Playbooks – Übersicht

In diesem Dokument finden Sie eine Übersicht über die Playbooks, die Ihnen in der Enterprise-Stufe von Security Command Center zur Verfügung stehen.

Übersicht

Mithilfe von Playbooks in Security Command Center können Sie Benachrichtigungen untersuchen und ergänzen, weitere Informationen zu Ergebnissen abrufen, Empfehlungen zu übermäßigen Berechtigungen in Ihrer Organisation erhalten und Reaktionen auf Bedrohungen, Sicherheitslücken und Fehlkonfigurationen automatisieren. Wenn Sie eine Ticketsystem-Integration nutzen, können Sie sich mithilfe von Playbooks auf relevante Sicherheitsrisiken konzentrieren und gleichzeitig die Synchronisierung zwischen Anfragen und Tickets sicherstellen.

Die Enterprise-Stufe von Security Command Center bietet Ihnen die folgenden Playbooks:

• Playbooks für die Reaktion auf Bedrohungen:
  • AWS-Playbook für die Reaktion auf Bedrohungen
  • Azure Threat Response Playbook
  • GCP Threat Response Playbook
  • Google Cloud – Ausführung – Binärdatei oder Bibliothek geladen und ausgeführt
  • Google Cloud – Ausführung – Kryptomining
  • Google Cloud – Ausführung – Schadhaftes URL-Script oder Shell-Prozess
  • Google Cloud – Malware – Indikatoren
  • Google Cloud – Persistence – IAM Anomalous Grant
  • Google Cloud – Persistence – Suspicious Behaviour
• Playbooks für Sicherheitsstatusergebnisse:
  • Posture – Playbook für schädliche Kombinationen
  • Ergebnisse zur Körperhaltung – allgemein
  • Posture Findings – Generic – VM Manager (standardmäßig deaktiviert)
  • Posture-Ergebnisse mit Jira (standardmäßig deaktiviert)
  • Posture-Ergebnisse mit ServiceNow (standardmäßig deaktiviert)
• Playbook für die Verwaltung der IAM-Empfehlungen:
  • IAM Recommender-Antwort (standardmäßig deaktiviert)

Die standardmäßig deaktivierten Playbooks sind optional und müssen manuell in der Security Operations Console aktiviert werden, bevor Sie sie verwenden können.

In der Security Operations Console werden die Ergebnisse zu Fallbenachrichtigungen. Benachrichtigungen lösen angehängte Playbooks aus, um die konfigurierten Aktionen auszuführen. So werden so viele Informationen wie möglich zu Benachrichtigungen abgerufen, die Bedrohung behoben und je nach Playbooktyp die erforderlichen Informationen zum Erstellen von Tickets oder zum Verwalten der schädlichen Kombinationen und IAM-Empfehlungen bereitgestellt.

Playbooks zur Reaktion auf Bedrohungen

Sie können die Playbooks zur Reaktion auf Bedrohungen ausführen, um Bedrohungen zu analysieren, Ergebnisse mit verschiedenen Quellen zu ergänzen und Maßnahmen zur Behebung von Problemen vorzuschlagen und anzuwenden. Playbooks für die Bedrohungsreaktion nutzen mehrere Dienste wie Google SecOps, Security Command Center, Cloud Asset Inventory und Produkte wie VirusTotal und Mandiant Threat Intelligence, um Ihnen so viel Kontext wie möglich zu Bedrohungen zur Verfügung zu stellen. Anhand der Playbooks können Sie nachvollziehen, ob die Bedrohung in der Umgebung ein echter oder ein falscher Alarm ist und welche optimale Reaktion darauf erfolgt.

Wie Sie dafür sorgen, dass die Playbooks zur Bedrohungsreaktion Ihnen alle Informationen zu Bedrohungen liefern, erfahren Sie unter Erweiterte Konfiguration für die Bedrohungsverwaltung.

Das Playbook GCP Threat Response Playbook führt eine generische Reaktion auf Bedrohungen aus, die aus Google Cloud stammen.

Das Playbook AWS Threat Response Playbook führt eine generische Reaktion auf Bedrohungen aus, die von Amazon Web Services stammen.

Das Playbook Azure Threat Response Playbook führt eine generische Reaktion auf Bedrohungen aus, die von Microsoft Azure stammen. Um Bedrohungen zu beheben, werden im Playbook die Informationen aus Microsoft Entra ID ergänzt und es wird unterstützt, auf E-Mails zu antworten.

Das Playbook Google Cloud – Malware – Indikatoren kann Ihnen helfen, auf Malware-bezogene Bedrohungen zu reagieren und die Kompromittierungsindikatoren (IoC) und betroffenen Ressourcen zu ergänzen. Im Rahmen der Behebung wird im Playbook empfohlen, eine verdächtige Instanz zu beenden oder ein Dienstkonto zu deaktivieren.

Das Playbook Google Cloud – Ausführung – Binärprogramm oder Bibliothek geladen und ausgeführt kann Ihnen bei der Verarbeitung eines verdächtigen neuen Binärprogramms oder einer verdächtigen neuen Bibliothek in einem Container helfen. Nachdem die Informationen zum Container und dem zugehörigen Dienstkonto ergänzt wurden, sendet das Playbook eine E-Mail an einen zugewiesenen Sicherheitsanalysten zur weiteren Behebung.

Das Playbook Google Cloud – Ausführung – Binärdatei oder Bibliothek geladen und ausgeführt funktioniert mit den folgenden Ergebnissen:

• Ausgeführte Binärdatei hinzugeführt
• Hinzugefügte Mediathek geladen
• Ausführung: Ausgeführte schädliche Binärdatei hinzugefügt
• Ausführung: Hinzugefügte schädliche Mediathek geladen
• Ausführung: Eingebaute schädliche Binärdatei ausgeführt
• Ausführung: Modifizierte schädliche Binärdatei ausgeführt
• Ausführung: Modifizierte schädliche Bibliothek geladen

Weitere Informationen zu den Ergebnissen, auf die sich das Playbook konzentriert, finden Sie unter Container Threat Detection – Übersicht.

Mit dem Playbook Google Cloud – Ausführung – Kryptomining können Sie Bedrohungen durch Kryptomining in Google Cloud erkennen, Informationen zu betroffenen Assets und Dienstkonten ergänzen und die auf den zugehörigen Ressourcen erkannten Aktivitäten auf Sicherheitslücken und Fehlkonfigurationen untersuchen. Als Reaktion auf die Bedrohung wird im Playbook empfohlen, eine betroffene Compute-Instanz zu beenden oder ein Dienstkonto zu deaktivieren.

Das Playbook Google Cloud – Ausführung – Schadhaftes URL-Script oder Shell-Prozess kann Ihnen dabei helfen, verdächtige Aktivitäten in einem Container zu behandeln und eine spezielle Ressourcenanreicherung durchzuführen. Als Reaktion auf eine Bedrohung sendet das Playbook eine E-Mail an einen zugewiesenen Sicherheitsanalysten.

Das Playbook Google Cloud – Ausführung – Schadhaftes URL-Script oder Shell-Prozess funktioniert mit den folgenden Ergebnissen:

• Schädliches Script ausgeführt
• Schädliche URL beobachtet
• Reverse Shell
• Unerwartete untergeordnete Shell

Weitere Informationen zu den Ergebnissen, auf die sich das Playbook konzentriert, finden Sie unter Container Threat Detection – Übersicht.

Das Playbook Google Cloud – Malware – Indikatoren kann Ihnen dabei helfen, die von Security Command Center erkannten Malware-bezogenen Bedrohungen zu beheben und die potenziell manipulierten Instanzen zu untersuchen.

Mit dem Playbook Google Cloud – Persistence – IAM Anomalous Grant können Sie eine Identität oder ein Dienstkonto untersuchen, das einem Hauptkonto verdächtige Berechtigungen gewährt hat, und das betreffende Hauptkonto ermitteln. Als Reaktion auf die Bedrohung wird im Playbook empfohlen, ein verdächtiges Dienstkonto zu deaktivieren. Wenn es sich nicht um ein Dienstkonto handelt, das mit einer Feststellung verknüpft ist, sondern um einen Nutzer, wird eine E-Mail an einen zugewiesenen Sicherheitsanalysten gesendet, um weitere Maßnahmen zu ergreifen.

Weitere Informationen zu den im Playbook verwendeten Regeln finden Sie unter Container Threat Detection – Übersicht.

Das Playbook Google Cloud – Persistence – Suspicious Behaviour (Google Cloud – Persistenz – Verdächtiges Verhalten) kann Ihnen bei der Verarbeitung bestimmter Arten verdächtiger nutzerbezogener Verhaltensweisen helfen, z. B. bei der Anmeldung mit einer neuen API-Methode. Als Reaktion auf eine Bedrohung sendet das Playbook eine E-Mail an einen zugewiesenen Sicherheitsanalysten zur weiteren Behebung.

Weitere Informationen zu den im Playbook verwendeten Regeln finden Sie unter Event Threat Detection – Übersicht.

Playbooks für Sicherheitsstatus-Ergebnisse

Verwenden Sie die Playbooks für die Bewertung der Sicherheit, um die Ergebnisse der Multi-Cloud-Bewertung zu analysieren, sie mit dem Security Command Center und Cloud Asset Inventory zu ergänzen und die erhaltenen relevanten Informationen auf dem Tab Fallübersicht hervorzuheben. Mit den Playbooks für Sicherheitsstatus-Ergebnisse wird sichergestellt, dass die Synchronisierung von Ergebnissen und Anfragen wie erwartet funktioniert.

Mit dem Playbook Posture – Toxic Combination Playbook können Sie schädliche Kombinationen ergänzen und die erforderlichen Informationen wie Fall-Tags festlegen, die Security Command Center zum Nachverfolgen und Verarbeiten der schädlichen Kombinationen und der zugehörigen Ergebnisse benötigt.

Das Playbook Posture Findings – Generic – VM Manager ist eine schlanke Version des Playbooks Posture Findings – Generic, das keine Schritte zur Cloud Asset Inventory-Anreicherung enthält und nur für die VM Manager-Ergebnisse funktioniert.

Standardmäßig ist nur das Playbook Posture Findings – Generic aktiviert. Wenn Sie Jira oder ServiceNow verwenden, deaktivieren Sie das Playbook Posture Findings – Generic und aktivieren Sie das Playbook, das für Ihr Ticketsystem relevant ist. Weitere Informationen zum Konfigurieren von Jira oder ServiceNow finden Sie unter Security Command Center Enterprise in Ticketsystemen einbinden.

Die Playbooks Posture Findings With Jira und Posture Findings With ServiceNow dienen nicht nur dazu, die Ergebnisse der Risikobewertung zu untersuchen und zu ergänzen, sondern auch dafür, dass der in einem Ergebnis angegebene Wert für den Ressourceninhaber (E-Mail-Adresse) gültig und im jeweiligen Ticketsystem zuzuweisen ist. In optionalen Playbooks für Statusbefunde werden Informationen erfasst, die zum Erstellen neuer Tickets und zum Aktualisieren vorhandener Tickets erforderlich sind, wenn neue Benachrichtigungen in vorhandene Fälle aufgenommen werden.

Playbook für die Verwaltung der IAM-Empfehlungen

Mit dem Playbook IAM Recommender Response können Sie die vom IAM-Recommender vorgeschlagenen Empfehlungen automatisch bearbeiten und anwenden. Dieses Playbook bietet keine Datenanreicherung und erstellt keine Tickets, auch wenn Sie eine Ticketsystem-Integration vorgenommen haben.

Weitere Informationen zum Aktivieren und Verwenden des Playbooks IAM Recommender Response finden Sie unter IAM-Empfehlungen mithilfe von Playbooks automatisieren.

Nächste Schritte

Weitere Informationen zu Playbooks finden Sie auf den folgenden Seiten der Google SecOps-Dokumentation:

• Was steht auf der Seite des Playbooks?
• Abläufe in Playbooks verwenden
• Aktionen in Playbooks verwenden
• Mit Playbook-Blöcken arbeiten
• Playbooks an eine Benachrichtigung anhängen
• Aktionen und Playbook-Blöcke zuweisen