Meninjau dan mengelola temuan

Halaman ini menjelaskan cara menggunakan temuan Security Command Center. Temuan adalah catatan masalah keamanan yang dibuat oleh layanan Security Command Center saat mendeteksi masalah keamanan. Temuan tercantum di halaman Temuan. Anda dapat mengklik temuan untuk melihat detail dan format JSON lengkapnya.

Beberapa tindakan yang dapat Anda lakukan di halaman Temuan meliputi hal berikut:

  • Temuan kueri.
  • Periksa temuan.
  • Nonaktifkan temuan.
  • Menambahkan tanda keamanan ke temuan.

Untuk informasi tentang cara menggunakan temuan secara terprogram, lihat Library klien Security Command Center.

Mendapatkan izin yang diperlukan

Bagian ini mencantumkan peran IAM yang Anda perlukan untuk menangani temuan di konsol.

Peran IAM konsolGoogle Cloud

Untuk menggunakan temuan di konsol Google Cloud , Anda memerlukan peran IAM berikut.

Make sure that you have the following role or roles on the organization:

  • Security Center Findings Viewer (roles/securitycenter.findingsViewer)
  • Security Center Findings Editor (roles/securitycenter.findingsEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.

  4. Di kolom Akun utama baru, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.

  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.

    8. Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.

    Lihat temuan

    1. Buka halaman Temuan, klik tab untuk tingkat layanan Anda.

    Standar atau Premium

    1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

      Buka Temuan

    2. Pilih project atau organisasi Google Cloud Anda.

    Enterprise

    1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

      Buka Temuan di tingkat Enterprise

    2. Pilih project atau organisasi Google Cloud Anda.

    Sesuaikan rentang waktu untuk melihat temuan lainnya

    Anda dapat menyesuaikan rentang waktu yang digunakan untuk kueri Anda. Rentang waktu default adalah Last 7 days.

    Rentang waktu didasarkan pada nilai atribut eventTime temuan, yang mencerminkan waktu saat catatan temuan terakhir diperbarui.

    Untuk mengetahui informasi tentang cara menyesuaikan rentang waktu, klik tab untuk tingkat lisensi Anda.

    Standar atau Premium

    Di halaman Temuan di konsol Google Cloud , tetapkan kolom Rentang waktu.

    Enterprise

    Di bagian atas daftar temuan di halaman Temuan, tetapkan kolom Menampilkan.

    Menemukan ketersediaan

    Temuan biasanya tersedia untuk Anda kueri di Security Command Center kurang dari satu menit setelah layanan yang menghasilkan temuan menyimpannya di database temuan Security Command Center. Bergantung pada paket Security Command Center Anda, temuan tetap tersedia untuk Anda cantumkan atau kueri selama jangka waktu tertentu. Untuk mengetahui informasi selengkapnya tentang retensi data Security Command Center, lihat Retensi data.

    Menemukan dan melihat temuan tertentu

    Secara default, halaman Temuan menampilkan semua temuan aktif yang tidak dinonaktifkan dan yang baru atau diperbarui selama tujuh hari terakhir. Untuk menampilkan temuan yang tidak aktif atau dibisukan, pilih Tampilkan yang tidak aktif atau Tampilkan yang dibisukan di panel Filter cepat.

    Untuk melihat temuan tertentu, edit kueri temuan untuk menentukan nilai atau atribut yang harus atau tidak boleh ada dalam temuan yang ingin Anda lihat.

    Contoh berikut adalah kueri temuan default:

    state="ACTIVE"
AND NOT mute="MUTED"

    Anda dapat melihat kueri temuan saat ini di panel Query editor. Anda dapat mengedit kueri secara langsung atau memilih filter yang telah ditentukan untuk membuat kueri. Untuk mengetahui informasi selengkapnya, klik tab untuk tingkat layanan Anda.

    Standar atau Premium

    Di halaman Temuan di konsol Google Cloud , Anda dapat melakukan hal berikut:

    • Di panel Filter cepat, pilih satu atau beberapa filter atribut yang telah ditentukan sebelumnya untuk menambahkannya ke kueri. Gunakan panel Filter cepat untuk opsi filter tingkat tinggi yang umum digunakan.
    • Di menu Tambahkan filter pada panel Editor kueri, pilih satu atau beberapa filter atribut yang telah ditentukan sebelumnya untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter lanjutan dan yang lebih terperinci berdasarkan atribut temuan tingkat bawah. Untuk mengetahui informasi selengkapnya, lihat Mengedit kueri temuan di konsol.
    • Edit kueri temuan langsung di panel Query editor.
    • Dalam tampilan detail temuan, dari menu drop-down untuk atribut tertentu, pilih filter standar untuk atribut tersebut guna menambahkannya ke kueri.

    Enterprise

    Di halaman Temuan, Anda dapat melakukan hal berikut:

    • Di panel Penggabungan, pilih satu atau beberapa filter atribut yang telah ditentukan sebelumnya untuk menambahkannya ke kueri. Gunakan panel Penggabungan untuk opsi filter tingkat tinggi yang umum digunakan.
    • Di menu Tambahkan filter pada panel Editor kueri, pilih satu atau beberapa filter atribut yang telah ditentukan sebelumnya untuk menambahkannya ke kueri. Gunakan menu Tambahkan filter untuk filter lanjutan dan yang lebih terperinci berdasarkan atribut temuan tingkat bawah. Untuk mengetahui informasi selengkapnya, lihat Mengedit kueri temuan di konsol.
    • Edit kueri temuan langsung di panel Query editor.

    Melihat detail temuan

    Untuk mempelajari temuan lebih lanjut, buka tampilan detail temuan dengan mengklik nama temuan di kolom Kategori dalam hasil kueri temuan.

    Dalam tampilan detail, Anda dapat menemukan informasi yang penting untuk memahami temuan, menyelidiki ancaman, atau mengatasi kerentanan.

    Tampilan detail untuk temuan mencakup tab berikut yang dapat Anda pilih untuk mempelajari lebih lanjut temuan dan mengambil tindakan:

    • Tab Ringkasan, yang merupakan tampilan default, menyoroti informasi dan atribut utama tentang temuan tersebut.
    • Tab Properti sumber, tempat Anda dapat melihat atribut objek sourceProperties dari JSON temuan.
    • Tab JSON, tempat Anda dapat melihat format JSON lengkap temuan.

    Anda dapat melakukan tindakan tertentu pada temuan di tampilan detail, serta menemukan link ke informasi tambahan yang terkait dengan temuan tersebut.

    Mempelajari temuan di tampilan detail

    Tampilan detail temuan menyoroti informasi penting tentang temuan yang dapat Anda gunakan untuk memahami dan mengatasi masalah keamanan yang mendasarinya.

    Informasi di tab Ringkasan

    Tab Ringkasan memberikan informasi tentang temuan di bagian berikut:

    Yang terdeteksi (atau Ringkasan)

    Detail tentang temuan yang terdeteksi, seperti berikut:

    • Tingkat keparahan temuan
    • Status temuan, ACTIVE atau INACTIVE
    • Kolom kunci apa pun yang terkait dengan temuan tertentu
    Kerentanan

    Informasi dari catatan CVE yang sesuai dengan kerentanan, jika ada. Bagian Kerentanan mencakup informasi dari data CVE, seperti:

    • ID CVE
    • Skor CVE
    • Dampak
    • Aktivitas eksploitasi
    Eksposur serangan

    Skor eksposur serangan dan waktu terakhir skor dihitung. Dengan mengklik skor, Anda dapat melihat gambaran visual resource bernilai tinggi yang terpengaruh dan jalur serangan terkait.

    Resource yang terpengaruh

    Detail tentang resource yang terkait dengan temuan, termasuk informasi berikut:

    • Nama lengkap resource yang terpengaruh
    • Penyedia layanan cloud resource
    • Kontak teknis dan keamanan
    Informasi kasus

    Detail tentang kasus yang terkait dengan temuan, termasuk informasi berikut.

    • Nama lengkap resource sistem eksternal yang terkait dengan temuan
    • Grup yang ditetapkan untuk kasus ini
    • ID kasus, yang ditautkan ke kasus di konsol Security Operations
    • Status kasus
    • Waktu update di sistem pengelolaan kasus eksternal
    • Batas waktu yang ditetapkan untuk menutup kasus
    Tanda keamanan

    Tanda keamanan yang terkait dengan temuan ini, jika ada.

    Langkah berikutnya

    Panduan tentang tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang terdeteksi. Hanya layanan tertentu, seperti Security Health Analytics, yang memberikan langkah selanjutnya.

    Link terkait

    Link ke sumber utama informasi keamanan di luar Security Command Center. Hanya layanan tertentu, seperti Event Threat Detection, yang menyediakan link terkait.

    Layanan deteksi

    Detail tentang layanan, atau sumber, yang mendeteksi temuan.

    Informasi di tab Properti sumber

    Untuk beberapa temuan, panel detail menyertakan tab Properti sumber yang menandai properti tertentu dari objek sourceProperties JSON temuan.

    Properti sumber berbeda untuk setiap temuan dan untuk setiap layanan yang berjalan di Security Command Center. Tidak ada jaminan bahwa properti sumber distandardisasi di semua layanan. Oleh karena itu, sebaiknya jangan menggunakan properti sumber secara terprogram. Jika Anda ingin properti sumber distandardisasi di semua layanan, beri tahu kami dengan mengirimkan masukan Anda.

    Informasi di tab JSON

    Tab JSON berisi struktur JSON lengkap dari temuan, yang dapat berguna saat Anda menyelidiki temuan atau mencari atribut yang dapat Anda gunakan dalam kueri temuan.

    Untuk menyalin objek JSON ke papan klip, klik Salin.

    Struktur JSON temuan berisi objek berikut:

    • findings: Atribut temuan. Atribut ini distandardisasi di semua layanan bawaan dan terintegrasi (juga dikenal sebagai sumber keamanan). Untuk mengetahui informasi selengkapnya, lihat Finding.
    • resource: Atribut resource yang terpengaruh. Untuk informasi selengkapnya, lihat Resource.
    • sourceProperties: Properti spesifik per layanan dari temuan.

    Anda juga dapat menggunakan ListFindings API untuk mencantumkan temuan dan mendapatkan definisi JSON-nya.

    Menindaklanjuti temuan dari tampilan detail

    Anda dapat melakukan berbagai tindakan pada temuan dari tampilan detail temuan, seperti menonaktifkan temuan. Jika Anda melihat tampilan detail temuan di konsol Google Cloud , Anda juga dapat menambahkan atribut dari temuan ke kueri temuan saat ini.

    Menonaktifkan temuan dalam tampilan detail

    Dari tampilan detail temuan, Anda dapat membisukan atau membunyikan temuan. Anda juga dapat membuat aturan yang menonaktifkan semua temuan di masa mendatang seperti temuan saat ini.

    Untuk petunjuk lengkap tentang cara menonaktifkan temuan atau membuat aturan penonaktifan, lihat Menonaktifkan temuan di Security Command Center.

    Menambahkan filter atribut ke kueri dari tampilan detail

    Di konsol Google Cloud , dalam tampilan detail temuan, Anda dapat menambahkan filter untuk atribut yang ditampilkan ke kueri temuan saat ini.

    Untuk mengetahui informasi tentang cara menambahkan filter atribut ke kueri dari tampilan detail, klik tab untuk tingkat layanan Anda.

    Standar atau Premium

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Dalam tampilan detail temuan, temukan atribut yang ingin Anda filter.
    3. Di samping atribut, buka menu drop-down.
    4. Pilih filter standar untuk atribut. Filter ditambahkan ke kueri temuan di halaman Temuan.

    Enterprise

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Dalam tampilan detail temuan, temukan atribut yang ingin Anda filter.
    3. Di samping atribut, buka menu drop-down.
    4. Pilih filter standar untuk atribut. Filter ditambahkan ke kueri temuan di halaman Temuan.

    Melihat atau menyalin nama API atribut dalam tampilan detail temuan

    Sebagian besar atribut temuan yang ditampilkan di konsol Google Cloud memiliki nama yang sesuai yang digunakan di Security Command Center API.

    Untuk mengetahui informasi tentang cara melihat atau menyalin nama API atribut dalam tampilan detail temuan, klik tab untuk tingkat layanan Anda.

    Standar atau Premium

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.

    2. Dalam tampilan detail temuan, Anda dapat menemukan dan menyalin nama API yang sesuai dari setiap atribut yang ditampilkan.

      Nama API yang setara untuk setiap atribut tercantum di baris yang sama dengan atribut. Semua nama API ada di kolom terakhir. Misalnya, untuk atribut Negara Bagian, nama API yang setara adalah state.

    Enterprise

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Dalam tampilan detail temuan, temukan atribut yang setara dengan API yang ingin Anda salin.
    3. Di samping atribut, buka menu drop-down.
    4. Klik Copy API Equivalent.

    Membagikan tampilan detail temuan

    Untuk membagikan tampilan detail temuan, Anda dapat menyalin URL halaman tampilan detail untuk dibagikan kepada orang lain.

    Untuk mengetahui informasi tentang cara menyalin URL tampilan detail temuan, klik tab untuk konsol yang Anda gunakan.

    Standar atau Premium

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Klik Lakukan tindakan > Salin link.

    Enterprise

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Klik Salin link.

    Kirim masukan tentang temuan ini ke Google Cloud

    Untuk mengetahui informasi tentang cara mengirimkan masukan terkait temuan, klik tab untuk tingkat layanan Anda.

    Standar atau Premium

    1. Di halaman Temuan, klik temuan untuk melihat detailnya.
    2. Klik Tindakan > Kirim masukan.
    3. Masukkan deskripsi masukan Anda.
    4. Untuk menyertakan screenshot, klik Ambil screenshot.
    5. Klik Kirim.

    Enterprise

    Fitur ini tidak tersedia di Security Command Center Enterprise.

    Menampilkan detail temuan lainnya dalam hasil kueri temuan

    Untuk melihat detail temuan yang mendahului atau mengikuti temuan yang sedang Anda lihat, gunakan tombol berikutnya atau sebelumnya untuk membuka temuan berikutnya atau sebelumnya, tanpa harus kembali ke halaman Temuan.

    Menambahkan tanda keamanan ke temuan

    Tanda keamanan adalah label nilai kunci kustom yang dapat Anda gunakan untuk memberi anotasi pada temuan, mengaitkan temuan dengan temuan lain yang memiliki tanda keamanan yang sama, dan membuat kueri temuan.

    Untuk petunjuk lengkap tentang cara menyetel tanda keamanan pada temuan atau aset, lihat Menggunakan tanda keamanan.

    Menonaktifkan temuan di konsol

    Anda dapat membisukan dan membunyikan temuan dari tampilan berikut:

    • Hasil kueri temuan di halaman Temuan
    • Tampilan detail temuan

    Anda dapat menonaktifkan temuan satu per satu atau membuat aturan penonaktifan yang menonaktifkan temuan saat ini dan mendatang berdasarkan filter yang Anda tentukan.

    Temuan yang disenyapkan disembunyikan dan dibisukan, tetapi Anda tetap dapat melihatnya dengan menambahkan filter mute="MUTED" ke kueri temuan Anda. Temuan yang disenyapkan akan terus dicatat untuk tujuan audit dan kepatuhan.

    Untuk melihat petunjuk mendetail tentang cara menonaktifkan dan mengaktifkan kembali temuan, lihat Menonaktifkan temuan di Security Command Center.

    Mengubah status temuan

    Temuan dapat memiliki salah satu dari dua status: Active atau Inactive.

    Status Active berarti masalah keamanan yang diidentifikasi oleh temuan tetap ada di lingkungan Anda sebagai potensi ancaman atau kerentanan.

    Status Inactive berarti masalah keamanan telah ditangani.

    Anda mungkin ingin mengubah status temuan karena berbagai alasan, seperti mengubah status temuan menjadi Inactive segera setelah ditangani, sehingga Anda tidak perlu menunggu pemindaian berikutnya untuk mengubah status tersebut.

    Untuk mengetahui informasi tentang cara mengubah status temuan, klik tab untuk tingkat layanan Anda.

    Standar atau Premium

    1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

      Buka Temuan

    2. Pilih project atau organisasi Google Cloud Anda.
    3. Di panel Findings query results, pilih temuan
    4. Di panel Hasil kueri temuan, klik Ubah status aktif.
    5. Di menu Ubah status aktif, pilih Aktif atau Tidak aktif.

    Enterprise

    Fitur ini tidak tersedia di Security Command Center Enterprise.

    Menyesuaikan halaman Temuan

    Untuk mengontrol ruang layar, Anda dapat menyesuaikan beberapa elemen yang muncul di hasil kueri temuan.

    Menyembunyikan atau menampilkan kolom di hasil kueri temuan

    Dalam hasil kueri temuan, Anda dapat menyembunyikan kolom apa pun kecuali Kategori.

    Berikut adalah contoh kolom yang tersedia:

    • Kategori: nama jenis temuan.
    • Keparahan: tingkat keparahan temuan. Untuk mengetahui informasi selengkapnya tentang tingkat keparahan temuan, lihat Klasifikasi tingkat keparahan temuan.
    • Skor kombinasi toksik: Skor eksposur serangan pada temuan kelas Toxic combination.
    • Skor eksposur serangan: Skor eksposur serangan temuan.
    • Waktu peristiwa: saat temuan pertama kali terdeteksi atau saat terakhir kali diperbarui.
    • Waktu pembuatan: saat temuan dibuat di Security Command Center.
    • Menemukan class: class temuan, seperti THREAT, VULNERABILITY, dan MISCONFIGURATION.
    • Nama tampilan resource: nama tampilan resource tempat masalah terdeteksi.
    • Nama lengkap resource: nama lengkap resource tempat masalah terdeteksi.
    • Penyedia cloud resource: Penyedia layanan cloud tempat resource dihosting.
    • Jalur resource: jalur ke resource tempat masalah terdeteksi.
    • Jenis resource: jenis resource tempat masalah terdeteksi.
    • Tanda keamanan: Tanda keamanan apa pun yang ditambahkan ke temuan.

    Untuk mengetahui informasi tentang cara menyembunyikan atau menampilkan kolom dalam hasil kueri temuan, klik tab untuk tingkat layanan Anda.

    Standar atau Premium

    1. Di sebelah kanan panel tindakan Hasil kueri temuan, klik Kolom.
    2. Pilih kolom yang ingin Anda tampilkan.
    3. Hapus pilihan untuk kolom yang ingin Anda sembunyikan.
    4. Klik Terapkan untuk menerapkan perubahan pada panel Hasil kueri temuan.

    Pilihan kolom dipertahankan saat Anda melihat halaman Temuan pada waktu berikutnya, meskipun Anda mengubah project atau organisasi. Untuk menghapus semua pilihan kolom kustom, klik Hapus pilihan kolom.

    Enterprise

    1. Di panel tindakan Temuan, klik Kelola kolom. Menu Kelola kolom akan terbuka.
    2. Pilih kolom yang ingin Anda tampilkan.
    3. Hapus pilihan untuk kolom yang ingin Anda sembunyikan.
    4. Tutup menu.

    Pilihan kolom Anda hanya berlaku untuk tab atau jendela saat ini. Setelan kolom Anda akan direset saat Anda login kembali.

    Menyembunyikan atau menampilkan panel halaman Temuan

    Untuk memperluas ruang layar saat mengedit kueri atau melihat temuan, Anda dapat menyembunyikan atau menampilkan panel. Untuk mengetahui informasi selengkapnya, klik tab untuk tingkat layanan Anda.

    Standar atau Premium

    Anda dapat menyembunyikan atau menampilkan panel berikut:

    • Panel Filter cepat
    • Panel Editor kueri

    Untuk menyembunyikan panel, klik ikon Alihkan panel, atau .

    Untuk menampilkan panel, klik ikon lagi.

    Enterprise

    • Untuk menyembunyikan panel samping Agregasi, klik chevron_left Tutup sidebar.
    • Untuk menampilkan panel samping Agregasi, klik chevron_right Buka sidebar.
    • Untuk menyembunyikan panel Query editor, klik keyboard_arrow_up Close query editor.
    • Untuk menampilkan panel Query editor, klik keyboard_arrow_down Open query editor.

    Langkah berikutnya