Présentation des playbooks

Enterprise

Ce document présente les playbooks disponibles dans le niveau Enterprise de Security Command Center.

Présentation

Dans Security Command Center, utilisez des playbooks pour explorer et enrichir les alertes, obtenir plus d'informations sur les résultats, obtenir des recommandations sur les autorisations excessives dans votre organisation et automatiser les réponses aux menaces, aux failles et aux erreurs de configuration. Lorsque vous intégrez des systèmes de gestion des demandes, les playbooks vous aident à vous concentrer sur les résultats pertinents concernant la posture tout en assurant la synchronisation entre les cas et les demandes.

Le niveau Enterprise de Security Command Center vous fournit les playbooks suivants :

  • Playbooks de réponse aux menaces :
    • Playbook de réponse aux menaces AWS
    • Playbook de réponse aux menaces Azure
    • Playbook de réponse aux menaces GCP
    • Google Cloud – Exécution – Binaire ou bibliothèque chargés Exécuté
    • Google Cloud – Exécution – Minage de cryptomonnaie
    • Google Cloud – Exécution – Script d'URL malveillante ou processus shell
    • Google Cloud – Logiciel malveillant – Indicateurs
    • Google Cloud – Persistance – Attribution IAM anormale
    • Google Cloud – Persistance – Comportement suspect
  • Playbooks sur les résultats de la recherche de stratégies :
    • Playbook sur la combinaison toxique
    • Résultats de la posture : générique
    • Résultats sur la posture – Générique – VM Manager (désactivé par défaut)
    • Résultats de la posture avec Jira (désactivé par défaut)
    • Résultats de posture avec ServiceNow (désactivé par défaut)
  • Playbook pour gérer les recommandations IAM :
    • Réponse de l'outil de recommandation IAM (désactivée par défaut)

Les playbooks désactivés par défaut sont facultatifs et vous devez les activer manuellement avant de les utiliser.

Sur la page Problèmes de la console Security Operations, les résultats deviennent des alertes de problèmes. Les alertes déclenchent l'exécution des playbooks associés pour effectuer l'ensemble des actions configurées afin de récupérer le plus d'informations possible sur les alertes, de corriger la menace et, selon le type de playbook, de fournir les informations requises pour créer des tickets ou gérer les combinaisons toxiques et les recommandations IAM.

Playbooks de réponse aux menaces

Vous pouvez exécuter les playbooks de réponse aux menaces pour analyser les menaces, enrichir les résultats à l'aide de différentes sources, et suggérer et appliquer une réponse de correction. Les playbooks de réponse aux menaces utilisent plusieurs services tels que Google SecOps, Security Command Center, inventaire des éléments cloud et des produits tels que VirusTotal et Mandiant Threat Intelligence pour vous aider à obtenir le plus de contexte possible sur les menaces. Les playbooks peuvent vous aider à déterminer si la menace dans l'environnement est un vrai positif ou un faux positif, et quelle est la réponse optimale.

Pour vous assurer que les playbooks de réponse aux menaces vous fournissent toutes les informations sur les menaces, consultez Configuration avancée pour la gestion des menaces.

Le playbook GCP Threat Response Playbook exécute une réponse générique aux menaces provenant de Google Cloud.

Le playbook AWS Threat Response Playbook exécute une réponse générique aux menaces provenant d'Amazon Web Services.

Le playbook Azure Threat Response Playbook exécute une réponse générique aux menaces provenant de Microsoft Azure. Pour corriger les menaces, le playbook enrichit les informations de Microsoft Entra ID et permet de répondre aux e-mails.

Le playbook Google Cloud – Logiciel malveillant – Indicateurs peut vous aider à répondre aux menaces liées aux logiciels malveillants et à enrichir les indicateurs de compromission (IoC) et les ressources concernées. Dans le cadre de la correction, le playbook suggère d'arrêter une instance suspecte ou de désactiver un compte de service.

Le playbook Google Cloud – Exécution – Binaire ou bibliothèque chargés/exécutés peut vous aider à gérer un nouveau binaire ou une nouvelle bibliothèque suspects dans un conteneur. Après avoir enrichi les informations sur le conteneur et le compte de service associé, le playbook envoie un e-mail à un analyste de sécurité désigné pour qu'il prenne des mesures correctives supplémentaires.

Le playbook Google Cloud – Exécution – Binaire ou bibliothèque chargés/exécutés fonctionne avec les résultats suivants :

  • Fichier binaire ajouté exécuté
  • Ajout de bibliothèque chargée
  • Exécution : binaire malveillant ajouté exécuté
  • Exécution : bibliothèque malveillante ajoutée chargée
  • Exécution : binaire malveillant intégré exécuté
  • Exécution : binaire malveillant modifié exécuté
  • Exécution : bibliothèque malveillante modifiée chargée

Pour en savoir plus sur les résultats sur lesquels se concentre le playbook, consultez Présentation de Container Threat Detection.

Le playbook Google Cloud – Exécution – Minage de cryptomonnaie peut vous aider à détecter les menaces de minage de cryptomonnaie dans Google Cloud, à enrichir les informations sur les ressources et les comptes de service concernés, et à examiner l'activité détectée sur les ressources associées pour identifier les failles et les erreurs de configuration. En guise de réponse à la menace, le playbook suggère d'arrêter une instance de calcul concernée ou de désactiver un compte de service.

Le playbook Google Cloud – Execution – Malicious URL Script or Shell Process peut vous aider à gérer une activité suspecte dans un conteneur et à effectuer un enrichissement de ressources dédié. En guise de réponse à la menace, le playbook envoie un e-mail à un analyste de sécurité désigné.

Le playbook Google Cloud – Execution – Malicious URL Script or Shell Process fonctionne avec les résultats suivants :

  • Script malveillant exécuté
  • URL malveillante observée
  • Interface système inversée
  • Shell enfant inattendu

Pour en savoir plus sur les résultats sur lesquels se concentre le playbook, consultez Présentation de Container Threat Detection.

Le playbook Google Cloud – Logiciel malveillant – Indicateurs peut vous aider à gérer les menaces liées aux logiciels malveillants détectées par Security Command Center et à examiner les instances potentiellement compromises.

Le playbook Google Cloud – Persistance – Attribution anormale IAM peut vous aider à examiner une identité ou un compte de service qui a accordé des autorisations suspectes à un compte principal, ainsi que l'ensemble des autorisations accordées, et à identifier le compte principal en question. En guise de réponse à la menace, le playbook suggère de désactiver un compte de service suspect ou, s'il s'agit d'un utilisateur et non d'un compte de service associé à un résultat, d'envoyer un e-mail à un analyste de sécurité désigné pour qu'il prenne des mesures correctives supplémentaires.

Pour en savoir plus sur les règles utilisées dans le playbook, consultez Présentation de Container Threat Detection.

Le playbook Google Cloud – Persistance – Comportement suspect peut vous aider à gérer les sous-ensembles spécifiques de comportements suspects liés aux utilisateurs, comme la connexion à l'aide d'une nouvelle méthode d'API. En guise de réponse à la menace, le playbook envoie un e-mail à un analyste de sécurité désigné pour qu'il prenne des mesures correctives supplémentaires.

Pour en savoir plus sur les règles utilisées dans le playbook, consultez Présentation d'Event Threat Detection.

Playbooks sur les résultats de la stratégie

Utilisez les playbooks sur les résultats de posture pour analyser les résultats de posture multicloud, les enrichir à l'aide de Security Command Center et de l'inventaire des éléments cloud, et mettre en évidence les informations pertinentes reçues dans l'onglet Aperçu de la demande. Les playbooks sur les résultats de posture garantissent que la synchronisation des résultats et des demandes fonctionne comme prévu.

Le playbook Posture – Toxic Combination Playbook peut vous aider à enrichir les combinaisons toxiques et à définir les informations nécessaires, comme les tags de cas, dont Security Command Center a besoin pour suivre et traiter les combinaisons toxiques et les résultats associés.

Le playbook Résultats de posture – Générique – VM Manager est une version allégée du playbook Résultats de posture – Générique. Il ne contient pas d'étapes d'enrichissement de l'inventaire des éléments cloud et ne fonctionne que pour les résultats de VM Manager.

Par défaut, seul le playbook Posture Findings – Generic est activé. Si vous intégrez Jira ou ServiceNow, désactivez le playbook Résultats de posture – Générique et activez celui qui correspond à votre système de gestion des tickets. Pour en savoir plus sur la configuration de Jira ou ServiceNow, consultez Intégrer Security Command Center Enterprise à des systèmes de suivi des demandes.

En plus d'examiner et d'enrichir les résultats de posture, les playbooks Résultats de posture avec Jira et Résultats de posture avec ServiceNow garantissent que la valeur du propriétaire de la ressource (adresse e-mail) indiquée dans un résultat est valide et peut être attribuée dans le système de gestion des tickets concerné. Les playbooks de résultats de posture facultatifs collectent les informations nécessaires pour créer des tickets et mettre à jour les tickets existants lorsque de nouvelles alertes sont ingérées dans les cas existants.

Guide pour gérer les recommandations IAM

Utilisez le playbook Réponse de l'outil de recommandation IAM pour traiter et appliquer automatiquement les recommandations suggérées par l'outil de recommandation IAM. Ce playbook ne fournit aucun enrichissement et ne crée pas de demandes, même si vous l'avez intégré à un système de gestion des demandes.

Pour en savoir plus sur l'activation et l'utilisation du playbook Réponse de l'outil de recommandation IAM, consultez Automatiser les recommandations IAM à l'aide de playbooks.

Étape suivante

Pour en savoir plus sur les playbooks, consultez les pages suivantes de la documentation Google SecOps :