Halaman ini menjelaskan cara membuat, melihat, mengupdate, dan menghapus modul kustom untuk Security Health Analytics menggunakan konsol Google Cloud atau Google Cloud CLI.
Untuk informasi pengantar selengkapnya, lihat Ringkasan modul kustom untuk Security Health Analytics.
Sebelum memulai
Sebelum dapat menggunakan modul kustom, Anda memerlukan prasyarat berikut:
- Security Health Analytics harus diaktifkan. Untuk mengetahui informasi tentang cara mengaktifkan Security Health Analytics, lihat Mengaktifkan atau menonaktifkan layanan bawaan.
- Akun pengguna Anda harus diberi satu atau beberapa peran Pengelolaan Akses dan Identitas (IAM) yang berisi izin yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Izin IAM yang diperlukan.
- Jika Anda ingin menulis modul kustom sendiri dan menguploadnya ke Security Command Center menggunakan perintah
gcloud
, Anda memerlukan Google Cloud CLI. Untuk mengetahui informasi tentang cara menginstal gcloud CLI, lihat Menginstal gcloud CLI. - Jika Security Command Center API belum diaktifkan, Anda harus mengaktifkannya sebelum dapat menggunakan modul kustom untuk Security Health Analytics. Anda dapat mengaktifkan Security Command Center API di halaman API Library di konsol Google Cloud .
- Untuk memahami batas penggunaan Security Health Analytics, lihat Kuota modul kustom.
Izin IAM yang diperlukan
Untuk menggunakan modul kustom, Anda memerlukan izin Identity and Access Management (IAM) berikut:
Izin | Peran |
---|---|
securitycenter.securityhealthanalyticscustommodules.create securitycenter.securityhealthanalyticscustommodules.update securitycenter.securityhealthanalyticscustommodules.delete |
roles/securitycenter.settingsEditor roles/securitycenter.admin |
securitycenter.securityhealthanalyticscustommodules.get securitycenter.securityhealthanalyticscustommodules.list |
roles/securitycenter.settingsViewer roles/securitycenter.adminViewer roles/securitycenter.admin |
securitycenter.securityhealthanalyticscustommodules.test | roles/securitycenter.securityHealthAnalyticsCustomModulesTester roles/securitycenter.adminViewer roles/securitycenter.adminEditor roles/securitycenter.admin |
Untuk mengetahui informasi selengkapnya tentang izin dan peran IAM serta cara memberikannya, lihat Memberikan peran IAM menggunakan Google Cloud konsol.
Membuat modul kustom
Bagian ini menjelaskan cara membuat modul kustom menggunakan konsolGoogle Cloud , gcloud CLI, atau Terraform.
Untuk menguji modul kustom sebagai langkah dalam proses pembuatan, Anda perlu menyiapkan definisi resource pengujian dalam file YAML. Untuk mengetahui petunjuknya, lihat Membuat resource pengujian dalam file YAML.
Untuk membuat modul kustom, pilih metode yang ingin Anda gunakan dari tab berikut:
Google Cloud console
Untuk membuat modul kustom di konsol Google Cloud , selesaikan langkah-langkah berikut:
Buka halaman Setelan Security Command Center di konsolGoogle Cloud .
Jika diminta, pilih organisasi, folder, atau project tempat Anda perlu membuat modul kustom.
Di kartu Security Health Analytics, klik Manage Settings.
Klik tab Modul.
Klik
Create module. Halaman Buat modul untuk Security Health Analytics akan terbuka.Di panel Configure module, tentukan nama tampilan, resource yang akan dipindai, dan logika deteksi:
Di kolom Module name, tentukan nama untuk modul. Nama harus terdiri dari 1 hingga 128 karakter, diawali dengan huruf kecil, dan hanya berisi karakter alfanumerik atau garis bawah. Nama ini menjadi kategori temuan dari temuan yang dihasilkan oleh pendeteksi ini. Anda tidak dapat mengubah nama setelah modul dibuat.
Di bagian Tambahkan jenis resource, tentukan satu hingga lima jenis resource yang akan dipindai. Anda tidak dapat menentukan jenis resource lebih dari sekali.
Untuk mengetahui daftar jenis resource yang didukung, lihat Jenis resource yang didukung.
Di Editor ekspresi, tulis ekspresi CEL untuk menjalankan pemeriksaan boolean pada satu atau beberapa properti resource yang Anda tentukan pada langkah terakhir. Untuk memicu temuan, ekspresi harus diselesaikan menjadi
TRUE
. Misalnya, ekspresi berikut memicu temuan jika resourceCryptoKey
memiliki periode rotasi yang ditentukan dan periode rotasi lebih lama dari 2.592.000 detik (30 hari):has(resource.rotationPeriod) && (resource.rotationPeriod > duration('2592000s'))
Untuk informasi selengkapnya, lihat referensi berikut:
Klik Berikutnya. Panel Tentukan detail temuan akan terbuka.
Di panel Tentukan detail temuan, jelaskan masalah yang dideteksi oleh modul kustom, termasuk tingkat keparahannya, apa masalahnya, cara memperbaiki masalah, dan data apa pun yang ingin Anda sertakan dalam temuan sebagai properti sumber kustom:
Di kolom Keparahan, tentukan tingkat keparahan masalah. Anda dapat menentukan
Low
,Medium
,High
, atauCritical
.Medium
adalah defaultnya.Untuk mengetahui informasi tentang tingkat keparahan, lihat Klasifikasi tingkat keparahan temuan.
Di kolom Deskripsi temuan, jelaskan masalah yang dideteksi modul kustom. Penjelasan ini muncul di setiap instance temuan untuk membantu tim keamanan memahami dan mengatasi masalah yang terdeteksi.
Di kolom Menemukan langkah berikutnya, jelaskan langkah-langkah yang dapat dilakukan tim keamanan Anda untuk memperbaiki atau mengatasi masalah yang terdeteksi.
Langkah-langkah ditampilkan dengan setiap instance temuan. Sertakan langkah-langkah spesifik yang dapat dilakukan tim keamanan untuk mengatasi masalah secepat mungkin.
Opsional: Di kolom Properti temuan kustom, tentukan hingga 10 pasangan nama-nilai untuk menentukan properti sumber kustom yang akan ditampilkan dengan setiap instance temuan. Informasi ditampilkan sebagai properti sumber dalam JSON temuan dan ditampilkan di tab Properti sumber dalam detail temuan di konsolGoogle Cloud . Tentukan nilai teks atau properti sebagai pasangan nilai kunci:
- Di kolom Nama properti, tentukan nama untuk properti sumber kustom. Nama harus sesuai dengan aturan berikut:
- Nama harus diawali dengan huruf kecil.
- Nama hanya boleh berisi karakter alfanumerik atau garis bawah.
- Panjang nama harus antara 1 dan 128 karakter.
- Setiap nama harus unik di antara properti sumber lainnya.
- Di kolom Nilai properti, tentukan salah satu nilai berikut
dalam 1.024 karakter atau kurang:
- String teks yang diapit tanda kutip. Tanda petik
disertakan dalam batas 1024 karakter. Misalnya,
"This string provides additional useful information."
- Properti resource yang sedang dipindai.
Misalnya, jika Anda memeriksa resource
CryptoKey
, Anda dapat menentukanresource.rotationPeriod
. Nilai propertirotationPeriod
ditampilkan.
- String teks yang diapit tanda kutip. Tanda petik
disertakan dalam batas 1024 karakter. Misalnya,
- Di kolom Nama properti, tentukan nama untuk properti sumber kustom. Nama harus sesuai dengan aturan berikut:
Klik Berikutnya. Panel Aktifkan modul akan terbuka.
Opsional: Gunakan menu drop-down panel Aktifkan modul untuk menentukan apakah modul kustom diaktifkan atau dinonaktifkan saat dibuat. Secara default, modul kustom diaktifkan saat dibuat. Jika Anda menentukan Nonaktifkan, Anda dapat mengaktifkan modul nanti di tab Modul di halaman setelan Security Health Analytics.
Klik Berikutnya. Panel Test module akan terbuka.
Opsional: Sebelum membuat modul kustom, sebaiknya Anda mengujinya.
Untuk menguji modul kustom, ikuti langkah-langkah berikut:
Buat file YAML yang berisi definisi resource pengujian untuk resource yang diperiksa oleh modul kustom Anda.
Untuk mengetahui informasi tentang cara membuat file data pengujian, lihat Membuat resource pengujian dalam file YAML.
Di bagian Upload the YAML file, klik Browse untuk mengupload file YAML yang berisi definisi resource pengujian. Pengujian dimulai secara otomatis saat file diupload.
Di bagian Pratinjau hasil pengujian, periksa hasilnya.
- Jika ada sintaksis atau error lain dalam file YAML, pesan error mengambang akan ditampilkan di dekat bagian bawah halaman browser.
Jika pengujian berhasil, pengujian akan menampilkan informasi berikut:
- Nama tampilan modul kustom.
- Nama arbitrer yang Anda tentukan di properti
resource
dalam file data pengujian. - Organisasi, folder, atau project tempat modul kustom dibuat, atau akan dibuat.
Hasil pengujian tidak disimpan atau ditulis ke Security Command Center.
Untuk mengetahui informasi selengkapnya, lihat Menguji modul kustom.
Klik Buat. Anda akan kembali ke halaman Modul dan akan melihat modul yang Anda buat dengan status Diaktifkan.
Modul kustom baru tidak langsung tersedia untuk digunakan oleh Security Health Analytics dalam pemindaian. Untuk mengetahui informasi selengkapnya, lihat Latensi deteksi.
gcloud CLI
Untuk membuat modul kustom menggunakan perintah gcloud
, Anda harus
mengodekan definisi modul kustom dalam file YAML yang mencakup
ekspresi CEL untuk logika deteksi dan properti output.
Setelah definisi selesai, Anda mengupload definisi ke Security Command Center menggunakan perintah gcloud CLI.
- Buat kode definisi modul kustom dalam file YAML sesuai dengan petunjuk di Membuat kode modul kustom untuk Security Health Analytics.
- Simpan file YAML ke lokasi yang dapat diakses oleh instance gcloud CLI Anda.
Upload definisi kustom ke Security Command Center:
gcloud scc custom-modules sha create \ PARENT_FLAG=PARENT_ID \ --display-name="MODULE_DISPLAY_NAME" \ --enablement-state="ENABLEMENT_STATE" \ --custom-config-from-file=MODULE_FILE_NAME.yaml
Ganti kode berikut:
PARENT_FLAG
: tingkat pembuatan modul kustom, yaitu--organization
,--folder
, atau--project
.PARENT_ID
: ID organisasi, folder, atau project tempat Anda membuat modul kustom.ENABLEMENT_STATE
:enabled
ataudisabled
.MODULE_DISPLAY_NAME
: nama kategori temuan yang ingin Anda tampilkan saat modul kustom menampilkan temuan. Nama harus terdiri dari 1 hingga 128 karakter, diawali dengan huruf kecil, dan hanya berisi karakter alfanumerik atau garis bawah.MODULE_FILE_NAME
: jalur dan nama file file YAML yang berisi definisi modul kustom.
Terraform
Membuat modul kustom untuk organisasi:
Membuat modul kustom untuk folder:
Membuat modul kustom untuk project:
Latensi deteksi
Setelah Anda membuat atau memperbarui definisi modul kustom, mungkin ada penundaan hingga beberapa jam sebelum modul kustom baru atau yang diperbarui tersedia untuk digunakan dalam pemindaian.
Membuat atau mengubah modul kustom tidak akan memicu pemindaian. Setelah modul kustom tersedia untuk digunakan, Security Health Analytics tidak akan mulai menggunakan modul kustom hingga pemindaian batch pertama atau perubahan pada konfigurasi resource target memicu pemindaian real-time.
Untuk mengetahui informasi selengkapnya tentang jenis pemindaian Security Health Analytics, lihat Jenis pemindaian Security Health Analytics.
Memperbarui modul kustom
Anda dapat memperbarui sebagian besar properti modul kustom Security Health Analytics.
Properti modul kustom berikut tidak dapat diubah:
- Nama tampilan.
- ID modul kustom.
- Nama lengkap resource modul kustom.
Saat Anda memperbarui modul kustom, temuan apa pun yang dihasilkan modul kustom sebelumnya tidak akan diperbarui secara bersamaan. Jika perubahan pada modul menghasilkan perubahan pada temuan yang dihasilkan, temuan akan mencerminkan perubahan hanya setelah pemindaian real-time atau batch Security Health Analytics berikutnya.
Untuk mengubah modul kustom, Anda dapat menggunakan Google Cloud konsol atau gcloud CLI. Klik salah satu tab berikut untuk melihat petunjuk.
Google Cloud console
Untuk memperbarui modul kustom yang ada di konsol Google Cloud , ikuti langkah-langkah berikut:
Buka halaman Setelan Security Command Center di konsolGoogle Cloud .
Di pemilih project, pilih organisasi, folder, atau project tempat modul kustom awalnya dibuat. Anda tidak dapat mengedit modul kustom di tempat lain.
Di kartu Security Health Analytics, klik Manage Settings.
Pilih tab Modul. Semua modul deteksi Security Health Analytics ditampilkan.
Gunakan kolom filter di bagian atas daftar modul atau scroll untuk menemukan modul kustom yang perlu Anda ubah.
Di sisi kanan baris modul kustom, klik ikon menu Tindakan,
.Dari Menu tindakan, klik ikon Edit (edit). Halaman Lihat modul akan terbuka dan menampilkan tab Konfigurasi modul.
Edit kolom modul kustom setiap tab di halaman Lihat modul sesuai kebutuhan.
Opsional: Sebelum menyimpan pembaruan, sebaiknya Anda mengujinya.
Untuk menguji modul kustom, ikuti langkah-langkah berikut:
Buat file YAML yang berisi definisi resource pengujian untuk resource yang diperiksa oleh modul kustom Anda.
Untuk mengetahui informasi tentang cara membuat file data pengujian, lihat Membuat resource pengujian dalam file YAML.
Di bagian Upload file YAML, klik Browse untuk mengupload file YAML yang berisi definisi resource pengujian. Pengujian dimulai secara otomatis saat file diupload.
Di bagian Pratinjau hasil pengujian, periksa hasilnya.
- Jika ada sintaksis atau error lain dalam file YAML, pesan error mengambang akan ditampilkan di dekat bagian bawah halaman browser.
Jika pengujian berhasil, pengujian akan menampilkan informasi berikut:
- Nama tampilan modul kustom.
- Nama arbitrer yang Anda tentukan di properti
resource
dalam file data pengujian. - Organisasi, folder, atau project tempat modul kustom dibuat, atau akan dibuat.
Hasil pengujian tidak disimpan atau ditulis ke Security Command Center.
Untuk mengetahui informasi selengkapnya, lihat Menguji modul kustom.
Di bagian bawah halaman, klik Simpan. Perubahan Anda diterapkan ke modul kustom.
gcloud CLI
Untuk memperbarui modul kustom menggunakan gcloud CLI,
Anda harus mengedit definisi YAML modul kustom terlebih dahulu, lalu menggunakan
perintah gcloud
untuk memperbarui modul kustom di Security Health Analytics.
Edit definisi modul kustom. Untuk mengetahui informasi tentang cara membuat kode definisi modul kustom, lihat Membuat kode modul kustom untuk Security Health Analytics.
Simpan file YAML yang diedit ke lokasi yang dapat diakses oleh gcloud CLI.
Perbarui modul kustom di Security Health Analytics dengan mengeluarkan perintah berikut:
gcloud scc custom-modules sha update MODULE_ID \ PARENT_FLAG=PARENT_ID \ --enablement-state="ENABLED" \ --custom-config-from-file=MODULE_FILE_NAME.yaml
Ganti kode berikut:
MODULE_ID
: ID atau nama lengkap resource modul kustom.PARENT_FLAG
: tingkat pembuatan modul kustom, yaitu--organization
,--folder
, atau--project
.PARENT_ID
: ID organisasi, folder, atau project tempat modul kustom dibuat.MODULE_FILE_NAME
: jalur dan nama file file YAML yang berisi definisi modul kustom.
Melihat modul kustom
Pilih tab untuk mempelajari cara melihat definisi modul kustom.
Google Cloud console
Untuk melihat modul kustom di konsol Google Cloud , ikuti langkah-langkah berikut:
Buka halaman Security Health Analytics di setelan Security Command Center.
Klik tab Modul. Panel Modul akan terbuka.
Jika perlu, gunakan kolom filter di bagian atas daftar modul untuk menemukan modul kustom yang perlu Anda ubah.
Untuk melihat detail definisi modul kustom, klik ikon Menu tindakan,
, di sisi kanan baris modul kustom.Dari menu Tindakan, klik ikon Edit, edit. Halaman Lihat modul akan terbuka dan menampilkan tab Konfigurasi modul.
Klik tab di halaman Lihat modul untuk melihat semua kolom definisi modul kustom.
gcloud CLI
Untuk melihat detail modul kustom, masukkan perintah berikut:
gcloud scc custom-modules sha get MODULE_ID \ PARENT_FLAG=PARENT_ID
Ganti kode berikut:
MODULE_ID
: ID atau nama lengkap resource modul kustom.PARENT_FLAG
: tingkat pembuatan modul kustom, yaitu--organization
,--folder
, atau--project
.PARENT_ID
: ID organisasi, folder, atau project tempat modul kustom dibuat.
Mencantumkan modul kustom
Pilih tab untuk mempelajari cara menampilkan daftar modul kustom.
Google Cloud console
Buka halaman Security Health Analytics di setelan Security Command Center.
Klik tab Modul. Panel Modul akan terbuka.
Klik di kolom filter di bagian atas daftar modul untuk menampilkan daftar jenis filter.
Pilih Jenis dan masukkan
Custom
. Daftar modul diperbarui untuk menampilkan hanya modul kustom.
gcloud CLI
Untuk melihat daftar modul kustom, masukkan perintah berikut:
gcloud scc custom-modules sha list \ PARENT_FLAG=PARENT_ID
Ganti kode berikut:
PARENT_FLAG
: tingkat pembuatan modul kustom, yaitu--organization
,--folder
, atau--project
.PARENT_ID
: ID organisasi, folder, atau project tempat modul kustom dibuat.
Menghapus modul kustom
Anda dapat menghapus modul kustom dari organisasi, folder, atau project tempat modul tersebut dibuat atau organisasi atau folder induk. Anda tidak dapat menghapus modul kustom dari folder atau project yang mewarisinya.
Untuk mempelajari cara menghapus modul kustom, pilih salah satu tab berikut.
Google Cloud console
Buka halaman Setelan Security Command Center di konsolGoogle Cloud .
Jika diminta, pilih organisasi, folder, atau project Anda.
Di kartu Security Health Analytics, klik Manage Settings.
Pilih tab Modul. Semua modul deteksi Security Health Analytics ditampilkan.
Gunakan kolom filter di bagian atas daftar modul atau scroll untuk menemukan modul kustom yang perlu Anda ubah.
Di sisi kanan baris modul kustom, klik ikon menu Tindakan,
.Dari menu Tindakan, klik Hapus. Dialog Hapus modul kustom akan terbuka.
Pada dialog, klik Hapus.
gcloud CLI
Untuk menghapus modul kustom, masukkan perintah berikut:
gcloud scc custom-modules sha delete MODULE_ID \ PARENT_FLAG=PARENT_ID
Ganti kode berikut:
MODULE_ID
: ID atau nama lengkap resource modul kustom.PARENT_FLAG
: tingkat pembuatan modul kustom, yaitu--organization
,--folder
, atau--project
.PARENT_ID
: ID organisasi, folder, atau project tempat modul kustom dibuat.
Temuan untuk modul kustom yang dihapus ditandai tidak aktif oleh Security Health Analytics dalam pemindaian batch berikutnya.
Meninjau temuan
Temuan yang dihasilkan oleh modul kustom dapat dilihat di konsolGoogle Cloud atau API Security Command Center.
Konsol
Standar atau Premium
- Di konsol Google Cloud , buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih Security Health Analytics Custom. Hasil kueri temuan diperbarui untuk menampilkan hanya temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Enterprise
- Di konsol Google Cloud , buka halaman Temuan di Security Command Center.
- Pilih Google Cloud organisasi Anda.
- Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
- Pilih Security Health Analytics Custom. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
gcloud CLI
Untuk melihat temuan, lakukan tindakan berikut:
- Buka jendela terminal.
Untuk mendapatkan ID sumber Security Health Analytics, jalankan perintah berikut:
gcloud scc sources describe organizations/ORGANIZATION_ID \ --source-display-name='Security Health Analytics Custom'
Output tampilan akan terlihat seperti berikut. Dalam contoh ini,
SOURCE_ID
adalah ID yang ditetapkan server untuk sumber keamanan.description: ... displayName: Security Health Analytics Custom name: organizations/ORGANIZATION_ID/sources/SOURCE_ID
Untuk mencantumkan semua temuan yang dihasilkan oleh modul kustom Anda, jalankan perintah berikut:
gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID
Untuk mencantumkan temuan untuk modul kustom tertentu, jalankan perintah berikut:
gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID --filter="category=\"MODULE_NAME\""
Langkah berikutnya
Anda dapat mengelola temuan yang dihasilkan oleh modul kustom seperti semua temuan di Security Command Center. Untuk mengetahui petunjuknya, lihat informasi berikut:
- Menggunakan temuan di konsol Google Cloud
- Menggunakan tanda keamanan
- Menyiapkan notifikasi temuan
- Mengekspor data Security Command Center