Mengelola kombinasi toksik dan titik macet

Halaman ini memberikan petunjuk untuk mengidentifikasi dan merespons kombinasi dan hambatan yang merugikan (Pratinjau) dengan menggunakan halaman berikut:

  • Masalah (Pratinjau), tersedia di tingkat layanan Enterprise.
  • Kasus, tersedia di tingkat layanan Enterprise.
  • Temuan, tersedia di tingkat layanan Enterprise dan Premium.

Sebelum memulai

Untuk memastikan bahwa deteksi kombinasi berbahaya dan titik hambatan akurat, periksa apakah software komponen operasi keamanan sudah diupdate, set resource bernilai tinggi Anda ditetapkan secara akurat, dan Anda memiliki izin IAM yang tepat.

Opsional: Mengumpulkan data dari cloud lain

Risk Engine mendukung simulasi data dari Amazon Web Services (AWS) (Pratinjau) dan Microsoft Azure (Pratinjau) untuk mengidentifikasi kombinasi dan hambatan yang merugikan.

Konfigurasi koneksi dari Security Command Center ke penyedia cloud ini untuk mengumpulkan data resource dan konfigurasi. Untuk mengetahui informasi tentang cara menyiapkan koneksi, lihat artikel berikut:

Untuk mengetahui daftar resource yang didukung, lihat Dukungan fitur Risk Engine.

Mendapatkan izin yang diperlukan

Untuk menggunakan kombinasi beracun dan titik hambatan, Anda memerlukan izin yang memberikan akses ke fitur Security Command Center dan Google SecOps.

Peran IAM Security Command Center

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.

  4. Di kolom Akun utama baru, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.

  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.

    8. Untuk mengetahui informasi selengkapnya tentang peran dan izin Security Command Center, lihat IAM untuk aktivasi tingkat organisasi.

    Peran IAM Google SecOps

    Untuk menggunakan kombinasi dan kasus berbahaya, Anda memerlukan salah satu peran berikut:

    • Pengelola Kerentanan Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)
    • Pengelola Ancaman Chronicle SOAR (roles/chronicle.soarThreatManager)
    • Chronicle SOAR Admin (roles/chronicle.soarAdmin)

    Untuk mengetahui informasi tentang cara memberikan peran kepada pengguna, lihat Memetakan dan memberi otorisasi kepada pengguna menggunakan IAM.

    Menginstal kasus penggunaan operasi keamanan terbaru

    Fitur kombinasi berbahaya memerlukan rilis SCC Enterprise – Cloud Orchestration and Remediation versi 25 Juni 2024 atau yang lebih baru.

    Untuk mengetahui informasi tentang cara menginstal kasus penggunaan, lihat Memperbarui kasus penggunaan Enterprise, Juni 2024.

    Tentukan set resource bernilai tinggi Anda

    Anda tidak perlu mengaktifkan deteksi kombinasi dan titik rawan—fitur ini selalu aktif. Mesin Risiko otomatis mendeteksi kombinasi beracun dan titik hambatan yang mengekspos set resource bernilai tinggi default.

    Temuan kombinasi toksik dan titik hambatan yang dihasilkan berdasarkan set resource bernilai tinggi default kemungkinan tidak mencerminkan prioritas keamanan Anda secara akurat. Untuk menentukan resource mana yang merupakan bagian dari set resource bernilai tinggi, Anda membuat konfigurasi nilai resource di konsol Google Cloud . Untuk mengetahui petunjuknya, lihat Menentukan dan mengelola set resource bernilai tinggi.

    Memperbaiki kombinasi toksik dan titik hambatan

    Kombinasi toksik dan titik hambatan dapat mengekspos banyak resource bernilai tinggi kepada calon penyerang. Anda harus memperbaikinya sebelum risiko lain di lingkungan cloud Anda.

    Anda dapat memprioritaskan urutan perbaikan kombinasi toksik dan titik hambatan berdasarkan skor eksposur serangan. Cara Anda melakukannya akan berubah, bergantung pada tempat Anda melihat kombinasi berbahaya dan titik hambatan.

    Masalah

    Anda dapat mengakses kombinasi dan titik kritis toksik dengan risiko tertinggi (ditampilkan sebagai masalah) di halaman Ringkasan > Risiko (Pratinjau).

    Semua kombinasi toksik dan titik hambatan dapat dilihat di halaman Risiko > Masalah (Pratinjau).

    Untuk memperbaiki masalah, selesaikan petunjuk berikut:

    1. Untuk melihat semua masalah, buka Risiko > Masalah.
    2. Secara default, masalah yang dikelompokkan diurutkan berdasarkan tingkat keparahan. Dalam grup, masalah diurutkan berdasarkan skor eksposur serangan. Untuk mengurutkan semua masalah menurut skor eksposur serangan, nonaktifkan Kelompokkan menurut deteksi.
    3. Pilih masalah.
    4. Tinjau deskripsi dan bukti masalah.
    5. Jika ada temuan terkait, lihat detailnya.
    6. Jika beberapa masalah kritis ditemukan pada resource utama dalam kombinasi beracun atau titik hambatan (Pratinjau), pesan akan ditampilkan setelah diagram Bukti. Untuk mengoptimalkan upaya perbaikan, klik Filter masalah untuk resource utama ini dalam pesan ini untuk berfokus pada penyelesaian masalah untuk resource tertentu tersebut. Klik panah kembali di dekat Buka panel filter Tambahkan filter jika Anda ingin menghapus filter.
    7. Klik Jelajahi jalur serangan lengkap dalam diagram Bukti untuk memahami masalah secara mendalam, dan bagaimana jalur serangan mengekspos resource bernilai tinggi.
    8. Klik Cara memperbaiki, lalu ikuti panduan untuk membantu mengurangi risiko.

    Kasus

    Anda dapat melihat semua kasus kombinasi toksik dengan membuka halaman Kasus. Titik hambatan tidak otomatis membuat kasus, dan harus dilihat di halaman Masalah.

    Untuk menemukan kombinasi berbahaya dalam kasus, selesaikan petunjuk berikut:

    1. Di konsol Google Cloud , buka Risk > Cases. Halaman konsol Operasi Keamanan Kasus akan terbuka.
    2. Dalam daftar kasus, klik Buka panel filter Filter kasus untuk membuka panel filter. Panel Filter antrean kasus akan terbuka.
    3. Di Filter antrean kasus, tentukan hal berikut: 1. Di kolom Rentang waktu, tentukan jangka waktu kasus aktif. 1. Tetapkan Operator logis ke AND. 1. Di kotak daftar kunci filter, pilih Tag. 1. Tetapkan operator persamaan ke is. 1. Di kotak daftar nilai filter, pilih Kombinasi berbahaya. 1. Klik Terapkan. Kasus dalam antrean kasus diperbarui untuk menampilkan hanya kasus yang cocok dengan filter yang Anda tentukan.
    4. Klik Urutkan di samping Buka panel filter Filter kasus, lalu pilih Urutkan menurut eksposur serangan (tinggi ke rendah).
    5. Dari antrean kasus, klik kasus yang ingin Anda lihat. Jika Anda melihat kasus dalam Tampilan daftar, klik ID kasus. Informasi kasus akan ditampilkan.
    6. Klik Kasus Ringkasan kasus.
    7. Di bagian Ringkasan kasus, ikuti panduan Langkah berikutnya.

    Biasanya, kombinasi toksik mencakup satu atau beberapa temuan kerentanan software atau kesalahan konfigurasi. Untuk setiap temuan ini, Security Command Center akan otomatis membuka kasus terpisah dan menjalankan playbook terkait. Anda dapat meninjau kasus untuk temuan ini, dan meminta pemilik tiket untuk memprioritaskan perbaikan guna membantu menyelesaikan kombinasi beracun tersebut.

    Untuk meninjau temuan terkait dalam kombinasi berbahaya, ikuti langkah-langkah berikut:

    1.  From the ![Case](/security-command-center/images/icons-uno/case.svg){:.inline-icon}

    Tab Ringkasan kasus dari suatu kasus, buka bagian Temuan. 1. Di bagian Temuan, tinjau temuan yang tercantum. * Klik ID kasus temuan untuk membuka kasus dan melihat statusnya, pemilik yang ditetapkan, dan informasi kasus lainnya. * Klik skor eksposur serangan untuk meninjau jalur serangan untuk temuan. * Jika temuan memiliki ID tiket, klik ID tersebut untuk membuka tiket.

    Atau, Anda dapat melihat temuan terkait di tab pemberitahuannya sendiri dalam kasus tersebut.

    Temuan

    Temuan kombinasi berbahaya atau hambatan adalah catatan awal yang dihasilkan Risk Engine saat mendeteksi kombinasi berbahaya atau hambatan di lingkungan cloud Anda.

    Anda dapat melihat temuan kombinasi berbahaya dan hambatan di halaman Temuan, klik tab untuk tingkat layanan Anda.

    Premium

    1. Buka halaman Temuan.

      Buka Temuan

    2. Pilih Google Cloud organisasi Anda.

    3. Di bagian Finding class pada panel Quick filters, pilih Toxic combination atau Chokepoint. Panel Hasil kueri temuan diperbarui untuk menampilkan hanya temuan chokepoint atau kombinasi yang beracun.

    4. Untuk mengurutkan temuan berdasarkan tingkat keparahan, klik judul kolom Skor Eksposur Serangan hingga skor diurutkan dari yang tertinggi ke yang terendah.

    5. Klik kategori temuan untuk membuka panel detail temuan. Buka bagian Langkah berikutnya, dan ikuti panduannya untuk membantu memperbaiki masalah keamanan.

    Enterprise

    1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

      Buka Temuan di tingkat Enterprise

    2. Pilih Google Cloud organisasi Anda.
    3. Di bagian Agregasi, luaskan Kelas penemuan, lalu pilih Kombinasi berbahaya dan Titik hambatan.
    4. Klik Skor eksposur serangan hingga skor diurutkan secara menurun.
    5. Klik kategori temuan untuk membuka panel detail temuan. Buka bagian Langkah berikutnya, dan ikuti panduannya untuk membantu memperbaiki masalah keamanan.

    Menutup kasus kombinasi toksik

    Anda dapat menutup kasus kombinasi toksik dengan memperbaiki kombinasi toksik yang mendasarinya, atau dengan membisukan temuan terkait di konsolGoogle Cloud .

    Menutup kasus dengan memperbaiki kombinasi toksik

    Setelah Anda memperbaiki masalah keamanan yang membentuk kombinasi berbahaya, dan masalah tersebut tidak lagi mengekspos resource apa pun dalam kumpulan resource bernilai tinggi Anda, Risk Engine akan menutup kasus secara otomatis selama simulasi jalur serangan berikutnya, yang berjalan kira-kira setiap enam jam.

    Menutup kasus dengan menonaktifkan temuan

    Jika risiko yang ditimbulkan oleh kombinasi toksik dapat diterima oleh bisnis Anda atau Anda tidak dapat memperbaiki kombinasi toksik tersebut, Anda dapat menutup kasus dengan membisukan temuan terkait.

    Untuk membisukan temuan kombinasi berbahaya, ikuti langkah-langkah berikut:

    1. Di konsol Google Cloud , buka Risk > Cases.
    2. Temukan dan buka kasus kombinasi toksik.
    3. Klik tab notifikasi terkait.
    4. Di widget Finding summary, klik Explore findings in SCC. Temuan terkait akan terbuka.
    5. Gunakan Opsi nonaktifkan di halaman detail temuan untuk menonaktifkan temuan.

    Anda juga dapat membisukan temuan di konsol Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Membisukan temuan individu.

    Melihat kasus kombinasi toksik yang ditutup

    Saat kasus ditutup, Security Command Center akan menghapusnya dari halaman Kasus.

    Untuk melihat kasus kombinasi toksik yang sudah ditutup, ikuti langkah-langkah berikut:

    1. Di Google Cloud konsol, buka Investigation > SOAR Search. Halaman konsol Operasi Keamanan SOAR Search akan terbuka.
    2. Luaskan bagian Status, lalu pilih Ditutup.
    3. Luaskan bagian Tag, lalu pilih Kombinasi berbahaya.
    4. Klik Terapkan. Kasus kombinasi toksik yang ditutup ditampilkan di hasil penelusuran.