Dieses Dokument bietet einen Überblick über die Playbooks, die Ihnen auf der Enterprise-Stufe von Security Command Center zur Verfügung stehen.
Benachrichtigungen, Supportanfragen und Playbooks basieren auf Google Security Operations.
Überblick
Verwenden Sie Playbooks in Security Command Center, um Benachrichtigungen zu untersuchen und anzureichern, mehr Informationen zu Ergebnissen zu erhalten, Empfehlungen zu nicht erforderlichen Berechtigungen in Ihrer Organisation zu erhalten und die Reaktion auf Bedrohungen, Sicherheitslücken und Fehlkonfigurationen zu automatisieren. Bei der Einbindung in Ticketing-Systeme helfen Playbooks Ihnen, sich auf relevante Ergebnisse zum Sicherheitsstatus zu konzentrieren und gleichzeitig die Synchronisierung zwischen Fällen und Tickets sicherzustellen.
Die Enterprise-Stufe von Security Command Center bietet die folgenden Playbooks:
- Playbooks zur Reaktion auf Bedrohungen:
- Google Cloud-Bedrohungsabwehr
- AWS-Bedrohungsabwehr
- Playbooks für Ergebnisergebnisse:
- Statusergebnisse – allgemein
- Statusergebnisse mit Jira (standardmäßig deaktiviert)
- Statusergebnisse mit ServiceNow (standardmäßig deaktiviert)
- Playbook zum Umgang mit IAM-Empfehlungen:
- IAM Recommender-Antwort (standardmäßig deaktiviert)
Die standardmäßig deaktivierten Playbooks sind optional und müssen vor der Verwendung manuell in der Security Operations-Konsole aktiviert werden.
In der Security Operations-Konsole werden Ergebnisse zu Fallbenachrichtigungen. Benachrichtigungen lösen angehängte Playbooks aus, um die konfigurierten Aktionen auszuführen, mit denen so viele Informationen zu Benachrichtigungen wie möglich abgerufen, die Bedrohung behoben und je nach Playbook-Typ die erforderlichen Informationen zum Erstellen von Tickets oder Verwalten der IAM-Empfehlungen bereitgestellt werden.
Playbooks zur Reaktion auf Bedrohungen
Das Playbook GCP Threat Response verarbeitet die Bedrohungsergebnisse von Google Cloud. Das Playbook AWS Threat Response verarbeitet die von Amazon Web Services stammenden Bedrohungsergebnisse.
Sie können die Playbooks für die Reaktion auf Bedrohungen ausführen, um die Bedrohung zu analysieren, das Ergebnis mithilfe verschiedener Quellen anzureichern und eine Abhilfemaßnahmen vorzuschlagen und anzuwenden. In den Playbooks für die Reaktion auf Bedrohungen werden verschiedene Dienste wie Google SecOps, Security Command Center, Cloud Asset Inventory und Produkte wie VirusTotal und Mandiant Threat Intelligence verwendet, damit Sie so viel Kontext wie möglich zur Bedrohung erhalten. Die Playbooks helfen Sicherheitsanalysten dabei, zu verstehen, ob die Bedrohung in der Umgebung ein richtig positives oder falsch positives Ergebnis ist und was die optimale Reaktion dafür ist.
Damit Sie in den Playbooks zur Reaktion auf Bedrohungen alle Informationen zu Bedrohungen erhalten, müssen Sie die Erweiterte Konfiguration für das Bedrohungsmanagement lesen.
Playbooks für Ergebnisergebnisse
Verwenden Sie die Playbooks mit den Statusergebnissen, um die Multi-Cloud-Statusergebnisse zu analysieren, mit Security Command Center und Cloud Asset Inventory anzureichern und die erhaltenen relevanten Informationen auf dem Tab Case Overview (Fallübersicht) hervorzuheben. Mit den Playure-Ergebnissen für den Status wird sichergestellt, dass die Synchronisierung von Ergebnissen und Fällen wie erwartet funktioniert.
Standardmäßig ist nur das Playbook Statusergebnisse – generisch aktiviert. Bei der Einbindung in Jira oder ServiceNow deaktivieren Sie das Playbook Posture Findings – Generic und aktivieren das Playbook, das für Ihr Ticketsystem relevant ist. Weitere Informationen zum Konfigurieren von Jira oder ServiceNow finden Sie unter Security Command Center Enterprise in Ticketing-Systeme integrieren.
Zusätzlich zur Untersuchung und Anreicherung des Statusergebnisses sorgen die Playbooks Posture-Ergebnisse mit Jira und Posture-Ergebnisse mit ServiceNow dafür, dass der in einem Ergebnis angegebene Wert für den Ressourceninhaber (E-Mail-Adresse) im jeweiligen Ticketing-System gültig und zuweisbar ist. Playbooks mit optionalen Statusergebnissen erfassen Informationen, die zum Erstellen neuer Tickets und zum Aktualisieren vorhandener Tickets erforderlich sind, wenn neue Benachrichtigungen in vorhandene Fälle aufgenommen werden.
Playbook zum Umgang mit IAM-Empfehlungen
Verwenden Sie das Playbook IAM Recommender-Antwort, um die vom IAM-Recommender vorgeschlagenen Empfehlungen automatisch anzuwenden und anzuwenden. Dieses Playbook bietet keine Anreicherung und es werden auch dann keine Tickets erstellt, wenn Sie in ein Ticketing-System eingebunden sind.
Weitere Informationen zum Aktivieren und Verwenden des Playbooks IAM Recommender-Antwort finden Sie unter IAM-Empfehlungen mit Playbooks automatisieren.
Nächste Schritte
Weitere Informationen zu Playbooks finden Sie auf den folgenden Seiten in der Google SecOps-Dokumentation:
- Was steht auf der Playbook-Seite?
- Abläufe in Playbooks verwenden
- Aktionen in Playbooks verwenden
- Mit Playbook-Blöcken arbeiten
- Playbooks an eine Benachrichtigung anhängen
- Aktionen und Playbook-Blöcke zuweisen