Visão geral dos playbooks

Neste documento, apresentamos uma visão geral dos playbooks disponíveis para você no nível Enterprise do Security Command Center.

Alertas, casos e playbooks são fornecidos pelas Operações de segurança do Google.

Visão geral

No Security Command Center, use manuais para explorar e aprimorar alertas, conseguir mais informações sobre descobertas, receber recomendações sobre permissões em excesso na sua organização e automatizar respostas a ameaças, vulnerabilidades e configurações incorretas. Na integração com sistemas de tíquetes, os playbooks ajudam você a se concentrar nas descobertas de postura relevantes e, ao mesmo tempo, garantir a sincronização entre casos e tíquetes.

O nível Enterprise do Security Command Center oferece os seguintes playbooks:

• Playbooks de resposta a ameaças:
  • Resposta a ameaças do GCP
  • Resposta a ameaças da AWS
• Playbooks de descobertas de postura:
  • Descobertas de postura – Genérica
  • Descobertas de postura com o Jira (desativada por padrão)
  • Descobertas de postura com o ServiceNow (desativado por padrão)
• Manual para lidar com as recomendações do IAM:
  • Resposta do recomendador do IAM (desativado por padrão)

Os playbooks desativados por padrão são opcionais e exigem que você os ative manualmente no console de Operações de Segurança antes de usá-los.

No console de Operações de Segurança, as descobertas se tornam alertas de caso. Os alertas acionam os playbooks anexados para executar o conjunto configurado de ações para recuperar o máximo possível de informações sobre alertas, remediar a ameaça e, dependendo do tipo de playbook, fornecer as informações necessárias para criar tíquetes ou gerenciar as recomendações do IAM.

Playbooks de resposta a ameaças

O playbook Resposta a ameaças do GCP processa as descobertas de ameaças do Google Cloud. O playbook AWS Threat Response processa as descobertas de ameaças originadas na Amazon Web Services.

Execute os manuais de resposta a ameaças para analisar a ameaça, enriquecer a descoberta usando diferentes fontes e sugerir e aplicar uma resposta de correção. Os playbooks de resposta a ameaças usam vários serviços, como Google SecOps, Security Command Center, Inventário de recursos do Cloud e produtos como VirusTotal e Mandiant Threat Intelligence, para ajudar você a ter o máximo de contexto possível sobre a ameaça. Eles ajudam os analistas de segurança a entender se a ameaça no ambiente é um verdadeiro positivo ou um falso positivo e qual é a resposta ideal para ela.

Para garantir que os manuais de resposta a ameaças forneçam todas as informações sobre ameaças, consulte Configuração avançada para gerenciamento de ameaças.

Playbooks de descobertas de postura

Use os playbooks de descobertas de postura para analisar as descobertas de postura multicloud, aprimorá-las usando o Security Command Center e o Inventário de recursos do Cloud e destacar as informações relevantes recebidas na guia Visão geral do caso. Os playbooks de descobertas de postura garantem que a sincronização de descobertas e casos funcione conforme esperado.

Por padrão, apenas o playbook Descobertas de postura – Genérica está ativado. Se você se integrar ao Jira ou ao ServiceNow, desative o playbook Descobertas de postura - Genérica e ative aquele que for relevante para seu sistema de tíquetes. Para saber mais sobre como configurar o Jira ou o ServiceNow, consulte Integrar o Security Command Center Enterprise com sistemas de tíquetes.

Além de investigar e enriquecer as descobertas de postura, os playbooks Descobertas de postura com o Jira e Descobertas de postura com o ServiceNow garantem que o valor do proprietário do recurso (endereço de e-mail) indicado em uma descoberta seja válido e possa ser atribuído no respectivo sistema de tíquetes. Os playbooks de descobertas de postura opcionais coletam informações necessárias para criar tíquetes e atualizar os atuais quando novos alertas são ingeridos nos casos atuais.

Playbook para lidar com as recomendações do IAM

Use o manual Resposta do recomendador do IAM para abordar e aplicar automaticamente as recomendações sugeridas pelo recomendador do IAM. Este playbook não oferece aprimoramento nem cria tíquetes, mesmo se estiver integrado a um sistema de tíquetes.

Para mais detalhes sobre como ativar e usar o playbook Resposta do recomendador do IAM, consulte Automatizar recomendações do IAM usando playbooks.

A seguir

Para saber mais sobre playbooks, consulte as seguintes páginas na documentação do Google SecOps:

• O que está na página do Playbook?
• Usar fluxos em playbooks
• Usar ações nos playbooks
• Trabalhar com blocos de playbooks
• Anexar playbooks a um alerta
• Atribuir ações e bloqueios do playbook