Questo documento fornisce una panoramica dei playbook disponibili nel livello Enterprise di Security Command Center.
Avvisi, casi e playbook sono basati su Google Security Operations.
Panoramica
In Security Command Center, utilizza i playbook per esplorare e arricchire gli avvisi, ottenere ulteriori informazioni sui risultati, ricevere suggerimenti sulle autorizzazioni in eccesso nella tua organizzazione e automatizzare le risposte a minacce, vulnerabilità e configurazioni errate. Quando vengono integrati con i sistemi di gestione delle richieste di assistenza, i playbook ti aiutano a concentrarti sui risultati pertinenti relativi alla postura, garantendo al contempo la sincronizzazione tra le richieste e le richieste di assistenza.
Il livello Enterprise di Security Command Center fornisce i seguenti playbook:
- Playbook di risposta alle minacce:
- Risposta alle minacce di Google Cloud
- Risposta alla minaccia AWS
- Playbook sui risultati della postura:
- Risultati posture - Generici
- Posture Findings With Jira (disattivato per impostazione predefinita)
- Posture Findings With ServiceNow (disattivato per impostazione predefinita)
- Playbook per la gestione dei suggerimenti IAM:
- Risposta del motore per suggerimenti IAM (disattivata per impostazione predefinita)
I playbook disabilitati per impostazione predefinita sono facoltativi e richiedono di abilitarli manualmente nella console operativa di sicurezza prima di utilizzarli.
Nella console operativa di sicurezza, i risultati diventano avvisi relativi a richieste. Gli avvisi attivano i playbook allegati per eseguire l'insieme di azioni configurato al fine di recuperare quante più informazioni possibili sugli avvisi, correggere la minaccia e, a seconda del tipo di playbook, fornire le informazioni richieste per creare ticket o gestire i suggerimenti IAM.
Playbook di risposta alle minacce
Il playbook GCP Threat Response elabora i risultati delle minacce Google Cloud. Il playbook AWS Threat Response elabora i risultati delle minacce provenienti da Amazon Web Services.
Puoi eseguire i playbook di risposta alle minacce per analizzare la minaccia, arricchire i risultati utilizzando diverse fonti e suggerire e applicare una risposta di correzione. I playbook di risposta alle minacce utilizzano diversi servizi come Google SecOps, Security Command Center, Cloud Asset Inventory e prodotti come VirusTotal e Mandiant Threat Intelligence per aiutarti a ottenere il maggior contesto possibile sulla minaccia. I playbook aiutano gli analisti della sicurezza a capire se la minaccia nell'ambiente è un vero positivo o un falso positivo e qual è la risposta ottimale alla stessa.
Per assicurarti che i playbook di risposta alle minacce forniscano informazioni complete sulle minacce, consulta Configurazione avanzata per la gestione delle minacce.
Playbook sui risultati della postura
Usa i playbook sui risultati della postura per analizzare i risultati della postura multi-cloud, arricchiscili utilizzando Security Command Center e Cloud Asset Inventory ed evidenzia le informazioni pertinenti ricevute nella scheda Panoramica delle richieste. I playbook sui risultati della postura assicurano che la sincronizzazione dei risultati e dei casi funzioni come previsto.
Per impostazione predefinita, è abilitato solo il playbook Risultati posture - Generici. Se esegui l'integrazione con Jira o ServiceNow, disattiva il playbook Risultati posture - Generici e attiva quello pertinente per il tuo sistema di gestione dei ticket. Per scoprire di più sulla configurazione di Jira o ServiceNow, consulta Integrare Security Command Center Enterprise con i sistemi di gestione dei ticket.
Oltre a indagare e arricchire i risultati relativi alla postura, i playbook Posture Findings With Jira e Posture Findings With ServiceNow assicurano che il valore del proprietario della risorsa (indirizzo email) indicato in un risultato sia valido e assegnabile nel rispettivo sistema di gestione dei ticket. I playbook facoltativi sui risultati relativi alla postura raccolgono le informazioni necessarie per creare nuovi ticket e aggiornare quelli esistenti quando nuovi avvisi vengono importati in casi esistenti.
Guida pratica per la gestione dei suggerimenti IAM
Utilizza il playbook Risposta del motore per suggerimenti IAM per risolvere e applicare automaticamente i suggerimenti suggeriti dal motore per suggerimenti IAM. Questa guida pratica non offre ulteriori vantaggi e non crea ticket anche se è stato integrato con un sistema di gestione dei ticket.
Per ulteriori dettagli sull'attivazione e l'utilizzo del playbook Risposta del motore per suggerimenti IAM, consulta Automatizzare i suggerimenti IAM utilizzando i playbook.
Che cosa succede dopo?
Per scoprire di più sui playbook, consulta le seguenti pagine nella documentazione di Google SecOps:
- Cosa c'è nella pagina del Playbook?
- Utilizzare i flussi nei playbook
- Utilizzare le azioni nei playbook
- Utilizzare i blocchi dei playbook
- Allegare i playbook a un avviso
- Assegnare azioni e blocchi del playbook