Ringkasan playbook

Dokumen ini memberikan ringkasan playbook yang tersedia untuk Anda di paket Enterprise Security Command Center.

Ringkasan

Di Security Command Center, gunakan playbook untuk menjelajahi dan memperkaya pemberitahuan, mendapatkan informasi selengkapnya tentang temuan, mendapatkan rekomendasi tentang izin berlebih di organisasi Anda, dan mengotomatiskan respons terhadap ancaman, kerentanan, dan kesalahan konfigurasi. Saat Anda berintegrasi dengan sistem penjualan tiket, playbook membantu Anda berfokus pada temuan postur yang relevan sekaligus memastikan sinkronisasi antara kasus dan tiket.

Paket Enterprise Security Command Center menyediakan playbook berikut:

• Playbook respons ancaman:
  • Playbook Respons Ancaman AWS
  • Playbook Respons Ancaman Azure
  • Playbook Respons Ancaman GCP
  • Google Cloud – Eksekusi – Biner atau Library Dimuat Dijalankan
  • Google Cloud – Eksekusi – Penambangan kripto
  • Google Cloud – Eksekusi – Skrip URL atau Proses Shell Berbahaya
  • Google Cloud – Malware – Indicators
  • Google Cloud – Persistence – IAM Anomalous Grant
  • Google Cloud – Persistence – Suspicious Behaviour
• Playbook temuan postur:
  • Postur – Playbook Kombinasi Toksik
  • Temuan Postur – Umum
  • Posture Findings – Generic – VM Manager (dinonaktifkan secara default)
  • Posture Findings With Jira (dinonaktifkan secara default)
  • Posture Findings With ServiceNow (dinonaktifkan secara default)
• Playbook untuk menangani rekomendasi IAM:
  • Respons Pemberi Rekomendasi IAM (dinonaktifkan secara default)

Playbook yang dinonaktifkan secara default bersifat opsional dan mengharuskan Anda mengaktifkannya secara manual di konsol Security Operations sebelum menggunakannya.

Di konsol Security Operations, temuan menjadi notifikasi kasus. Notifikasi memicu playbook terlampir untuk menjalankan kumpulan tindakan yang dikonfigurasi guna mengambil informasi sebanyak mungkin tentang pemberitahuan, memulihkan ancaman, dan, bergantung pada jenis playbook, memberikan informasi yang diperlukan untuk membuat tiket atau mengelola kombinasi beracun dan rekomendasi IAM.

Playbook respons ancaman

Anda dapat menjalankan playbook respons ancaman untuk menganalisis ancaman, memperkaya temuan menggunakan berbagai sumber, serta menyarankan dan menerapkan respons perbaikan. Playbook respons ancaman menggunakan beberapa layanan seperti Google SecOps, Security Command Center, Cloud Asset Inventory, dan produk seperti VirusTotal dan Mandiant Threat Intelligence untuk membantu Anda mendapatkan konteks sebanyak mungkin tentang ancaman. Playbook dapat membantu Anda memahami apakah ancaman di lingkungan tersebut merupakan positif benar atau positif palsu dan respons yang optimal untuknya.

Untuk memastikan playbook respons ancaman memberi Anda informasi lengkap tentang ancaman, lihat Konfigurasi lanjutan untuk pengelolaan ancaman.

Playbook Playbook Respons Ancaman GCP menjalankan respons umum terhadap ancaman yang berasal dari Google Cloud.

Playbook AWS Threat Response Playbook menjalankan respons umum terhadap ancaman yang berasal dari Amazon Web Services.

Playbook Azure Threat Response Playbook menjalankan respons generik terhadap ancaman yang berasal dari Microsoft Azure. Untuk memperbaiki ancaman, playbook akan memperkaya informasi dari Microsoft Entra ID dan mendukung respons terhadap email.

Playbook Google Cloud – Malware – Indicators dapat membantu Anda merespons ancaman terkait malware dan memperkaya indikator kompromi (IoC) dan resource yang terpengaruh. Sebagai bagian dari perbaikan, playbook menyarankan agar Anda menghentikan instance yang mencurigakan atau menonaktifkan akun layanan.

Playbook Google Cloud – Eksekusi – Biner atau Library Dimuat dan Dieksekusi dapat membantu Anda menangani biner atau library baru yang mencurigakan dalam penampung. Setelah memperkaya informasi tentang penampung dan akun layanan terkait, playbook akan mengirim email ke analis keamanan yang ditugaskan untuk perbaikan lebih lanjut.

Playbook Google Cloud – Execution – Binary or Library Loaded Executed berfungsi dengan temuan berikut:

• Menambahkan Binary Executed
• Library yang Ditambahkan Dimuat
• Eksekusi: Program Biner Berbahaya Tambahan Dieksekusi
• Eksekusi: Menambahkan Library Berbahaya yang Dimuat
• Eksekusi: Biner Berbahaya Bawaan Dijalankan
• Eksekusi: Biner Berbahaya yang Dimodifikasi Dieksekusi
• Eksekusi: Library Berbahaya yang Diubah Dimuat

Untuk mengetahui informasi selengkapnya tentang temuan yang difokuskan oleh playbook, lihat ringkasan Container Threat Detection.

Playbook Google Cloud – Execution – Cryptomining dapat membantu Anda mendeteksi ancaman penambangan mata uang kripto di Google Cloud, memperkaya informasi tentang aset dan akun layanan yang terpengaruh, menyelidiki aktivitas yang terdeteksi di resource terkait untuk menemukan kerentanan dan kesalahan konfigurasi. Sebagai respons ancaman, playbook menyarankan agar Anda menghentikan instance compute yang terpengaruh atau menonaktifkan akun layanan.

Playbook Google Cloud – Execution – Malicious URL Script or Shell Process dapat membantu Anda menangani aktivitas mencurigakan dalam penampung dan melakukan pengayaan resource khusus. Sebagai respons ancaman, playbook akan mengirim email ke analis keamanan yang ditugaskan.

Playbook Google Cloud – Eksekusi – Skrip URL atau Proses Shell Berbahaya berfungsi dengan temuan berikut:

• Skrip Berbahaya Dieksekusi
• URL Berbahaya Ditemukan
• Reverse Shell
• Shell Turunan yang Tidak Terduga

Untuk mengetahui informasi selengkapnya tentang temuan yang difokuskan oleh playbook, lihat ringkasan Container Threat Detection.

Playbook Google Cloud – Malware – Indicators dapat membantu Anda menangani ancaman terkait malware yang terdeteksi oleh Security Command Center dan menyelidiki instance yang berpotensi disusupi.

Playbook Google Cloud – Persistence – IAM Anomalous Grant dapat membantu Anda menyelidiki identitas atau akun layanan yang memberikan izin yang mencurigakan kepada akun utama beserta kumpulan izin yang diberikan, dan mengidentifikasi akun utama yang dimaksud. Sebagai respons terhadap ancaman, playbook menyarankan agar Anda menonaktifkan akun layanan yang mencurigakan atau, jika bukan akun layanan yang terkait dengan temuan, tetapi pengguna, mengirim email ke analis keamanan yang ditugaskan untuk perbaikan lebih lanjut.

Untuk mengetahui informasi selengkapnya tentang aturan yang digunakan dalam playbook, lihat ringkasan Container Threat Detection.

Playbook Google Cloud – Persistence – Suspicious Behaviour dapat membantu Anda menangani subset tertentu dari perilaku terkait pengguna yang mencurigakan seperti login menggunakan metode API baru. Sebagai respons ancaman, playbook mengirim email ke analis keamanan yang ditugaskan untuk perbaikan lebih lanjut.

Untuk informasi selengkapnya tentang aturan yang digunakan dalam playbook, lihat Ringkasan Event Threat Detection.

Playbook temuan postur

Gunakan playbook temuan postur untuk menganalisis temuan postur multi-cloud, memperkayanya menggunakan Security Command Center dan Cloud Asset Inventory, serta menandai informasi relevan yang diterima di tab Ringkasan Kasus. Playbook temuan postur memastikan bahwa sinkronisasi untuk temuan dan kasus berfungsi seperti yang diharapkan.

Playbook Postur – Playbook Kombinasi Toksik dapat membantu Anda memperkaya kombinasi toksik dan menetapkan informasi yang diperlukan seperti tag kasus yang diperlukan Security Command Center untuk melacak dan memproses kombinasi toksik dan temuan terkait.

Playbook Posture Findings – Generic – VM Manager adalah versi ringan dari playbook Posture Findings – Generic yang tidak berisi langkah-langkah pengayaan Inventaris Aset Cloud dan hanya berfungsi untuk temuan VM Manager.

Secara default, hanya playbook Posture Findings – Generic yang diaktifkan. Jika Anda berintegrasi dengan Jira atau ServiceNow, nonaktifkan playbook Posture Findings – Generic dan aktifkan playbook yang relevan untuk sistem penjualan tiket Anda. Untuk mempelajari lebih lanjut cara mengonfigurasi Jira atau ServiceNow, lihat Mengintegrasikan Security Command Center Enterprise dengan sistem pemberian tiket.

Selain menyelidiki dan memperkaya temuan postur, playbook Posture Findings With Jira dan Posture Findings With ServiceNow memastikan bahwa nilai pemilik resource (alamat email) yang dinyatakan dalam temuan valid dan dapat ditetapkan di sistem pemberian tiket masing-masing. Playbook temuan postur opsional mengumpulkan informasi yang diperlukan untuk membuat tiket baru dan memperbarui tiket yang ada saat pemberitahuan baru diserap ke dalam kasus yang ada.

Playbook untuk menangani rekomendasi IAM

Gunakan playbook Respons Pemberi Rekomendasi IAM untuk secara otomatis mengatasi dan menerapkan rekomendasi yang disarankan oleh pemberi rekomendasi IAM. Playbook ini tidak memberikan pengayaan dan tidak membuat tiket meskipun Anda telah berintegrasi dengan sistem penjualan tiket.

Untuk mengetahui detail selengkapnya tentang cara mengaktifkan dan menggunakan playbook Respons Pemberi Rekomendasi IAM, lihat Mengotomatiskan rekomendasi IAM menggunakan playbook.

Apa langkah selanjutnya?

Untuk mempelajari playbook lebih lanjut, lihat halaman berikut dalam dokumentasi Google SecOps:

• Apa yang ada di halaman Playbook?
• Menggunakan alur dalam playbook
• Menggunakan tindakan dalam playbook
• Menggunakan blok playbook
• Melampirkan playbook ke pemberitahuan
• Menetapkan tindakan dan blok playbook