Panoramica dei playbook

Questo documento fornisce una panoramica dei playbook disponibili nel livello Enterprise di Security Command Center.

Avvisi, casi e playbook sono basati su Google Security Operations.

Panoramica

In Security Command Center, utilizza i playbook per esplorare e arricchire gli avvisi, ottenere ulteriori informazioni sui risultati, ricevere suggerimenti sulle autorizzazioni in eccesso nella tua organizzazione e automatizzare le risposte a minacce, vulnerabilità e configurazioni errate. Quando vengono integrati con i sistemi di gestione delle richieste di assistenza, i playbook ti aiutano a concentrarti sui risultati pertinenti relativi alla postura, garantendo al contempo la sincronizzazione tra le richieste e le richieste di assistenza.

Il livello Enterprise di Security Command Center fornisce i seguenti playbook:

• Playbook di risposta alle minacce:
  • Risposta alle minacce di Google Cloud
  • Risposta alla minaccia AWS
• Playbook sui risultati della postura:
  • Risultati posture - Generici
  • Posture Findings With Jira (disattivato per impostazione predefinita)
  • Posture Findings With ServiceNow (disattivato per impostazione predefinita)
• Playbook per la gestione dei suggerimenti IAM:
  • Risposta del motore per suggerimenti IAM (disattivata per impostazione predefinita)

I playbook disabilitati per impostazione predefinita sono facoltativi e richiedono di abilitarli manualmente nella console operativa di sicurezza prima di utilizzarli.

Nella console operativa di sicurezza, i risultati diventano avvisi relativi a richieste. Gli avvisi attivano i playbook allegati per eseguire l'insieme di azioni configurato al fine di recuperare quante più informazioni possibili sugli avvisi, correggere la minaccia e, a seconda del tipo di playbook, fornire le informazioni richieste per creare ticket o gestire i suggerimenti IAM.

Playbook di risposta alle minacce

Il playbook GCP Threat Response elabora i risultati delle minacce Google Cloud. Il playbook AWS Threat Response elabora i risultati delle minacce provenienti da Amazon Web Services.

Puoi eseguire i playbook di risposta alle minacce per analizzare la minaccia, arricchire i risultati utilizzando diverse fonti e suggerire e applicare una risposta di correzione. I playbook di risposta alle minacce utilizzano diversi servizi come Google SecOps, Security Command Center, Cloud Asset Inventory e prodotti come VirusTotal e Mandiant Threat Intelligence per aiutarti a ottenere il maggior contesto possibile sulla minaccia. I playbook aiutano gli analisti della sicurezza a capire se la minaccia nell'ambiente è un vero positivo o un falso positivo e qual è la risposta ottimale alla stessa.

Per assicurarti che i playbook di risposta alle minacce forniscano informazioni complete sulle minacce, consulta Configurazione avanzata per la gestione delle minacce.

Playbook sui risultati della postura

Usa i playbook sui risultati della postura per analizzare i risultati della postura multi-cloud, arricchiscili utilizzando Security Command Center e Cloud Asset Inventory ed evidenzia le informazioni pertinenti ricevute nella scheda Panoramica delle richieste. I playbook sui risultati della postura assicurano che la sincronizzazione dei risultati e dei casi funzioni come previsto.

Per impostazione predefinita, è abilitato solo il playbook Risultati posture - Generici. Se esegui l'integrazione con Jira o ServiceNow, disattiva il playbook Risultati posture - Generici e attiva quello pertinente per il tuo sistema di gestione dei ticket. Per scoprire di più sulla configurazione di Jira o ServiceNow, consulta Integrare Security Command Center Enterprise con i sistemi di gestione dei ticket.

Oltre a indagare e arricchire i risultati relativi alla postura, i playbook Posture Findings With Jira e Posture Findings With ServiceNow assicurano che il valore del proprietario della risorsa (indirizzo email) indicato in un risultato sia valido e assegnabile nel rispettivo sistema di gestione dei ticket. I playbook facoltativi sui risultati relativi alla postura raccolgono le informazioni necessarie per creare nuovi ticket e aggiornare quelli esistenti quando nuovi avvisi vengono importati in casi esistenti.

Guida pratica per la gestione dei suggerimenti IAM

Utilizza il playbook Risposta del motore per suggerimenti IAM per risolvere e applicare automaticamente i suggerimenti suggeriti dal motore per suggerimenti IAM. Questa guida pratica non offre ulteriori vantaggi e non crea ticket anche se è stato integrato con un sistema di gestione dei ticket.

Per ulteriori dettagli sull'attivazione e l'utilizzo del playbook Risposta del motore per suggerimenti IAM, consulta Automatizzare i suggerimenti IAM utilizzando i playbook.

Che cosa succede dopo?

Per scoprire di più sui playbook, consulta le seguenti pagine nella documentazione di Google SecOps:

• Cosa c'è nella pagina del Playbook?
• Utilizzare i flussi nei playbook
• Utilizzare le azioni nei playbook
• Utilizzare i blocchi dei playbook
• Allegare i playbook a un avviso
• Assegnare azioni e blocchi del playbook