Playbooks – Übersicht

Dieses Dokument bietet einen Überblick über die Playbooks, die Ihnen in der Enterprise-Stufe von Security Command Center zur Verfügung stehen.

Übersicht

In Security Command Center können Sie Playbooks verwenden, um Benachrichtigungen zu untersuchen und anzureichern, weitere Informationen zu Ergebnissen zu erhalten, Empfehlungen zu übermäßigen Berechtigungen in Ihrer Organisation zu erhalten und Antworten auf Bedrohungen, Sicherheitslücken und Fehlkonfigurationen zu automatisieren. Wenn Sie Ticketing-Systeme einbinden, können Sie sich mithilfe von Playbooks auf relevante Ergebnisse konzentrieren und gleichzeitig die Synchronisierung zwischen Fällen und Tickets sicherstellen.

Die Enterprise-Stufe von Security Command Center bietet Ihnen die folgenden Playbooks:

  • Playbooks für die Reaktion auf Bedrohungen:
    • AWS Threat Response Playbook
    • Azure Threat Response Playbook
    • GCP Threat Response Playbook
    • Google Cloud – Ausführung – Binärdatei oder Bibliothek geladen Ausgeführt
    • Google Cloud – Ausführung – Kryptomining
    • Google Cloud – Ausführung – Bösartiges URL-Skript oder Shell-Prozess
    • Google Cloud – Malware – Indikatoren
    • Google Cloud – Persistenz – Anomalous Grant (IAM)
    • Google Cloud – Persistenz – Verdächtiges Verhalten
  • Playbooks für Sicherheitsstatusergebnisse:
    • Posture – Toxic Combination Playbook
    • Ergebnisse zur Körperhaltung – Allgemein
    • Posture Findings – Generic – VM Manager (standardmäßig deaktiviert)
    • Posture Findings With Jira (standardmäßig deaktiviert)
    • Posture Findings With ServiceNow (standardmäßig deaktiviert)
  • Playbook für den Umgang mit IAM-Empfehlungen:
    • IAM Recommender Response (standardmäßig deaktiviert)

Die standardmäßig deaktivierten Playbooks sind optional und müssen manuell aktiviert werden, bevor Sie sie verwenden können.

Auf der Seite Fälle der Security Operations Console werden Ergebnisse zu Fallbenachrichtigungen. Durch Benachrichtigungen werden angehängte Playbooks ausgelöst, um die konfigurierte Reihe von Aktionen auszuführen, um so viele Informationen wie möglich zu Benachrichtigungen abzurufen, die Bedrohung zu beheben und je nach Playbook-Typ die erforderlichen Informationen zum Erstellen von Tickets oder zum Verwalten der toxischen Kombinationen und IAM-Empfehlungen bereitzustellen.

Playbooks zur Reaktion auf Bedrohungen

Sie können die Playbooks für die Reaktion auf Bedrohungen ausführen, um Bedrohungen zu analysieren, Ergebnisse mit verschiedenen Quellen anzureichern und eine Abhilfemaßnahme vorzuschlagen und anzuwenden. Playbooks zur Reaktion auf Bedrohungen nutzen mehrere Dienste wie Google SecOps, Security Command Center, Cloud Asset Inventory und Produkte wie VirusTotal und Mandiant Threat Intelligence, um Ihnen so viel Kontext wie möglich zu Bedrohungen zu liefern. Die Playbooks können Ihnen helfen, zu verstehen, ob die Bedrohung in der Umgebung ein echtes oder ein falsch positives Ergebnis ist und welche Reaktion optimal ist.

Damit die Playbooks zur Reaktion auf Bedrohungen Ihnen alle Informationen zu Bedrohungen liefern, lesen Sie den Abschnitt Erweiterte Konfiguration für die Bedrohungsverwaltung.

Das GCP Threat Response Playbook führt eine allgemeine Reaktion auf Bedrohungen aus, die von Google Cloudstammen.

Mit dem Playbook AWS Threat Response Playbook wird eine allgemeine Reaktion auf Bedrohungen ausgeführt, die von Amazon Web Services ausgehen.

Das Playbook Azure Threat Response Playbook führt eine allgemeine Reaktion auf Bedrohungen aus, die von Microsoft Azure ausgehen. Um Bedrohungen zu beheben, werden im Playbook die Informationen aus Microsoft Entra ID angereichert und das Antworten auf E-Mails wird unterstützt.

Das Playbook Google Cloud – Malware – Indikatoren kann Ihnen helfen, auf Malware-bezogene Bedrohungen zu reagieren und die Kompromittierungsindikatoren (Indicators of Compromise, IoC) und betroffenen Ressourcen zu erweitern. Im Rahmen der Abhilfemaßnahmen wird im Playbook empfohlen, eine verdächtige Instanz zu beenden oder ein Dienstkonto zu deaktivieren.

Das Playbook Google Cloud – Ausführung – Binärdatei oder Bibliothek geladen – Ausgeführt kann Ihnen helfen, mit einer verdächtigen neuen Binärdatei oder Bibliothek in einem Container umzugehen. Nachdem die Informationen zum Container und zum zugehörigen Dienstkonto angereichert wurden, sendet das Playbook eine E-Mail an einen zugewiesenen Sicherheitsanalysten, damit dieser weitere Maßnahmen ergreifen kann.

Das Playbook Google Cloud – Ausführung – Binärdatei oder Bibliothek geladen – Ausgeführt funktioniert mit den folgenden Ergebnissen:

  • Ausgeführte Binärdatei hinzugeführt
  • Hinzugefügte Mediathek geladen
  • Ausführung: Hinzugefügtes schädliches Binärprogramm ausgeführt
  • Ausführung: Hinzugefügte schädliche Bibliothek geladen
  • Ausführung: Integriertes schädliches Binärprogramm ausgeführt
  • Ausführung: Geändertes schädliches Binärprogramm ausgeführt
  • Ausführung: geänderte schädliche Bibliothek geladen

Weitere Informationen zu den Ergebnissen, auf die sich das Playbook konzentriert, finden Sie unter Container Threat Detection – Übersicht.

Das Playbook Google Cloud – Ausführung – Kryptomining kann Ihnen helfen, Kryptomining-Bedrohungen in Google Cloudzu erkennen, Informationen zu betroffenen Assets und Dienstkonten anzureichern und die auf zugehörigen Ressourcen erkannte Aktivität auf Sicherheitslücken und Fehlkonfigurationen zu untersuchen. Als Reaktion auf die Bedrohung schlägt das Playbook vor, eine betroffene Compute-Instanz zu stoppen oder ein Dienstkonto zu deaktivieren.

Das Playbook Google Cloud – Ausführung – Bösartiges URL-Skript oder Shell-Prozess kann Ihnen helfen, verdächtige Aktivitäten in einem Container zu erkennen und eine dedizierte Ressourcenanreicherung durchzuführen. Als Reaktion auf die Bedrohung sendet das Playbook eine E-Mail an einen zugewiesenen Sicherheitsanalysten.

Das Playbook Google Cloud – Ausführung – Bösartiges URL-Skript oder Shell-Prozess funktioniert mit den folgenden Ergebnissen:

  • Schädliches Script ausgeführt
  • Schädliche URL beobachtet
  • Reverse Shell
  • Unerwartete untergeordnete Shell

Weitere Informationen zu den Ergebnissen, auf die sich das Playbook konzentriert, finden Sie unter Container Threat Detection – Übersicht.

Das Playbook Google Cloud – Malware – Indikatoren kann Ihnen helfen, die von Security Command Center erkannten Malware-Bedrohungen zu bewältigen und die potenziell kompromittierten Instanzen zu untersuchen.

Mit dem Playbook Google Cloud – Persistence – IAM Anomalous Grant (Google Cloud – Persistenz – Anomalie bei IAM-Zuweisung) können Sie eine Identität oder ein Dienstkonto untersuchen, das einem Hauptkonto verdächtige Berechtigungen zugewiesen hat. Außerdem können Sie die zugewiesenen Berechtigungen und das betreffende Hauptkonto ermitteln. Als Reaktion auf eine Bedrohung schlägt das Playbook vor, ein verdächtiges Dienstkonto zu deaktivieren. Wenn es sich nicht um ein Dienstkonto handelt, das mit einem Ergebnis verknüpft ist, sondern um einen Nutzer, wird eine E-Mail an einen zugewiesenen Sicherheitsanalysten gesendet, um weitere Maßnahmen zu ergreifen.

Weitere Informationen zu den im Playbook verwendeten Regeln finden Sie unter Container Threat Detection – Übersicht.

Das Google Cloud – Persistence – Suspicious Behaviour-Playbook kann Ihnen helfen, mit den spezifischen Teilmengen verdächtigen nutzerbezogenen Verhaltens umzugehen, z. B. der Anmeldung mit einer neuen API-Methode. Als Reaktion auf die Bedrohung sendet das Playbook eine E‑Mail an einen zugewiesenen Sicherheitsanalysten, um weitere Maßnahmen zu ergreifen.

Weitere Informationen zu den im Playbook verwendeten Regeln finden Sie unter Event Threat Detection – Übersicht.

Playbooks für Sicherheitsstatus-Ergebnisse

Verwenden Sie die Playbooks für die Analyse von Ergebnissen zur Sicherheitskonfiguration, um die Ergebnisse zur Sicherheitskonfiguration in der Multicloud-Umgebung zu analysieren, sie mit Security Command Center und Cloud Asset Inventory anzureichern und die relevanten Informationen auf dem Tab „Case Overview“ (Übersicht über den Fall) hervorzuheben. Die Playbooks für Ergebnisse zum Sicherheitsstatus sorgen dafür, dass die Synchronisierung von Ergebnissen und Fällen wie erwartet funktioniert.

Mit dem Posture – Toxic Combination Playbook können Sie toxische Kombinationen anreichern und die erforderlichen Informationen wie Fall-Tags festlegen, die Security Command Center zum Nachverfolgen und Verarbeiten der toxischen Kombinationen und zugehörigen Ergebnisse benötigt.

Das Playbook Posture Findings – Generic – VM Manager ist eine abgespeckte Version des Playbooks Posture Findings – Generic, das keine Cloud Asset Inventory-Anreicherungsschritte enthält und nur für VM Manager-Ergebnisse funktioniert.

Standardmäßig ist nur das Playbook Posture Findings – Generic aktiviert. Wenn Sie Jira oder ServiceNow einbinden, deaktivieren Sie das Playbook Posture Findings – Generic und aktivieren Sie das Playbook, das für Ihr Ticketsystem relevant ist. Weitere Informationen zum Konfigurieren von Jira oder ServiceNow finden Sie unter Security Command Center Enterprise in Ticketsysteme einbinden.

Zusätzlich zur Untersuchung und Anreicherung von Ergebnissen zur Sicherheitskonfiguration sorgen die Playbooks Posture Findings With Jira (Ergebnisse zur Sicherheitskonfiguration mit Jira) und Posture Findings With ServiceNow (Ergebnisse zur Sicherheitskonfiguration mit ServiceNow) dafür, dass der in einem Ergebnis angegebene Wert für den Ressourceninhaber (E-Mail-Adresse) im jeweiligen Ticketsystem gültig und zuweisbar ist. Optionale Playbooks für die Ermittlung von Sicherheitsrisiken sammeln Informationen, die zum Erstellen neuer Tickets und zum Aktualisieren vorhandener Tickets erforderlich sind, wenn neue Benachrichtigungen in vorhandene Fälle aufgenommen werden.

Playbook für den Umgang mit IAM-Empfehlungen

Verwenden Sie das IAM Recommender Response-Playbook, um die vom IAM-Recommender vorgeschlagenen Empfehlungen automatisch zu bearbeiten und anzuwenden. Dieses Playbook enthält keine zusätzlichen Informationen und erstellt keine Tickets, auch wenn Sie ein Ticketsystem integriert haben.

Weitere Informationen zum Aktivieren und Verwenden des Playbooks IAM Recommender Response finden Sie unter IAM-Empfehlungen mit Playbooks automatisieren.

Nächste Schritte

Weitere Informationen zu Playbooks finden Sie auf den folgenden Seiten in der Google SecOps-Dokumentation: