Mengelola kombinasi toksik dan titik macet

Halaman ini memberikan petunjuk untuk mengidentifikasi dan merespons kombinasi toksik dan chokepoint (Pratinjau) menggunakan masalah (Pratinjau), kasus, atau temuan.

Sebelum memulai

Untuk memastikan bahwa deteksi kombinasi beracun dan chokepoint akurat, periksa apakah software komponen operasi keamanan sudah yang terbaru, kumpulan resource bernilai tinggi Anda ditetapkan secara akurat, dan Anda memiliki izin IAM yang tepat.

Mendapatkan izin yang diperlukan

Untuk menggunakan kombinasi beracun dan titik macet di konsol Google Cloud dan konsol Security Operations, Anda memerlukan izin yang diberikan kepada Anda di kedua konsol.

Peran IAM konsol Google Cloud

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.

  4. Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.

  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.

Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.

Peran konsol Security Operations

Untuk menangani kombinasi dan kasus beracun di konsol Security Operations, Anda memerlukan salah satu peran berikut:

  • Pengelola Kerentanan Chronicle SOAR
  • Chronicle SOAR Threat Manager
  • Chronicle SOAR Admin

Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan memberikan otorisasi kepada pengguna menggunakan IAM.

Menginstal kasus penggunaan operasi keamanan terbaru

Fitur kombinasi beracun memerlukan rilis kasus penggunaan SCC Enterprise – Cloud Orchestration and Remediation pada 25 Juni 2024 atau yang lebih baru.

Untuk informasi tentang cara menginstal kasus penggunaan, lihat Kasus penggunaan Update Enterprise, Juni 2024.

Menentukan set resource bernilai tinggi Anda

Anda tidak perlu mengaktifkan deteksi kombinasi beracun dan chokepoint—deteksi ini selalu aktif. Risk Engine otomatis mendeteksi kombinasi beracun dan chokepoint yang mengekspos kumpulan resource bernilai tinggi default.

Temuan kombinasi toksik dan chokepoint yang dihasilkan berdasarkan kumpulan resource bernilai tinggi default kemungkinan tidak mencerminkan prioritas keamanan Anda secara akurat. Untuk menentukan resource mana yang merupakan bagian dari set resource bernilai tinggi, Anda membuat konfigurasi nilai resource di konsol Google Cloud. Untuk mengetahui petunjuknya, lihat Menentukan dan mengelola set resource bernilai tinggi.

Memperbaiki kombinasi toksik dan titik macet

Kombinasi toksik dan chokepoint dapat mengekspos banyak resource bernilai tinggi kepada penyerang potensial. Anda harus memperbaikinya sebelum risiko lain di lingkungan cloud Anda.

Anda dapat memprioritaskan urutan perbaikan kombinasi toksik dan chokepoint berdasarkan skor eksposur serangannya. Cara Anda melakukannya akan berubah bergantung pada tempat Anda melihat kombinasi dan titik macet yang beracun.

Masalah (Pratinjau)

Kombinasi beracun dan chokepoint berisiko tertinggi ditampilkan sebagai masalah di halaman Risk > Overview di konsol Security Operations.

Semua kombinasi berbahaya dan titik macet dapat dilihat di halaman Risiko > Masalah.

Untuk memperbaiki masalah, selesaikan petunjuk berikut:

  1. Untuk melihat semua masalah di konsol Security Operations, buka Masalah:

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/issues

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Secara default, masalah yang dikelompokkan diberi peringkat berdasarkan tingkat keparahan. Dalam grup, masalah diurutkan berdasarkan skor eksposur serangan. Untuk mengurutkan semua masalah menurut skor eksposur serangan, nonaktifkan Kelompokkan menurut deteksi.

  3. Pilih masalah.

  4. Tinjau deskripsi dan bukti masalah.

  5. Jika ada temuan terkait, lihat detailnya.

  6. Jika beberapa masalah kritis ditemukan di resource utama dalam kombinasi beracun atau chokepoint (Pratinjau), pesan akan ditampilkan setelah diagram Bukti. Untuk mengoptimalkan upaya perbaikan, klik Filter masalah untuk resource utama ini dalam pesan ini untuk berfokus pada menyelesaikan masalah untuk resource tertentu tersebut. Klik panah kembali di dekat Buka panel filter Tambahkan filter saat Anda ingin menghapus filter.

  7. Klik Jelajahi jalur serangan lengkap di diagram Bukti untuk pemahaman mendalam tentang masalah, dan bagaimana jalur serangan mengekspos resource bernilai tinggi.

  8. Klik Cara memperbaiki, lalu ikuti panduan untuk membantu memitigasi risiko.

Kasus

Anda dapat melihat semua kasus kombinasi toksik dengan membuka halaman Kasus. Chokepoint tidak otomatis membuat kasus, dan harus dilihat di halaman Masalah.

Untuk menemukan kombinasi beracun dalam kasus, selesaikan petunjuk berikut:

  1. Di konsol Security Operations, buka Kasus.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

    Halaman Kasus akan terbuka dengan tampilan Berdampingan dipilih.

  2. Dalam daftar kasus, klik Buka panel filter Cases filter untuk membuka panel filter. Panel Filter antrean kasus akan terbuka.

  3. Di Case queue filter, tentukan hal berikut:

    1. Di kolom Rentang waktu, tentukan jangka waktu saat kasus aktif.
    2. Tetapkan Operator logika ke AND.
    3. Di kotak daftar kunci filter, pilih Tag.
    4. Tetapkan operator persamaan ke is.
    5. Di kotak daftar nilai filter, pilih Kombinasi berbahaya.
    6. Klik Terapkan. Kasus dalam antrean kasus diperbarui untuk hanya menampilkan kasus yang cocok dengan filter yang Anda tentukan.

  4. Klik Urutkan di samping Buka panel filter Filter kasus, lalu pilih Urutkan menurut eksposur serangan (tinggi ke rendah).

  5. Dari antrean kasus, klik kasus yang ingin Anda lihat. Jika Anda melihat kasus dalam Tampilan daftar, klik ID kasus. Informasi kasus akan ditampilkan.

  6. Klik Kasus Ringkasan kasus.

  7. Di bagian Ringkasan kasus, ikuti panduan Langkah berikutnya.

Biasanya, kombinasi toksik mencakup satu atau beberapa temuan kerentanan software atau kesalahan konfigurasi. Untuk setiap temuan ini, Security Command Center akan otomatis membuka kasus terpisah dan menjalankan playbook terkait. Anda dapat meninjau kasus untuk menemukan temuan ini, dan meminta pemilik tiket untuk memprioritaskan perbaikan mereka guna membantu menyelesaikan kombinasi beracun.

Untuk meninjau temuan terkait dalam kombinasi beracun, ikuti langkah-langkah berikut:

  1. Dari tab Ringkasan kasus Kasus untuk suatu kasus, buka bagian Temuan.
  2. Di bagian Temuan, tinjau temuan yang tercantum.
    • Klik ID kasus temuan untuk membuka kasus dan melihat statusnya, pemilik yang ditetapkan, dan informasi kasus lainnya.
    • Klik skor eksposur serangan untuk meninjau jalur serangan untuk temuan.
    • Jika temuan memiliki ID tiket, klik ID tersebut untuk membuka tiket.

Atau, Anda dapat melihat temuan terkait di tab pemberitahuannya sendiri dalam kasus ini.

Temuan

Temuan kombinasi beracun atau titik macet adalah data awal yang dibuat Risk Engine saat mendeteksi kombinasi beracun atau titik macet di lingkungan cloud Anda.

Anda dapat melihat temuan kombinasi toksik dan chokepoint di tempat berikut:

  • Halaman Findings di Konsol Google Cloud.

  • Halaman Temuan di konsol Security Operations.

Konsol Google Cloud

Untuk memperbaiki temuan kombinasi beracun dan chokepoint di Konsol Google Cloud, selesaikan langkah-langkah berikut:

  1. Buka halaman Temuan.

    Buka Temuan

  2. Pilih Google Cloud organisasi Anda.

  3. Di bagian Finding class pada panel Quick filters, pilih Toxic combination atau Chokepoint. Panel Hasil kueri temuan diperbarui untuk hanya menampilkan temuan kombinasi beracun atau chokepoint.

  4. Untuk mengurutkan temuan menurut tingkat keparahan, klik judul kolom Skor kombinasi toksik atau Skor Eksposur Serangan hingga skor diurutkan menurun.

  5. Klik kategori temuan untuk membuka panel detail temuan. Buka bagian Langkah berikutnya, dan ikuti panduannya untuk membantu memperbaiki masalah keamanan.

Konsol Security Operations

Untuk memperbaiki kombinasi beracun dan temuan chokepoint di konsol Security Operations, selesaikan langkah-langkah berikut:

  1. Buka Risiko > Temuan.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Di bagian Aggregations, luaskan Finding class, lalu pilih Toxic combination dan Chokepoint.

  3. Klik Skor eksposur serangan hingga skornya diurutkan menurun.

  4. Klik kategori temuan untuk membuka panel detail temuan. Buka bagian Langkah berikutnya, dan ikuti panduannya untuk membantu memperbaiki masalah keamanan.

Menutup kasus kombinasi toksik

Anda dapat menutup kasus untuk kombinasi beracun dengan memperbaiki kombinasi beracun yang mendasarinya, atau dengan membisukan temuan terkait di Konsol Google Cloud.

Menutup kasus dengan memperbaiki kombinasi toksik

Setelah Anda memperbaiki masalah keamanan yang membentuk kombinasi beracun, dan masalah tersebut tidak lagi mengekspos resource apa pun dalam kumpulan resource bernilai tinggi, Mesin Risiko akan menutup kasus secara otomatis selama simulasi jalur serangan berikutnya, yang berjalan sekitar setiap enam jam.

Menutup kasus dengan menonaktifkan temuan

Jika risiko yang ditimbulkan oleh kombinasi toksik dapat diterima oleh bisnis Anda atau Anda tidak dapat memperbaiki kombinasi toksik, Anda dapat menutup kasus dengan menonaktifkan temuan terkait.

Untuk membisukan temuan kombinasi beracun, ikuti langkah-langkah berikut:

  1. Di konsol Security Operations, buka Kasus.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Temukan dan buka kasus kombinasi toksik atau chokepoint.

  3. Klik tab pemberitahuan terkait.

  4. Di widget Ringkasan temuan, klik Jelajahi temuan di SCC. Penemuan terkait akan terbuka.

  5. Gunakan Opsi bisukan di halaman detail temuan untuk membisukan temuan.

Anda juga dapat membisukan temuan di konsol Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Membisukan temuan individual.

Melihat kasus kombinasi toksik yang ditutup

Saat kasus di konsol Security Operations ditutup, Security Command Center akan menghapusnya dari halaman Kasus.

Untuk melihat kasus kombinasi toksik yang ditutup, ikuti langkah-langkah berikut:

  1. Di konsol Security Operations, buka halaman Penelusuran SOAR.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

  2. Luaskan bagian Status, lalu pilih Tutup.

  3. Luaskan bagian Tag, lalu pilih Kombinasi beracun.

  4. Klik Terapkan. Kasus kombinasi toksik yang ditutup ditampilkan di hasil penelusuran.