Présentation des playbooks

Ce document présente les playbooks disponibles dans le niveau Enterprise de Security Command Center.

Présentation

Dans Security Command Center, utilisez des playbooks pour explorer et enrichir les alertes, obtenir plus d'informations sur les résultats, obtenir des recommandations sur les autorisations excessives dans votre organisation et automatiser les réponses aux menaces, failles et erreurs de configuration. En intégrant des systèmes de billetterie, les playbooks permettent vous pouvez vous concentrer sur les résultats de stratégie pertinents tout en garantissant la synchronisation les demandes et les demandes d'assistance.

Le niveau Enterprise de Security Command Center vous fournit les playbooks suivants :

  • Playbooks de réponse aux menaces :
    • Guide de réponse aux menaces AWS
    • Playbook Azure Threat Response
    • Playbook de réponse aux menaces dans GCP
    • Google Cloud – Exécution – Binaire ou bibliothèque chargée Exécuté
    • Google Cloud : exécution - Cryptomining
    • Google Cloud - Execution – Malicious URL Script or Shell Process
    • Google Cloud – Logiciels malveillants – Indicateurs
    • Google Cloud – Persistance – Autorisation IAM anormale
    • Google Cloud – Persistence – Suspicious Behaviour
  • Livres de stratégies sur les résultats de la recherche de stratégies :
    • Posture – Playbook sur les combinaisons toxiques
    • Observations sur la posture - Générique
    • Résultats de la stratégie – Générique – VM Manager (désactivé par par défaut)
    • Posture Findings With Jira (Résultats de la stratégie avec Jira) (désactivé par défaut)
    • Résultats de l'analyse de la posture avec ServiceNow (désactivé par défaut)
  • Playbook sur la gestion des recommandations IAM:
    • Réponse de l'outil de recommandation IAM (désactivé par défaut)

Les playbooks désactivés par défaut sont facultatifs et nécessitent que vous les activiez manuellement dans la console Opérations de sécurité avant de les utiliser.

Dans la console Opérations de sécurité, les résultats deviennent des alertes de cas. Déclencheur d'alertes playbooks joints pour exécuter l'ensemble d'actions configuré pour de récupérer autant d'informations que possible sur les alertes, et, selon le type de playbook, fournir les informations requises créer des tickets ou gérer les combinaisons toxiques recommandations.

Playbooks de réponse aux menaces

Vous pouvez exécuter les playbooks de réponse aux menaces pour analyser les menaces, enrichir les résultats à l'aide de différentes sources, et suggérer et appliquer une réponse de remédiation. Les playbooks de réponse aux menaces utilisent plusieurs services : Google SecOps, Security Command Center, inventaire des éléments cloud et tels que VirusTotal et Mandiant Threat Intelligence afin d'obtenir autant de contexte que possible sur les menaces. Les playbooks peuvent vous aider pour déterminer si la menace qui pèse sur l’environnement est bien réelle positif ou faux positif, et quelle est la réponse optimale pour cela.

Pour s’assurer que les playbooks de réponse aux menaces vous fournissent l’intégralité des informations sur les menaces, consultez Configuration avancée pour les menaces gestion de la sécurité.

Le playbook GCP Threat Response Playbook exécute une réponse générique aux menaces provenant de Google Cloud.

Le playbook AWS Threat Response Playbook exécute une réponse générique aux menaces provenant d'Amazon Web Services.

Le playbook Azure Threat Response Playbook exécute une réponse générique aux menaces provenant de Microsoft Azure. Pour remédier aux menaces, le playbook enrichit les informations de Microsoft Entra ID et permet de répondre aux e-mails.

Le playbook Google Cloud – Logiciels malveillants – Indicateurs peut vous aider à répondre aux menaces liées aux logiciels malveillants et à enrichir les indicateurs de compromission (IoC) et les ressources concernées. Dans le cadre de la remédiation, le playbook suggère que vous arrêtez une instance suspecte ou désactivez un compte de service.

L'option Google Cloud – Exécution – binaire ou bibliothèque chargée Le playbook exécuté peut vous aider à gérer un nouveau binaire ou une nouvelle bibliothèque suspecte dans un conteneur. Après avoir enrichi les informations sur le conteneur et compte de service associé, le playbook envoie un e-mail à une adresse pour une remédiation supplémentaire.

Le playbook Google Cloud - Execution – Binary or Library Loaded executed fonctionne avec les résultats suivants :

  • Fichier binaire ajouté exécuté
  • Ajout de bibliothèque chargée
  • Exécution: exécution du binaire malveillant ajouté
  • Exécution: ajout d'une bibliothèque malveillante chargée
  • Exécution: binaire malveillant intégré
  • Exécution : fichier binaire malveillant modifié exécuté
  • Exécution: bibliothèque malveillante modifiée chargée

Pour en savoir plus sur les résultats ciblés par ce guide, consultez Container Threat Detection présentation.

Le playbook Google Cloud – Exécution – Minage de cryptomonnaie peut vous aider à détecter les menaces de minage de cryptomonnaie dans Google Cloud, à enrichir les informations sur les éléments et les comptes de service concernés, et à examiner l'activité détectée sur les ressources associées pour détecter les failles et les erreurs de configuration. En réponse à la menace, le playbook vous suggère d'arrêter une instance de calcul affectée ou de désactiver un compte de service.

Le script ou l'interface système Google Cloud – Exécution – URL malveillante que le playbook sur les processus peut vous aider à gérer une activité suspecte dans un conteneur. d'enrichir les ressources dédiées. Pour répondre aux menaces, le playbook envoie un e-mail à un analyste de sécurité attitré.

Le script ou l'interface système Google Cloud – Exécution – URL malveillante "Processus" fonctionne avec les résultats suivants:

  • Script malveillant exécuté
  • URL malveillante détectée
  • Interface système inversée
  • Shell enfant inattendu

Pour en savoir plus sur les résultats ciblés par ce guide, consultez Container Threat Detection présentation.

Le playbook Google Cloud – Logiciels malveillants – Indicateurs peut vous aider vous gérez les menaces liées aux logiciels malveillants détectées par Security Command Center examiner les instances potentiellement compromises.

Le playbook Google Cloud – Persistence – IAM Anomalous Grant (Google Cloud – Persistance – Accord d'autorisations anormales IAM) peut vous aider à examiner une identité ou un compte de service qui a accordé des autorisations suspectes à un principal, ainsi que l'ensemble des autorisations accordées, et à identifier le principal en question. Pour répondre aux menaces, le playbook suggère de désactiver un compte de service suspect ou, s'il ne s'agit pas d'un service, associé à un résultat, mais un utilisateur, envoie un e-mail à un un analyste de sécurité attitré pour une correction supplémentaire.

Pour en savoir plus sur les règles utilisées dans le playbook, consultez Container Threat Detection présentation.

Google Cloud – Persistance – Comportement suspect playbook peut vous aider à gérer les sous-ensembles spécifiques de ressources suspectes comme la connexion à l'aide d'une nouvelle méthode API. En réponse à une menace, le playbook envoie un e-mail à un analyste de sécurité désigné pour une résolution plus approfondie.

Pour en savoir plus sur les règles utilisées dans le playbook, consultez la section Présentation d'Event Threat Detection.

Playbooks sur les résultats de l'analyse de la posture

Utilisez les playbooks sur les résultats de la stratégie pour analyser ces résultats. les enrichir à l'aide de Security Command Center et de l'inventaire des éléments cloud, les informations pertinentes reçues dans la section Présentation de la demande l'onglet. Les playbooks sur les résultats de stratégie garantissent que la synchronisation des résultats et fonctionne comme prévu.

Le playbook Posture – Combinaisons toxiques peut vous enrichir de combinaisons toxiques et de définir les informations nécessaires, comme les balises de cas Security Command Center doit suivre et traiter les combinaisons et des résultats connexes.

Le playbook Résultats de l'évaluation de la posture - Générique - VM Manager est une version allégée du playbook Résultats de l'évaluation de la posture - Générique qui ne contient pas d'étapes d'enrichissement de l'inventaire des éléments cloud et ne fonctionne que pour les résultats de VM Manager.

Par défaut, seul le playbook Posture Findings – Generic (Résultats de la stratégie – Générique) est activé. Si vous effectuez une intégration avec Jira ou ServiceNow, désactivez le playbook Résultats de l'analyse de la posture - générique et activez celui qui convient à votre système de gestion des tickets. Pour en savoir plus sur la configuration de Jira ou de ServiceNow, consultez Intégrer Security Command Center Enterprise à des systèmes de gestion des tickets.

En plus d'examiner et d'enrichir les résultats de l'évaluation de la posture, les playbooks Résultats de l'évaluation de la posture avec Jira et Résultats de l'évaluation de la posture avec ServiceNow garantissent que la valeur du propriétaire de la ressource (adresse e-mail) indiquée dans un résultat est valide et attribuable dans le système de gestion des tickets respectif. Résultats facultatifs concernant la stratégie les playbooks collectent les informations nécessaires pour créer de nouvelles demandes d'assistance et mettre à jour les lorsque de nouvelles alertes sont ingérées dans des demandes existantes.

Playbook sur la gestion des recommandations IAM

Utilisez le playbook Réponse à l'outil de recommandation IAM pour traiter et appliquer automatiquement les recommandations suggérées par l'outil de recommandation IAM. Ce playbook ne fournit pas d'enrichissement et ne crée pas de tickets même si vous avez intégrés à un système de suivi des demandes d'assistance.

Pour en savoir plus sur l'activation et l'utilisation du playbook Réponse de l'outil de recommandation IAM, consultez Automatiser les recommandations IAM à l'aide de playbooks.

Étape suivante

Pour en savoir plus sur les playbooks, consultez les pages suivantes Documentation Google SecOps: