Présentation des playbooks

Ce document présente les playbooks disponibles au niveau Entreprise de Security Command Center.

Les alertes, les cas et les playbooks sont fournis par Google Security Operations.

Présentation

Dans Security Command Center, utilisez des playbooks pour explorer et enrichir les alertes, obtenir plus d'informations sur les résultats, obtenir des recommandations sur les autorisations excessives dans votre organisation, et automatiser les réponses aux menaces, aux failles et aux erreurs de configuration. Lorsque vous intégrez des systèmes de billetterie, les playbooks vous aident à vous concentrer sur les résultats de stratégie pertinents tout en assurant la synchronisation entre les demandes et les demandes.

Le niveau Entreprise de Security Command Center fournit les playbooks suivants:

• Guides de réponse aux menaces :
  • Gestion des menaces GCP
  • AWS Threat Response
• Playbook sur les résultats de la stratégie :
  • Résultats de la stratégie – Générique
  • Posture Findings With Jira (Résultats de la stratégie avec Jira) (désactivé par défaut)
  • Posture Findings With ServiceNow (Résultats de la stratégie avec ServiceNow, désactivé par défaut)
• Playbook sur la gestion des recommandations IAM :
  • Réponse de l'outil de recommandation IAM (désactivé par défaut)

Les playbooks désactivés par défaut sont facultatifs. Vous devez les activer manuellement dans la console des opérations de sécurité avant de les utiliser.

Dans la console Opérations de sécurité, les résultats deviennent des alertes de cas. Les alertes déclenchent les playbooks associés pour exécuter l'ensemble d'actions configuré afin de récupérer autant d'informations que possible sur les alertes et de corriger la menace. Selon le type de playbook, elles fournissent les informations requises pour créer des demandes d'assistance ou gérer les recommandations IAM.

Playbooks de réponse aux menaces

Le playbook GCP Threat Response traite les résultats des menaces Google Cloud. Le playbook AWS Threat Response traite les résultats des menaces provenant d'Amazon Web Services.

Vous pouvez exécuter les playbooks de réponse aux menaces pour analyser la menace, enrichir les résultats à l'aide de différentes sources, et suggérer et appliquer une réponse corrective. Les playbooks de réponse aux menaces utilisent plusieurs services tels que Google SecOps, Security Command Center, inventaire des éléments cloud et des produits tels que VirusTotal et Mandiant Threat Intelligence pour vous aider à obtenir le plus de contexte possible sur la menace. Ces playbooks aident les analystes de sécurité à déterminer si la menace qui pèse sur l'environnement est un vrai positif ou un faux positif, et à déterminer la réponse optimale à cette menace.

Pour vous assurer que les playbooks de réponse aux menaces vous fournissent toutes les informations sur les menaces, consultez la page Configuration avancée pour la gestion des menaces.

Playbooks sur les résultats de la stratégie

Utilisez les playbooks sur les résultats de stratégie pour analyser ces résultats, les enrichir à l'aide de Security Command Center et de l'inventaire des éléments cloud, et mettez en évidence les informations pertinentes reçues dans l'onglet Présentation de la demande. Les playbooks sur les résultats de stratégie garantissent que la synchronisation des résultats et des cas fonctionne comme prévu.

Par défaut, seul le playbook Posture Findings - Generic (Résultats de la stratégie - Générique) est activé. Si vous intégrez Jira ou ServiceNow, désactivez le playbook Posture Findings - Generic (Résultats de la stratégie - Generic) et activez celui qui est pertinent pour votre système de billetterie. Pour en savoir plus sur la configuration de Jira ou de ServiceNow, consultez la page Intégrer Security Command Center Enterprise aux systèmes de tickets.

En plus d'examiner et d'enrichir les résultats concernant la stratégie, les playbooks Posture Findings With Jira et Posture Findings With ServiceNow garantissent que la valeur du propriétaire de la ressource (adresse e-mail) indiquée dans un résultat est valide et attribuable dans le système de suivi des demandes concerné. Les playbooks sur les résultats de stratégie facultatifs collectent les informations nécessaires pour créer des demandes d'assistance et mettre à jour les demandes existantes lorsque de nouvelles alertes sont ingérées dans des demandes existantes.

Playbook sur la gestion des recommandations IAM

Utilisez le playbook Réponse de l'outil de recommandation IAM pour traiter et appliquer automatiquement les recommandations suggérées par l'outil de recommandation IAM. Ce playbook n'est pas enrichissant et ne crée aucune demande d'assistance, même lorsque vous avez intégré un système de suivi des demandes.

Pour en savoir plus sur l'activation et l'utilisation du playbook Réponse de l'outil de recommandation IAM, consultez Automatiser les recommandations IAM à l'aide de playbooks.

Étape suivante

Pour en savoir plus sur les playbooks, consultez les pages suivantes de la documentation Google SecOps:

• Contenu de la page du playbook
• Utiliser des flux dans des playbooks
• Utiliser des actions dans les playbooks
• Utiliser les blocs de playbooks
• Joindre des playbooks à une alerte
• Attribuer des actions et des blocs de playbooks