Layanan deteksi

Halaman ini berisi daftar layanan deteksi, yang terkadang juga disebut sebagai sumber keamanan, yang digunakan Security Command Center untuk mendeteksi masalah keamanan di lingkungan cloud Anda.

Saat mendeteksi masalah, layanan ini akan membuat temuan, yaitu catatan yang mengidentifikasi masalah keamanan dan memberi Anda informasi yang diperlukan untuk memprioritaskan dan menyelesaikan masalah tersebut.

Anda dapat melihat temuan di konsol Google Cloud dan memfilternya dengan berbagai cara, seperti menurut jenis temuan, jenis resource, atau untuk aset tertentu. Setiap sumber keamanan dapat memberikan lebih banyak filter untuk membantu Anda mengatur temuan.

Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari lebih lanjut peran Security Command Center, lihat Kontrol akses.

Layanan deteksi kerentanan

Layanan deteksi kerentanan mencakup layanan bawaan dan terintegrasi yang mendeteksi kerentanan software, kesalahan konfigurasi, dan pelanggaran postur di lingkungan cloud Anda. Secara keseluruhan, jenis masalah keamanan ini disebut sebagai kerentanan.

Penilaian kerentanan Artifact Registry

Penilaian kerentanan Artifact Registry adalah layanan deteksi yang memberi tahu Anda tentang kerentanan dalam image container yang di-deploy.

Layanan deteksi ini menghasilkan temuan kerentanan untuk image penampung dalam kondisi berikut:

  • Image container disimpan di Artifact Registry.

  • Image container di-deploy ke salah satu aset berikut:

    • Cluster Google Kubernetes Engine
    • Layanan Cloud Run
    • Tugas Cloud Run
    • App Engine

Penilaian kerentanan Artifact Registry tidak akan menghasilkan temuan untuk image container yang tidak memenuhi kriteria ini.

Setelah temuan penilaian kerentanan Artifact Registry dibuat, temuan tersebut akan tetap tersedia untuk Anda kueri hingga lima minggu setelah pemindaian image container terakhir dilakukan. Untuk mengetahui informasi selengkapnya tentang retensi data Security Command Center, lihat Retensi data.

Mengaktifkan temuan penilaian kerentanan Artifact Registry

Agar penilaian kerentanan Artifact Registry menghasilkan temuan di Security Command Center untuk image container yang di-deploy dan disimpan di Artifact Registry, Container Scanning API harus diaktifkan untuk project Anda.

Jika Anda belum mengaktifkan Container Scanning API, lakukan hal berikut:

  1. Di konsol Google Cloud , buka halaman Container Scanning API.

    Buka Container Scanning API

  2. Pilih project yang ingin Anda aktifkan Container Scanning API-nya.

  3. Klik Enable.

Security Command Center akan menampilkan temuan untuk image container rentan yang dipindai dan di-deploy secara aktif ke aset runtime yang berlaku. Namun, layanan deteksi berperilaku berbeda bergantung pada kapan Anda mengaktifkan Security Command Center dan kapan Anda mengaktifkan Container Scanning API.

Skenario pengaktifan Perilaku layanan deteksi

Anda mengaktifkan Security Command Center setelah mengaktifkan Container Scanning API dan men-deploy image container.

Penilaian kerentanan Artifact Registry akan menghasilkan temuan untuk kerentanan yang ada dan ditemukan dengan pemindaian Artifact Registry sebelumnya dalam waktu 24 jam setelah pengaktifan.

Anda mengaktifkan Security Command Center dan men-deploy image container sebelum mengaktifkan Container Scanning API.

Penilaian kerentanan Artifact Registry tidak akan otomatis membuat temuan kerentanan untuk image container yang Anda deploy sebelum mengaktifkan API hingga pemindaian baru dipicu. Untuk memicu pemindaian baru secara manual, deploy ulang image container ke resource runtime yang sama. Penilaian kerentanan Artifact Registry akan segera menghasilkan temuan jika ada kerentanan yang terdeteksi selama pemindaian.

Anda mengaktifkan Security Command Center dan Container Scanning API sebelum men-deploy image container.

Image container yang baru di-deploy akan segera dipindai di Artifact Registry dan penilaian kerentanan Artifact Registry akan menghasilkan temuan jika ada kerentanan yang terdeteksi oleh pemindaian.

Menonaktifkan temuan penilaian kerentanan Artifact Registry

Untuk menonaktifkan temuan penilaian kerentanan Artifact Registry, lakukan langkah berikut:

  1. Di Google Cloud konsol, buka halaman API/Service Details untuk Container Scanning API.

    Buka Detail API/Layanan

  2. Pilih project yang ingin Anda nonaktifkan Container Scanning API-nya.

  3. Klik Disable API.

Security Command Center tidak akan menampilkan temuan untuk kerentanan yang terdeteksi dalam pemindaian image container di masa mendatang. Security Command Center menyimpan temuan penilaian kerentanan Artifact Registry yang ada setidaknya selama 35 hari setelah pemindaian image container terakhir dilakukan. Untuk mengetahui informasi selengkapnya tentang retensi data Security Command Center, lihat Retensi data.

Anda juga dapat menonaktifkan penilaian kerentanan Artifact Registry dengan menonaktifkan ID sumber Penilaian Kerentanan di setelan Security Command Center; namun, sebaiknya jangan lakukan hal ini. Menonaktifkan ID sumber Penilaian Kerentanan akan menonaktifkan semua layanan deteksi yang diklasifikasikan berdasarkan ID sumber Penilaian Kerentanan. Oleh karena itu, sebaiknya nonaktifkan Container Scanning API dengan prosedur sebelumnya.

Melihat temuan penilaian kerentanan Artifact Registry di konsol

  1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih Vulnerability Assessment. Hasil kueri temuan diperbarui untuk menampilkan hanya temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Dasbor postur keamanan GKE

Dasbor postur keamanan GKE adalah halaman di konsolGoogle Cloud yang memberikan temuan opini yang dapat ditindaklanjuti tentang potensi masalah keamanan di cluster GKE Anda.

Jika Anda mengaktifkan salah satu fitur dasbor postur keamanan GKE berikut, Anda akan melihat temuan di paket Standar atau Premium Security Command Center:

Fitur dasbor postur keamanan GKE Kelas temuan Security Command Center
Audit konfigurasi workload MISCONFIGURATION
VULNERABILITY

Temuan menampilkan informasi tentang masalah keamanan dan memberikan rekomendasi untuk menyelesaikannya di workload atau cluster Anda.

Melihat temuan dasbor postur keamanan GKE di konsol

Standar atau Premium

  1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih GKE Security Posture. Hasil kueri temuan diperbarui untuk menampilkan hanya temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Enterprise

  1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

    Buka Temuan di tingkat Enterprise

  2. Pilih Google Cloud organisasi Anda.
  3. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  4. Pilih Postur Keamanan GKE. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  5. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  6. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  7. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Pemberi rekomendasi IAM

Pemberi rekomendasi IAM membuat rekomendasi yang dapat Anda ikuti untuk meningkatkan keamanan dengan menghapus atau mengganti peran IAM dari akun utama saat peran tersebut berisi izin IAM yang tidak diperlukan oleh akun utama.

IAM Recommender otomatis diaktifkan saat Anda mengaktifkan Security Command Center.

Mengaktifkan atau menonaktifkan temuan IAM Recommender

Untuk mengaktifkan atau menonaktifkan temuan pemberi rekomendasi IAM di Security Command Center, ikuti langkah-langkah berikut:

  1. Buka tab Layanan terintegrasi di halaman Setelan Security Command Center di konsol Google Cloud :

    Buka Layanan terintegrasi

  2. Buka entri IAM recommender.

  3. Di sebelah kanan entri, pilih Aktifkan atau Nonaktifkan.

Temuan dari pemberi rekomendasi IAM diklasifikasikan sebagai kerentanan.

Untuk memperbaiki temuan pemberi rekomendasi IAM, luaskan bagian berikut untuk melihat tabel temuan pemberi rekomendasi IAM. Langkah-langkah perbaikan untuk setiap temuan disertakan dalam entri tabel.

Melihat temuan pemberi rekomendasi IAM di konsol

Pilih tab khusus untuk tingkat layanan Anda.

Standar atau Premium

  1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih IAM Recommender. Hasil kueri temuan diperbarui untuk menampilkan hanya temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Enterprise

  1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

    Buka Temuan di tingkat Enterprise

  2. Pilih Google Cloud organisasi Anda.
  3. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  4. Pilih IAM Recommender. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  5. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  6. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  7. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Di tingkat Premier, Anda juga dapat melihat temuan pemberi rekomendasi IAM di halaman Kerentanan dengan memilih preset kueri Pemberi rekomendasi IAM.

Mandiant Attack Surface Management

Mandiant adalah pemimpin dunia dalam kecerdasan ancaman garis depan. Mandiant Attack Surface Management mengidentifikasi kerentanan dan kesalahan konfigurasi di permukaan serangan eksternal Anda untuk membantu Anda terus mendapatkan informasi terbaru tentang serangan cyber terbaru.

Mandiant Attack Surface Management diaktifkan secara otomatis saat Anda mengaktifkan paket Security Command Center Enterprise dan temuan tersedia di konsol. Google Cloud

Untuk mengetahui informasi tentang perbedaan produk Mandiant Attack Surface Management mandiri dengan integrasi Mandiant Attack Surface Management dalam Security Command Center, lihat ASM and Security Command Center di portal dokumentasi Mandiant. Link ini memerlukan autentikasi Mandiant.

Meninjau temuan Mandiant Attack Surface Management di konsol

Standar atau Premium

  1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih Mandiant Attack Surface Management. Hasil kueri temuan diperbarui untuk menampilkan hanya temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Enterprise

  1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

    Buka Temuan di tingkat Enterprise

  2. Pilih Google Cloud organisasi Anda.
  3. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  4. Pilih Mandiant Attack Surface Management. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  5. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  6. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  7. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Baik Security Command Center maupun Mandiant Attack Surface Management tidak menandai temuan sebagai telah diselesaikan. Setelah Anda menyelesaikan masalah, Anda dapat menandai masalah tersebut sebagai telah diselesaikan secara manual. Jika tidak diidentifikasi dalam pemindaian Mandiant Attack Surface Management berikutnya, masalah tersebut akan tetap terselesaikan.

Model Armor

Model Armor adalah layanan Google Cloud terkelola sepenuhnya yang meningkatkan keamanan dan keselamatan aplikasi AI dengan menyaring perintah dan respons LLM.

Temuan kerentanan dari layanan Model Armor

Temuan Ringkasan

Nama kategori di API: FLOOR_SETTINGS_VIOLATION

Deskripsi temuan: Pelanggaran setelan batas bawah yang terjadi saat template Model Armor gagal memenuhi standar keamanan minimum yang ditentukan oleh setelan batas bawah hierarki resource.

Tingkat harga: Premium

Perbaiki temuan ini:

Temuan ini mengharuskan Anda memperbarui template Model Armor agar sesuai dengan setelan batas bawah yang ditentukan di hierarki resource.

Pengontrol Kebijakan

Pengontrol Kebijakan memungkinkan penerapan dan penegakan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda. Kebijakan ini bertindak sebagai panduan dan dapat membantu dengan praktik terbaik, keamanan, dan manajemen kepatuhan cluster serta fleet Anda.

Jika Anda menginstal Pengontrol Kebijakan, dan mengaktifkan salah satu paket Pengontrol Kebijakan, Pengontrol Kebijakan akan otomatis menulis pelanggaran cluster ke Security Command Center sebagai temuan kelas Misconfiguration. Deskripsi temuan dan langkah selanjutnya dalam temuan Security Command Center sama dengan deskripsi batasan dan langkah-langkah perbaikan dari paket Pengontrol Kebijakan yang sesuai.

Temuan Pengontrol Kebijakan berasal dari paket Pengontrol Kebijakan berikut:

Untuk menemukan dan memperbaiki temuan Policy Controller, lihat Memperbaiki temuan Policy Controller.

Mesin Risiko

Mesin Risiko Security Command Center menilai eksposur risiko deployment cloud Anda, menetapkan skor eksposur serangan ke temuan kerentanan dan resource bernilai tinggi Anda, serta membuat diagram jalur yang dapat diambil oleh calon penyerang untuk mengakses resource bernilai tinggi Anda.

Di tingkat Enterprise Security Command Center, Mesin Risiko mendeteksi kelompok masalah keamanan yang, jika terjadi bersamaan dalam pola tertentu, akan menciptakan jalur ke satu atau beberapa resource bernilai tinggi Anda yang berpotensi digunakan penyerang yang bertekad untuk mengakses dan membahayakan resource tersebut.

Saat mendeteksi salah satu kombinasi ini, Mesin Risiko akan menghasilkan temuan kelas TOXIC_COMBINATION. Dalam temuan, Mesin Risiko dicantumkan sebagai sumber temuan.

Mesin Risiko juga mengidentifikasi resource atau grup resource umum tempat beberapa jalur serangan bertemu, lalu membuat temuan kelas CHOKEPOINT.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan kombinasi berbahaya dan titik hambatan.

Security Health Analytics

Security Health Analytics adalah layanan deteksi bawaan Security Command Center yang menyediakan pemindaian terkelola atas resource cloud Anda untuk mendeteksi kesalahan konfigurasi umum.

Jika kesalahan konfigurasi terdeteksi, Security Health Analytics akan membuat temuan. Sebagian besar temuan Security Health Analytics dipetakan ke kontrol standar keamanan sehingga Anda dapat menilai kepatuhan.

Security Health Analytics memindai resource Anda pada Google Cloud. Jika Anda menggunakan tingkat Enterprise dan membuat koneksi ke platform cloud lain, Security Health Analytics juga dapat memindai resource Anda di platform cloud tersebut.

Bergantung pada tingkat layanan Security Command Center yang Anda gunakan, detektor yang tersedia berbeda:

  • Pada paket Standar, Security Health Analytics hanya mencakup grup dasar detektor kerentanan tingkat keparahan sedang dan tinggi.
  • Paket Premium mencakup semua pendeteksi kerentanan untuk Google Cloud.
  • Paket Enterprise mencakup detektor tambahan untuk platform cloud lainnya.

Security Health Analytics otomatis diaktifkan saat Anda mengaktifkan Security Command Center.

Untuk informasi selengkapnya, lihat:

Layanan postur keamanan

Layanan postur keamanan adalah layanan bawaan untuk paket Security Command Center Premium yang memungkinkan Anda menentukan, menilai, dan memantau status keamanan Anda secara keseluruhan di Google Cloud. Laporan ini memberikan informasi tentang keselarasan lingkungan Anda dengan kebijakan yang Anda tetapkan dalam postur keamanan Anda.

Layanan postur keamanan tidak terkait dengan dasbor postur keamanan GKE, yang hanya menampilkan temuan di cluster GKE.

Sensitive Data Protection

Sensitive Data Protection adalah layanan terkelola sepenuhnya Google Cloud yang membantu Anda menemukan, mengklasifikasikan, dan melindungi data sensitif Anda. Anda dapat menggunakan Sensitive Data Protection untuk menentukan apakah Anda menyimpan informasi sensitif atau informasi identitas pribadi (PII), seperti berikut:

  • Nama orang
  • Nomor kartu kredit
  • Nomor tanda pengenal nasional atau negara bagian
  • Nomor ID asuransi kesehatan
  • Rahasia

Di Sensitive Data Protection, setiap jenis data sensitif yang Anda telusuri disebut infoType.

Jika mengonfigurasi operasi Sensitive Data Protection untuk mengirim hasil ke Security Command Center, Anda dapat melihat temuan secara langsung di bagian Security Command Center pada konsol Google Cloud , selain di bagian Sensitive Data Protection.

Temuan kerentanan dari layanan penemuan Sensitive Data Protection

Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda menyimpan data yang sangat sensitif yang tidak dilindungi.

Kategori Ringkasan

Nama kategori di API:

PUBLIC_SENSITIVE_DATA

Deskripsi temuan: Resource yang ditentukan memiliki data sensitivitas tinggi yang dapat diakses oleh siapa saja di internet.

Aset yang didukung:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Kontainer Azure Blob Storage

Perbaikan:

Untuk data Google Cloud , hapus allUsers dan allAuthenticatedUsers dari kebijakan IAM aset data.

Untuk data Amazon S3, konfigurasi setelan blokir akses publik atau perbarui ACL objek untuk menolak akses baca publik. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan blokir akses publik untuk bucket S3 dan Mengonfigurasi ACL dalam dokumentasi AWS.

Untuk data Azure Blob Storage, hapus akses publik ke kontainer dan blob. Untuk informasi selengkapnya, lihat Ringkasan: Memperbaiki akses baca anonim untuk data blob dalam dokumentasi Azure.

Standar kepatuhan: Tidak dipetakan

Nama kategori di API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial Google Cloud —dalam variabel lingkungan.

Untuk mengaktifkan detektor ini, lihat Melaporkan secret dalam variabel lingkungan ke Security Command Center dalam dokumentasi Sensitive Data Protection.

Aset yang didukung:

Perbaikan:

Untuk variabel lingkungan fungsi Cloud Run, hapus secret dari variabel lingkungan dan simpan di Secret Manager sebagai gantinya.

Untuk variabel lingkungan revisi layanan Cloud Run, alihkan semua traffic dari revisi, lalu hapus revisi.

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Nama kategori di API:

SECRETS_IN_STORAGE

Deskripsi temuan: Ada rahasia—seperti sandi, token autentikasi, dan kredensial cloud—di resource yang ditentukan.

Aset yang didukung:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Kontainer Azure Blob Storage

Perbaikan:

  1. Untuk Google Cloud data, gunakan Perlindungan Data Sensitif untuk menjalankan pemindaian pemeriksaan mendalam pada resource yang ditentukan guna mengidentifikasi semua resource yang terpengaruh. Untuk data Cloud SQL, ekspor data tersebut ke file CSV atau AVRO di bucket Cloud Storage dan jalankan pemindaian pemeriksaan mendalam pada bucket tersebut.

    Untuk data dari penyedia cloud lain, periksa bucket atau penampung yang ditentukan secara manual.

  2. Hapus rahasia yang terdeteksi.
  3. Pertimbangkan untuk mereset kredensial.
  4. Untuk data Google Cloud , pertimbangkan untuk menyimpan secret yang terdeteksi di Secret Manager.

Standar kepatuhan: Tidak dipetakan

Temuan miskonfigurasi dari layanan penemuan Sensitive Data Protection

Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda memiliki kesalahan konfigurasi yang dapat mengekspos data sensitif.

Kategori Ringkasan

Nama kategori di API:

SENSITIVE_DATA_CMEK_DISABLED

Deskripsi temuan: Resource yang ditentukan memiliki data dengan sensitivitas tinggi atau sedang dan resource tersebut tidak menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

Aset yang didukung:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Kontainer Azure Blob Storage

Perbaikan:

Standar kepatuhan: Tidak dipetakan

Temuan observasi dari Sensitive Data Protection

Bagian ini menjelaskan temuan observasi yang dihasilkan Perlindungan Data Sensitif di Security Command Center.

Temuan observasi dari layanan penemuan

Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah data Anda berisi infoType tertentu dan tempat data tersebut berada di organisasi, folder, dan project Anda. Layanan ini menghasilkan kategori temuan observasi berikut di Security Command Center:

Data sensitivity
Indikasi tingkat sensitivitas data dalam aset data tertentu. Data dianggap sensitif jika berisi PII atau elemen lain yang mungkin memerlukan kontrol atau pengelolaan tambahan. Tingkat keparahan temuan adalah tingkat sensitivitas yang dihitung oleh Perlindungan Data Sensitifsaat membuat profil data.
Data risk
Risiko yang terkait dengan data dalam kondisi saat ini. Saat menghitung risiko data, Sensitive Data Protection mempertimbangkan tingkat sensitivitas data dalam aset data dan keberadaan kontrol akses untuk melindungi data tersebut. Tingkat keparahan temuan adalah tingkat risiko data yang dihitung oleh Perlindungan Data Sensitif saat membuat profil data.

Bergantung pada ukuran organisasi Anda, temuan Sensitive Data Protection dapat mulai muncul di Security Command Center dalam beberapa menit setelah Anda mengaktifkan penemuan data sensitif. Untuk organisasi yang lebih besar atau organisasi dengan konfigurasi tertentu yang memengaruhi pembuatan temuan, mungkin diperlukan waktu hingga 12 jam sebelum temuan awal muncul di Security Command Center.

Selanjutnya, Sensitive Data Protection membuat temuan di Security Command Center dalam beberapa menit setelah layanan penemuan memindai resource Anda.

Untuk mengetahui informasi tentang cara mengirim hasil profil data ke Security Command Center, lihat artikel berikut:

Temuan observasi dari layanan pemeriksaan Sensitive Data Protection

Tugas inspeksi Sensitive Data Protection mengidentifikasi setiap instance data dengan infoType tertentu dalam sistem penyimpanan seperti bucket Cloud Storage atau tabel BigQuery. Misalnya, Anda dapat menjalankan tugas inspeksi yang menelusuri semua string yang cocok dengan detektor infoType CREDIT_CARD_NUMBER di bucket Cloud Storage.

Untuk setiap detektor infoType yang memiliki satu atau beberapa kecocokan, Sensitive Data Protection membuat temuan Security Command Center yang sesuai. Kategori temuan adalah nama pendeteksi infoType yang memiliki kecocokan—misalnya, Credit card number. Temuan ini mencakup jumlah string yang cocok yang terdeteksi dalam teks atau gambar di resource.

Untuk alasan keamanan, string sebenarnya yang terdeteksi tidak disertakan dalam temuan. Misalnya, temuan Credit card number menunjukkan jumlah nomor kartu kredit yang ditemukan, tetapi tidak menampilkan nomor kartu kredit yang sebenarnya.

Karena ada lebih dari 150 detektor infoType bawaan di Sensitive Data Protection, semua kemungkinan kategori temuan Security Command Center tidak tercantum di sini. Untuk mengetahui daftar lengkap detektor infoType, lihat Referensi detektor infoType.

Untuk mengetahui informasi tentang cara mengirimkan hasil tugas inspeksi ke Security Command Center, lihat Mengirimkan hasil tugas inspeksi Sensitive Data Protection ke Security Command Center.

Meninjau temuan Sensitive Data Protection di konsol

Standar atau Premium

  1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

    Buka Temuan

  2. Pilih project atau organisasi Google Cloud Anda.
  3. Di bagian Filter cepat, di subbagian Nama tampilan sumber, pilih Sensitive Data Protection. Hasil kueri temuan diperbarui untuk menampilkan hanya temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

Enterprise

  1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

    Buka Temuan di tingkat Enterprise

  2. Pilih Google Cloud organisasi Anda.
  3. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
  4. Pilih Sensitive Data Protection. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
  5. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
  6. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
  7. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

VM Manager

VM Manager adalah serangkaian alat yang dapat digunakan untuk mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine.

Untuk menggunakan VM Manager dengan aktivasi level project Security Command Center Premium, aktifkan Security Command Center Standard di organisasi induk.

Jika Anda mengaktifkan VM Manager dengan paket Security Command Center Premium, VM Manager akan secara otomatis menulis temuan high dan critical dari laporan kerentanannya, yang berada dalam pratinjau, ke Security Command Center. Laporan mengidentifikasi kerentanan di sistem operasi (OS) yang diinstal pada VM, termasuk Kerentanan dan Eksposur Umum (CVE).

Laporan kerentanan tidak tersedia untuk Security Command Center Standar.

Temuan menyederhanakan proses penggunaan fitur Kepatuhan Patch VM Manager, yang masih dalam pratinjau. Fitur ini memungkinkan Anda melakukan pengelolaan patch di tingkat organisasi di semua project Anda. VM Manager mendukung pengelolaan patch di tingkat project tunggal.

Untuk memperbaiki temuan VM Manager, lihat Memperbaiki temuan VM Manager.

Untuk menghentikan penulisan laporan kerentanan ke Security Command Center, lihat Menonaktifkan temuan VM Manager.

Semua kerentanan jenis ini terkait dengan paket sistem operasi yang diinstal di VM Compute Engine yang didukung.

Pendeteksi Ringkasan Setelan pemindaian aset

Nama kategori di API: OS_VULNERABILITY

Deskripsi temuan: VM Manager mendeteksi kerentanan dalam paket sistem operasi (OS) terinstal untuk VM Compute Engine.

Tingkat harga: Premium

Aset yang didukung

compute.googleapis.com/Instance

Perbaiki temuan ini

Laporan kerentanan VM Manager menjelaskan kerentanan dalam paket sistem operasi terinstal untuk VM Compute Engine, termasuk Common Vulnerabilities and Exposures (CVE).

Untuk mengetahui daftar lengkap sistem operasi yang didukung, lihat Detail sistem operasi.

Temuan muncul di Security Command Center segera setelah kerentanan terdeteksi. Laporan kerentanan di VM Manager dibuat sebagai berikut:

  • Saat paket diinstal atau diupdate di sistem operasi VM, Anda dapat melihat informasi Common Vulnerabilities and Exposures (CVE) untuk VM di Security Command Center dalam waktu dua jam setelah perubahan.
  • Saat saran keamanan baru dipublikasikan untuk sistem operasi, CVE yang diupdate biasanya tersedia dalam waktu 24 jam setelah vendor sistem operasi memublikasikan saran tersebut.

Penilaian Kerentanan untuk AWS

Layanan Penilaian Kerentanan untuk Amazon Web Services (AWS) mendeteksi kerentanan software dalam beban kerja Anda yang berjalan di virtual machine (VM) EC2 di platform cloud AWS.

Untuk setiap kerentanan yang terdeteksi, Penilaian Kerentanan untuk AWS menghasilkan temuan kelas Vulnerability di kategori temuan Software vulnerability di Security Command Center.

Layanan Vulnerability Assessment for AWS memindai snapshot instance mesin EC2 yang sedang berjalan, sehingga workload produksi tidak terpengaruh. Metode pemindaian ini disebut pemindaian disk tanpa agen, karena tidak ada agen yang diinstal pada target pemindaian.

Untuk informasi selengkapnya, lihat referensi berikut:

Penilaian Kerentanan untuk Google Cloud

Layanan Penilaian Kerentanan untuk Google Cloud mendeteksi kerentanan software di resource berikut di platform Google Cloud :

  • Menjalankan instance VM Compute Engine
  • Node di cluster GKE Standard
  • Container yang berjalan di cluster GKE Standard dan GKE Autopilot

Untuk setiap kerentanan yang terdeteksi, Penilaian Kerentanan untuk Google Cloud membuat temuan kelas Vulnerability dalam kategori temuan Software vulnerability atau OS vulnerability di Security Command Center.

Layanan Penilaian Kerentanan untuk Google Cloud memindai instance VM Compute Engine Anda dengan meng-clone disknya kira-kira setiap 12 jam, memasangnya di instance VM yang aman, dan menilainya dengan pemindai SCALIBR.

Untuk mengetahui informasi selengkapnya, lihat Penilaian Kerentanan untuk Google Cloud.

Web Security Scanner

Web Security Scanner menyediakan pemindaian kerentanan web terkelola dan kustom untuk aplikasi web publik yang di-serve oleh App Engine, GKE, dan Compute Engine.

Pemindaian terkelola

Pemindaian terkelola Web Security Scanner dikonfigurasi dan dikelola oleh Security Command Center. Pemindaian terkelola otomatis berjalan seminggu sekali untuk mendeteksi dan memindai endpoint web publik. Pemindaian ini tidak menggunakan autentikasi dan mengirimkan permintaan khusus GET sehingga tidak mengirimkan formulir apa pun di situs aktif.

Pemindaian terkelola dijalankan secara terpisah dari pemindaian kustom.

Jika Security Command Center diaktifkan di level organisasi, Anda dapat menggunakan pemindaian terkelola untuk mengelola deteksi kerentanan aplikasi web dasar secara terpusat untuk project di organisasi Anda, tanpa harus melibatkan tim project satu per satu. Saat temuan ditemukan, Anda dapat bekerja sama dengan tim tersebut untuk menyiapkan pemindaian kustom yang lebih komprehensif.

Jika Anda mengaktifkan Web Security Scanner sebagai layanan, temuan pemindaian terkelola akan otomatis tersedia di halaman Kerentanan Security Command Center dan laporan terkait. Untuk mengetahui informasi tentang cara mengaktifkan pemindaian terkelola Web Security Scanner, lihat Mengonfigurasi layanan Security Command Center.

Pemindaian terkelola hanya mendukung aplikasi yang menggunakan port default, yaitu 80 untuk koneksi HTTP dan 443 untuk koneksi HTTPS. Jika aplikasi Anda menggunakan port non-default, lakukan pemindaian kustom.

Pemindaian kustom

Pemindaian kustom Web Security Scanner memberikan informasi mendetail tentang temuan kerentanan aplikasi, seperti library yang sudah usang, pembuatan skrip lintas situs, atau penggunaan konten campuran.

Anda menentukan pemindaian kustom di level project.

Temuan pemindaian kustom tersedia di Security Command Center setelah Anda menyelesaikan panduan untuk menyiapkan pemindaian kustom Web Security Scanner.

Detektor dan kepatuhan

Web Security Scanner mendukung kategori dalam OWASP Top Ten, dokumen yang memberi peringkat dan memberikan panduan perbaikan untuk 10 risiko keamanan aplikasi web paling kritis, sebagaimana ditentukan oleh Open Web Application Security Project (OWASP). Untuk panduan tentang cara memitigasi risiko OWASP, lihat 10 opsi mitigasi teratas OWASP di Google Cloud.

Pemetaan kepatuhan disertakan untuk referensi dan tidak disediakan atau ditinjau oleh OWASP Foundation.

Fungsi ini hanya ditujukan agar Anda dapat memantau pelanggaran kontrol kepatuhan. Pemetaan tidak disediakan untuk digunakan sebagai dasar, atau sebagai pengganti, audit, sertifikasi, atau laporan kepatuhan produk atau layanan Anda terhadap tolok ukur atau standar peraturan atau industri apa pun.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Web Security Scanner.

Notebook Security Scanner

Notebook Security Scanner adalah layanan deteksi kerentanan paket bawaan Security Command Center. Setelah Notebook Security Scanner diaktifkan, alat ini akan otomatis memindai notebook Colab Enterprise (file dengan ekstensi nama file ipynb) setiap 24 jam untuk mendeteksi kerentanan dalam paket Python dan memublikasikan temuan ini ke halaman Temuan Security Command Center.

Anda dapat menggunakan Pemindai Keamanan Notebook untuk notebook Colab Enterprise yang dibuat di wilayah berikut: us-central1, us-east4, us-west1, dan europe-west4.

Untuk mulai menggunakan Notebook Security Scanner, lihat Mengaktifkan dan menggunakan Notebook Security Scanner.

Layanan deteksi ancaman

Layanan deteksi ancaman mencakup layanan bawaan dan terintegrasi yang mendeteksi peristiwa yang mungkin mengindikasikan peristiwa yang berpotensi berbahaya, seperti resource yang disusupi atau serangan siber.

Anomaly Detection

Anomaly Detection adalah layanan bawaan yang menggunakan sinyal perilaku dari luar sistem Anda. Layanan ini menampilkan informasi terperinci tentang anomali keamanan yang terdeteksi untuk project dan instance virtual machine (VM) Anda, seperti kemungkinan kredensial bocor. Deteksi Anomali diaktifkan secara otomatis saat Anda mengaktifkan paket Standard atau Premium Security Command Center, dan temuan tersedia di konsol Google Cloud .

Temuan Deteksi Anomali mencakup hal berikut:

Nama anomali Kategori temuan Deskripsi
account_has_leaked_credentials

Kredensial akun layanan Google Cloud secara tidak sengaja bocor di internet atau disusupi.

Tingkat Keparahan: Kritis

Akun memiliki kredensial yang bocor

GitHub memberi tahu Security Command Center bahwa kredensial yang digunakan untuk commit tampaknya merupakan kredensial untuk akun layananGoogle Cloud Identity and Access Management.

Notifikasi ini mencakup nama akun layanan dan ID kunci pribadi. Google Cloud juga mengirimkan notifikasi melalui email kepada kontak yang ditetapkan untuk masalah keamanan dan privasi.

Untuk memperbaiki masalah ini, lakukan satu atau beberapa tindakan berikut:

  • Mengidentifikasi pengguna yang sah dari kunci.
  • Putar kunci.
  • Hapus kunci.
  • Selidiki tindakan apa pun yang dilakukan oleh kunci setelah kunci tersebut bocor untuk memastikan tidak ada tindakan yang berbahaya.

JSON: temuan kredensial akun yang bocor

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection dapat mendeteksi serangan runtime container yang paling umum dan memberi tahu Anda di Security Command Center dan secara opsional di Cloud Logging. Container Threat Detection mencakup beberapa kemampuan deteksi, alat analisis, dan API.

Instrumentasi deteksi Container Threat Detection mengumpulkan perilaku tingkat rendah di kernel tamu dan melakukan pemrosesan bahasa alami pada kode untuk mendeteksi peristiwa berikut:

  • Added Binary Executed
  • Added Library Loaded
  • Command and Control: Steganography Tool Detected (Pratinjau)
  • Credential Access: Find Google Cloud Credentials
  • Credential Access: GPG Key Reconnaissance
  • Credential Access: Search Private Keys or Passwords
  • Defense Evasion: Base64 ELF File Command Line
  • Defense Evasion: Base64 Encoded Python Script Executed
  • Defense Evasion: Base64 Encoded Shell Script Executed
  • Defense Evasion: Launch Code Compiler Tool In Container (Pratinjau)
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Container Escape
  • Execution: Fileless Execution in /memfd:
  • Execution: Ingress Nightmare Vulnerability Execution (Pratinjau)
  • Execution: Kubernetes Attack Tool Execution
  • Execution: Local Reconnaissance Tool Execution
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Execution: Netcat Remote Code Execution In Container
  • Execution: Possible Remote Command Execution Detected (Pratinjau)
  • Execution: Program Run with Disallowed HTTP Proxy Env
  • Execution: Suspicious OpenSSL Shared Object Loaded
  • Exfiltration: Launch Remote File Copy Tools in Container
  • Impact: Detect Malicious Cmdlines (Pratinjau)
  • Impact: Remove Bulk Data From Disk
  • Impact: Suspicious crypto mining activity using the Stratum Protocol
  • Malicious Script Executed
  • Malicious URL Observed
  • Privilege Escalation: Fileless Execution in /dev/shm
  • Reverse Shell
  • Unexpected Child Shell

Pelajari Container Threat Detection lebih lanjut.

Event Threat Detection

Event Threat Detection menggunakan data log dari dalam sistem Anda. Aplikasi ini memantau streaming Cloud Logging untuk project, dan menggunakan log saat tersedia. Saat ancaman terdeteksi, Event Threat Detection akan menulis temuan ke Security Command Center dan ke project Cloud Logging. Event Threat Detection diaktifkan secara otomatis saat Anda mengaktifkan paket Premium Security Command Center dan temuan tersedia di konsolGoogle Cloud .

Tabel berikut mencantumkan contoh temuan Event Threat Detection.

Tabel C. Jenis temuan Event Threat Detection

Event Threat Detection mendeteksi penghancuran data dengan memeriksa log audit dari Server Pengelolaan Layanan Backup dan DR untuk skenario berikut:

  • Penghapusan gambar cadangan
  • Penghapusan semua image cadangan yang terkait dengan aplikasi
  • Penghapusan perangkat pencadangan/pemulihan

Event Threat Detection mendeteksi pemindahan tidak sah data dari BigQuery dan Cloud SQL dengan memeriksa log audit untuk skenario berikut:

  • Resource BigQuery disimpan di luar organisasi Anda, atau operasi penyalinan yang diblokir oleh VPC Service Controls dicoba.
  • Upaya dilakukan untuk mengakses resource BigQuery yang dilindungi oleh Kontrol Layanan VPC.
  • Resource Cloud SQL diekspor sepenuhnya atau sebagian ke bucket Cloud Storage di luar organisasi Anda atau ke bucket yang dimiliki oleh organisasi Anda dan dapat diakses secara publik.
  • Cadangan Cloud SQL dipulihkan ke instance Cloud SQL di luar organisasi Anda.
  • Resource BigQuery yang dimiliki organisasi Anda diekspor ke bucket Cloud Storage di luar organisasi Anda, atau ke bucket di organisasi Anda yang dapat diakses secara publik.
  • Resource BigQuery yang dimiliki organisasi Anda diekspor ke folder Google Drive.
  • Resource BigQuery disimpan ke resource publik yang dimiliki oleh organisasi Anda.

Event Threat Detection memeriksa log audit untuk mendeteksi peristiwa berikut yang mungkin mengindikasikan kompromi pada akun pengguna yang valid di instance Cloud SQL:

  • Pengguna database diberi semua hak istimewa ke database Cloud SQL untuk PostgreSQL, atau ke semua tabel, prosedur, atau fungsi dalam skema.
  • Superuser akun database default Cloud SQL (`postgres` di instance PostgreSQL atau 'root' di instance MySQL) digunakan untuk menulis ke tabel non-sistem.

Event Threat Detection memeriksa log audit untuk mendeteksi peristiwa berikut yang mungkin mengindikasikan kompromi pada akun pengguna yang valid di instance AlloyDB untuk PostgreSQL:

  • Pengguna database diberi semua hak istimewa ke database AlloyDB untuk PostgreSQL, atau ke semua tabel, prosedur, atau fungsi dalam skema.
  • Akun database default AlloyDB untuk PostgreSQL dengan hak akses superuser (`postgres`) digunakan untuk menulis ke tabel non-sistem.
Event Threat Detection mendeteksi brute force SSH autentikasi sandi dengan memeriksa log syslog untuk kegagalan berulang yang diikuti dengan keberhasilan.
Event Threat Detection mendeteksi malware penambangan koin dengan memeriksa Log Alur VPC dan log Cloud DNS untuk koneksi ke domain atau alamat IP buruk yang diketahui dari pool penambangan.

Pemberian IAM yang tidak wajar: Event Threat Detection mendeteksi penambahan pemberian IAM yang mungkin dianggap tidak wajar, seperti:

  • Menambahkan pengguna gmail.com ke kebijakan dengan peran editor project.
  • Mengundang pengguna gmail.com sebagai pemilik project dari Google Cloud konsol.
  • Akun layanan memberikan izin sensitif.
  • Peran khusus diberi izin sensitif.
  • Akun layanan ditambahkan dari luar organisasi Anda.

Event Threat Detection mendeteksi perubahan anomali pada Pencadangan dan DR yang dapat memengaruhi postur cadangan, termasuk perubahan kebijakan besar dan penghapusan komponen penting Pencadangan dan DR.
Event Threat Detection mendeteksi kemungkinan upaya eksploitasi Log4j dan kerentanan Log4j aktif.
Event Threat Detection mendeteksi malware dengan memeriksa Log Alur VPC dan log Cloud DNS untuk koneksi ke domain dan IP perintah dan kontrol yang diketahui.
Event Threat Detection memeriksa Log Alur VPC untuk mendeteksi traffic penolakan layanan keluar.
Event Threat Detection mendeteksi akses yang tidak normal dengan memeriksa Cloud Audit Logs untuk Google Cloud modifikasi layanan yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor.
Event Threat Detection mendeteksi perilaku IAM yang tidak wajar dengan memeriksa Cloud Audit Logs untuk skenario berikut:
  • Akun pengguna dan akun layanan IAM mengakses Google Cloud dari alamat IP yang tidak biasa.
  • Akun layanan IAM mengakses Google Cloud dari agen pengguna yang tidak normal.
  • Akun utama dan resource yang meniru identitas akun layanan IAM untuk mengakses Google Cloud.
Event Threat Detection mendeteksi saat kredensial akun layanan digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama.
Event Threat Detection mendeteksi modifikasi pada nilai kunci SSH metadata instance Compute Engine pada instance yang sudah dibuat (lebih lama dari 1 minggu).
Event Threat Detection mendeteksi modifikasi pada nilai skrip startup metadata instance Compute Engine pada instance yang sudah dibuat (lebih lama dari 1 minggu).
Event Threat Detection mendeteksi potensi kompromi pada akun Google Workspace dengan memeriksa log audit untuk menemukan aktivitas akun yang tidak biasa, termasuk kebocoran sandi dan upaya login mencurigakan.
Event Threat Detection memeriksa log audit Google Workspace untuk mendeteksi saat penyerang yang didukung pemerintah mungkin mencoba menyusupi akun atau komputer pengguna.
Event Threat Detection memeriksa log audit Google Workspace untuk mendeteksi saat SSO dinonaktifkan atau setelan diubah untuk akun administrator Google Workspace.
Event Threat Detection memeriksa log audit Google Workspace untuk mendeteksi saat verifikasi 2 langkah dinonaktifkan di akun pengguna dan administrator.
Event Threat Detection mendeteksi perilaku API yang tidak normal dengan memeriksa Cloud Audit Logs untuk permintaan ke layanan Google Cloud yang belum pernah dilihat oleh akun utama.

Event Threat Detection mendeteksi Penghindaran Pertahanan dengan memeriksa Cloud Audit Logs untuk skenario berikut:

  • Perubahan pada perimeter Kontrol Layanan VPC yang ada yang akan mengurangi perlindungan yang ditawarkan.
  • Deployment atau update pada beban kerja yang menggunakan flag break-glass untuk mengganti kontrol Otorisasi Biner.Pratinjau
  • Nonaktifkan kebijakan storage.secureHttpTransport di tingkat project, folder, atau organisasi.
  • Ubah konfigurasi pemfilteran IP untuk bucket Cloud Storage.

Event Threat Detection mendeteksi operasi penemuan dengan memeriksa log audit untuk skenario berikut:

  • Pihak yang berpotensi jahat mencoba menentukan objek sensitif di GKE yang dapat dikueri, dengan menggunakan perintah kubectl.
  • Kredensial akun layanan sedang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama.
Event Threat Detection mendeteksi operasi akses awal dengan memeriksa log audit untuk skenario berikut:
  • Akun layanan yang dikelola pengguna yang tidak aktif memicu tindakan.Pratinjau
  • Principal mencoba memanggil berbagai metode Google Cloud , tetapi gagal berulang kali karena error izin ditolak.Pratinjau

Event Threat Detection mendeteksi eskalasi hak istimewa di GKE dengan memeriksa log audit untuk skenario berikut:

  • Untuk meningkatkan hak istimewa, aktor yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) ClusterRole, RoleBinding, atau ClusterRoleBinding dari peran cluster-admin yang sensitif dengan menggunakan permintaan PUT atau PATCH.
  • Pihak yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat (CSR) bidang kontrol Kubernetes, yang memberi mereka cluster-admin akses.
  • Untuk meningkatkan hak istimewa, pihak yang berpotensi jahat mencoba membuat objek RoleBinding atau ClusterRoleBinding baru untuk peran cluster-admin.
  • Pelaku yang berpotensi berbahaya membuat kueri untuk permintaan penandatanganan sertifikat (CSR), dengan perintah kubectl, menggunakan kredensial bootstrap yang disusupi.
  • Aktor yang berpotensi berbahaya membuat Pod yang berisi container dengan hak istimewa atau container dengan kemampuan eskalasi hak istimewa.
Cloud IDS mendeteksi serangan layer 7 dengan menganalisis paket yang di-mirror dan, saat mendeteksi peristiwa yang mencurigakan, akan memicu temuan Event Threat Detection. Untuk mempelajari lebih lanjut deteksi Cloud IDS, lihat Informasi Logging Cloud IDS. Pratinjau
Event Threat Detection mendeteksi potensi serangan modifikasi disk booting dengan memeriksa Cloud Audit Logs untuk menemukan pelepasan dan pemasangan ulang disk booting yang sering terjadi di seluruh instance Compute Engine.

Pelajari Event Threat Detection lebih lanjut.

Google Cloud Armor

Google Cloud Armor membantu melindungi aplikasi Anda dengan menyediakan pemfilteran Lapisan 7. Google Cloud Armor membersihkan permintaan masuk dari serangan web umum atau atribut Layer 7 lainnya untuk berpotensi memblokir traffic sebelum mencapai layanan backend ber-load balancer atau bucket backend Anda.

Google Cloud Armor mengekspor dua temuan ke Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection adalah layanan bawaan Security Command Center yang tersedia di paket Enterprise dan Premium. Layanan ini memindai virtual machine untuk mendeteksi aplikasi yang berpotensi berbahaya, seperti software penambangan mata uang kripto, rootkit mode kernel, dan malware yang berjalan di lingkungan cloud yang terkompromi.

Deteksi Ancaman VM adalah bagian dari rangkaian deteksi ancaman Security Command Center dan dirancang untuk melengkapi kemampuan yang ada pada Deteksi Ancaman Peristiwa dan Deteksi Ancaman Container.

Untuk mengetahui informasi selengkapnya tentang VM Threat Detection, lihat Ringkasan VM Threat Detection.

Temuan ancaman VM Threat Detection

Deteksi Ancaman VM dapat menghasilkan temuan ancaman berikut.

Temuan ancaman penambangan mata uang kripto

Deteksi Ancaman VM mendeteksi kategori temuan berikut melalui pencocokan hash atau aturan YARA.

Temuan ancaman penambangan mata uang kripto VM Threat Detection
Kategori Modul Deskripsi
CRYPTOMINING_HASH Mencocokkan hash memori program yang sedang berjalan dengan hash memori software penambangan mata uang kripto yang diketahui.
CRYPTOMINING_YARA Mencocokkan pola memori, seperti konstanta proof-of-work, yang diketahui digunakan oleh software penambangan mata uang kripto.
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 Mengidentifikasi ancaman yang terdeteksi oleh modul CRYPTOMINING_HASH dan CRYPTOMINING_YARA. Untuk mengetahui informasi selengkapnya, lihat Deteksi gabungan.

Temuan ancaman rootkit mode kernel

VM Threat Detection menganalisis integritas kernel saat runtime untuk mendeteksi teknik penghindaran umum yang digunakan oleh malware.

Modul KERNEL_MEMORY_TAMPERING mendeteksi ancaman dengan melakukan perbandingan hash pada kode kernel dan memori data hanya baca kernel dari mesin virtual.

Modul KERNEL_INTEGRITY_TAMPERING mendeteksi ancaman dengan memeriksa integritas struktur data kernel yang penting.

Temuan ancaman rootkit mode kernel VM Threat Detection
Kategori Modul Deskripsi
Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 Kombinasi sinyal yang cocok dengan rootkit mode kernel yang diketahui ada. Untuk menerima temuan kategori ini, pastikan kedua modul diaktifkan.
Pengubahan memori kernel
KERNEL_MEMORY_TAMPERING Modifikasi yang tidak terduga pada memori data hanya baca kernel terjadi.
Pemalsuan integritas kernel
KERNEL_INTEGRITY_TAMPERING Titik ftrace ada dengan callback yang mengarah ke region yang tidak berada dalam rentang kode kernel atau modul yang diharapkan.
KERNEL_INTEGRITY_TAMPERING Handler interupsi yang tidak ada di region kode kernel atau modul yang diharapkan ada.
KERNEL_INTEGRITY_TAMPERING Halaman kode kernel yang tidak ada di region kode kernel atau modul yang diharapkan.
KERNEL_INTEGRITY_TAMPERING Titik kprobe ada dengan callback yang mengarah ke region yang tidak berada dalam rentang kode kernel atau modul yang diharapkan.
KERNEL_INTEGRITY_TAMPERING Ada proses yang tidak terduga di antrean yang berjalan pada penjadwal. Proses tersebut berada dalam antrean run, tetapi tidak dalam daftar tugas proses.
KERNEL_INTEGRITY_TAMPERING Handler panggilan sistem yang tidak ada di region kode kernel atau modul yang diharapkan.

Error

Detektor error dapat membantu Anda mendeteksi error dalam konfigurasi yang mencegah sumber keamanan menghasilkan temuan. Temuan error dibuat oleh sumber keamanan Security Command Center dan memiliki class temuan SCC errors.

Tindakan yang tidak disengaja

Kategori temuan berikut mewakili kesalahan yang mungkin disebabkan oleh tindakan yang tidak disengaja.

Tindakan yang tidak disengaja
Nama kategori Nama API Ringkasan Keparahan
API_DISABLED

Deskripsi temuan: API yang diperlukan dinonaktifkan untuk project. Layanan yang dinonaktifkan tidak dapat mengirimkan temuan ke Security Command Center.

Tingkat harga: Premium atau Standar

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Pemindaian batch: Setiap 60 jam

Perbaiki temuan ini

Kritis
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Deskripsi temuan: Konfigurasi nilai resource ditentukan untuk simulasi jalur serangan, tetapi tidak cocok dengan instance resource apa pun di lingkungan Anda. Simulasi menggunakan set resource bernilai tinggi default.

Error ini dapat disebabkan oleh salah satu hal berikut:

  • Tidak ada konfigurasi nilai resource yang cocok dengan instance resource.
  • Satu atau beberapa konfigurasi nilai resource yang menentukan NONE akan menggantikan setiap konfigurasi valid lainnya.
  • Semua konfigurasi nilai resource yang ditentukan menetapkan nilai NONE.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organizations

Pemindaian batch: Sebelum setiap simulasi jalur serangan.

Perbaiki temuan ini

Kritis
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Deskripsi temuan: Dalam simulasi jalur serangan terakhir, jumlah instance resource bernilai tinggi, sebagaimana diidentifikasi oleh konfigurasi nilai resource, melebihi batas 1.000 instance resource dalam kumpulan resource bernilai tinggi. Akibatnya, Security Command Center mengecualikan jumlah instance yang berlebihan dari kumpulan resource bernilai tinggi.

Jumlah total instance yang cocok dan jumlah total instance yang dikecualikan dari set diidentifikasi dalam temuan SCC Error di konsol Google Cloud .

Skor eksposur serangan pada temuan yang memengaruhi instance resource yang dikecualikan tidak mencerminkan penetapan nilai tinggi pada instance resource.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organizations

Pemindaian batch: Sebelum setiap simulasi jalur serangan.

Perbaiki temuan ini

Tinggi
KTD_IMAGE_PULL_FAILURE

Deskripsi temuan: Deteksi Ancaman Kontainer tidak dapat diaktifkan di cluster karena image kontainer yang diperlukan tidak dapat ditarik (didownload) dari gcr.io, host image Container Registry. Image diperlukan untuk men-deploy DaemonSet Container Threat Detection yang diperlukan Container Threat Detection.

Upaya men-deploy DaemonSet Container Threat Detection menghasilkan error berikut:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Pemindaian batch: Setiap 30 menit

Perbaiki temuan ini

Kritis
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Deskripsi temuan: Container Threat Detection tidak dapat diaktifkan di cluster Kubernetes. Pengontrol penerimaan pihak ketiga mencegah deployment objek DaemonSet Kubernetes yang diperlukan oleh Container Threat Detection.

Saat dilihat di konsol Google Cloud , detail temuan mencakup pesan error yang ditampilkan oleh Google Kubernetes Engine saat Container Threat Detection mencoba men-deploy Objek DaemonSet Container Threat Detection.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Pemindaian batch: Setiap 30 menit

Perbaiki temuan ini

Tinggi
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Deskripsi temuan: Akun layanan tidak memiliki izin yang diperlukan oleh Container Threat Detection. Deteksi Ancaman Kontainer dapat berhenti berfungsi dengan baik karena instrumentasi deteksi tidak dapat diaktifkan, diupgrade, atau dinonaktifkan.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Pemindaian batch: Setiap 30 menit

Perbaiki temuan ini

Kritis
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Deskripsi temuan: Container Threat Detection tidak dapat membuat temuan untuk cluster Google Kubernetes Engine, karena akun layanan default GKE di cluster tidak memiliki izin. Hal ini mencegah Container Threat Detection diaktifkan dengan berhasil di cluster.

Tingkat harga: Premium

Aset yang didukung
container.googleapis.com/Cluster

Pemindaian batch: Setiap minggu

Perbaiki temuan ini

Tinggi
MISCONFIGURED_CLOUD_LOGGING_EXPORT

Deskripsi temuan: Project yang dikonfigurasi untuk ekspor berkelanjutan ke Cloud Logging tidak tersedia. Security Command Center tidak dapat mengirim temuan ke Logging.

Tingkat harga: Premium

Aset yang didukung
cloudresourcemanager.googleapis.com/Organization

Pemindaian batch: Setiap 30 menit

Perbaiki temuan ini

Tinggi
VPC_SC_RESTRICTION

Deskripsi temuan: Security Health Analytics tidak dapat menghasilkan temuan tertentu untuk suatu project. Project dilindungi oleh perimeter layanan, dan akun layanan Security Command Center tidak memiliki akses ke perimeter.

Tingkat harga: Premium atau Standar

Aset yang didukung
cloudresourcemanager.googleapis.com/Project

Pemindaian batch: Setiap 6 jam

Perbaiki temuan ini

Tinggi
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Deskripsi temuan: Akun layanan Security Command Center tidak memiliki izin yang diperlukan agar dapat berfungsi dengan baik. Tidak ada temuan yang dihasilkan.

Tingkat harga: Premium atau Standar

Aset yang didukung

Pemindaian batch: Setiap 30 menit

Perbaiki temuan ini

Kritis

Untuk mengetahui informasi selengkapnya, lihat Error Security Command Center.

Langkah berikutnya