playbook 概览

本文档简要介绍了 Security Command Center 的企业层级。

概览

在 Security Command Center 中,使用 playbook 探索和丰富信息 提醒,获取更多 获取关于发现结果的多余权限的建议 并自动响应威胁、漏洞、 和错误配置与服务工单系统集成后,手册可帮助您专注于相关的状况发现结果,同时确保支持请求与工单之间保持同步。

Security Command Center 的企业层级为您提供以下功能: 策略方案:

  • 威胁响应手册:
    • AWS 威胁响应手册
    • Azure 威胁响应指南
    • GCP 威胁响应指南
    • Google Cloud - 执行 - 加载的二进制文件或库已执行
    • Google Cloud - 执行 - 加密货币挖矿
    • Google Cloud - 执行 - 恶意网址脚本或 Shell 进程
    • Google Cloud - 恶意软件 - 指标
    • Google Cloud - 持久性 - IAM 异常授权
    • Google Cloud - 持久性 - 可疑行为
  • 状况发现结果策略方案:
    • 安全态势 – 恶意组合指南
    • 状况发现结果 - 通用
    • Posture Findings - Generic - VM Manager(默认处于停用状态)
    • 使用 Jira 生成的状况发现结果(默认处于停用状态)
    • 使用 ServiceNow 生成的状况发现结果(默认处于停用状态)
  • 有关处理 IAM 建议的手册:
    • IAM Recommender Response(默认停用)

默认处于停用状态的 Playbook 是可选的,您需要先在安全运营控制台中手动启用它们,然后才能使用。

在 Security Operations 控制台中,发现结果会变为案例提醒。提醒触发器 附加的 playbook,用于针对 Cloud Storage 存储分区 尽可能多地检索有关警报的信息,从而修复 威胁,根据策略方案类型,提供所需的信息来 创建工单,或管理恶意组合和 IAM 建议。

威胁响应策略方案

您可以执行威胁响应策略方案,以分析威胁,丰富信息, 使用不同来源发现的发现结果,然后提出建议并采取补救措施。 威胁响应手册会使用 Google SecOps、Security Command Center、Cloud Asset Inventory 等多种服务,以及 VirusTotal 和 Mandiant Threat Intelligence 等产品,帮助您尽可能获取有关威胁的背景信息。这些手册可帮助您了解环境中的威胁是真正例还是假正例,以及针对该威胁的最佳响应是什么。

为确保威胁响应手册可为您提供有关威胁的完整信息,请参阅威胁管理的高级配置

GCP 威胁响应指南策略方案会针对 Google Cloud 安全威胁防护

AWS 威胁响应手册可针对源自 Amazon Web Services 的威胁执行通用响应。

Azure 威胁响应手册可针对源自 Microsoft Azure 的威胁执行通用响应。如需解决威胁, 丰富来自 Microsoft Entra ID 的信息,并支持响应 电子邮件。

Google Cloud - 恶意软件 - 指标手册可帮助您应对与恶意软件相关的威胁,并丰富失陷指标 (IoC) 和受影响的资源。作为补救措施,该 Playbook 建议您停止可疑实例或停用服务账号。

Google Cloud - 执行 - 二进制文件或库加载 已执行的 playbook 可帮助您处理 Google Cloud 控制台中可疑的新二进制文件或库, 容器在丰富了容器和 关联的服务账号,该 playbook 会向分配的安全账号发送电子邮件 分析人员,以进行进一步的补救。

Google Cloud - 执行 - 二进制文件或库已加载并已执行 Playbook 适用于以下发现结果:

  • 已执行添加的二进制文件
  • 已加载添加的库
  • 执行:已添加的恶意二进制文件已执行
  • 执行:已添加的恶意库已加载
  • 执行:已执行内置恶意二进制文件
  • 执行:已执行经过修改的恶意二进制文件
  • 执行:已加载经过修改的恶意库

如需详细了解本手册重点关注的发现结果,请参阅 容器威胁检测 概览

Google Cloud - 执行 - 加密货币策略方案可以 可帮助您检测 Google Cloud 中的加密货币挖矿威胁, 有关受影响资产和服务账号的信息,调查相关活动 检测出是否存在漏洞和错误配置。作为威胁响应,该 Playbook 建议您停止受影响的计算实例或停用服务账号。

Google Cloud - 执行 - 恶意网址脚本或 Shell Process playbook 可帮助您处理容器中的可疑活动, 执行专门的资源扩充作为威胁响应,该 Playbook 会向指定的安全分析师发送电子邮件。

Google Cloud - 执行 - 恶意网址脚本或 Shell Process playbook 可处理以下发现结果:

  • 已执行恶意脚本
  • 观察到恶意网址
  • 反向 shell
  • 意外的 Shell Shell

如需详细了解该手册重点关注的发现结果,请参阅 Container Threat Detection 概览

Google Cloud - 恶意软件 - 指标手册可为您提供帮助 您可以处理 Security Command Center 检测到的与恶意软件相关的威胁, 调查可能遭到入侵的实例。

Google Cloud - 持久性 - IAM 异常授予手册可帮助您调查向主账号授予可疑权限的身份或服务账号以及授予的权限集,并确定相关主账号。作为威胁响应,策略方案 建议您停用可疑的服务账号;如果此账号并非服务 该账号与发现结果相关联但用户,则向 指定安全分析人员进行进一步修复。

如需详细了解该 Playbook 中使用的规则,请参阅 Container Threat Detection 概览

Google Cloud - 持久性 - 可疑行为 playbook 可以帮助您处理与特定用户相关的部分可疑情况, 例如使用新的 API 方法登录。作为威胁响应, Playbook 会向指定的安全分析师发送电子邮件,以便进行进一步修复。

如需详细了解本指南中使用的规则,请参阅 事件威胁概述 检测

安全状况发现结果 playbook

使用安全状况发现结果手册来分析多云安全状况发现结果, 使用 Security Command Center 和 Cloud Asset Inventory 充实这些信息,并重点介绍 支持请求概述中收到的相关信息, 标签页。 安全状况发现结果 Playbook 可确保发现结果和支持请求的同步按预期运行。

Posture – Toxic Combination Playbook 可帮助您丰富信息 恶意组合并设置必要信息,例如案例标记, Security Command Center 需要跟踪和处理恶意组合, 相关发现结果。

安全状况发现结果 - 通用 - 虚拟机管理器手册是 精简版本的安全状况发现结果 - 通用手册, 不包含 Cloud Asset Inventory 丰富步骤,仅适用于 虚拟机管理器发现结果。

默认情况下,只有态势发现结果 - 通用 Playbook 处于启用状态。如果您与 Jira 或 ServiceNow 集成,请停用状况发现 - 通用 Playbook,并启用与您的工单系统相关的 Playbook。如需详细了解如何配置 Jira 或 ServiceNow,请参阅将 Security Command Center Enterprise 与工单系统集成

除了调查和丰富折叠状态发现结果之外,安全状况 Finding With JiraPosture Findings With ServiceNow Playbook 可以 发现结果中指明的资源所有者值(电子邮件地址)有效且 可在相应的工单系统中分配。可选的状况发现结果 playbook 会收集创建新工单和更新现有工单所需的信息 将新提醒提取到现有案例中时发出通知。

处理 IAM 建议的操作手册

使用 IAM Recommender Response playbook 自动解决相关问题并加以应用 IAM Recommender 建议的建议。这个 Playbook 不提供信息增补,也不会创建工单, 与票务系统集成。

详细了解如何启用和使用 IAM Recommender Response playbook,请参阅 使用策略方案自动提供 IAM 建议

后续步骤

如需详细了解 Playbook,请参阅 Google SecOps 文档中的以下页面: