本文档简要介绍了 Security Command Center 的企业层级中可用的 playbook。
警报、案例和策略方案由 Google Security Operations 提供支持。
概览
在 Security Command Center 中,使用 playbook 探索和丰富提醒,获取有关发现结果的更多信息,获取有关组织中多余的权限的建议,以及自动响应威胁、漏洞和错误配置。与工单系统集成时,手册可帮助您专注于相关的状况发现结果,同时确保案例和工单之间的同步。
Security Command Center 的企业层级为您提供以下策略方案:
- 威胁响应策略方案:
- GCP 威胁响应
- AWS 威胁响应
- 状况发现结果策略方案:
- 状况发现结果 - 通用
- 使用 Jira 的 Posture Findings(默认处于停用状态)
- 使用 ServiceNow 的状况发现结果(默认停用)
- 有关处理 IAM 建议的手册:
- IAM Recommender Response(默认停用)
默认停用的 playbook 是可选的,您必须先在 Security Operations 控制台中手动启用它们,然后才能使用。
在 Security Operations 控制台中,发现结果会变为案例提醒。提醒会触发附加的 playbook 以执行一组已配置的操作,以便尽可能多地检索提醒相关信息、解决威胁,并根据策略类型提供创建工单或管理 IAM 建议所需的信息。
威胁响应策略方案
GCP 威胁响应策略方案会处理 Google Cloud 威胁发现结果。AWS Threat Response 策略方案会处理源自 Amazon Web Services 的威胁发现结果。
您可以执行威胁响应策略方案以分析威胁,使用不同的来源丰富发现结果,以及建议和应用补救响应。威胁响应策略方案使用 Google SecOps、Security Command Center、Cloud Asset Inventory 等多项服务以及 VirusTotal 和 Mandiant Threat Intelligence 等产品,帮助您获取尽可能多的威胁情境。这些策略方案可帮助安全分析师了解环境中的威胁是真正例还是误报,以及最佳应对措施。
为确保威胁响应策略方案为您提供有关威胁的完整信息,请参阅威胁管理高级配置。
状况发现结果策略方案
使用安全状况发现结果手册分析多云状况发现结果,使用 Security Command Center 和 Cloud Asset Inventory 丰富发现结果,并在“案例概览”标签页中突出显示收到的相关信息。状况发现结果策略方案可确保发现结果和案例的同步按预期运行。
默认情况下,仅启用 Posture Findings - Generic playbook。如果您与 Jira 或 ServiceNow 集成,请停用 Posture Findings - Generic 手册,并启用与您的工单系统相关的手册。如需详细了解如何配置 Jira 或 ServiceNow,请参阅将 Security Command Center Enterprise 与工单系统集成。
除了调查和丰富状况发现结果之外,使用 Jira 的 Posture Findings 和 Posture Findings With ServiceNow 手册可确保发现结果中声明的资源所有者值(电子邮件地址)在相应的工单系统中有效且可分配。可选的状况发现结果策略方案会收集创建新工单所需的信息,并在将新提醒提取到现有案例中时更新现有工单。
有关处理 IAM 建议的手册
使用 IAM Recommender Response playbook 自动采纳并应用 IAM Recommender 建议的建议。本指南不提供信息增补,也不会创建工单,即使您已与工单系统集成,也是如此。
如需详细了解如何启用和使用 IAM Recommender Response playbook,请参阅使用 playbook 自动执行 IAM 建议。
后续步骤
如需详细了解 playbook,请参阅 Google SecOps 文档中的以下页面: