Présentation des playbooks

Ce document présente les playbooks disponibles dans le niveau Enterprise de Security Command Center.

Présentation

Dans Security Command Center, utilisez des playbooks pour explorer et enrichir les alertes, obtenir plus d'informations sur les résultats, obtenir des recommandations sur les autorisations excessives dans votre organisation et automatiser les réponses aux menaces, failles et erreurs de configuration. Lorsque vous vous intégrez à des systèmes de gestion des demandes, les playbooks vous aident à vous concentrer sur les résultats pertinents de l'évaluation de la conformité, tout en assurant la synchronisation entre les demandes et les tickets.

Le niveau Enterprise de Security Command Center vous fournit les playbooks suivants:

  • Playbooks de réponse aux menaces :
    • Guide de réponse aux menaces AWS
    • Guide Azure Threat Response
    • Playbook de réponse aux menaces dans GCP
    • Google Cloud - Execution – Binary or Library Loaded executed
    • Google Cloud : exécution - Cryptomining
    • Google Cloud - Execution – Malicious URL Script or Shell Process
    • Google Cloud – Logiciels malveillants – Indicateurs
    • Google Cloud : persistance - autorisation anormale IAM
    • Google Cloud – Persistence – Suspicious Behaviour
  • Livres de stratégies sur les résultats de la recherche de stratégies :
    • Posture : playbook sur la combinaison toxique
    • Observations sur la posture - Générique
    • Résultats de la posture - Générique - VM Manager (désactivé par défaut)
    • Résultats de la posture avec Jira (désactivé par défaut)
    • Résultats de l'analyse de la posture avec ServiceNow (désactivé par défaut)
  • Guide pour gérer les recommandations IAM :
    • Réponse de l'outil de recommandation IAM (désactivée par défaut)

Les playbooks désactivés par défaut sont facultatifs et vous devez les activer manuellement dans la console Security Operations avant de les utiliser.

Dans la console Security Operations, les résultats deviennent des alertes de demande. Les alertes déclenchent les playbooks associés pour exécuter l'ensemble d'actions configurées afin de récupérer autant d'informations que possible sur les alertes, de remédier à la menace et, selon le type de playbook, de fournir les informations requises pour créer des demandes ou gérer les combinaisons toxiques et les recommandations IAM.

Playbooks de réponse aux menaces

Vous pouvez exécuter les playbooks de réponse aux menaces pour analyser les menaces, enrichir les résultats à l'aide de différentes sources, et suggérer et appliquer une réponse de correction. Les playbooks de réponse aux menaces utilisent plusieurs services tels que Google SecOps, Security Command Center, l'inventaire des éléments cloud et des produits tels que VirusTotal et Mandiant Threat Intelligence pour vous aider à obtenir autant de contexte que possible sur les menaces. Les playbooks peuvent vous aider à déterminer si la menace dans l'environnement est un faux positif ou un vrai positif, et quelle est la réponse optimale.

Pour vous assurer que les playbooks de réponse aux menaces vous fournissent toutes les informations sur les menaces, consultez la section Configuration avancée pour la gestion des menaces.

Le playbook GCP Threat Response Playbook exécute une réponse générique aux menaces provenant de Google Cloud.

Le script de réponse aux menaces AWS exécute une réponse générique aux menaces provenant d'Amazon Web Services.

Le playbook Azure Threat Response Playbook exécute une réponse générique aux menaces provenant de Microsoft Azure. Pour remédier aux menaces, le playbook enrichit les informations de Microsoft Entra ID et permet de répondre aux e-mails.

Le playbook Google Cloud – Logiciels malveillants – Indicateurs peut vous aider à répondre aux menaces liées aux logiciels malveillants et à enrichir les indicateurs de compromission (IoC) et les ressources concernées. Dans le cadre de la résolution, le playbook vous suggère d'arrêter une instance suspecte ou de désactiver un compte de service.

Le playbook Google Cloud - Execution - Binary or Library Loaded Executed (Google Cloud - Exécution - Binaire ou bibliothèque chargé exécuté) peut vous aider à gérer un nouveau binaire ou une nouvelle bibliothèque suspecte dans un conteneur. Après avoir enrichi les informations sur le conteneur et le compte de service associé, le playbook envoie un e-mail à un analyste de sécurité désigné pour une résolution ultérieure.

Le playbook Google Cloud - Execution – Binary or Library Loaded executed fonctionne avec les résultats suivants:

  • Fichier binaire ajouté exécuté
  • Ajout de bibliothèque chargée
  • Exécution: Fichier binaire malveillant ajouté exécuté
  • Exécution: bibliothèque malveillante ajoutée chargée
  • Exécution: fichier binaire malveillant intégré exécuté
  • Exécution: fichier binaire malveillant modifié exécuté
  • Exécution: bibliothèque malveillante modifiée chargée

Pour en savoir plus sur les résultats sur lesquels se concentre le playbook, consultez la présentation de Container Threat Detection.

Le playbook Google Cloud – Exécution – Minage de cryptomonnaie peut vous aider à détecter les menaces de minage de cryptomonnaie dans Google Cloud, à enrichir les informations sur les éléments et les comptes de service concernés, et à examiner l'activité détectée sur les ressources associées pour détecter les failles et les erreurs de configuration. En réponse à la menace, le playbook vous suggère d'arrêter une instance de calcul affectée ou de désactiver un compte de service.

Le playbook Google Cloud - Execution - Malicious URL Script or Shell Process (Exécution - Script d'URL ou processus shell malveillant) peut vous aider à gérer une activité suspecte dans un conteneur et à enrichir des ressources dédiées. En tant que réponse à une menace, le playbook envoie un e-mail à un analyste de sécurité désigné.

Le playbook Google Cloud – Execution – Malicious URL Script or Shell Process fonctionne avec les résultats suivants:

  • Script malveillant exécuté
  • URL malveillante détectée
  • Interface système inversée
  • Shell enfant inattendu

Pour en savoir plus sur les résultats sur lesquels se concentre le playbook, consultez la présentation de Container Threat Detection.

Le playbook Google Cloud – Logiciels malveillants – Indicateurs peut vous aider à gérer les menaces liées aux logiciels malveillants détectées par Security Command Center et à examiner les instances potentiellement compromises.

Le playbook Google Cloud – Persistence – IAM Anomalous Grant (Google Cloud – Persistance – Accord d'autorisations anormales IAM) peut vous aider à examiner une identité ou un compte de service qui a accordé des autorisations suspectes à un principal, ainsi que l'ensemble des autorisations accordées, et à identifier le principal en question. En réponse à la menace, le playbook vous suggère de désactiver un compte de service suspect ou, s'il ne s'agit pas d'un compte de service associé à une découverte, d'envoyer un e-mail à un analyste de sécurité désigné pour une résolution ultérieure.

Pour en savoir plus sur les règles utilisées dans le playbook, consultez la présentation de Container Threat Detection.

Le playbook Google Cloud – Persistence – Suspicious Behaviour (Google Cloud – Persistance – Comportement suspect) peut vous aider à gérer les sous-ensembles spécifiques de comportements suspects liés aux utilisateurs, comme la connexion à l'aide d'une nouvelle méthode d'API. En réponse à une menace, le playbook envoie un e-mail à un analyste de sécurité désigné pour une résolution plus approfondie.

Pour en savoir plus sur les règles utilisées dans le playbook, consultez la section Présentation d'Event Threat Detection.

Playbooks sur les résultats de l'analyse de la posture

Utilisez les playbooks sur les résultats d'évaluation de la posture pour analyser les résultats d'évaluation de la posture multicloud, les enrichir à l'aide de Security Command Center et de l'inventaire des éléments cloud, et mettre en évidence les informations pertinentes reçues dans l'onglet Vue d'ensemble de la demande. Les playbooks sur les résultats de la stratégie de sécurité garantissent que la synchronisation des résultats et des cas fonctionne comme prévu.

Le playbook Posture – Toxic Combination Playbook peut vous aider à enrichir les combinaisons toxiques et à définir les informations nécessaires, telles que les balises de demande requises par Security Command Center pour suivre et traiter les combinaisons toxiques et les résultats associés.

Le playbook Résultats de l'évaluation de la posture - Générique - VM Manager est une version allégée du playbook Résultats de l'évaluation de la posture - Générique qui ne contient pas d'étapes d'enrichissement de l'inventaire des éléments cloud et ne fonctionne que pour les résultats de VM Manager.

Par défaut, seul le playbook Résultats de l'analyse de la posture - Générique est activé. Si vous effectuez une intégration avec Jira ou ServiceNow, désactivez le playbook Résultats de la posture - générique et activez celui qui convient à votre système de gestion des tickets. Pour en savoir plus sur la configuration de Jira ou de ServiceNow, consultez Intégrer Security Command Center Enterprise à des systèmes de gestion des tickets.

En plus d'examiner et d'enrichir les résultats de l'évaluation de la posture, les playbooks Résultats de l'évaluation de la posture avec Jira et Résultats de l'évaluation de la posture avec ServiceNow garantissent que la valeur du propriétaire de la ressource (adresse e-mail) indiquée dans un résultat est valide et attribuable dans le système de gestion des tickets respectif. Les playbooks facultatifs sur les résultats de l'évaluation de la posture collectent les informations requises pour créer des demandes et mettre à jour les demandes existantes lorsque de nouvelles alertes sont ingérées dans des demandes existantes.

Guide pour gérer les recommandations IAM

Utilisez le playbook Réponse à l'outil de recommandation IAM pour traiter et appliquer automatiquement les recommandations suggérées par l'outil de recommandation IAM. Ce playbook n'apporte aucun enrichissement et ne crée pas de demandes, même si vous avez intégré un système de gestion des demandes.

Pour en savoir plus sur l'activation et l'utilisation du playbook Réponse de l'outil de recommandation IAM, consultez Automatiser les recommandations IAM à l'aide de playbooks.

Étape suivante

Pour en savoir plus sur les playbooks, consultez les pages suivantes de la documentation Google SecOps: