelah pemindaian awal selesai. Layanan mengalami latensi seperti yang dijelaskan di bawah.
- Container Threat Detection memiliki latensi berikut:
- Latensi aktivasi hingga 3,5 jam untuk project atau organisasi yang baru diaktifkan.
- Latensi aktivasi dalam menit untuk cluster yang baru dibuat.
- Latensi deteksi dalam hitungan menit untuk ancaman di cluster yang telah diaktifkan.
Pengaktifan Event Threat Detection terjadi dalam hitungan detik untuk detektor bawaan. Untuk detektor kustom baru atau yang diperbarui, perlu waktu hingga 15 menit agar perubahan Anda diterapkan. Pada praktiknya, proses ini biasanya memerlukan waktu kurang dari 5 menit.
Untuk detektor bawaan dan kustom, latensi deteksi umumnya kurang dari 15 menit, mulai dari saat log ditulis hingga saat temuan tersedia di Security Command Center.
Pemindaian Security Health Analytics dimulai sekitar satu jam setelah layanan diaktifkan. Pemindaian Security Health Analytics pertama dapat memerlukan waktu hingga 12 jam untuk diselesaikan. Setelah itu, sebagian besar deteksi berjalan secara real time terhadap perubahan konfigurasi aset (pengecualian dijelaskan dalam Latensi Deteksi Security Health Analytics).
Deteksi Ancaman VM memiliki latensi aktivasi hingga 48 jam untuk organisasi yang baru diaktifkan. Untuk project, latensi aktivasi hingga 15 menit.
Vulnerability Assessment for Amazon Web Services (AWS) mulai memindai resource di akun AWS sekitar 15 menit setelah template CloudFormation yang diperlukan pertama kali di-deploy di akun tersebut. Jika kerentanan software terdeteksi di akun AWS, temuan yang sesuai akan tersedia di Security Command Center sekitar 10 menit kemudian.
Waktu yang diperlukan untuk menyelesaikan pemindaian bergantung pada jumlah instance EC2. Biasanya, pemindaian satu instance EC2 memerlukan waktu kurang dari 5 menit.
Pemindaian Web Security Scanner dapat memerlukan waktu hingga 24 jam untuk dimulai setelah layanan diaktifkan dan dijalankan setiap minggu setelah pemindaian pertama.
Security Command Center menjalankan pendeteksi error, yang mendeteksi error konfigurasi terkait Security Command Center dan layanannya. Detektor error ini diaktifkan secara default dan tidak dapat dinonaktifkan. Latensi deteksi bervariasi bergantung pada detektor error. Untuk mengetahui informasi selengkapnya, lihat Error Security Command Center.
Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari lebih lanjut peran Security Command Center, lihat Kontrol akses.
Temuan awal
Anda mungkin melihat beberapa temuan di konsol Google Cloud saat pemindaian awal sedang berlangsung, tetapi sebelum proses aktivasi selesai.
Temuan awal akurat dan dapat ditindaklanjuti, tetapi tidak komprehensif. Penggunaan temuan ini untuk penilaian kepatuhan dalam 24 jam pertama tidak direkomendasikan.
Pemindaian berikutnya
Perubahan yang dilakukan dalam organisasi atau project Anda, seperti memindahkan resource atau, untuk aktivasi tingkat organisasi, menambahkan folder dan project baru, biasanya tidak akan memengaruhi waktu penemuan resource secara signifikan atau runtime pemindaian. Namun, beberapa pemindaian dilakukan sesuai jadwal yang ditetapkan, yang menentukan seberapa cepat Security Command Center mendeteksi perubahan.
- Event Threat Detection dan Container Threat Detection: layanan ini berjalan secara real time saat diaktifkan dan langsung mendeteksi resource baru atau yang berubah, seperti cluster, bucket, atau log, di project yang diaktifkan.
- Security Health Analytics: Security Health Analytics berjalan secara real time saat diaktifkan dan mendeteksi resource baru atau yang diubah dalam beberapa menit, kecuali deteksi yang tercantum di bawah.
- Deteksi Ancaman VM: Untuk pemindaian memori, Deteksi Ancaman VM memindai setiap instance VM segera setelah instance dibuat. Selain itu, Deteksi Ancaman VM memindai setiap instance VM setiap 30 menit.
- Untuk deteksi penambangan mata uang kripto, Deteksi Ancaman VM menghasilkan satu temuan per proses, per VM, per hari. Setiap temuan hanya mencakup ancaman yang terkait dengan proses yang diidentifikasi oleh temuan tersebut. Jika VM Threat Detection menemukan ancaman, tetapi tidak dapat mengaitkannya dengan proses apa pun, maka untuk setiap VM, VM Threat Detection mengelompokkan semua ancaman yang tidak terkait ke dalam satu temuan yang dihasilkan sekali per setiap periode 24 jam. Untuk setiap ancaman yang berlanjut lebih dari 24 jam, Deteksi Ancaman VM menghasilkan temuan baru sekali setiap 24 jam.
- Untuk deteksi rootkit mode kernel, yang masih dalam Pratinjau, VM Threat Detection menghasilkan satu temuan per kategori, per VM, setiap tiga hari.
Untuk pemindaian persistent disk, yang mendeteksi keberadaan malware yang diketahui, Deteksi Ancaman VM memindai setiap instance VM setidaknya setiap hari.
Vulnerability Assessment for AWS menjalankan pemindaian tiga kali sehari.
Waktu yang diperlukan untuk menyelesaikan pemindaian bergantung pada jumlah instance EC2. Biasanya, pemindaian satu instance EC2 memerlukan waktu kurang dari 5 menit.
Saat kerentanan software terdeteksi di akun AWS, temuan yang sesuai akan tersedia di Security Command Center sekitar 10 menit kemudian.
Web Security Scanner: Web Security Scanner berjalan setiap minggu, pada hari yang sama dengan pemindaian awal. Karena dijalankan setiap minggu, Pemindai Keamanan Web tidak akan mendeteksi perubahan secara real time. Jika Anda memindahkan resource atau mengubah aplikasi, perubahan mungkin tidak terdeteksi hingga satu minggu. Anda dapat menjalankan pemindaian on-demand untuk memeriksa resource baru atau yang berubah di antara pemindaian terjadwal.
Detektor error Security Command Center berjalan secara berkala dalam mode batch. Frekuensi pemindaian batch bervariasi, bergantung pada detektor error. Untuk mengetahui informasi selengkapnya, lihat Error Security Command Center.
Latensi Deteksi Security Health Analytics
Deteksi Security Health Analytics berjalan secara berkala dalam mode batch setelah layanan diaktifkan, serta saat konfigurasi aset terkait berubah. Setelah Security Health Analytics diaktifkan, setiap perubahan konfigurasi resource yang relevan akan menghasilkan temuan kesalahan konfigurasi yang diperbarui. Dalam beberapa kasus, update mungkin memerlukan waktu beberapa menit, bergantung pada jenis dan perubahan aset.
Beberapa detektor Security Health Analytics tidak mendukung mode pemindaian langsung jika, misalnya, deteksi dijalankan terhadap informasi di luar konfigurasi resource. Deteksi ini, yang tercantum dalam tabel di bawah, berjalan secara berkala dan mengidentifikasi kesalahan konfigurasi dalam waktu 12 jam. Baca Kerentanan dan temuan untuk mengetahui detail selengkapnya tentang detektor Security Health Analytics.
| Deteksi Security Health Analytics yang tidak mendukung mode pemindaian real-time |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (sebelumnya bernama 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
Simulasi jalur serangan
Simulasi jalur serangan dijalankan kira-kira setiap enam jam. Seiring dengan pertumbuhan ukuran atau kompleksitas organisasiGoogle Cloud , waktu antar-interval dapat meningkat.
Saat Anda pertama kali mengaktifkan Security Command Center, simulasi jalur serangan menggunakan kumpulan resource bernilai tinggi default, yang berfokus pada subset jenis resource yang didukung dan ditemukan di organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat daftar jenis resource yang didukung.
Saat Anda mulai menentukan kumpulan resource bernilai tinggi sendiri dengan membuat konfigurasi nilai resource, Anda mungkin melihat waktu antara interval simulasi menurun jika jumlah instance resource dalam kumpulan resource bernilai tinggi Anda jauh lebih rendah daripada kumpulan default.
Langkah berikutnya
- Pelajari cara menggunakan Security Command Center di konsol Google Cloud .
- Pelajari layanan deteksi.