Descripción general de las guías

En este documento, se proporciona una descripción general de las guías disponibles en el nivel empresarial de Security Command Center.

Las alertas, los casos y las guías cuentan con la tecnología de Google Security Operations.

Descripción general

En Security Command Center, usa guías para explorar y enriquecer las alertas, obtener más información sobre los hallazgos, obtener recomendaciones sobre permisos excesivos en tu organización y automatizar las respuestas a amenazas, vulnerabilidades y parámetros de configuración incorrectos. Cuando integras los sistemas de tickets, las guías te ayudan a enfocarte en los hallazgos de postura relevantes, a la vez que garantizan la sincronización entre los casos y los tickets.

El nivel empresarial de Security Command Center te proporciona las siguientes guías:

• Guías de respuesta ante amenazas:
  • Respuesta ante amenazas de GCP
  • Respuesta ante amenazas de AWS
• Guías para los resultados de la postura:
  • Hallazgos de la postura: Genéricos
  • Hallazgos de postura con Jira (inhabilitado de forma predeterminada)
  • Resultados de la postura con ServiceNow (inhabilitado de forma predeterminada)
• Guía para manejar las recomendaciones de IAM:
  • Respuesta del recomendador de IAM (inhabilitado de forma predeterminada)

Las guías inhabilitadas de forma predeterminada son opcionales y requieren que las habilites de forma manual en la consola de operaciones de seguridad antes de usarlas.

En la consola de operaciones de seguridad, los resultados se convierten en alertas de casos. Las alertas activan las guías adjuntas para ejecutar el conjunto configurado de acciones a fin de recuperar tanta información sobre las alertas como sea posible, corregir la amenaza y, según el tipo de guía, proporcionar la información necesaria para crear tickets o administrar las recomendaciones de IAM.

Guías de respuesta ante amenazas

La guía de Respuesta ante amenazas de GCP procesa los hallazgos de amenazas de Google Cloud. La guía AWS Threat Response procesa los hallazgos de las amenazas que se originan en Amazon Web Services.

Puedes ejecutar las guías de respuesta ante amenazas para analizar la amenaza, enriquecer el hallazgo mediante diferentes fuentes, y sugerir y aplicar una respuesta de corrección. Las guías de respuesta ante amenazas usan varios servicios, como Google SecOps, Security Command Center, Cloud Asset Inventory y productos como VirusTotal y Mandiant Threat Intelligence para ayudarte a obtener el mayor contexto posible sobre la amenaza. Las guías ayudan a los analistas de seguridad a comprender si la amenaza en el entorno es un verdadero positivo o un falso positivo, y cuál es la respuesta óptima para ella.

Para asegurarte de que las guías de respuesta ante amenazas te proporcionen la información completa sobre las amenazas, consulta Configuración avanzada de la administración de amenazas.

Guías para los hallazgos de la postura

Usa las guías de hallazgos de la postura para analizar los hallazgos de la postura en múltiples nubes, enriquecerlos con Security Command Center y Cloud Asset Inventory, y destacar la información relevante recibida en la pestaña Descripción general del caso. Las guías de resultados de la postura garantizan que la sincronización de los hallazgos y los casos funcione según lo previsto.

De forma predeterminada, solo está habilitada la guía Posture Findings - Generic (Hallazgos de postura: genérico). Si integras Jira o ServiceNow, inhabilita la guía Posture Findings - Generic (Hallazgos de postura: genérico) y habilita la que sea relevante para tu sistema de tickets. Para obtener más información sobre la configuración de Jira o ServiceNow, consulta Integra Security Command Center Enterprise con sistemas de tickets.

Además de investigar y enriquecer los hallazgos de postura, las guías Posture Findings With Jira y Posture Findings With ServiceNow garantizan que el valor del propietario del recurso (dirección de correo electrónico) indicado en un hallazgo sea válido y se pueda asignar en el sistema de tickets respectivo. Las guías opcionales para los hallazgos de posición recopilan la información necesaria para crear tickets nuevos y actualizar los existentes cuando se transfieren alertas nuevas a casos existentes.

Guía para manejar las recomendaciones de IAM

Usa la guía de respuesta del recomendador de IAM para abordar y aplicar de forma automática las recomendaciones sugeridas por el recomendador de IAM. Esta guía no proporciona enriquecimiento y no crea tickets, incluso cuando te integraste a un sistema de tickets.

Para obtener más detalles sobre cómo habilitar y usar la guía de respuesta del recomendador de IAM, consulta Automatiza las recomendaciones de IAM con guías.

Próximos pasos

Para obtener más información sobre las guías, consulta las siguientes páginas en la documentación de Google SecOps:

• ¿Qué hay en la página de la guía?
• Usa flujos en guías
• Usa acciones en las guías
• Trabaja con bloques de guías
• Adjunta guías a una alerta
• Asigna acciones y bloques de la guía