Diese Seite wurde von der Cloud Translation API übersetzt.

Playbooks – Übersicht

In diesem Dokument finden Sie eine Übersicht über die Playbooks, die Ihnen in der Enterprise-Stufe von Security Command Center zur Verfügung stehen.

Übersicht

Verwenden Sie Playbooks, um im Security Command Center die Umgebung zu erkunden und anzureichern Benachrichtigungen erhalten, weitere Informationen zu Ergebnissen, Empfehlungen zu nicht erforderlichen Berechtigungen in und die Reaktion auf Bedrohungen, Sicherheitslücken, und Fehlkonfigurationen. Wenn Sie eine Ticketsystem-Integration nutzen, können Sie sich mithilfe von Playbooks auf relevante Sicherheitsrisiken konzentrieren und gleichzeitig die Synchronisierung zwischen Anfragen und Tickets sicherstellen.

Die Enterprise-Stufe von Security Command Center bietet Ihnen die folgenden Playbooks:

Playbooks zur Reaktion auf Bedrohungen:
- AWS-Playbook für die Reaktion auf Bedrohungen
- Azure Threat Response Playbook
- GCP Threat Response Playbook
- Google Cloud – Ausführung – Binärdatei oder Bibliothek geladen und ausgeführt
- Google Cloud – Ausführung – Kryptomining
- Google Cloud – Ausführung – Malware-URL-Skript oder Shell-Prozess
- Google Cloud – Malware – Indikatoren
- Google Cloud – Persistenz – Anomale IAM-Berechtigung
- Google Cloud – Persistence – Suspicious Behaviour
Playbooks für Ergebnisergebnisse:
- Posture – Playbook zu schädlichen Kombinationen
- Ergebnisse zur Haltung – allgemein
- Statusergebnisse – generisch – VM Manager (deaktiviert durch Standard)
- Posture-Ergebnisse mit Jira (standardmäßig deaktiviert)
- Posture-Ergebnisse mit ServiceNow (standardmäßig deaktiviert)
Playbook für die Verwaltung der IAM-Empfehlungen:
- IAM Recommender-Antwort (standardmäßig deaktiviert)

Die standardmäßig deaktivierten Playbooks sind optional und müssen manuell in der Security Operations Console aktiviert werden, bevor Sie sie verwenden können.

In der Security Operations Console werden die Ergebnisse zu Fallbenachrichtigungen. Auslöser für Benachrichtigungen angehängte Playbooks, um den konfigurierten Satz von Aktionen für so viele Informationen wie möglich abzurufen, und, je nach Playbook-Typ, die erforderlichen Informationen Tickets erstellen oder toxische Kombinationen und IAM verwalten Empfehlungen.

Playbooks zur Reaktion auf Bedrohungen

Sie können die Playbooks zur Reaktion auf Bedrohungen ausführen, um Bedrohungen zu analysieren, Ergebnisse mit verschiedenen Quellen anzureichern und eine Abhilfemaßnahme vorzuschlagen und anzuwenden. Playbooks zur Reaktion auf Bedrohungen nutzen mehrere Dienste wie Google SecOps, Security Command Center, Cloud Asset Inventory und wie VirusTotal und Mandiant Threat Intelligence erhalten Sie so viel Kontext wie möglich zu Bedrohungen. Anhand der Playbooks können Sie nachvollziehen, ob die Bedrohung in der Umgebung ein echter oder ein falscher Alarm ist und welche optimale Reaktion darauf erfolgt.

Damit Sie in den Playbooks zur Reaktion auf Bedrohungen Informationen zu Bedrohungen finden Sie Erweiterte Konfiguration für Bedrohungen Verwaltung von Google-Produkten.

Das Playbook GCP Threat Response Playbook führt eine generische Reaktion auf Bedrohungen, die von Google Cloud ausgehen.

Das Playbook AWS Threat Response Playbook führt eine generische Antwort auf Bedrohungen, die von Amazon Web Services ausgehen.

Das Azure Threat Response Playbook-Playbook führt eine generische Antwort auf Bedrohungen, die von Microsoft Azure ausgehen. Um Bedrohungen zu beheben, werden im Playbook die Informationen aus Microsoft Entra ID ergänzt und es wird unterstützt, auf E-Mails zu antworten.

Das Playbook Google Cloud – Malware – Indikatoren kann Ihnen helfen, auf Malware-bezogene Bedrohungen zu reagieren und die Kompromittierungsindikatoren (IoC) und betroffenen Ressourcen zu ergänzen. Im Rahmen der Behebung wird im Playbook empfohlen, eine verdächtige Instanz zu beenden oder ein Dienstkonto zu deaktivieren.

Das Playbook Google Cloud – Ausführung – Binärprogramm oder Bibliothek geladen und ausgeführt kann Ihnen bei der Verarbeitung eines verdächtigen neuen Binärprogramms oder einer verdächtigen neuen Bibliothek in einem Container helfen. Nachdem Sie die Informationen über den Container und den verknüpftes Dienstkonto hat, sendet das Playbook eine E-Mail an ein zugewiesenes Sicherheitsteam. an die Analysefachkraft, um weitere Abhilfemaßnahmen zu ergreifen.

Das Playbook Google Cloud – Ausführung – Binärdatei oder Bibliothek geladen und ausgeführt funktioniert mit den folgenden Ergebnissen:

Ausgeführte Binärdatei hinzugeführt
Hinzugefügte Mediathek geladen
Ausführung: Ausgeführte schädliche Binärdatei hinzugefügt
Ausführung: Schädliche Bibliothek wurde hinzugefügt
Ausführung: Integrierter bösartiger Binärprogramm ausgeführt
Ausführung: Geändertes bösartiges Binärprogramm ausgeführt
Ausführung: Geänderte schädliche Bibliothek geladen

Weitere Informationen zu den Ergebnissen, auf die sich das Playbook konzentriert, finden Sie unter Container Threat Detection – Übersicht.

Das Playbook Google Cloud – Execution – Cryptomining bietet folgende Möglichkeiten: helfen Ihnen, Kryptomining-Bedrohungen in Google Cloud zu erkennen, anreichern Informationen zu betroffenen Assets und Dienstkonten erhalten, in zugehörigen Ressourcen auf Sicherheitslücken und Fehlkonfigurationen erkannt. Als Reaktion auf die Bedrohung wird im Playbook empfohlen, eine betroffene Compute-Instanz zu beenden oder ein Dienstkonto zu deaktivieren.

Das Playbook Google Cloud – Ausführung – Schadhaftes URL-Script oder Shell-Prozess kann Ihnen dabei helfen, verdächtige Aktivitäten in einem Container zu behandeln und eine spezielle Ressourcenanreicherung durchzuführen. Als Reaktion auf eine Bedrohung sendet das Playbook eine E-Mail an einen zugewiesenen Sicherheitsanalysten.

Google Cloud – Execution – Malware-URL-Skript oder Shell Das Playbook für Prozesse funktioniert mit den folgenden Ergebnissen:

Schädliches Script ausgeführt
Schädliche URL beobachtet
Reverse Shell
Unerwartete untergeordnete Shell

Weitere Informationen zu den Ergebnissen, auf die sich das Playbook konzentriert, finden Sie unter Container Threat Detection .

Das Playbook Google Cloud – Malware – Indikatoren kann Ihnen dabei helfen. dass Sie mit den von Security Command Center erkannten Malware-Bedrohungen umgehen und und prüfen Sie die potenziell gehackten Instanzen.

Google Cloud – Persistence – Anomale IAM-Berechtigung Playbook kann Ihnen helfen, eine Identität oder ein Dienstkonto zu untersuchen, verdächtige Berechtigungen für ein Hauptkonto zusammen mit den erteilten Berechtigungen, und das betreffende Hauptkonto identifizieren. Als Reaktion auf Bedrohungen bietet das Playbook schlägt vor, ein verdächtiges Dienstkonto zu deaktivieren oder, falls es sich nicht um einen Dienst handelt Konto, das mit einem Ergebnis verknüpft ist, aber von einem Nutzer, eine E-Mail an ein Sicherheitsanalyst zur weiteren Abhilfe zugewiesen.

Weitere Informationen zu den im Playbook verwendeten Regeln finden Sie unter Container Threat Detection – Übersicht.

Das Playbook Google Cloud – Persistence – Suspicious Behaviour (Google Cloud – Persistenz – Verdächtiges Verhalten) kann Ihnen bei der Verarbeitung bestimmter Arten verdächtiger nutzerbezogener Verhaltensweisen helfen, z. B. bei der Anmeldung mit einer neuen API-Methode. Als Reaktion auf eine Bedrohung sendet das Playbook eine E-Mail an einen zugewiesenen Sicherheitsanalysten zur weiteren Behebung.

Weitere Informationen zu den im Playbook verwendeten Regeln finden Sie unter Überblick über Ereignisbedrohungen Erkennung.

Playbooks für Ergebnisergebnisse

Analysieren Sie mithilfe der Playbooks zum Sicherheitsstatus die Ergebnisse des Multi-Cloud-Status, mit Security Command Center und Cloud Asset Inventory anreichern die relevanten Informationen in der Fallübersicht . Mit den Playbooks für Sicherheitsstatus-Ergebnisse wird sichergestellt, dass die Synchronisierung von Ergebnissen und Anfragen wie erwartet funktioniert.

Das Playbook Posture – Toxic Combination Playbook kann dir dabei helfen, deine Inhalte zu bereichern. unangemessenen Kombinationen zu zeigen und die notwendigen Informationen wie Fall-Tags anzugeben, Security Command Center muss die schädlichen Kombinationen und verwandten Ergebnissen.

Das Playbook Posture Findings – Generic – VM Manager ist eine schlanke Version des Playbooks Posture Findings – Generic, das keine Schritte zur Cloud Asset Inventory-Anreicherung enthält und nur für die VM Manager-Ergebnisse funktioniert.

Standardmäßig ist nur das Playbook Posture Findings – Generic aktiviert. Bei der Einbindung in Jira oder ServiceNow deaktivieren Sie die Option Posture Findings – Allgemein Playbook und aktivieren Sie das Playbook, das für Ihr Ticketing-System relevant ist. Weitere Informationen Weitere Informationen zum Konfigurieren von Jira oder ServiceNow finden Sie unter Security Command Center integrieren Unternehmen mit Ticketing-Systemen.

Die Playbooks Posture Findings With Jira und Posture Findings With ServiceNow dienen nicht nur dazu, die Ergebnisse der Risikobewertung zu untersuchen und zu ergänzen, sondern auch dafür, dass der in einem Ergebnis angegebene Wert für den Ressourceninhaber (E-Mail-Adresse) gültig und im jeweiligen Ticketsystem zuzuweisen ist. In optionalen Playbooks für Statusbefunde werden Informationen erfasst, die zum Erstellen neuer Tickets und zum Aktualisieren vorhandener Tickets erforderlich sind, wenn neue Benachrichtigungen in vorhandene Fälle aufgenommen werden.

Playbook für die Verwaltung der IAM-Empfehlungen

Verwenden Sie das Playbook IAM Recommender Response, um die vom IAM-Recommender vorgeschlagenen Empfehlungen automatisch zu bearbeiten und anzuwenden. Dieses Playbook bietet keine Datenanreicherung und erstellt keine Tickets, auch wenn Sie eine Ticketsystem-Integration vorgenommen haben.

Weitere Informationen zum Aktivieren und Verwenden des Playbooks IAM Recommender Response finden Sie unter IAM-Empfehlungen mithilfe von Playbooks automatisieren.

Nächste Schritte

Weitere Informationen zu Playbooks finden Sie auf den folgenden Seiten der Google SecOps-Dokumentation: