Dokumen ini memberikan ringkasan playbook yang tersedia untuk Anda di Security Command Center tingkat Enterprise.
Pemberitahuan, kasus, dan playbook didukung oleh Chronicle Security Operations.
Ringkasan
Di Security Command Center, gunakan playbook untuk mempelajari dan memperkaya pemberitahuan, mendapatkan informasi lebih lanjut tentang temuan, mendapatkan rekomendasi tentang izin yang berlebihan di organisasi Anda, dan mengotomatiskan respons terhadap ancaman, kerentanan, serta kesalahan konfigurasi. Saat Anda berintegrasi dengan sistem tiket, playbook membantu Anda berfokus pada temuan postur yang relevan sekaligus memastikan sinkronisasi antara kasus dan tiket.
Security Command Center tingkat Enterprise menyediakan playbook berikut:
- Playbook respons ancaman:
- Respons Ancaman GCP
- Respons Ancaman AWS
- Playbook temuan postur:
- Temuan Postur - Generik
- Postur Temuan dengan Jira (dinonaktifkan secara default)
- Posture Findings With ServiceNow (dinonaktifkan secara default)
- Playbook untuk menangani rekomendasi IAM:
- Respons Pemberi Rekomendasi IAM (dinonaktifkan secara default)
Playbook yang dinonaktifkan secara default bersifat opsional dan mengharuskan Anda mengaktifkannya secara manual di konsol Security Operations sebelum menggunakannya.
Di konsol Security Operations, hasil temuan akan menjadi pemberitahuan kasus. Notifikasi memicu playbook terlampir untuk menjalankan serangkaian tindakan yang dikonfigurasi guna memperoleh sebanyak mungkin informasi tentang pemberitahuan, mengatasi ancaman, dan, bergantung pada jenis playbook, memberikan informasi yang diperlukan untuk membuat tiket atau mengelola rekomendasi IAM.
Playbook respons terhadap ancaman
Playbook Respons Ancaman GCP memproses temuan ancaman Google Cloud. Playbook AWS Threat Response memproses temuan ancaman yang berasal dari Amazon Web Services.
Anda dapat menjalankan playbook respons ancaman untuk menganalisis ancaman, memperkaya temuan menggunakan sumber yang berbeda, serta menyarankan dan menerapkan respons perbaikan. Playbook respons ancaman menggunakan beberapa layanan seperti Chironicle SecOps, Security Command Center, Cloud Asset Inventory, dan produk seperti VirusTotal dan Mandiant Threat Intelligence untuk membantu Anda memperoleh sebanyak mungkin konteks tentang ancaman. Playbook ini membantu analis keamanan memahami apakah ancaman di lingkungan bersifat positif benar atau positif palsu, dan apa respons yang optimal untuk mengatasi hal tersebut.
Untuk memastikan bahwa playbook respons ancaman memberikan informasi lengkap tentang ancaman, lihat Konfigurasi lanjutan untuk pengelolaan ancaman.
Playbook temuan postur
Gunakan playbook temuan postur untuk menganalisis temuan postur multicloud, memperkayanya menggunakan Security Command Center dan Inventaris Aset Cloud, serta menandai informasi relevan yang diterima di tab Ringkasan Kasus. Playbook temuan postur memastikan bahwa sinkronisasi untuk temuan dan kasus berfungsi seperti yang diharapkan.
Secara default, hanya playbook Postur Temu - Umum yang diaktifkan. Jika Anda berintegrasi dengan Jira atau ServiceNow, nonaktifkan playbook Posture Findings - Generic dan aktifkan playbook yang relevan untuk sistem tiket Anda. Untuk mempelajari lebih lanjut cara mengonfigurasi Jira atau ServiceNow, lihat Mengintegrasikan Security Command Center Enterprise dengan sistem tiket.
Selain menyelidiki dan memperkaya temuan postur, playbook Posture Findings With Jira dan Posture Findings With ServiceNow memastikan bahwa nilai pemilik resource (alamat email) yang dinyatakan dalam temuan valid dan dapat ditetapkan dalam sistem tiket masing-masing. Playbook temuan postur opsional mengumpulkan informasi yang diperlukan untuk membuat tiket baru dan memperbarui tiket yang sudah ada saat pemberitahuan baru diserap ke dalam kasus yang sudah ada.
Playbook untuk menangani rekomendasi IAM
Gunakan playbook Respons Pemberi Rekomendasi IAM untuk menangani dan menerapkan rekomendasi yang disarankan oleh pemberi rekomendasi IAM secara otomatis. Playbook ini tidak memberikan manfaat dan tidak membuat tiket meskipun Anda telah berintegrasi dengan sistem tiket.
Untuk mengetahui detail selengkapnya tentang cara mengaktifkan dan menggunakan playbook IAM Recommender Response, lihat Mengotomatiskan rekomendasi IAM menggunakan playbook.
Apa langkah selanjutnya?
Untuk mempelajari playbook lebih lanjut, lihat halaman berikut dalam dokumentasi SecOps Chronicle:
- Apa yang ada di halaman Playbook?
- Menggunakan alur dalam playbook
- Menggunakan tindakan di playbook
- Menangani blok playbook
- Melampirkan playbook ke notifikasi
- Menetapkan tindakan dan pemblokiran playbook