Descripción general de las guías

En este documento, se proporciona una descripción general de los playbooks disponibles en el nivel Enterprise de Security Command Center.

Descripción general

En Security Command Center, usa guías para explorar y enriquecer las alertas, obtener más información sobre los hallazgos, recibir recomendaciones sobre los permisos excesivos en tu organización y automatizar las respuestas a amenazas, vulnerabilidades y errores de configuración. Cuando te integras con sistemas de tickets, las guías te ayudan a enfocarte en los hallazgos relevantes de la postura y, al mismo tiempo, garantizan la sincronización entre los casos y los tickets.

El nivel Enterprise de Security Command Center te proporciona los siguientes manuales:

  • Guías de respuesta ante amenazas:
    • Manual de respuesta ante amenazas de AWS
    • Guía de respuesta ante amenazas de Azure
    • Manual de respuesta ante amenazas de GCP
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud: Ejecución: Criptominería
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud: Malware: Indicators
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Google Cloud: Persistencia: Comportamiento sospechoso
  • Guías de resultados de postura:
    • Postura: Guía de Combinación tóxica
    • Hallazgos de postura: genéricos
    • Posture Findings – Generic – VM Manager (inhabilitado de forma predeterminada)
    • Posture Findings With Jira (inhabilitado de forma predeterminada)
    • Hallazgos de postura con ServiceNow (inhabilitado de forma predeterminada)
  • Guía para controlar las recomendaciones de IAM:
    • Respuesta del Recomendador de IAM (inhabilitada de forma predeterminada)

Las guías inhabilitadas de forma predeterminada son opcionales y debes habilitarlas manualmente antes de usarlas.

En la página de la consola de Operaciones de seguridad Casos, los resultados se convierten en alertas de casos. Las alertas activan los manuales adjuntos para ejecutar el conjunto de acciones configurado para recuperar la mayor cantidad de información posible sobre las alertas, corregir la amenaza y, según el tipo de manual, proporcionar la información necesaria para crear tickets o administrar las combinaciones tóxicas y las recomendaciones de IAM.

Guías de respuesta a amenazas

Puedes ejecutar las guías de respuesta ante amenazas para analizar las amenazas, enriquecer los hallazgos con diferentes fuentes y sugerir y aplicar una respuesta de corrección. Las guías de respuesta ante amenazas usan varios servicios, como Google SecOps, Security Command Center, Cloud Asset Inventory y productos como VirusTotal y Mandiant Threat Intelligence, para ayudarte a obtener la mayor cantidad de contexto posible sobre las amenazas. Los manuales de tácticas pueden ayudarte a comprender si la amenaza en el entorno es un positivo verdadero o un falso positivo, y cuál es la respuesta óptima para ella.

Para asegurarte de que los manuales de respuesta ante amenazas te proporcionen toda la información sobre las amenazas, consulta Configuración avanzada para la administración de amenazas.

La guía GCP Threat Response Playbook ejecuta una respuesta genérica a las amenazas que se originan en Google Cloud.

El manual de tácticas AWS Threat Response Playbook ejecuta una respuesta genérica a las amenazas que se originan en Amazon Web Services.

La guía Azure Threat Response Playbook ejecuta una respuesta genérica a las amenazas que se originan en Microsoft Azure. Para corregir las amenazas, el manual enriquece la información del ID de Microsoft Entra y admite respuestas a correos electrónicos.

El manual de estrategias Google Cloud – Malware – Indicators puede ayudarte a responder a las amenazas relacionadas con software malicioso y a enriquecer los indicadores de compromiso (IoC) y los recursos afectados. Como parte de la corrección, el manual sugiere que detengas una instancia sospechosa o inhabilite una cuenta de servicio.

El playbook Google Cloud – Execution – Binary or Library Loaded Executed puede ayudarte a controlar un nuevo archivo binario o una biblioteca sospechosos en un contenedor. Después de enriquecer la información sobre el contenedor y la cuenta de servicio asociada, la guía envía un correo electrónico a un analista de seguridad asignado para que realice más correcciones.

El playbook Google Cloud – Execution – Binary or Library Loaded Executed funciona con los siguientes hallazgos:

  • Se ejecutó el objeto binario agregado
  • Se cargó la biblioteca agregada
  • Ejecución: Se ejecutó el objeto binario malicioso agregado
  • Ejecución: Se cargó la biblioteca maliciosa agregada
  • Ejecución: Se ejecutó el objeto binario malicioso integrado
  • Ejecución: Se ejecutó un objeto binario malicioso modificado
  • Ejecución: Se cargó la biblioteca maliciosa modificada

Para obtener más información sobre los hallazgos en los que se enfoca el playbook, consulta la descripción general de Container Threat Detection.

El manual Google Cloud – Execution – Cryptomining puede ayudarte a detectar amenazas de minería de criptomonedas en Google Cloud, enriquecer la información sobre los recursos y las cuentas de servicio afectados, y analizar la actividad detectada en los recursos relacionados en busca de vulnerabilidades y parámetros de configuración incorrectos. Como respuesta ante amenazas, la guía sugiere que detengas una instancia de procesamiento afectada o inhabilite una cuenta de servicio.

El playbook Google Cloud – Execution – Malicious URL Script or Shell Process puede ayudarte a controlar la actividad sospechosa en un contenedor y a realizar un enriquecimiento de recursos específico. Como respuesta a la amenaza, el manual de tácticas envía un correo electrónico a un analista de seguridad asignado.

El playbook Google Cloud – Execution – Malicious URL Script or Shell Process funciona con los siguientes hallazgos:

  • Secuencia de comandos maliciosa ejecutada
  • Se detectó una URL maliciosa
  • Shells inversas
  • Shell secundaria inesperada

Para obtener más información sobre los hallazgos en los que se enfoca el playbook, consulta la descripción general de Container Threat Detection.

La guía Google Cloud – Malware – Indicators puede ayudarte a controlar las amenazas relacionadas con software malicioso que detecta Security Command Center y a investigar las instancias potencialmente comprometidas.

El manual de estrategias Google Cloud – Persistence – IAM Anomalous Grant puede ayudarte a investigar una identidad o una cuenta de servicio que otorgó permisos sospechosos a una principal junto con el conjunto de permisos otorgados, y a identificar la principal en cuestión. Como respuesta a la amenaza, el manual sugiere que inhabilites una cuenta de servicio sospechosa o, si no se trata de una cuenta de servicio asociada a un hallazgo, sino de un usuario, que envíes un correo electrónico a un analista de seguridad asignado para que realice más correcciones.

Para obtener más información sobre las reglas que se usan en el manual, consulta la Descripción general de Container Threat Detection.

El playbook Google Cloud – Persistence – Suspicious Behaviour puede ayudarte a controlar los subconjuntos específicos de comportamiento sospechoso relacionado con el usuario, como el acceso con un nuevo método de API. Como respuesta a la amenaza, el manual envía un correo electrónico a un analista de seguridad asignado para que realice una remediación adicional.

Para obtener más información sobre las reglas que se usan en el manual, consulta la Descripción general de Event Threat Detection.

Guías de hallazgos de postura

Usa los manuales de estrategia de los hallazgos de la postura para analizar los hallazgos de la postura en varias nubes, enriquecerlos con Security Command Center y Cloud Asset Inventory, y destacar la información pertinente recibida en la pestaña Resumen del caso. Las guías de los resultados de la postura garantizan que la sincronización de los resultados y los casos funcione según lo esperado.

El manual Posture: Toxic Combination Playbook puede ayudarte a enriquecer las combinaciones tóxicas y establecer la información necesaria, como las etiquetas de casos, que Security Command Center requiere para hacer un seguimiento y procesar las combinaciones tóxicas y los hallazgos relacionados.

El manual Posture Findings – Generic – VM Manager es una versión liviana del manual Posture Findings – Generic que no contiene pasos de enriquecimiento de Cloud Asset Inventory y solo funciona para los resultados de VM Manager.

De forma predeterminada, solo está habilitado el playbook Posture Findings – Generic. Si realizas la integración con Jira o ServiceNow, inhabilita el playbook Posture Findings – Generic y habilita el que sea pertinente para tu sistema de tickets. Para obtener más información sobre cómo configurar Jira o ServiceNow, consulta Integra Security Command Center Enterprise con sistemas de emisión de tickets.

Además de investigar y enriquecer los hallazgos de la postura, los manuales Posture Findings With Jira y Posture Findings With ServiceNow garantizan que el valor del propietario del recurso (dirección de correo electrónico) que se indica en un hallazgo sea válido y se pueda asignar en el sistema de tickets correspondiente. Los manuales de estrategias opcionales sobre hallazgos de postura recopilan la información necesaria para crear tickets nuevos y actualizar los existentes cuando se incorporan alertas nuevas a los casos existentes.

Guía para controlar las recomendaciones de IAM

Usa el manual de estrategias IAM Recommender Response para abordar y aplicar automáticamente las recomendaciones sugeridas por el recomendador de IAM. Este manual no proporciona enriquecimiento ni crea tickets, incluso cuando te integraste con un sistema de tickets.

Para obtener más detalles sobre cómo habilitar y usar la guía IAM Recommender Response, consulta Automatiza las recomendaciones de IAM con guías.

Próximos pasos

Para obtener más información sobre los playbooks, consulta las siguientes páginas de la documentación de Google SecOps: