Visão geral dos playbooks

Este documento apresenta uma visão geral dos playbooks disponíveis no nível Enterprise do Security Command Center.

Visão geral

No Security Command Center, use playbooks para analisar e enriquecer alertas, receber mais informações sobre descobertas, receber recomendações sobre permissões em excesso na organização e automatizar respostas a ameaças, vulnerabilidades e configurações incorretas. Quando você se integra a sistemas de tíquetes, os playbooks ajudam a se concentrar em descobertas de postura relevantes, garantindo a sincronização entre casos e tíquetes.

O nível Enterprise do Security Command Center oferece os seguintes playbooks:

  • Playbooks de resposta a ameaças:
    • AWS Threat Response Playbook (link em inglês)
    • Manual de resposta a ameaças do Azure
    • Playbook de resposta a ameaças do GCP
    • Google Cloud: execução: binário ou biblioteca carregada executada
    • Google Cloud: execução – mineração de criptomoedas
    • Google Cloud: execução: script de URL malicioso ou processo de shell
    • Google Cloud: malware – indicadores
    • Google Cloud: persistência – concessão anormal do IAM
    • Google Cloud: persistência – comportamento suspeito
  • Manuais de descobertas de postura:
    • Posture – Toxic Combination Playbook (link em inglês)
    • Resultados da postura: genérico
    • Posture Findings – Generic – VM Manager (desativado por padrão)
    • Resultados da postura com o Jira (desativado por padrão)
    • Posture Findings With ServiceNow (desativado por padrão)
  • Playbook para lidar com as recomendações do IAM:
    • Resposta do recomendador do IAM (desativado por padrão)

Os playbooks desativados por padrão são opcionais e precisam ser ativados manualmente no console de operações de segurança antes de serem usados.

No console de operações de segurança, as descobertas se tornam alertas de caso. Os alertas acionam livros de respostas anexados para executar o conjunto de ações configurado para extrair o máximo de informações sobre alertas, remediar a ameaça e, dependendo do tipo de livro de respostas, fornecer as informações necessárias para criar tickets ou gerenciar as combinações tóxicas e as recomendações do IAM.

Playbooks de resposta a ameaças

É possível executar os playbooks de resposta a ameaças para analisar ameaças, enriquecer os resultados usando diferentes fontes e sugerir e aplicar uma resposta de correção. Os playbooks de resposta a ameaças usam vários serviços, como Google SecOps, Security Command Center, Inventário de recursos do Cloud e produtos como VirusTotal e Mandiant Threat Intelligence, para ajudar você a ter o máximo de contexto possível sobre as ameaças. Os playbooks podem ajudar você a entender se a ameaça no ambiente é um verdadeiro positivo ou um falso positivo e qual é a resposta ideal para ela.

Para garantir que os playbooks de resposta a ameaças forneçam todas as informações sobre ameaças, consulte Configuração avançada para gerenciamento de ameaças.

O manual GCP Threat Response Playbook executa uma resposta genérica a ameaças originadas do Google Cloud.

O manual de resposta a ameaças da AWS executa uma resposta genérica a ameaças originadas da Amazon Web Services.

O manual Azure Threat Response Playbook executa uma resposta genérica a ameaças originadas do Microsoft Azure. Para remediar ameaças, o playbook enriquece as informações do Microsoft Entra ID e oferece suporte para responder a e-mails.

O playbook Google Cloud – Malware – Indicators pode ajudar você a responder a ameaças relacionadas a malware e enriquecer os indicadores de comprometimento (IoC, na sigla em inglês) e os recursos afetados. Como parte da remediação, o playbook sugere que você pare uma instância suspeita ou desative uma conta de serviço.

O playbook Google Cloud – Execution – Binary or Library Loaded Executed pode ajudar você a lidar com um novo binário ou biblioteca suspeito em um contêiner. Depois de enriquecer as informações sobre o contêiner e a conta de serviço associada, o playbook envia um e-mail a um analista de segurança designado para uma correção adicional.

O playbook Google Cloud: execução – execução de binário ou biblioteca carregada funciona com as seguintes descobertas:

  • Adição de binário executado
  • Adição de biblioteca carregada
  • Execução: adição de binário malicioso executado
  • Execução: adição de biblioteca maliciosa carregada
  • Execução: binário malicioso integrado executado
  • Execução: binário malicioso modificado executado
  • Execução: biblioteca maliciosa modificada carregada

Para mais informações sobre as descobertas em que o playbook se concentra, consulte a Visão geral do Container Threat Detection.

O playbook Google Cloud – Execution – Cryptomining pode ajudar você a detectar ameaças de mineração de criptomoedas no Google Cloud, enriquecer informações sobre recursos e contas de serviço afetados, investigar a atividade detectada em recursos relacionados para detectar vulnerabilidades e configurações incorretas. Como resposta à ameaça, o playbook sugere que você pare uma instância de computação afetada ou desative uma conta de serviço.

O playbook Google Cloud: execução: script de URL malicioso ou processo de shell pode ajudar você a lidar com uma atividade suspeita em um contêiner e realizar um enriquecimento de recursos dedicado. Como resposta a ameaças, o playbook envia um e-mail para um analista de segurança designado.

O playbook Google Cloud: execução – script de URL malicioso ou processo de shell funciona com as seguintes descobertas:

  • Script malicioso executado
  • URL malicioso observado
  • Shell reverso
  • Shell filho inesperado

Para mais informações sobre as descobertas em que o playbook se concentra, consulte a Visão geral do Container Threat Detection.

O playbook Google Cloud: indicadores de malware pode ajudar você a lidar com as ameaças relacionadas a malware detectadas pelo Security Command Center e investigar as instâncias potencialmente comprometidas.

O playbook Google Cloud: persistência – IAM Anomalous Grant (link em inglês) pode ajudar a investigar uma identidade ou uma conta de serviço que concedeu permissões suspeitas a um principal, além do conjunto de permissões concedidas, e identificar o principal em questão. Como resposta à ameaça, o playbook sugere que você desative uma conta de serviço suspeita ou, se não for uma conta de serviço associada a uma descoberta, envie um e-mail para um analista de segurança designado para uma nova correção.

Para mais informações sobre as regras usadas no playbook, consulte a Visão geral do Container Threat Detection.

O playbook Google Cloud: persistência – comportamento suspeito pode ajudar você a lidar com os subconjuntos específicos de comportamento suspeito relacionado ao usuário, como fazer login usando um novo método de API. Como resposta à ameaça, o playbook envia um e-mail para um analista de segurança designado para uma correção adicional.

Para mais informações sobre as regras usadas no playbook, consulte Visão geral do Event Threat Detection.

Playbooks de descobertas de postura

Use os playbooks de resultados de postura para analisar os resultados de postura multinuvem, enriquecê-los usando o Security Command Center e o Inventário de recursos do Cloud e destacar as informações relevantes recebidas na guia Visão geral do caso. Os playbooks de descobertas de postura garantem que a sincronização de descobertas e casos funcione como esperado.

O playbook Posture – Toxic Combination Playbook pode ajudar você a enriquecer combinações tóxicas e definir as informações necessárias, como tags de caso, que o Security Command Center exige para rastrear e processar as combinações tóxicas e as descobertas relacionadas.

O playbook Posture Findings – Generic – VM Manager é uma versão leve do playbook Posture Findings – Generic que não contém etapas de enriquecimento do inventário de recursos do Cloud e funciona apenas para as descobertas do VM Manager.

Por padrão, apenas o playbook Posture Findings – Generic está ativado. Se você integrar com o Jira ou o ServiceNow, desative o playbook Posture Findings – Generic e ative o que for relevante para seu sistema de emissão de tíquetes. Para saber mais sobre como configurar o Jira ou o ServiceNow, consulte Integrar o Security Command Center Enterprise com sistemas de emissão de tíquetes.

Além de investigar e enriquecer as descobertas de postura, os playbooks Posture Findings With Jira e Posture Findings With ServiceNow garantem que o valor do proprietário do recurso (endereço de e-mail) declarado em uma descoberta seja válido e atribuível no respectivo sistema de emissão de tíquetes. Os playbooks de resultados de postura opcionais coletam as informações necessárias para criar novos tickets e atualizar tickets existentes quando novos alertas são processados nos casos.

Playbook para lidar com as recomendações do IAM

Use o playbook Resposta do recomendador do IAM para resolver e aplicar automaticamente as recomendações sugeridas pelo recomendador do IAM. Este playbook não oferece enriquecimento e não cria tíquetes, mesmo quando você integra com um sistema de tíquetes.

Para mais detalhes sobre como ativar e usar o playbook Resposta do recomendador do IAM, consulte Automatizar recomendações do IAM usando playbooks.

A seguir

Para saber mais sobre playbooks, consulte as seguintes páginas na documentação do Google SecOps: