Playbooks

Dieses Dokument bietet einen Überblick über die Playbooks, die Ihnen in der Enterprise-Stufe von Security Command Center zur Verfügung stehen.

Benachrichtigungen, Supportanfragen und Playbooks basieren auf Google Security Operations.

Überblick

Verwenden Sie in Security Command Center Playbooks, um Benachrichtigungen zu untersuchen und anzureichern, mehr Informationen zu Ergebnissen zu erhalten, Empfehlungen zu nicht erforderlichen Berechtigungen in Ihrer Organisation zu erhalten und die Reaktion auf Bedrohungen, Sicherheitslücken und Fehlkonfigurationen zu automatisieren. Durch die Einbindung von Ticketsystemen können Sie sich mithilfe von Playbooks auf relevante Statusergebnisse konzentrieren und gleichzeitig für die Synchronisierung zwischen Fällen und Tickets sorgen.

Auf der Enterprise-Stufe von Security Command Center finden Sie die folgenden Playbooks:

  • Playbooks zur Bedrohungsabwehr:
    • GCP-Bedrohungsabwehr
    • AWS-Bedrohungsabwehr
  • Playbooks mit den Ergebnissen zum Sicherheitsstatus:
    • Ergebnisse zu Haltungen – allgemein
    • Posture-Ergebnisse mit Jira (standardmäßig deaktiviert)
    • Posture-Ergebnisse mit ServiceNow (standardmäßig deaktiviert)
  • Playbook zum Umgang mit den IAM-Empfehlungen:
    • IAM Recommender-Antwort (standardmäßig deaktiviert)

Die standardmäßig deaktivierten Playbooks sind optional und müssen vor der Verwendung manuell in der Security Operations Console aktiviert werden.

In der Security Operations Console werden Ergebnisse zu Fallbenachrichtigungen. Benachrichtigungen lösen angehängte Playbooks aus, um die konfigurierten Aktionen auszuführen, um so viele Informationen zu Benachrichtigungen wie möglich abzurufen, die Bedrohung zu beheben und je nach Playbook-Typ die erforderlichen Informationen zum Erstellen von Tickets oder zum Verwalten der IAM-Empfehlungen bereitzustellen.

Playbooks zur Bedrohungsreaktion

Das Playbook GCP Threat Response verarbeitet die Ergebnisse zu Google Cloud-Bedrohungen. Das Playbook AWS Threat Response verarbeitet die von Amazon Web Services stammenden Bedrohungsergebnisse.

Sie können die Playbooks für die Bedrohungsreaktion ausführen, um die Bedrohung zu analysieren, das Ergebnis mithilfe verschiedener Quellen anzureichern und eine Abhilfemaßnahme vorzuschlagen und anzuwenden. Die Playbooks für die Bedrohungsreaktion umfassen verschiedene Dienste wie Google SecOps, Security Command Center, Cloud Asset Inventory und Produkte wie VirusTotal und Mandiant Threat Intelligence, um möglichst viel Kontext zu einer Bedrohung zu erhalten. Die Playbooks helfen Sicherheitsanalysten zu verstehen, ob die Bedrohung in der Umgebung richtig positiv oder falsch-positiv ist und wie die optimale Reaktion darauf ist.

Informationen dazu, ob die Playbooks zur Bedrohungsreaktion vollständige Informationen zu Bedrohungen enthalten, finden Sie unter Erweiterte Konfiguration für das Bedrohungsmanagement.

Playbooks mit den Ergebnissen zum Sicherheitsstatus

Verwenden Sie die Playbooks für Statusergebnisse, um die Ergebnisse des Multi-Cloud-Status zu analysieren, mit dem Security Command Center und Cloud Asset Inventory anreichern und die erhaltenen relevanten Informationen auf dem Tab Fallübersicht hervorheben. Die Playbooks für den Sicherheitsstatus sorgen dafür, dass die Synchronisierung für Ergebnisse und Supportanfragen wie erwartet funktioniert.

Standardmäßig ist nur das Playbook Posture Findings – Generic aktiviert. Wenn Sie Jira oder ServiceNow einbinden, deaktivieren Sie das Playbook Posture Findings – Generic und aktivieren Sie das Playbook, das für Ihr Ticketing-System relevant ist. Weitere Informationen zum Konfigurieren von Jira oder ServiceNow finden Sie unter Security Command Center Enterprise in Ticketing-Systeme einbinden.

Zusätzlich zur Untersuchung und Erweiterung der Ergebnisse des Sicherheitsstatus sorgen die Playbooks Posture Findings With Jira und Posture Findings With ServiceNow dafür, dass der in einem Ergebnis angegebene Wert des Ressourceninhabers (E-Mail-Adresse) gültig und im jeweiligen Ticketing-System zuweisbar ist. In den optionalen Playbooks mit den Ergebnissen des Sicherheitsstatus werden Informationen erfasst, die zum Erstellen neuer Tickets und zum Aktualisieren vorhandener Tickets erforderlich sind, wenn neue Benachrichtigungen in vorhandene Fälle aufgenommen werden.

Playbook zum Umgang mit IAM-Empfehlungen

Verwenden Sie das Playbook IAM Recommender Response, um die vom IAM-Recommender vorgeschlagenen Empfehlungen automatisch zu berücksichtigen und anzuwenden. Dieses Playbook bietet keine Anreicherung und erstellt auch dann keine Tickets, wenn Sie ein Ticketsystem eingebunden haben.

Weitere Informationen zum Aktivieren und Verwenden des Playbooks IAM Recommender Response finden Sie unter IAM-Empfehlungen mithilfe von Playbooks automatisieren.

Nächste Schritte

Weitere Informationen zu Playbooks finden Sie auf den folgenden Seiten der Google SecOps-Dokumentation: