플레이북 개요

이 문서에서는 Security Command Center 엔터프라이즈 등급에서 제공되는 플레이북에 대해 간략하게 설명합니다.

알림, 케이스, 플레이북은 Google Security Operations에서 제공합니다.

개요

Security Command Center에서 플레이북을 사용하면 알림을 탐색 및 강화하고, 발견 항목에 대한 추가 정보를 확인하고, 조직에서 과도한 권한에 대한 권장사항을 확인하고, 위협, 취약점, 구성 오류에 대한 대응을 자동화할 수 있습니다. 티켓팅 시스템과 통합할 때 플레이북은 케이스와 티켓 사이의 동기화를 보장하면서 관련된 상황 발견 항목에 집중하는 데 도움이 됩니다.

Security Command Center 엔터프라이즈 등급은 다음과 같은 플레이북을 제공합니다.

• 위협 대응 플레이북:
  • GCP 위협 대응
  • AWS 위협 대응
• 상황 발견 항목 플레이북:
  • 상황 발견 항목 - 일반
  • Jira 포함 상황 발견 항목(기본적으로 사용 중지됨)
  • ServiceNow 포함 상황 발견 항목(기본적으로 사용 중지됨)
• IAM 권장사항을 처리하기 위한 플레이북:
  • IAM 추천자 대응(기본적으로 사용 중지됨)

기본적으로 사용 중지되는 플레이북은 선택사항입니다. 이를 사용하려면 그전에 보안 운영 콘솔에서 수동으로 사용 설정해야 합니다.

보안 운영 콘솔에서 발견 항목은 케이스 알림이 됩니다. 알림은 연결된 플레이북을 트리거하여 가능한 한 알림에 대한 많은 정보를 검색하고, 위협을 해결하기 위해 구성된 작업 집합을 실행하고, 플레이북 유형에 따라 티켓을 생성하거나 IAM 권장사항을 관리하는 데 필요한 정보를 제공합니다.

위협 대응 플레이북

GCP 위협 대응 플레이북은 Google Cloud 위협 발견 항목을 처리합니다. AWS 위협 대응 플레이북은 Amazon Web Services에서 시작되는 위협 발견 항목을 처리합니다.

위협 대응 플레이북을 실행하여 위협을 분석하고, 여러 다른 소스를 사용해서 발견 항목을 강화하고, 해결 대응을 권장하고 적용할 수 있습니다. 위협 대응 플레이북은 Google SecOps, Security Command Center, Cloud 애셋 인벤토리와 같은 여러 서비스와 VirusTotal 및 Mandiant Threat Intelligence와 같은 제품을 사용하여 가능한 한 많은 위협 관련 컨텍스트를 얻을 수 있게 도와줍니다. 보안 분석가는 플레이북을 통해 환경에서 발견된 위협이 참양성 또는 거짓양성인지 그리고 이에 대한 최적의 대응은 무엇인지 파악할 수 있습니다.

위협 대응 플레이북이 위협에 대한 완전한 정보를 제공하도록 보장하기 위해서는 위협 관리를 위한 고급 구성을 참조하세요.

상황 발견 항목 플레이북

상황 발견 항목 플레이북을 사용해서 멀티 클라우드 상황 발견 항목을 분석하고, Security Command Center 및 Cloud Asset Inventory를 사용해서 이를 강화하고, 케이스 개요 탭에서 수신된 관련 정보를 강조 표시할 수 있습니다. 상황 발견 항목 플레이북은 발견 항목 및 케이스에 대한 동기화가 예상한 대로 작동할 수 있게 해줍니다.

기본적으로 상황 발견 항목 - 일반 플레이북만 사용 설정됩니다. Jira 또는 ServiceNow와 통합하는 경우 상황 발견 항목 - 일반 플레이북을 사용 중지하고 티켓팅 시스템과 관련된 항목을 사용 설정합니다. Jira 또는 ServiceNow 구성에 대한 자세한 내용은 티켓팅 시스템과 Security Command Center 엔터프라이즈 통합을 참조하세요.

상황 발견 항목 조사 및 강화 외에도 Jira 포함 상황 발견 항목 및 ServiceNow 포함 상황 발견 항목 플레이북은 발견 항목에 표시된 리소스 소유자 값(이메일 주소)이 유효하도록 보장하고 해당 티켓팅 시스템에서 이를 할당할 수 있게 해줍니다. 선택적인 상황 발견 항목 플레이북은 새 티켓을 만들고 새 티켓이 기존 케이스에 수집된 경우 기존 티켓을 업데이트하는 데 필요한 정보를 수집합니다.

IAM 권장사항을 처리하기 위한 플레이북

IAM 추천자 대응 플레이북을 사용하면 IAM 추천자로 제안되는 권장사항을 자동으로 처리하고 적용할 수 있습니다. 이 플레이북은 보강 기능을 제공하지 않으며 티켓팅 시스템과 통합한 경우에도 티켓을 생성하지 않습니다.

IAM 추천자 대응 플레이북을 사용 설정하고 사용하는 방법은 플레이북을 사용하여 IAM 권장사항 자동화를 참조하세요.

다음 단계

플레이북에 대한 자세한 내용은 Google SecOps 문서의 다음 페이지를 참조하세요.

• 플레이북 페이지에는 무엇이 있나요?
• 플레이북에서 흐름 사용
• 플레이북에서 작업 사용
• 플레이북 블록 작업
• 알림에 플레이북 연결
• 작업 및 플레이북 블록 할당