Descripción general de las guías

En este documento, se proporciona una descripción general de los libros de jugadas disponibles en el nivel Enterprise de Security Command Center.

Descripción general

En Security Command Center, usa las guías para explorar y enriquecer las alertas, obtener más información sobre los hallazgos, obtener recomendaciones sobre los permisos excesivos en tu organización y automatizar las respuestas a amenazas, vulnerabilidades y parámetros de configuración incorrectos. Cuando realizas la integración con sistemas de tickets, las guías de referencia te ayudan a enfocarte en los hallazgos relevantes de la postura y, al mismo tiempo, garantizan la sincronización entre los casos y los tickets.

El nivel Enterprise de Security Command Center te proporciona las siguientes guías de implementación:

• Guías de respuesta a amenazas:
  • Guía de respuesta a amenazas de AWS
  • Guía de respuesta a amenazas de Azure
  • Guía de respuesta a amenazas de GCP
  • Google Cloud: Ejecución: Se cargó o ejecutó un objeto binario o una biblioteca
  • Google Cloud: Ejecución: Criptominería
  • Google Cloud: Ejecución: Secuencia de comandos de URL maliciosa o proceso de shell
  • Google Cloud: Indicadores de software malicioso
  • Google Cloud: Persistencia: IAM Anomalous Grant
  • Google Cloud: Persistencia: Comportamiento sospechoso
• Guías de resultados de la postura:
  • Postura: Guía de combinación tóxica
  • Resultados de la postura: genéricos
  • Resultados de postura: Genérico: VM Manager (inhabilitado de forma predeterminada)
  • Resultados de la postura con Jira (inhabilitado de forma predeterminada)
  • Resultados de la postura con ServiceNow (inhabilitado de forma predeterminada)
• Guía para controlar las recomendaciones de IAM:
  • Respuesta del recomendador de IAM (inhabilitada de forma predeterminada)

Las guías inhabilitadas de forma predeterminada son opcionales y requieren que las habilites manualmente en la consola de Security Operations antes de usarlas.

En la consola de Security Operations, los hallazgos se convierten en alertas de casos. Las alertas activan los manuales adjuntos para ejecutar el conjunto de acciones configurado para recuperar la mayor cantidad posible de información sobre las alertas, remediar la amenaza y, según el tipo de manual, proporcionar la información necesaria para crear tickets o administrar las combinaciones tóxicas y las recomendaciones de IAM.

Guías de respuesta a amenazas

Puedes ejecutar los libros de jugadas de respuesta a amenazas para analizarlas, enriquecer los hallazgos con diferentes fuentes y sugerir y aplicar una respuesta de remediación. Las guías de respuesta a amenazas usan varios servicios, como Google SecOps, Security Command Center, Cloud Asset Inventory y productos como VirusTotal y Mandiant Threat Intelligence para ayudarte a obtener la mayor cantidad posible de contexto sobre las amenazas. Los manuales de tácticas pueden ayudarte a comprender si la amenaza en el entorno es un falso positivo o un verdadero positivo, y cuál es la respuesta óptima para ella.

Para asegurarte de que los manuales de respuesta a amenazas te proporcionen la información completa sobre las amenazas, consulta Configuración avanzada para la administración de amenazas.

La guía de respuesta a amenazas de GCP ejecuta una respuesta genérica a las amenazas que se originan en Google Cloud.

La Guía de respuesta a amenazas de AWS ejecuta una respuesta genérica a las amenazas que se originan en Amazon Web Services.

La Guía de respuesta a amenazas de Azure ejecuta una respuesta genérica a las amenazas que se originan en Microsoft Azure. Para solucionar las amenazas, la guía enriquece la información del ID de Microsoft Entra y admite la respuesta a los correos electrónicos.

La guía de Google Cloud: Indicadores de software malicioso puede ayudarte a responder a amenazas relacionadas con software malicioso y enriquecer los indicadores de compromiso (IoC) y los recursos afectados. Como parte de la solución, la guía de procedimientos sugiere que detienes una instancia sospechosa o inhabilitas una cuenta de servicio.

La guía de Google Cloud: Ejecución: Se ejecutó un objeto binario o una biblioteca cargados puede ayudarte a controlar un objeto binario o una biblioteca nuevos sospechosos en un contenedor. Después de enriquecer la información sobre el contenedor y la cuenta de servicio asociada, la guía envía un correo electrónico a un analista de seguridad asignado para que realice más acciones de solución.

La guía de Google Cloud: Ejecución: Se ejecutó una biblioteca o un objeto binario cargado funciona con los siguientes hallazgos:

• Se ejecutó el objeto binario añadido
• Se cargó la biblioteca agregada
• Ejecución: Se agregó el ejecutable binario malicioso
• Ejecución: Se agregó la biblioteca maliciosa cargada
• Ejecución: Se ejecutó un objeto binario malicioso integrado
• Ejecución: Se ejecutó un objeto binario malicioso modificado
• Ejecución: Se cargó una biblioteca maliciosa modificada

Para obtener más información sobre los hallazgos en los que se enfoca la guía de referencia, consulta la descripción general de la Detección de amenazas a contenedores.

La guía de Google Cloud – Ejecución – Criptominería puede ayudarte a detectar amenazas de minería de criptomonedas en Google Cloud, enriquecer la información sobre los recursos y las cuentas de servicio afectados, e investigar la actividad detectada en recursos relacionados en busca de vulnerabilidades y parámetros de configuración incorrectos. Como respuesta a la amenaza, la guía sugiere que detengas una instancia de procesamiento afectada o inhabilites una cuenta de servicio.

La guía Google Cloud: Ejecución: Secuencia de comandos de URL maliciosa o proceso de shell puede ayudarte a controlar una actividad sospechosa en un contenedor y realizar un enriquecimiento de recursos dedicado. Como respuesta a la amenaza, la guía envía un correo electrónico a un analista de seguridad asignado.

La guía de Google Cloud: Ejecución: Secuencia de comandos de URL maliciosa o proceso de shell funciona con los siguientes hallazgos:

• Secuencia de comandos maliciosa ejecutada
• Se detectó una URL maliciosa
• Shells inversas
• Shell secundario inesperado

Para obtener más información sobre los hallazgos en los que se enfoca la guía de referencia, consulta la descripción general de la Detección de amenazas a contenedores.

La guía Google Cloud – Software malicioso – Indicadores puede ayudarte a controlar las amenazas relacionadas con software malicioso que detecta Security Command Center y a investigar las instancias potencialmente comprometidas.

La guía de Google Cloud: Persistencia: Otorgar permisos anómalos de IAM puede ayudarte a investigar una identidad o una cuenta de servicio que otorgó permisos sospechosos a un principal junto con el conjunto de permisos otorgados, y a identificar al principal en cuestión. Como respuesta a la amenaza, la guía de referencia sugiere que inhabilites una cuenta de servicio sospechosa o, si no es una cuenta de servicio asociada con un hallazgo, sino un usuario, envíes un correo electrónico a un analista de seguridad asignado para que realice más acciones de solución.

Para obtener más información sobre las reglas que se usan en la guía de prácticas, consulta la descripción general de la detección de amenazas de contenedores.

La guía de Google Cloud: Persistencia – Comportamiento sospechoso puede ayudarte a controlar los subconjuntos específicos de comportamiento sospechoso relacionado con el usuario, como acceder con un método de API nuevo. Como respuesta a una amenaza, la guía de procedimientos envía un correo electrónico a un analista de seguridad asignado para que realice una mayor remediación.

Para obtener más información sobre las reglas que se usan en la guía de referencia, consulta Descripción general de Event Threat Detection.

Guías de resultados de postura

Usa los libros de jugadas de los resultados de la postura para analizar los resultados de la postura multinube, enriquecerlos con Security Command Center y Cloud Asset Inventory, y destacar la información relevante recibida en la pestaña Resumen del caso. Las guías de resultados de la postura garantizan que la sincronización de los resultados y los casos funcione como se espera.

La guía Posture – Toxic Combination Playbook puede ayudarte a enriquecer las combinaciones tóxicas y establecer la información necesaria, como las etiquetas de caso que Security Command Center requiere para hacer un seguimiento y procesar las combinaciones tóxicas y los hallazgos relacionados.

La guía de Resultados de postura: Genérico: VM Manager es una versión liviana de la guía de Resultados de postura: Genérico que no contiene pasos de enriquecimiento de Cloud Asset Inventory y solo funciona para los resultados de VM Manager.

De forma predeterminada, solo está habilitado el libro de jugadas Posture Findings – Generic. Si realizas la integración con Jira o ServiceNow, inhabilita la guía de Resultados de la postura: Genérica y habilita la que sea relevante para tu sistema de tickets. Para obtener más información sobre cómo configurar Jira o ServiceNow, consulta Cómo integrar Security Command Center Enterprise con sistemas de tickets.

Además de investigar y enriquecer los hallazgos de postura, los libros de jugadas Posture Findings With Jira y Posture Findings With ServiceNow garantizan que el valor del propietario del recurso (dirección de correo electrónico) que se indica en un hallazgo sea válido y asignable en el sistema de tickets correspondiente. Los libros de jugadas de resultados de postura opcionales recopilan la información necesaria para crear tickets nuevos y actualizar los existentes cuando se transfieren alertas nuevas a casos existentes.

Guía para controlar las recomendaciones de IAM

Usa la guía de respuesta al recomendador de IAM para abordar y aplicar automáticamente las recomendaciones que sugiere el recomendador de IAM. Esta guía no proporciona enriquecimiento ni crea tickets, incluso cuando realizas la integración con un sistema de tickets.

Para obtener más detalles sobre cómo habilitar y usar la guía de respuesta del recomendador de IAM, consulta Cómo automatizar las recomendaciones de IAM con guías.

Próximos pasos

Para obtener más información sobre los libros de jugadas, consulta las siguientes páginas de la documentación de Google SecOps:

• ¿Qué hay en la página de la guía?
• Cómo usar flujos en los manuales
• Cómo usar acciones en los manuales
• Cómo trabajar con bloques de la guía
• Cómo adjuntar guías a una alerta
• Asignar acciones y bloques de la guía