Introducción a las guías

Enterprise

En este documento se ofrece una descripción general de los cuadernos de estrategias disponibles en el nivel Enterprise de Security Command Center.

Información general

En Security Command Center, usa guías para explorar y enriquecer alertas, obtener más información sobre los resultados, recibir recomendaciones sobre los permisos excesivos de tu organización y automatizar las respuestas a amenazas, vulnerabilidades y configuraciones erróneas. Cuando te integras con sistemas de gestión de incidencias, las guías te ayudan a centrarte en los resultados de postura relevantes y, al mismo tiempo, aseguran la sincronización entre casos e incidencias.

El nivel Enterprise de Security Command Center te ofrece los siguientes playbooks:

• Libros de jugadas de respuesta a amenazas:
  • Guía de respuesta ante amenazas de AWS
  • Guía de respuesta ante amenazas de Azure
  • GCP Threat Response Playbook
  • Google Cloud – Ejecución – Se ha cargado un archivo binario o una biblioteca Ejecutado
  • Google Cloud – Ejecución – Criptominería
  • Google Cloud – Ejecución – Secuencia de comandos de URL maliciosa o proceso de shell
  • Google Cloud – Malware – Indicators
  • Google Cloud – Persistence – Anomalous Grant de IAM
  • Google Cloud – Persistence – Suspicious Behaviour
• Guías de estrategias sobre los hallazgos de la postura:
  • Postura: guía de combinaciones tóxicas
  • Posture Findings – Generic
  • Resultados de postura: genéricos: VM Manager (inhabilitado de forma predeterminada)
  • Resultados de postura con Jira (inhabilitado de forma predeterminada)
  • Resultados de postura con ServiceNow (inhabilitado de forma predeterminada)
• Guía para gestionar las recomendaciones de gestión de identidades y accesos:
  • Respuesta del recomendador de gestión de identidades y accesos (inhabilitado de forma predeterminada)

Los manuales que están inhabilitados de forma predeterminada son opcionales y debes habilitarlos manualmente para poder usarlos.

En la página Casos de la consola de operaciones de seguridad, los resultados se convierten en alertas de casos. Las alertas activan los cuadernos de estrategias adjuntos para ejecutar el conjunto de acciones configurado con el fin de obtener la mayor cantidad de información posible sobre las alertas, solucionar la amenaza y, en función del tipo de cuaderno de estrategias, proporcionar la información necesaria para crear incidencias o gestionar las combinaciones tóxicas y las recomendaciones de gestión de identidades y accesos.

Manuales de respuesta a amenazas

Puedes ejecutar los manuales de respuesta ante amenazas para analizar las amenazas, enriquecer los resultados con diferentes fuentes y sugerir y aplicar una respuesta de corrección. Los manuales de respuesta ante amenazas usan varios servicios, como Google SecOps, Security Command Center, Cloud Asset Inventory y productos como VirusTotal y Mandiant Threat Intelligence, para ayudarte a obtener el máximo contexto posible sobre las amenazas. Los libros de jugadas pueden ayudarte a determinar si la amenaza del entorno es un verdadero positivo o un falso positivo, así como cuál es la respuesta óptima.

Para asegurarte de que los libros de jugadas de respuesta a amenazas te proporcionen toda la información sobre las amenazas, consulta Configuración avanzada de la gestión de amenazas.

La guía GCP Threat Response Playbook ejecuta una respuesta genérica a las amenazas que proceden de Google Cloud.

El libro de jugadas AWS Threat Response Playbook ejecuta una respuesta genérica a las amenazas que proceden de Amazon Web Services.

El manual de procedimientos Azure Threat Response Playbook ejecuta una respuesta genérica a las amenazas que proceden de Microsoft Azure. Para solucionar las amenazas, el manual de procedimientos enriquece la información de Microsoft Entra ID y permite responder a los correos.

El playbook Google Cloud – Malware – Indicators puede ayudarte a responder a las amenazas relacionadas con malware y a enriquecer los indicadores de compromiso (IoC) y los recursos afectados. Como parte de la solución, el manual de procedimientos sugiere que detengas una instancia sospechosa o inhabilite una cuenta de servicio.

El playbook Google Cloud – Execution – Binary or Library Loaded Executed puede ayudarte a gestionar un nuevo archivo binario o una biblioteca sospechosos en un contenedor. Después de enriquecer la información sobre el contenedor y la cuenta de servicio asociada, el manual de procedimientos envía un correo a un analista de seguridad asignado para que tome medidas.

El playbook Google Cloud – Execution – Binary or Library Loaded Executed funciona con las siguientes detecciones:

• Ejecución del binario añadido
• Carga de la biblioteca añadida
• Ejecución: Added Malicious Binary Executed
• Ejecución: Added Malicious Library Loaded
• Ejecución: se ha ejecutado un binario malicioso integrado
• Ejecución: se ha ejecutado un binario malicioso modificado
• Ejecución: se ha cargado una biblioteca maliciosa modificada

Para obtener más información sobre las detecciones en las que se centra el manual de procedimientos, consulta la descripción general de Container Threat Detection.

El playbook Google Cloud – Execution – Cryptomining puede ayudarte a detectar amenazas de minería de criptomonedas en Google Cloud, enriquecer la información sobre los recursos y las cuentas de servicio afectados, e investigar la actividad detectada en los recursos relacionados para identificar vulnerabilidades y problemas de configuración. Como respuesta a la amenaza, el manual de procedimientos sugiere que detengas una instancia de computación afectada o que inhabilite una cuenta de servicio.

El runbook Google Cloud – Execution – Malicious URL Script or Shell Process (Google Cloud – Ejecución – Script o shell de URL maliciosa) puede ayudarte a gestionar una actividad sospechosa en un contenedor y a llevar a cabo un enriquecimiento de recursos específico. Como respuesta a la amenaza, el manual envía un correo a un analista de seguridad asignado.

El runbook Google Cloud – Execution – Malicious URL Script or Shell Process (Google Cloud – Ejecución – Script o proceso shell de URL maliciosa) funciona con los siguientes resultados:

• Secuencia de comandos maliciosa ejecutada
• URL maliciosa detectada
• Shell inverso
• Shell secundario inesperado

Para obtener más información sobre las detecciones en las que se centra el manual de procedimientos, consulta la descripción general de Container Threat Detection.

El playbook Google Cloud – Malware – Indicators puede ayudarte a gestionar las amenazas relacionadas con malware que detecta Security Command Center e investigar las instancias que puedan estar en peligro.

El playbook Google Cloud – Persistence – IAM Anomalous Grant (Google Cloud – Persistencia – Concesión anómala de IAM) puede ayudarte a investigar una identidad o una cuenta de servicio que haya concedido permisos sospechosos a una entidad de seguridad, así como el conjunto de permisos concedidos, e identificar la entidad de seguridad en cuestión. Como respuesta a la amenaza, el manual de procedimientos sugiere que inhabilite una cuenta de servicio sospechosa o, si no se trata de una cuenta de servicio asociada a un resultado, sino de un usuario, envíe un correo a un analista de seguridad asignado para que tome medidas.

Para obtener más información sobre las reglas que se usan en el manual de estrategias, consulta la descripción general de Container Threat Detection.

El runbook Google Cloud – Persistence – Suspicious Behaviour (Google Cloud – Persistencia – Comportamiento sospechoso) puede ayudarte a gestionar los subconjuntos específicos de comportamientos sospechosos relacionados con los usuarios, como iniciar sesión con un nuevo método de API. Como respuesta a la amenaza, el playbook envía un correo a un analista de seguridad asignado para que tome medidas adicionales.

Para obtener más información sobre las reglas que se usan en el manual de procedimientos, consulta Descripción general de Event Threat Detection.

Manuales de resultados de posturas

Usa los manuales de procedimientos de los hallazgos de postura para analizar los hallazgos de postura multicloud, enriquecerlos con Security Command Center e Inventario de Recursos de Cloud y destacar la información relevante recibida en la pestaña Resumen del caso. Las guías de posturas aseguran que la sincronización de las detecciones y los casos funcione correctamente.

La guía Postura – Combinación tóxica puede ayudarte a enriquecer las combinaciones tóxicas y a definir la información necesaria, como las etiquetas de los casos, que Security Command Center necesita para monitorizar y procesar las combinaciones tóxicas y las detecciones relacionadas.

El playbook Posture Findings – Generic – VM Manager es una versión ligera del playbook Posture Findings – Generic que no contiene pasos de enriquecimiento de Cloud Asset Inventory y solo funciona con los resultados de VM Manager.

De forma predeterminada, solo está habilitada la guía Resultados de postura (genérica). Si integras Jira o ServiceNow, inhabilita el manual de instrucciones Posture Findings – Generic y habilita el que sea relevante para tu sistema de asistencia. Para obtener más información sobre cómo configurar Jira o ServiceNow, consulta el artículo Integrar Security Command Center Enterprise con sistemas de gestión de incidencias.

Además de investigar y enriquecer los resultados de postura, los cuadernos de estrategias Posture Findings With Jira y Posture Findings With ServiceNow se aseguran de que el valor del propietario del recurso (dirección de correo electrónico) indicado en un resultado sea válido y se pueda asignar en el sistema de asistencia correspondiente. Los manuales de procedimientos de las detecciones de postura opcionales recogen la información necesaria para crear nuevas incidencias y actualizar las que ya existen cuando se incorporan nuevas alertas a las incidencias.

Guía para gestionar las recomendaciones de gestión de identidades y accesos

Usa el manual de instrucciones Respuesta del recomendador de gestión de identidades y accesos para abordar y aplicar automáticamente las recomendaciones sugeridas por el recomendador de gestión de identidades y accesos. Este manual no proporciona ningún enriquecimiento y no crea incidencias aunque lo hayas integrado con un sistema de gestión de incidencias.

Para obtener más información sobre cómo habilitar y usar el cuaderno de estrategias Respuesta del recomendador de gestión de identidades y accesos, consulta Automatizar recomendaciones de gestión de identidades y accesos con cuadernos de estrategias.

Siguientes pasos

Para obtener más información sobre los playbooks, consulta las siguientes páginas de la documentación de Google SecOps:

• ¿Qué hay en la página de la guía?
• Usar flujos en guías
• Usar acciones en guías
• Trabajar con bloques de la guía
• Adjuntar guías a una alerta
• Asignar acciones y bloques de la guía