Questo documento fornisce una panoramica dei playbook disponibili nel livello Enterprise di Security Command Center.
Avvisi, richieste e guide pratiche si basano su Google Security Operations.
Panoramica
In Security Command Center, utilizza i playbook per esplorare e arricchire gli avvisi, ottenere maggiori informazioni sui risultati, ricevere suggerimenti sulle autorizzazioni in eccesso nella tua organizzazione e automatizzare le risposte a minacce, vulnerabilità ed errori di configurazione. Quando esegui l'integrazione con i sistemi di gestione delle richieste di assistenza, i playbook ti aiutano a concentrarti sui risultati pertinenti della postura, garantendo al contempo la sincronizzazione tra richieste e ticket.
Il livello Enterprise di Security Command Center fornisce i seguenti playbook:
- Playbook per la risposta alle minacce:
- Risposta alle minacce per Google Cloud
- Risposta alle minacce AWS
- Playbook sui risultati della postura:
- Risultati della postura - Generici
- Risultati di posture con Jira (disattivato per impostazione predefinita)
- Risultati di posture con ServiceNow (disattivati per impostazione predefinita)
- Playbook per la gestione dei suggerimenti IAM:
- Risposta del motore per suggerimenti IAM (disattivata per impostazione predefinita)
I playbook disabilitati per impostazione predefinita sono facoltativi e richiedono di abilitarli manualmente in Security Operations Console prima di utilizzarli.
Nella Security Operations Console, i risultati diventano avvisi di richiesta. Gli avvisi attivano i playbook allegati per eseguire l'insieme configurato di azioni al fine di recuperare quante più informazioni possibili sugli avvisi, correggere la minaccia e, a seconda del tipo di playbook, fornire le informazioni necessarie per creare ticket o gestire i suggerimenti IAM.
Playbook per la risposta alle minacce
Il playbook GCP Threat Response elabora i risultati delle minacce di Google Cloud. Il playbook AWS Threat Response elabora i risultati delle minacce derivanti da Amazon Web Services.
Puoi eseguire i playbook di risposta alle minacce per analizzare la minaccia, arricchire la ricerca utilizzando diverse fonti e suggerire e applicare una risposta di correzione. I playbook di risposta alle minacce utilizzano diversi servizi come Google SecOps, Security Command Center, Cloud Asset Inventory e prodotti come VirusTotal e Mandiant Threat Intelligence per aiutarti a ottenere tutto il contesto possibile sulla minaccia. I playbook aiutano gli analisti della sicurezza a capire se la minaccia nell'ambiente è un vero positivo o un falso positivo e qual è la risposta ottimale per questa minaccia.
Per assicurarti che i playbook di risposta alle minacce forniscano tutte le informazioni sulle minacce, consulta Configurazione avanzata per la gestione delle minacce.
Playbook sui risultati della postura
Utilizza i playbook dei risultati della postura per analizzare i risultati della postura multi-cloud, arricchiscili utilizzando Security Command Center e Cloud Asset Inventory ed evidenzia le informazioni pertinenti ricevute nella scheda Panoramica della richiesta. I playbook dei risultati della postura assicurano che la sincronizzazione per risultati e casi funzioni come previsto.
Per impostazione predefinita, è abilitato solo il playbook Risultati postura - Generico. Se esegui l'integrazione con Jira o ServiceNow, disabilita il playbook Posture Findings - Generic (Risultati della postura - Generico) e abilita quello pertinente per il tuo sistema di gestione dei ticket. Per scoprire di più sulla configurazione di Jira o ServiceNow, consulta Integrare Security Command Center Enterprise con i sistemi di gestione dei ticket.
Oltre a indagare e arricchire i risultati della postura, i playbook Risultati di postura con Jira e Risultati di postura con ServiceNow assicurano che il valore del proprietario della risorsa (indirizzo email) indicato in un risultato sia valido e assegnabile nel rispettivo sistema di gestione dei ticket. I playbook facoltativi dei risultati della postura raccolgono le informazioni necessarie per creare nuovi ticket e aggiornare quelli esistenti quando vengono importati nuovi avvisi nelle richieste esistenti.
Playbook per la gestione dei suggerimenti IAM
Utilizza il playbook Risposta del motore per suggerimenti IAM per gestire e applicare automaticamente i suggerimenti suggeriti dal motore per suggerimenti IAM. Questo playbook non fornisce alcun arricchimento e non crea ticket anche se è stato integrato con un sistema di gestione dei ticket.
Per maggiori dettagli sull'abilitazione e l'utilizzo del playbook Risposta del motore per suggerimenti IAM, vedi Automatizzare i suggerimenti IAM utilizzando i playbook.
Che cosa succede dopo?
Per scoprire di più sui playbook, consulta le seguenti pagine nella documentazione di Google SecOps:
- Cosa contiene la pagina del Playbook?
- Utilizzare i flussi nei playbook
- Utilizzare le azioni nei playbook
- Utilizzare i blocchi dei playbook
- Allegare i playbook a un avviso
- Assegnare azioni e blocchi dei playbook