Visão geral dos playbooks

Este documento apresenta uma visão geral dos playbooks disponíveis no nível Enterprise do Security Command Center.

Visão geral

No Security Command Center, use playbooks para analisar e enriquecer alertas, receber mais informações sobre descobertas, receber recomendações sobre permissões em excesso na organização e automatizar respostas a ameaças, vulnerabilidades e configurações incorretas. Quando você se integra a sistemas de tíquetes, os playbooks ajudam a se concentrar em descobertas de postura relevantes, garantindo a sincronização entre casos e tíquetes.

O nível Enterprise do Security Command Center oferece os seguintes playbooks:

  • Playbooks de resposta a ameaças:
    • Manual de resposta a ameaças da AWS
    • Manual de Resposta a Ameaças do Azure
    • Playbook de resposta a ameaças do GCP
    • Google Cloud: execução: binário ou biblioteca carregada executada
    • Google Cloud – Execução – Criptomineração
    • Google Cloud – Execução – script de URL malicioso ou Processo de shell
    • Google Cloud: malware – indicadores
    • Google Cloud: persistência – concessão anormal do IAM
    • Google Cloud – Persistência – Comportamento suspeito
  • Manuais de descobertas de postura:
    • Posture – Toxic Combination Playbook (link em inglês)
    • Resultados da postura: genérico
    • Posture Findings: genérico – VM Manager (desativado por padrão)
    • Descobertas de postura com o Jira (desativada por padrão)
    • Descobertas de postura com o ServiceNow (desativado por padrão)
  • Manual para lidar com as recomendações do IAM:
    • Resposta do recomendador do IAM (desativado por padrão)

Os playbooks desativados por padrão são opcionais e exigem a ativação manualmente no console de Operações de Segurança antes de usá-los.

No console de operações de segurança, as descobertas se tornam alertas de caso. Acionador de alertas playbooks anexados para executar o conjunto de ações configurado para recuperar o máximo possível de informações sobre os alertas, remediando e, dependendo do tipo de playbook, fornecer as informações necessárias para criar tíquetes ou gerenciar as combinações tóxicas e o IAM recomendações.

Playbooks de resposta a ameaças

É possível executar os playbooks de resposta a ameaças para analisar ameaças, enriquecer os resultados usando diferentes fontes e sugerir e aplicar uma resposta de correção. Os playbooks de resposta a ameaças usam vários serviços, Google SecOps, Security Command Center, Inventário de recursos do Cloud e produtos como VirusTotal e Mandiant Threat Intelligence você obtém o máximo de contexto possível sobre ameaças. Os playbooks podem ajudar você a entender se a ameaça no ambiente é um verdadeiro positivo ou um falso positivo e qual é a resposta ideal para ela.

Para garantir que os playbooks de resposta a ameaças proporcionem o conhecimento informações sobre ameaças, consulte Configuração avançada para ameaças de configuração.

O manual GCP Threat Response Playbook executa uma resposta genérica a ameaças originadas do Google Cloud.

O manual de resposta a ameaças da AWS executa uma resposta genérica a ameaças originadas da Amazon Web Services.

O manual de Resposta a ameaças do Azure executa uma resposta genérica a ameaças originadas do Microsoft Azure. Para remediar ameaças, o playbook enriquece as informações do Microsoft Entra ID e oferece suporte para responder a e-mails.

O playbook Google Cloud – Malware – Indicators pode ajudar você a responder a ameaças relacionadas a malware e enriquecer os indicadores de comprometimento (IoC, na sigla em inglês) e os recursos afetados. Como parte da correção, o playbook sugere que você interrompe uma instância suspeita ou desativa uma conta de serviço.

O playbook Google Cloud – Execution – Binary or Library Loaded Executed pode ajudar você a lidar com um novo binário ou biblioteca suspeito em um contêiner. Depois de enriquecer as informações sobre o contêiner e o à conta de serviço associada, o playbook envia um e-mail para uma o analista de dados para corrigir o problema.

O guia Google Cloud – Execução – Binário ou biblioteca carregado executado funciona com as seguintes descobertas:

  • Adição de binário executado
  • Adição de biblioteca carregada
  • Execução: adição de binário malicioso executado
  • Execução: adição de biblioteca maliciosa carregada
  • Execução: criação em binário malicioso executado
  • Execução: binário malicioso modificado executado
  • Execução: biblioteca maliciosa modificada carregada

Para mais informações sobre as descobertas em que o playbook se concentra, consulte Detecção de ameaças a contêineres geral do Google.

O playbook Google Cloud – Execution – Cryptomining pode ajudar você a detectar ameaças de mineração de criptomoedas no Google Cloud, enriquecer informações sobre recursos e contas de serviço afetados, investigar a atividade detectada em recursos relacionados para identificar vulnerabilidades e configurações incorretas. Como resposta a ameaças, o playbook sugere que você interrompa uma operação instância ou desativar um conta de serviço.

O script ou shell do Google Cloud – Execução – URL malicioso Process pode ajudar a lidar com atividades suspeitas em um contêiner e e realizar um enriquecimento de recursos dedicado. Como resposta a ameaças, o playbook envia um e-mail para um analista de segurança designado.

O playbook Google Cloud: execução – script de URL malicioso ou processo de shell funciona com as seguintes descobertas:

  • Script malicioso executado
  • URL malicioso observado
  • Shell reverso
  • Shell filho inesperado

Para mais informações sobre as descobertas em que o playbook se concentra, consulte Detecção de ameaças a contêineres geral do Google.

O playbook Google Cloud – Malware – indicadores pode ajudar você lida com as ameaças relacionadas a malware detectadas pelo Security Command Center e investigar as instâncias potencialmente comprometidas.

Concessão anômala de IAM do Google Cloud Persistência pode ajudar a investigar uma identidade ou conta de serviço que concedeu permissões suspeitas para um principal junto com o conjunto de permissões concedidas, e identificar o principal em questão. Como resposta à ameaça, o playbook sugere que você desative uma conta de serviço suspeita ou, se não for uma conta de serviço associada a uma descoberta, envie um e-mail a um analista de segurança designado para uma nova correção.

Para mais informações sobre as regras usadas no playbook, consulte a Visão geral do Container Threat Detection.

O playbook Google Cloud: persistência – comportamento suspeito (link em inglês) pode ajudar você a lidar com os subconjuntos específicos de comportamento suspeito relacionado ao usuário, como fazer login usando um novo método de API. Como resposta à ameaça, o playbook envia um e-mail para um analista de segurança designado para uma correção adicional.

Para mais informações sobre as regras usadas no playbook, consulte Informações gerais sobre ameaças a eventos Detecção.

Playbooks de descobertas de postura

Use os playbooks de descobertas de postura para analisar as descobertas de postura multicloud, enriquecê-los usando o Security Command Center e o Inventário de recursos do Cloud e destacar as informações relevantes recebidas nos artigos Visão geral do caso guia. Os playbooks de descobertas de postura garantem que a sincronização das descobertas e funciona conforme o esperado.

O manual Posture – Manual de Combinação Tóxica pode ajudar você a enriquecer combinações tóxicas e definir as informações necessárias, como tags de capitalização que O Security Command Center precisa rastrear e processar as combinações tóxicas e descobertas relacionadas.

O playbook Posture Findings – Generic – VM Manager é uma versão leve do playbook Posture Findings – Generic que não contém etapas de enriquecimento do inventário de recursos do Cloud e funciona apenas para as descobertas do VM Manager.

Por padrão, apenas o playbook Posture Findings – Generic está ativado. Se você integrar com o Jira ou o ServiceNow, desative o playbook Posture Findings – Generic e ative o que for relevante para seu sistema de emissão de tíquetes. Para saber Saiba mais sobre como configurar o Jira ou o ServiceNow em Integrar o Security Command Center Empresa com sistemas de tíquetes

Além de investigar e enriquecer as descobertas de postura, os playbooks Posture Findings With Jira e Posture Findings With ServiceNow garantem que o valor do proprietário do recurso (endereço de e-mail) declarado em uma descoberta seja válido e atribuível no respectivo sistema de emissão de tíquetes. Os playbooks de resultados de postura opcionais coletam as informações necessárias para criar novos tickets e atualizar tickets existentes quando novos alertas são processados nos casos atuais.

Playbook para lidar com as recomendações do IAM

Use o manual IAM Recommender Response para abordar e aplicar automaticamente as recomendações sugeridas pelo recomendador do IAM. Isso manual não oferece nenhum enriquecimento e não cria tíquetes, mesmo quando integrados a um sistema de tíquetes.

Para mais detalhes sobre como ativar e usar a Resposta do recomendador do IAM. playbook, consulte Automatizar recomendações do IAM usando playbooks.

A seguir

Para saber mais sobre playbooks, consulte as seguintes páginas na documentação do Google SecOps: