Este documento apresenta uma visão geral dos playbooks disponíveis no nível Enterprise do Security Command Center.
Visão geral
No Security Command Center, use playbooks para analisar e enriquecer alertas, receber mais informações sobre descobertas, receber recomendações sobre permissões em excesso na organização e automatizar respostas a ameaças, vulnerabilidades e configurações incorretas. Quando você se integra a sistemas de tíquetes, os playbooks ajudam a se concentrar em descobertas de postura relevantes, garantindo a sincronização entre casos e tíquetes.
O nível Enterprise do Security Command Center oferece os seguintes playbooks:
- Playbooks de resposta a ameaças:
- Manual de resposta a ameaças da AWS
- Manual de Resposta a Ameaças do Azure
- Playbook de resposta a ameaças do GCP
- Google Cloud: execução: binário ou biblioteca carregada executada
- Google Cloud – Execução – Criptomineração
- Google Cloud – Execução – script de URL malicioso ou Processo de shell
- Google Cloud: malware – indicadores
- Google Cloud: persistência – concessão anormal do IAM
- Google Cloud – Persistência – Comportamento suspeito
- Manuais de descobertas de postura:
- Posture – Toxic Combination Playbook (link em inglês)
- Resultados da postura: genérico
- Posture Findings: genérico – VM Manager (desativado por padrão)
- Descobertas de postura com o Jira (desativada por padrão)
- Descobertas de postura com o ServiceNow (desativado por padrão)
- Manual para lidar com as recomendações do IAM:
- Resposta do recomendador do IAM (desativado por padrão)
Os playbooks desativados por padrão são opcionais e exigem a ativação manualmente no console de Operações de Segurança antes de usá-los.
No console de operações de segurança, as descobertas se tornam alertas de caso. Acionador de alertas playbooks anexados para executar o conjunto de ações configurado para recuperar o máximo possível de informações sobre os alertas, remediando e, dependendo do tipo de playbook, fornecer as informações necessárias para criar tíquetes ou gerenciar as combinações tóxicas e o IAM recomendações.
Playbooks de resposta a ameaças
É possível executar os playbooks de resposta a ameaças para analisar ameaças, enriquecer os resultados usando diferentes fontes e sugerir e aplicar uma resposta de correção. Os playbooks de resposta a ameaças usam vários serviços, Google SecOps, Security Command Center, Inventário de recursos do Cloud e produtos como VirusTotal e Mandiant Threat Intelligence você obtém o máximo de contexto possível sobre ameaças. Os playbooks podem ajudar você a entender se a ameaça no ambiente é um verdadeiro positivo ou um falso positivo e qual é a resposta ideal para ela.
Para garantir que os playbooks de resposta a ameaças proporcionem o conhecimento informações sobre ameaças, consulte Configuração avançada para ameaças de configuração.
O manual GCP Threat Response Playbook executa uma resposta genérica a ameaças originadas do Google Cloud.
O manual de resposta a ameaças da AWS executa uma resposta genérica a ameaças originadas da Amazon Web Services.
O manual de Resposta a ameaças do Azure executa uma resposta genérica a ameaças originadas do Microsoft Azure. Para remediar ameaças, o playbook enriquece as informações do Microsoft Entra ID e oferece suporte para responder a e-mails.
O playbook Google Cloud – Malware – Indicators pode ajudar você a responder a ameaças relacionadas a malware e enriquecer os indicadores de comprometimento (IoC, na sigla em inglês) e os recursos afetados. Como parte da correção, o playbook sugere que você interrompe uma instância suspeita ou desativa uma conta de serviço.
O playbook Google Cloud – Execution – Binary or Library Loaded Executed pode ajudar você a lidar com um novo binário ou biblioteca suspeito em um contêiner. Depois de enriquecer as informações sobre o contêiner e o à conta de serviço associada, o playbook envia um e-mail para uma o analista de dados para corrigir o problema.
O guia Google Cloud – Execução – Binário ou biblioteca carregado executado funciona com as seguintes descobertas:
- Adição de binário executado
- Adição de biblioteca carregada
- Execução: adição de binário malicioso executado
- Execução: adição de biblioteca maliciosa carregada
- Execução: criação em binário malicioso executado
- Execução: binário malicioso modificado executado
- Execução: biblioteca maliciosa modificada carregada
Para mais informações sobre as descobertas em que o playbook se concentra, consulte Detecção de ameaças a contêineres geral do Google.
O playbook Google Cloud – Execution – Cryptomining pode ajudar você a detectar ameaças de mineração de criptomoedas no Google Cloud, enriquecer informações sobre recursos e contas de serviço afetados, investigar a atividade detectada em recursos relacionados para identificar vulnerabilidades e configurações incorretas. Como resposta a ameaças, o playbook sugere que você interrompa uma operação instância ou desativar um conta de serviço.
O script ou shell do Google Cloud – Execução – URL malicioso Process pode ajudar a lidar com atividades suspeitas em um contêiner e e realizar um enriquecimento de recursos dedicado. Como resposta a ameaças, o playbook envia um e-mail para um analista de segurança designado.
O playbook Google Cloud: execução – script de URL malicioso ou processo de shell funciona com as seguintes descobertas:
- Script malicioso executado
- URL malicioso observado
- Shell reverso
- Shell filho inesperado
Para mais informações sobre as descobertas em que o playbook se concentra, consulte Detecção de ameaças a contêineres geral do Google.
O playbook Google Cloud – Malware – indicadores pode ajudar você lida com as ameaças relacionadas a malware detectadas pelo Security Command Center e investigar as instâncias potencialmente comprometidas.
Concessão anômala de IAM do Google Cloud Persistência pode ajudar a investigar uma identidade ou conta de serviço que concedeu permissões suspeitas para um principal junto com o conjunto de permissões concedidas, e identificar o principal em questão. Como resposta à ameaça, o playbook sugere que você desative uma conta de serviço suspeita ou, se não for uma conta de serviço associada a uma descoberta, envie um e-mail a um analista de segurança designado para uma nova correção.
Para mais informações sobre as regras usadas no playbook, consulte a Visão geral do Container Threat Detection.
O playbook Google Cloud: persistência – comportamento suspeito (link em inglês) pode ajudar você a lidar com os subconjuntos específicos de comportamento suspeito relacionado ao usuário, como fazer login usando um novo método de API. Como resposta à ameaça, o playbook envia um e-mail para um analista de segurança designado para uma correção adicional.
Para mais informações sobre as regras usadas no playbook, consulte Informações gerais sobre ameaças a eventos Detecção.
Playbooks de descobertas de postura
Use os playbooks de descobertas de postura para analisar as descobertas de postura multicloud, enriquecê-los usando o Security Command Center e o Inventário de recursos do Cloud e destacar as informações relevantes recebidas nos artigos Visão geral do caso guia. Os playbooks de descobertas de postura garantem que a sincronização das descobertas e funciona conforme o esperado.
O manual Posture – Manual de Combinação Tóxica pode ajudar você a enriquecer combinações tóxicas e definir as informações necessárias, como tags de capitalização que O Security Command Center precisa rastrear e processar as combinações tóxicas e descobertas relacionadas.
O playbook Posture Findings – Generic – VM Manager é uma versão leve do playbook Posture Findings – Generic que não contém etapas de enriquecimento do inventário de recursos do Cloud e funciona apenas para as descobertas do VM Manager.
Por padrão, apenas o playbook Posture Findings – Generic está ativado. Se você integrar com o Jira ou o ServiceNow, desative o playbook Posture Findings – Generic e ative o que for relevante para seu sistema de emissão de tíquetes. Para saber Saiba mais sobre como configurar o Jira ou o ServiceNow em Integrar o Security Command Center Empresa com sistemas de tíquetes
Além de investigar e enriquecer as descobertas de postura, os playbooks Posture Findings With Jira e Posture Findings With ServiceNow garantem que o valor do proprietário do recurso (endereço de e-mail) declarado em uma descoberta seja válido e atribuível no respectivo sistema de emissão de tíquetes. Os playbooks de resultados de postura opcionais coletam as informações necessárias para criar novos tickets e atualizar tickets existentes quando novos alertas são processados nos casos atuais.
Playbook para lidar com as recomendações do IAM
Use o manual IAM Recommender Response para abordar e aplicar automaticamente as recomendações sugeridas pelo recomendador do IAM. Isso manual não oferece nenhum enriquecimento e não cria tíquetes, mesmo quando integrados a um sistema de tíquetes.
Para mais detalhes sobre como ativar e usar a Resposta do recomendador do IAM. playbook, consulte Automatizar recomendações do IAM usando playbooks.
A seguir
Para saber mais sobre playbooks, consulte as seguintes páginas na documentação do Google SecOps:
- O que está na página do Playbook?
- Usar fluxos em playbooks
- Usar ações nos playbooks
- Trabalhar com blocos de playbooks
- Anexar playbooks a um alerta
- Atribuir ações e bloqueios do playbook