playbook 概览

本文档简要介绍了 Security Command Center Enterprise 层级中提供的 playbook。

概览

在 Security Command Center 中，您可以使用 playbook 来探索和扩充提醒，获取有关发现结果的更多信息，获得针对组织中过度授权现象的建议，以及自动对威胁、漏洞和错误配置作出响应。与工单系统集成后，playbook 让您能够专心处理相关的安全状况发现结果，同时确保案例与工单之间的同步。

Security Command Center Enterprise 层级提供以下 playbook：

威胁响应 playbook：
- AWS 威胁响应 Playbook
- Azure 威胁响应 Playbook
- GCP 威胁响应 Playbook
- Google Cloud - 执行 - 执行了加载的二进制文件或库
- Google Cloud - 执行 - 加密货币挖矿
- Google Cloud - 执行 - 恶意网址脚本或 Shell 进程
- Google Cloud - 恶意软件 - 指标
- Google Cloud - 持久化 - IAM 异常授权
- Google Cloud - 持久化 - 可疑行为
安全状况发现结果 playbook：
- 安全状况 - 恶意组合 Playbook
- 安全状况发现结果 - 通用
- 安全状况发现结果 - 通用 - 虚拟机管理器（默认处于停用状态）
- Jira 安全状况发现结果（默认处于停用状态）
- ServiceNow 安全状况发现结果（默认处于停用状态）
用于处理 IAM 建议的 playbook：
- IAM Recommender 响应（默认处于停用状态）

默认停用的 playbook 是可选项，您需要手动启用之后才能使用。

在 Security Operations 控制台的案例页面上，发现结果会转变为案例提醒。提醒会触发附加的 playbook 来执行预先配置的一组操作，以便检索尽可能多的提醒相关信息、修复威胁相关问题，并根据 playbook 类型提供必要的信息来创建工单或管理恶意组合和 IAM 建议。

威胁响应 playbook

您可以执行威胁响应 playbook 来分析威胁、使用不同来源扩充发现结果，以及建议并应用修复响应措施。威胁响应 playbook 使用 Google SecOps、Security Command Center、Cloud Asset Inventory 等多种服务，以及 VirusTotal 和 Mandiant Threat Intelligence 等产品，帮助您尽可能多地了解威胁的上下文信息。这些 playbook 可帮助您了解环境中的威胁是真正例还是假正例，以及针对该威胁的最佳响应措施。

如需确保威胁响应 playbook 为您提供有关威胁的完整信息，请参阅威胁管理的高级配置。

GCP 威胁响应 Playbook 会针对源自 Google Cloud的威胁执行通用响应措施。

AWS 威胁响应 Playbook 会针对源自 Amazon Web Services 的威胁执行通用响应措施。

Azure 威胁响应 Playbook 会针对源自 Microsoft Azure 的威胁执行通用响应措施。为了修复威胁相关问题，该 playbook 会用来自 Microsoft Entra ID 的信息进行扩充，并支持回复邮件。

Google Cloud - 恶意软件 - 指标 playbook 可帮助您对恶意软件相关的威胁作出响应，并会用失陷指标 (IoC) 和受影响资源进行扩充。作为修复措施的一部分，该 playbook 会建议您关停可疑实例或停用可疑服务账号。

Google Cloud - 执行 - 执行了加载的二进制文件或库 playbook 可帮助您处理添加到容器中的可疑二进制文件或库。在扩充了容器及关联服务账号的相关信息后，该 playbook 会向指派的安全分析师发送电子邮件，以便执行进一步的修复措施。

Google Cloud - 执行 - 执行了加载的二进制文件或库 playbook 可处理以下发现结果：

已执行添加的二进制文件
已加载添加的库
执行：已执行添加的恶意二进制文件
执行：加载了添加的恶意库
执行：执行了内置恶意二进制文件
执行：已执行修改的恶意二进制文件
执行：加载了修改的恶意库

如需详细了解该 playbook 重点关注的发现结果，请参阅 Container Threat Detection 概览。

Google Cloud - 执行 - 加密货币挖矿 playbook 可帮助您检测 Google Cloud中的加密货币挖矿威胁、扩充受影响资产和服务账号相关信息，以及调查相关资源上检测到的漏洞和错误配置相关活动。作为威胁响应措施，该 playbook 会建议您关停受影响的计算实例或停用相关服务账号。

Google Cloud - 执行 - 恶意网址脚本或 Shell 进程 playbook 可帮助您处理容器中的可疑活动并执行专用资源扩充。作为威胁响应措施，该 playbook 会向指派的安全分析师发送电子邮件。

Google Cloud - 执行 - 恶意网址脚本或 Shell 进程 playbook 可处理以下发现结果：

已执行恶意脚本
观察到恶意网址
反向 shell
意外的子 shell

如需详细了解该 playbook 重点关注的发现结果，请参阅 Container Threat Detection 概览。

Google Cloud - 恶意软件 - 指标 playbook 可帮助您处理 Security Command Center 检测到的恶意软件相关威胁，并调查可能遭到入侵的实例。

Google Cloud - 持久化 - IAM 异常授权 playbook 可帮助您调查向主账号授予了可疑权限的身份或服务账号以及所授予的权限集，并确定相关主账号。作为威胁响应措施，该 playbook 会建议您停用可疑的服务账号；如果与发现结果关联的是用户而不是服务账号，则会向指派的安全分析师发送电子邮件，以便执行进一步的修复措施。

如需详细了解该 playbook 中使用的规则，请参阅 Container Threat Detection 概览。

Google Cloud - 持久化 - 可疑行为 playbook 可帮助您处理特定的一部分用户相关可疑行为，例如使用新的 API 方法登录。作为威胁响应措施，该 playbook 会向指派的安全分析师发送电子邮件，以便执行进一步的修复措施。

如需详细了解该 playbook 中使用的规则，请参阅 Event Threat Detection 概览。

安全状况发现结果 playbook

您可以使用安全状况发现结果 playbook 分析多云安全状况发现结果、使用 Security Command Center 和 Cloud Asset Inventory 扩充这些发现结果，以及在“案例概览”标签页中突出显示收到的相关信息。安全状况发现结果 playbook 可确保发现结果与案例之间的同步。

安全状况 - 恶意组合 Playbook 可帮助您扩充恶意组合，并设置必要的信息（例如案例标记），以便 Security Command Center 跟踪和处理恶意组合及相关发现结果。

安全状况发现结果 - 通用 - 虚拟机管理器 playbook 是安全状况发现结果 - 通用 playbook 的轻量级版本，不包含 Cloud Asset Inventory 扩充步骤，仅适用于虚拟机管理器发现结果。

默认情况下，只有安全状况发现结果 - 通用 playbook 处于启用状态。如果与 Jira 或 ServiceNow 集成，请停用安全状况发现结果 - 通用 playbook，并启用与您的工单系统相关的 playbook。如需详细了解如何配置 Jira 或 ServiceNow，请参阅将 Security Command Center Enterprise 与工单系统集成。

除了调查和扩充安全状况发现结果之外，Jira 安全状况发现结果和 ServiceNow 安全状况发现结果 playbook 还可确保发现结果中声明的资源所有者值（用邮箱表示）在相应的工单系统中有效且可分配。这两种安全状况发现结果 playbook 是可选项，它们会收集所需的信息，以便在有新提醒被注入到现有案例中时创建新工单并更新现有工单。

用于处理 IAM 建议的 playbook

您可以使用 IAM Recommender 响应 playbook 来自动处理和应用 IAM Recommender 提供的建议。该 playbook 不提供扩充功能，也不会创建工单，即便您集成了工单系统也是如此。

如需详细了解如何启用和使用 IAM Recommender 响应 playbook，请参阅使用 playbook 自动执行 IAM 建议。

后续步骤

如需详细了解 playbook，请参阅 Google SecOps 文档中的以下页面：