Visão geral dos playbooks

Este documento fornece uma visão geral dos playbooks disponíveis para você no Nível empresarial do Security Command Center.

Alertas, casos e playbooks são fornecidos pelas Operações de segurança do Google.

Visão geral

No Security Command Center, use playbooks para explorar e aprimorar alertas, obtenha mais informações sobre descobertas, obter recomendações sobre permissões em excesso em sua organização e automatizar respostas a ameaças, vulnerabilidades e configurações incorretas. Quando você faz a integração com sistemas de tíquetes, os playbooks ajudam você se concentra em descobertas de postura relevantes e, ao mesmo tempo, garante a sincronização entre casos e tíquetes de suporte.

O nível Enterprise do Security Command Center oferece os seguintes manuais:

• Playbooks de resposta a ameaças:
  • Resposta a ameaças do GCP
  • Resposta a ameaças da AWS
• Playbooks de descobertas de postura:
  • Descobertas de postura – Genérica
  • Descobertas de postura com o Jira (desativada por padrão)
  • Descobertas de postura com o ServiceNow (desativado por padrão)
• Manual para lidar com as recomendações do IAM:
  • Resposta do recomendador do IAM (desativado por padrão)

Os playbooks desativados por padrão são opcionais e exigem a ativação manualmente no console de Operações de Segurança antes de usá-los.

No console de Operações de Segurança, as descobertas se tornam alertas de caso. Acionador de alertas playbooks anexados para executar o conjunto de ações configurado para recuperar o máximo possível de informações sobre os alertas, remediando e, dependendo do tipo de playbook, fornecer as informações necessárias para criar tíquetes ou gerenciar as recomendações do IAM.

Playbooks de resposta a ameaças

O playbook Resposta a ameaças do GCP processa as descobertas de ameaças do Google Cloud. O playbook AWS Threat Response processa as descobertas de ameaças originadas no do Amazon Web Services.

É possível executar os playbooks de resposta a ameaças para analisar a ameaça, enriquecer a usando fontes diferentes e sugerir e aplicar uma resposta de correção. Os playbooks de resposta a ameaças usam vários serviços, Google SecOps, Security Command Center, Inventário de recursos do Cloud e produtos como VirusTotal e Mandiant Threat Intelligence você obtém o máximo de contexto possível sobre a ameaça. Os playbooks ajudam os analistas de segurança a entender se a ameaça no ambiente é positivo ou falso positivo e qual é a melhor resposta para ele.

Para garantir que os playbooks de resposta a ameaças proporcionem o conhecimento informações sobre ameaças, consulte Configuração avançada para detectar ameaças de configuração.

Playbooks de descobertas de postura

Use os playbooks de descobertas de postura para analisar as descobertas de postura multicloud, enriquecê-los usando o Security Command Center e o Inventário de recursos do Cloud e destacar as informações relevantes recebidas na guia Visão geral do caso. As descobertas de postura garantem que a sincronização de descobertas e casos funcione o esperado.

Por padrão, apenas o playbook Descobertas de postura – Genérica está ativado. Se você integrar com o Jira ou ServiceNow, desative a opção Descobertas de postura – Genérica e ative o que for relevante para seu sistema de tíquetes. Para saber Saiba mais sobre como configurar o Jira ou o ServiceNow em Integrar o Security Command Center Empresa com sistemas de tíquetes

Além de investigar e enriquecer as descobertas de postura, a Postura As descobertas com o Jira e Descobertas de postura com o ServiceNow garantem se o valor do proprietário do recurso (endereço de e-mail) indicado em uma descoberta é válido atribuíveis no respectivo sistema de tíquetes. Descobertas de postura opcionais playbooks coletam informações necessárias para criar tíquetes e atualizar tíquetes existentes quando novos alertas são incluídos em casos existentes.

Playbook para lidar com as recomendações do IAM

Use o manual IAM Recommender Response para abordar e aplicar automaticamente as recomendações sugeridas pelo recomendador do IAM. Isso manual não oferece nenhum enriquecimento e não cria tíquetes, mesmo quando integrados a um sistema de tíquetes.

Para mais detalhes sobre como ativar e usar a Resposta do recomendador do IAM. consulte Automatizar recomendações do IAM usando playbooks.

A seguir

Para saber mais sobre playbooks, consulte as páginas a seguir na Documentação do Google SecOps:

• O que está na página do Playbook?
• Usar fluxos em playbooks
• Usar ações nos playbooks
• Trabalhar com blocos de playbooks
• Anexar playbooks a um alerta
• Atribuir ações e bloqueios do playbook