Panoramica delle guide pratiche

Questo documento fornisce una panoramica dei playbook disponibili nel livello Enterprise di Security Command Center.

Panoramica

In Security Command Center, usa i playbook per esplorare e arricchire avvisi, ottieni altri informazioni sui risultati, ricevere suggerimenti sulle autorizzazioni in eccesso la tua azienda e automatizzare le risposte a minacce, vulnerabilità ed errori di configurazione. Quando esegui l'integrazione con i sistemi di gestione dei ticket, i playbook ti aiutano a concentrarti sui risultati pertinenti della postura, garantendo al contempo la sincronizzazione tra richieste e ticket.

Il livello Enterprise di Security Command Center fornisce i seguenti playbook:

  • Playbook di risposta alle minacce:
    • Guida pratica per la risposta alle minacce di AWS
    • Guida pratica per la risposta alle minacce di Azure
    • Guida pratica per la risposta alle minacce per Google Cloud
    • Google Cloud - Esecuzione - Binario o libreria caricata Eseguito
    • Google Cloud – Esecuzione – Cryptomining
    • Google Cloud – Esecuzione – Script URL o processo di shell dannosi
    • Google Cloud – Malware – Indicators
    • Google Cloud - Persistenza - Concessione IAM anomala
    • Google Cloud - Persistenza - Comportamento sospetto
  • Playbook per i risultati della postura:
    • Postura: playbook con combinazioni tossiche
    • Risultati della postura - Generici
    • Posture Findings – Generic – VM Manager (disattivato per impostazione predefinita)
    • Risultati di posture con Jira (disattivato per impostazione predefinita)
    • Risultati di posture con ServiceNow (disattivati per impostazione predefinita)
  • Playbook per la gestione dei suggerimenti IAM:
    • Risposta del motore per suggerimenti IAM (disattivata per impostazione predefinita)

I playbook disattivati per impostazione predefinita sono facoltativi e richiedono l'attivazione manualmente nella Security Operations Console prima di utilizzarli.

Nella Security Operations Console, i risultati diventano avvisi di richiesta. Gli avvisi attivano gli script allegati per eseguire l'insieme di azioni configurate per recuperare il maggior numero possibile di informazioni sugli avvisi, risolvere la minaccia e, a seconda del tipo di script, fornire le informazioni necessarie per creare ticket o gestire le combinazioni dannose e i consigli IAM.

Playbook di risposta alle minacce

Potete eseguire i playbook di risposta alle minacce per analizzare le minacce, arricchire risultati utilizzando fonti diverse e suggerire e applicare una risposta correttiva. I playbook di risposta alle minacce utilizzano più servizi come Google SecOps, Security Command Center, Cloud Asset Inventory e prodotti come VirusTotal e Mandiant Threat Intelligence per aiutarti a ottenere il maggior contesto possibile sulle minacce. I playbook possono aiutarti a capire se la minaccia nell'ambiente è un vero positivo o un falso positivo e qual è la risposta ottimale.

Per assicurarti che i playbook di risposta alle minacce forniscano informazioni complete sulle minacce, consulta Configurazione avanzata per la gestione delle minacce.

Il playbook GCP Threat Response esegue una risposta generica a da Google Cloud.

Il playbook AWS Threat Response Playbook esegue una risposta generica alle minacce provenienti da Amazon Web Services.

La guida strategica Azure Threat Response Playbook esegue una risposta generica alle minacce che provengono da Microsoft Azure. Per risolvere le minacce, il playbook arricchisce le informazioni di Microsoft Entra ID e supporta email.

Il playbook Google Cloud – Malware – Indicators può aiutarti a rispondere alle minacce correlate ai malware e ad arricchire gli indicatori di compromissione (IoC) e le risorse interessate. Nell'ambito della correzione, il playbook suggerisce che puoi arrestare un'istanza sospetta o disabilitare un account di servizio.

Il playbook Google Cloud – Esecuzione – Caricamento di un file binario o di una libreria eseguito può aiutarti a gestire un nuovo file binario o una nuova libreria sospetti in un contenitore. Dopo aver arricchito le informazioni sul contenitore e sull'account servizio associato, il playbook invia un'email a un analista della sicurezza assegnato per ulteriori correzioni.

Il playbook Google Cloud – Esecuzione – Caricamento di codice binario o libreria eseguito funziona con i seguenti risultati:

  • Programma binario aggiuntivo eseguito
  • Libreria aggiuntiva caricata
  • Esecuzione: esecuzione di elementi binari dannosi aggiunta
  • Esecuzione: caricamento di una libreria dannosa aggiuntiva
  • Esecuzione: programma binario dannoso integrato eseguito
  • Esecuzione: programma binario dannoso modificato eseguito
  • Esecuzione: libreria dannosa modificata caricata

Per ulteriori informazioni sui risultati su cui si concentra il playbook, consulta la panoramica di Container Threat Detection.

Il playbook Google Cloud - Esecuzione - Cryptomining può aiutano a rilevare le minacce di mining di criptovaluta in Google Cloud, informazioni sugli asset e sugli account di servizio interessati, esamina l'attività rilevate sulle risorse correlate per vulnerabilità e configurazioni errate. Come risposta alla minaccia, il playbook suggerisce di arrestare un'istanza di calcolo interessata o di disattivare un account di servizio.

La shell o lo script di URL dannosi di Google Cloud - Esecuzione - Il playbook relativo ai processi può aiutarti a gestire un'attività sospetta in un container e per eseguire un arricchimento delle risorse dedicato. Come risposta alle minacce, il playbook invia un'email a un analista della sicurezza assegnato.

La shell o lo script di URL dannosi di Google Cloud - Esecuzione - La guida pratica sui processi funziona con i seguenti risultati:

  • Script dannoso eseguito
  • URL dannoso rilevato
  • Shell inversa
  • Shell secondario imprevisto

Per ulteriori informazioni sui risultati su cui si concentra il playbook, consulta la panoramica di Container Threat Detection.

Il playbook Google Cloud - Malware - Indicatori può aiutarti per gestire le minacce al malware rilevate da Security Command Center e indagare sulle istanze potenzialmente compromesse.

Il playbook Google Cloud – Persistence – IAM Anomalous Grant può aiutarti a esaminare un'identità o un account di servizio che ha concesso autorizzazioni sospette a un principale insieme all'insieme di autorizzazioni concesse, e identificare il principale in questione. Come risposta alle minacce, il playbook ti consiglia di disattivare un account di servizio sospetto o, se non è un servizio associato a un risultato ma utente, invia un'email a un analista della sicurezza assegnato per ulteriori correzioni.

Per ulteriori informazioni sulle regole utilizzate nel playbook, consulta Rilevamento delle minacce di Container Panoramica.

Il playbook Google Cloud – Persistence – Suspicious Behaviour può aiutarti a gestire sottoinsiemi specifici di comportamenti correlati agli utenti sospetti, come l'accesso tramite un nuovo metodo API. Come risposta a una minaccia, il playbook invia un'email a un analista della sicurezza assegnato per ulteriori correzioni.

Per ulteriori informazioni sulle regole utilizzate nel playbook, consulta Panoramica di Event Threat Rilevamento.

Playbook sui risultati della postura

usa i playbook dei risultati della postura per analizzare i risultati della postura multi-cloud, arricchiscili utilizzando Security Command Center e Cloud Asset Inventory ed evidenzia le informazioni pertinenti ricevute nella Panoramica della richiesta . I playbook dei risultati della postura assicurano che la sincronizzazione dei risultati case funzionano come previsto.

Il playbook Posture – Toxic Combination Playbook può aiutarti a arricchire le combinazioni tossiche e impostare le informazioni necessarie, come i tag delle richieste, che Security Command Center richiede per monitorare ed elaborare le combinazioni tossiche e i risultati correlati.

La guida pratica Risultati della postura - Generico - VM Manager è una versione leggera del playbook Risultati della postura - Generico che non contiene i passaggi di arricchimento di Cloud Asset Inventory e funziona solo per Risultati di VM Manager.

Per impostazione predefinita, è abilitato solo il playbook Risultati postura - Generico. Se esegui l'integrazione con Jira o ServiceNow, disabilita i risultati della postura – Generico e attivare quello pertinente per il tuo sistema di gestione dei ticket. Per scoprire di più sulla configurazione di Jira o ServiceNow, consulta Integrare Security Command Center Enterprise con i sistemi di ticketing.

Oltre a indagare e arricchire i risultati della postura, il report Posture I risultati con i playbook Jira e Posture Findings With ServiceNow assicurano che il valore del proprietario della risorsa (indirizzo email) indicato in un risultato sia valido assegnabili nel rispettivo sistema di gestione delle richieste di assistenza. I playbook facoltativi relativi ai risultati relativi alla posizione raccoglieranno le informazioni necessarie per creare nuovi ticket e aggiornare quelli esistenti quando i nuovi avvisi vengono importati nelle richieste esistenti.

Playbook per la gestione dei suggerimenti IAM

Utilizza il playbook relativo alla risposta del motore per suggerimenti IAM per gestire e applicare automaticamente i suggerimenti suggeriti dal motore per suggerimenti IAM. Questo playbook non fornisce alcun arricchimento e non crea ticket anche quando integrati con un sistema di gestione dei ticket.

Per ulteriori dettagli sull'attivazione e sull'utilizzo del playbook Risposta del motore per suggerimenti IAM, consulta Automatizzare i suggerimenti IAM utilizzando i playbook.

Passaggi successivi

Per scoprire di più sui playbook, consulta le seguenti pagine nella Documentazione di Google SecOps: