Menyelidiki dan merespons ancaman

Dokumen ini menjelaskan cara menyelidiki dan merespons temuan ancaman di Security Command Center. Untuk menangani ancaman, biasanya Anda melakukan hal berikut:

1. Meninjau detail temuan.
2. Mempelajari panduan yang tersedia.
3. Mengidentifikasi risiko terkait di lingkungan Anda.
4. Mengambil tindakan untuk memulihkan ancaman dan membantu mengamankan resource Anda.

Sebelum memulai

Anda memerlukan peran Identity and Access Management (IAM) yang diperlukan untuk melihat atau mengedit temuan dan log, serta mengubah Google Cloud resource. Jika Anda mengalami error akses di Security Command Center, minta bantuan administrator Anda dan lihat Kontrol akses untuk mempelajari peran. Untuk mengatasi error resource, baca dokumentasi untuk produk yang terpengaruh.

Meninjau temuan

Untuk mulai menyelidiki ancaman, tinjau detail yang Security Command Center sediakan dalam temuan.

Untuk meninjau temuan ancaman, ikuti langkah-langkah berikut:

1. Di Google Cloud konsol, buka halaman Findings Security Command Center.

   Buka Findings

2. Jika perlu, pilih Google Cloud project, folder, atau organisasi Anda.

3. Di bagian Quick filters, klik filter yang sesuai untuk menampilkan temuan yang Anda butuhkan di tabel Findings query results. Misalnya, jika Anda memilih Event Threat Detection atau Container Threat Detection di subbagian Source display name, hanya temuan dari layanan yang dipilih yang akan muncul di hasil.

   Tabel akan diisi dengan temuan untuk sumber yang Anda pilih.

4. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Category. Panel detail temuan akan diperluas untuk menampilkan ringkasan detail temuan.

5. Untuk melihat definisi JSON temuan, klik tab JSON.

Temuan memberikan nama dan ID numerik resource yang terlibat dalam insiden, beserta variabel lingkungan dan properti aset. Anda dapat menggunakan informasi tersebut untuk mengisolasi resource yang terpengaruh dan menentukan potensi cakupan peristiwa.

Untuk membantu penyelidikan Anda, temuan ancaman juga berisi link ke resource eksternal berikut:

• Entri framework MITRE ATT&CK. Framework ini menjelaskan teknik untuk serangan terhadap resource cloud dan memberikan panduan pemulihan.

• VirusTotal, layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya. Jika tersedia, kolom VirusTotal Indicator akan memberikan link ke VirusTotal untuk membantu Anda menyelidiki lebih lanjut potensi masalah keamanan.

  VirusTotal adalah penawaran dengan harga terpisah yang memiliki batas penggunaan dan fiturnya sendiri. Anda bertanggung jawab untuk memahami dan mematuhi kebijakan penggunaan API VirusTotal dan biaya terkait. Untuk mengetahui informasi selengkapnya, lihat dokumentasi VirusTotal.

Mempelajari panduan penyelidikan

Setelah meninjau detail temuan, pelajari rekomendasi penyelidikan dan respons yang disediakan Security Command Center.

Security Command Center menawarkan panduan informal untuk membantu Anda menyelidiki temuan. Temuan ini mengidentifikasi aktivitas mencurigakan di lingkungan Google Cloud Anda dari pelaku yang berpotensi berbahaya. Dengan mengikuti panduan ini, Anda dapat memahami apa yang terjadi selama potensi serangan dan mengembangkan kemungkinan respons untuk resource yang terpengaruh.

Untuk melihat rekomendasi penyelidikan dan respons untuk temuan, temukan temuan di Indeks temuan ancaman.

Anda juga dapat melihat rekomendasi respons tingkat tinggi untuk jenis temuan ancaman berikut:

• Temuan ancaman AI
• Temuan ancaman Cloud Run
• Temuan ancaman Compute Engine
• Temuan ancaman Google Kubernetes Engine
• Temuan ancaman Google Workspace
• Temuan ancaman jaringan

Meninjau ancaman menggunakan dasbor Threats

Dasbor Threats di halaman Risk Overview membantu Anda memantau, memprioritaskan, dan menyelidiki peristiwa yang berpotensi berbahaya di lingkungan Anda Google Cloud.

Untuk mengakses dasbor Threats, ikuti langkah-langkah berikut:

1. Di Google Cloud konsol, buka halaman Threats Security Command Center.

   Buka Threats

2. Jika perlu, pilih Google Cloud project, folder, atau organisasi Anda.

Anda dapat menggunakan bagian berikut untuk mengidentifikasi dan memprioritaskan penyelidikan ancaman:

• Ancaman baru dari waktu ke waktu: Menampilkan peristiwa yang berpotensi berbahaya di resource Anda selama jangka waktu yang Anda tentukan. Jangka waktu default adalah tujuh hari. Untuk mengubah jangka waktu yang ditentukan, gunakan kolom Time range. Panel ini membantu Anda mengidentifikasi lonjakan aktivitas ancaman yang tiba-tiba.
• Ancaman Teratas: Menampilkan informasi berikut untuk membantu Anda mengidentifikasi masalah penting:
  • Ancaman berdasarkan tingkat keparahan: Menampilkan jumlah temuan ancaman di setiap tingkat keparahan (misalnya, CRITICAL, HIGH, MEDIUM, atau LOW). Memilih tingkat keparahan akan memfilter temuan sehingga Anda dapat berfokus pada risiko prioritas tertinggi terlebih dahulu.
  • Ancaman berdasarkan kategori: Menampilkan jumlah temuan yang diklasifikasikan menurut jenis ancaman tertentu di semua project.
  • Ancaman berdasarkan project: Menampilkan jumlah temuan untuk setiap project di organisasi Anda. Hal ini berguna untuk mengidentifikasi project yang mengalami aktivitas ancaman paling banyak.

Mengklik elemen data dalam panel ini akan menerapkan filter yang relevan dan mengalihkan Anda ke halaman Findings tempat Anda dapat melanjutkan penyelidikan yang lebih mendalam tentang temuan ancaman tertentu.

Mengidentifikasi risiko terkait

Untuk membantu Anda memahami konteks ancaman dan mencegah ancaman terjadi lagi, tinjau dan tanggapi temuan kerentanan dan kesalahan konfigurasi terkait. Temuan ini mungkin menunjukkan kelemahan keamanan yang memungkinkan ancaman terjadi atau yang dapat dieksploitasi di masa mendatang.

Untuk menemukan temuan kerentanan dan kesalahan konfigurasi terkait, ikuti langkah-langkah berikut:

Menemukan atribut temuan

1. Di Google Cloud konsol, buka halaman Findings Security Command Center.

   Buka Findings

2. Tinjau temuan ancaman dan salin nilai atribut yang kemungkinan akan muncul dalam temuan kerentanan atau kesalahan konfigurasi terkait, seperti alamat email utama atau nama resource yang terpengaruh.

Membuat filter temuan

1. Di halaman Findings, buka Query editor dengan mengklik Edit query.
2. Klik Add filter. Menu Select filter akan terbuka.

3. Dari daftar kategori filter di sisi kiri menu, pilih kategori yang berisi atribut yang Anda catat dalam temuan ancaman.

   Misalnya, jika Anda mencatat nama lengkap resource yang terpengaruh, pilih Resource. Jenis atribut kategori Resource ditampilkan di kolom di sebelah kanan, termasuk atribut Full name.

4. Dari atribut yang ditampilkan, pilih jenis atribut yang Anda catat dalam temuan ancaman. Panel penelusuran untuk nilai atribut akan terbuka di sebelah kanan dan menampilkan semua nilai yang ditemukan dari jenis atribut yang dipilih.

5. Di kolom Filter, tempelkan nilai atribut yang Anda salin dari temuan ancaman. Daftar nilai yang ditampilkan akan diperbarui untuk menampilkan hanya nilai yang cocok dengan nilai yang ditempelkan.

6. Dari daftar nilai yang ditampilkan, pilih satu atau beberapa nilai, lalu klik Apply. Panel Findings query results akan diperbarui untuk menampilkan hanya temuan yang cocok.

Memperbaiki hasil menurut class temuan

Jika sejumlah besar temuan muncul di hasil, filter temuan dengan memilih filter tambahan dari panel Quick filters.

Misalnya, untuk menampilkan hanya temuan class Vulnerability dan Misconfiguration yang berisi nilai atribut yang dipilih, buka bagian Finding class di panel Quick filters , lalu pilih Vulnerability dan Misconfiguration.

Merespons ancaman

Setelah meninjau temuan, mempelajari panduan penyelidikan, dan mengidentifikasi risiko terkait, Anda harus merespons ancaman dan mengelola siklus proses temuan di Security Command Center.

Pendekatan terhadap pemulihan temuan ancaman

Tidak seperti temuan kerentanan dan kesalahan konfigurasi, Security Command Center tidak memberikan panduan pemulihan resmi untuk temuan ancaman. Panduan informal yang disediakan Security Command Center tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau di masa mendatang.

Kesalahan konfigurasi dan pelanggaran kepatuhan mengidentifikasi kelemahan dalam resource yang dapat dieksploitasi. Biasanya, kesalahan konfigurasi memiliki perbaikan yang diketahui, seperti mengaktifkan firewall atau merotasi kunci enkripsi.

Ancaman berbeda dengan kerentanan karena bersifat dinamis dan menunjukkan kemungkinan eksploitasi aktif terhadap satu atau beberapa resource. Rekomendasi pemulihan mungkin tidak efektif dalam mengamankan resource Anda karena metode persis yang digunakan untuk mencapai eksploitasi mungkin tidak diketahui.

Misalnya, temuan Added Binary Executed menunjukkan bahwa biner yang tidak sah diluncurkan dalam container. Rekomendasi pemulihan dasar mungkin menyarankan Anda untuk mengarantina container dan menghapus biner, tetapi hal tersebut mungkin tidak menyelesaikan penyebab utama yang memungkinkan penyerang mengakses untuk menjalankan biner. Anda harus mengetahui cara image container dirusak untuk memperbaiki eksploitasi. Menentukan apakah file ditambahkan melalui port yang salah konfigurasi atau dengan cara lain memerlukan penyelidikan menyeluruh. Analis dengan pengetahuan tingkat ahli tentang sistem Anda mungkin perlu meninjaunya untuk mengetahui kelemahannya.

Pelaku kejahatan menyerang resource menggunakan teknik yang berbeda, sehingga menerapkan perbaikan untuk eksploitasi tertentu mungkin tidak efektif terhadap variasi serangan tersebut. Misalnya, sebagai respons terhadap temuan Brute Force: SSH, Anda dapat menurunkan tingkat izin untuk beberapa akun pengguna guna membatasi akses ke resource. Namun, kata sandi yang lemah mungkin masih memberikan jalur serangan.

Luasnya vektor serangan membuat sulit untuk memberikan langkah-langkah pemulihan yang berfungsi dalam semua situasi. Peran Security Command Center dalam rencana keamanan cloud Anda adalah mengidentifikasi resource yang terpengaruh dalam waktu hampir real time, memberi tahu Anda ancaman yang Anda hadapi, serta memberikan bukti dan konteks untuk membantu penyelidikan Anda. Namun, personel keamanan Anda harus menggunakan informasi yang luas dalam temuan Security Command Center untuk menentukan cara terbaik memulihkan masalah dan mengamankan resource dari serangan di masa mendatang.

Menonaktifkan atau menonaktifkan temuan

Setelah Anda menyelesaikan masalah yang memicu temuan ancaman, Security Command Center tidak otomatis menetapkan status temuan ke INACTIVE. Status temuan ancaman tetap ACTIVE kecuali jika Anda secara manual mengubah status temuan menjadi INACTIVE.

Untuk positif palsu, pertimbangkan untuk membiarkan status temuan sebagai ACTIVE dan sebagai gantinya menonaktifkan temuan.

Untuk positif palsu yang persisten atau berulang, buat aturan nonaktif. Menetapkan aturan nonaktif dapat mengurangi jumlah temuan yang perlu Anda kelola, sehingga memudahkan untuk mengidentifikasi ancaman sebenarnya saat terjadi.

Untuk ancaman sebenarnya, sebelum Anda menetapkan status temuan ke INACTIVE, hilangkan ancaman dan selesaikan penyelidikan menyeluruh terhadap ancaman yang terdeteksi, tingkat gangguan, dan temuan serta masalah terkait lainnya.

Langkah berikutnya

• Deteksi ancaman di Security Command Center
• Indeks temuan ancaman
• Ancaman yang dikorelasikan (Pratinjau)