En este documento, se proporciona una descripción general de las guías disponibles en la Nivel empresarial de Security Command Center.
Descripción general
En Security Command Center, usa guías para explorar y enriquecer alertas, obtén más información sobre los resultados, obtén recomendaciones sobre permisos excesivos en para tu organización y automatizar las respuestas a amenazas, vulnerabilidades y parámetros de configuración incorrectos. Cuando te integras a los sistemas de tickets, las guías te te enfocarás en los hallazgos relevantes de la postura, a la vez que garantizas la sincronización entre casos y tickets.
El nivel Enterprise de Security Command Center te proporciona lo siguiente: guías:
- Guías de respuesta ante amenazas:
- Guía de respuesta ante amenazas de AWS
- Guía de respuesta ante amenazas de Azure
- Guía de respuesta a amenazas de GCP
- Google Cloud – Ejecución – Objeto binario o biblioteca cargada Ejecutada
- Google Cloud: Ejecución: Criptominería
- Google Cloud – Ejecución – Secuencia de comandos de URL maliciosa o Proceso de shell
- Google Cloud – Malware – Indicadores
- Google Cloud – Persistencia – Otorgamiento anómalo de IAM
- Google Cloud – Persistencia – Comportamiento sospechoso
- Guías para determinar la postura:
- Postura: Guía de combinaciones tóxicas
- Hallazgos de la postura: genéricos
- Hallazgos de la postura – Genéricos – VM Manager (inhabilitado por predeterminada)
- Resultados de la postura con Jira (inhabilitado de forma predeterminada)
- Resultados de la postura con ServiceNow (inhabilitado de forma predeterminada)
- Guía para manejar las recomendaciones de IAM:
- Respuesta del recomendador de IAM (inhabilitado de forma predeterminada)
Las guías inhabilitadas de forma predeterminada son opcionales y requieren que las habilites de forma manual en la consola de Operaciones de seguridad antes de usarlas.
En la consola de operaciones de seguridad, los resultados se convierten en alertas de casos. Activador de alertas las guías adjuntas para ejecutar el conjunto configurado de acciones de recuperar tanta información sobre alertas como sea posible, y, según el tipo de guía, proporcionar la información necesaria para crea tickets o administra las combinaciones tóxicas y IAM recomendaciones.
Guías de respuesta ante amenazas
Puedes ejecutar las guías de respuesta ante amenazas para analizar amenazas, enriquecer usando distintas fuentes, y sugiere y aplica una respuesta de remediación. Las guías de respuesta a amenazas usan varios servicios, como Google SecOps, Security Command Center, Cloud Asset Inventory y productos como VirusTotal y Mandiant Threat Intelligence para ayudarte a obtener la mayor cantidad posible de contexto sobre las amenazas. Las guías pueden ayudarte a comprender si la amenaza en el entorno es una verdadera positivo o falso positivo, y cuál es la respuesta óptima para él.
Para asegurarse de que las guías de respuesta ante amenazas le brinden información sobre amenazas, consulta Configuración avanzada de amenazas de la administración.
La guía de la Guía de respuesta ante amenazas de GCP ejecuta una respuesta genérica a amenazas que se originan en Google Cloud.
La guía de la Guía de respuesta ante amenazas de AWS ejecuta una respuesta genérica a que se originan en Amazon Web Services.
La Guía de respuesta a amenazas de Azure ejecuta una respuesta genérica a las amenazas que se originan en Microsoft Azure. Para remediar las amenazas, la guía enriquece la información de Microsoft Entra ID y permite responder a correos electrónicos.
La guía Google Cloud: Indicadores y software malicioso puede ayudarte a responder a amenazas relacionadas con software malicioso y enriquecer los indicadores de compromiso (IoC) y los recursos afectados. Como parte de la solución, la guía de procedimientos sugiere que detengas una instancia sospechosa o inhabilites una cuenta de servicio.
La herramienta Google Cloud – Execution – Binary or Library Loaded ejecutada puede ayudarte a controlar un nuevo objeto binario o una biblioteca sospechosa un contenedor. Después de enriquecer la información sobre el contenedor y el cuenta de servicio asociada, la guía envía un correo electrónico a un grupo de analista de seguridad para obtener más correcciones.
La herramienta Google Cloud – Execution – Binary or Library Loaded Ejecutada funciona con los siguientes hallazgos:
- Se ejecutó el objeto binario añadido
- Se cargó la biblioteca agregada
- Ejecución: Se ejecutó el binario malicioso agregado
- Ejecución: Se cargó la biblioteca maliciosa agregada
- Ejecución: Objeto binario integrado integrado y ejecutado
- Ejecución: ejecución de binario malicioso modificado
- Ejecución: Se cargó una biblioteca maliciosa modificada
Para obtener más información sobre los hallazgos en los que se centra la guía, consulta Detección de amenazas a contenedores descripción general.
La guía de Google Cloud – Ejecución – Criptominería puede ayudarte a detectar amenazas de minería de criptomonedas en Google Cloud, enriquecer la información sobre los recursos y las cuentas de servicio afectados, e investigar la actividad detectada en recursos relacionados en busca de vulnerabilidades y parámetros de configuración incorrectos. Como ante amenazas, la guía sugiere que detengas un procesamiento afectado instancia o inhabilitar un cuenta de servicio.
La instancia de Google Cloud – Ejecución – Shell o secuencia de comandos de URL maliciosa Process puede ayudarte a controlar una actividad sospechosa en un contenedor y hacer un enriquecimiento de recursos exclusivo. Como respuesta ante amenazas, la guía envía un correo electrónico a un analista de seguridad asignado.
La instancia de Google Cloud – Ejecución – Shell o secuencia de comandos de URL maliciosa Process funciona con los siguientes hallazgos:
- Secuencia de comandos maliciosa ejecutada
- Se observó la URL maliciosa
- Shells inversas
- Shell secundario inesperado
Para obtener más información sobre los hallazgos en los que se centra la guía, consulta Detección de amenazas a contenedores descripción general.
La guía Google Cloud: Indicadores y software malicioso puede ayudarte las amenazas relacionadas con software malicioso detectadas por Security Command Center y investigar las instancias potencialmente comprometidas.
Google Cloud – Persistencia – Otorgamiento anómalo de IAM te puede ayudar a investigar una identidad o una cuenta de servicio que te otorgó los permisos sospechosos de una principal junto con el conjunto de permisos otorgados, e identificar al principal en cuestión. Como respuesta ante amenazas, la guía que inhabilite una cuenta de servicio sospechosa o, si no es un servicio asociada a un hallazgo, pero a un usuario, envía un correo electrónico a un analista de seguridad asignado para obtener más correcciones.
Para obtener más información sobre las reglas que se usan en la guía de prácticas, consulta la descripción general de la detección de amenazas de contenedores.
The Google Cloud – Persistencia – Comportamiento sospechoso te puede ayudar a manejar los subconjuntos específicos de como el acceso con un nuevo método de API. Como respuesta a una amenaza, el manual envía un correo electrónico a un analista de seguridad asignado para una solución adicional.
Para obtener más información sobre las reglas que se usan en la guía de referencia, consulta Descripción general de Event Threat Detection.
Guías para los hallazgos de la postura
Usar las guías de hallazgos de la postura para analizar los hallazgos de la postura en múltiples nubes, enriquecerlos con Security Command Center y Cloud Asset Inventory, y destacar la información relevante recibida en la Descripción general del caso Pestaña. Las guías de resultados de la postura garantizan que la sincronización de los resultados y los casos funcione como se espera.
La guía Postura: Guía de combinaciones tóxicas puede ayudarte a enriquecer combinaciones nocivas y establecer la información necesaria, como etiquetas Security Command Center requiere rastrear y procesar las combinaciones tóxicas y resultados relacionados.
La guía de Resultados de postura: Genérico: VM Manager es una versión liviana de la guía de Resultados de postura: Genérico que no contiene pasos de enriquecimiento de Cloud Asset Inventory y solo funciona para los resultados de VM Manager.
De forma predeterminada, solo está habilitada la guía Posture Findings – Generic (Hallazgos de postura: genérico). Si realizas la integración con Jira o ServiceNow, inhabilita los hallazgos de postura: Genérico manual y habilita la que sea relevante para tu sistema de tickets. Para aprender para configurar Jira o ServiceNow, consulta Integra Security Command Center Empresa con sistemas de tickets
Además de investigar y enriquecer los hallazgos de posturas, el Centro de Los manuales Hallazgos con Jira y Posture Findings With ServiceNow garantizan que el valor del propietario del recurso (dirección de correo electrónico) indicado en un hallazgo es válido y asignables en el sistema de tickets correspondiente. Resultados opcionales de la postura las guías recopilan información necesaria para crear tickets nuevos y actualizar tickets cuando se transfieren alertas nuevas a casos existentes.
Guía para manejar las recomendaciones de IAM
Usar la guía de respuesta del recomendador de IAM para abordar y aplicar automáticamente las recomendaciones sugeridas por el recomendador de IAM. Esta manual no ofrece enriquecimiento y no crea tickets, incluso si tienes integrados en un sistema de tickets.
Para obtener más detalles sobre cómo habilitar y usar la guía de respuesta del recomendador de IAM, consulta Cómo automatizar las recomendaciones de IAM con guías.
Próximos pasos
Para obtener más información sobre las guías, consulta las siguientes páginas del Documentación de Google SecOps:
- ¿Qué hay en la página de la guía?
- Cómo usar flujos en los manuales
- Usa acciones en las guías
- Trabaja con bloques de guías
- Adjunta guías a una alerta
- Asigna acciones y bloques de la guía