Ringkasan playbook

Dokumen ini memberikan ringkasan playbook yang tersedia untuk Anda di paket Enterprise Security Command Center.

Ringkasan

Di Security Command Center, gunakan playbook untuk menjelajahi dan memperkaya pemberitahuan, mendapatkan informasi selengkapnya tentang temuan, mendapatkan rekomendasi tentang izin berlebih di organisasi Anda, dan mengotomatiskan respons terhadap ancaman, kerentanan, dan kesalahan konfigurasi. Saat Anda berintegrasi dengan sistem tiket, playbook akan membantu Anda berfokus pada temuan postur yang relevan sekaligus memastikan sinkronisasi antara kasus dan tiket.

Paket Enterprise Security Command Center menyediakan playbook berikut:

• Playbook respons ancaman:
  • Playbook Respons Terhadap Ancaman AWS
  • Panduan Respons Terhadap Ancaman Azure
  • Playbook Respons Terhadap Ancaman GCP
  • Google Cloud – Eksekusi – Biner atau Library Dimuat Dieksekusi
  • Google Cloud – Eksekusi – Penambangan kripto
  • Google Cloud – Execution – Malicious URL Script or Shell Process
  • Google Cloud – Malware – Indicators
  • Google Cloud – Persistence – IAM Anomalous Grant
  • Google Cloud – Persistensi – Perilaku Mencurigakan
• Playbook temuan postur:
  • Postur – Playbook Kombinasi Toksik
  • Temuan Postur – Umum
  • Temuan Postur – Generik – VM Manager (dinonaktifkan secara default)
  • Temuan Postur dengan Jira (dinonaktifkan secara default)
  • Temuan Postur dengan ServiceNow (dinonaktifkan secara default)
• Playbook untuk menangani rekomendasi IAM:
  • Respons Pemberi Rekomendasi IAM (dinonaktifkan secara default)

Playbook yang dinonaktifkan secara default bersifat opsional dan mengharuskan Anda mengaktifkannya secara manual sebelum menggunakannya.

Di halaman konsol Operasi Keamanan Kasus, temuan menjadi notifikasi kasus. Pemberitahuan memicu playbook terlampir untuk menjalankan serangkaian tindakan yang dikonfigurasi untuk mengambil sebanyak mungkin informasi tentang pemberitahuan, memulihkan ancaman, dan, bergantung pada jenis playbook, memberikan informasi yang diperlukan untuk membuat tiket atau mengelola kombinasi berbahaya dan rekomendasi IAM.

Playbook respons ancaman

Anda dapat menjalankan buku pedoman respons ancaman untuk menganalisis ancaman, memperkaya temuan menggunakan berbagai sumber, serta menyarankan dan menerapkan respons perbaikan. Playbook respons ancaman menggunakan beberapa layanan seperti Google SecOps, Security Command Center, Cloud Asset Inventory, dan produk seperti VirusTotal dan Mandiant Threat Intelligence untuk membantu Anda mendapatkan konteks sebanyak mungkin tentang ancaman. Playbook dapat membantu Anda memahami apakah ancaman di lingkungan adalah positif sejati atau positif palsu dan apa respons yang optimal untuk ancaman tersebut.

Untuk memastikan playbook respons ancaman memberikan informasi lengkap tentang ancaman, lihat Konfigurasi lanjutan untuk pengelolaan ancaman.

Playbook GCP Threat Response Playbook menjalankan respons umum terhadap ancaman yang berasal dari Google Cloud.

Playbook AWS Threat Response Playbook menjalankan respons umum terhadap ancaman yang berasal dari Amazon Web Services.

Playbook Azure Threat Response Playbook menjalankan respons generik terhadap ancaman yang berasal dari Microsoft Azure. Untuk memulihkan ancaman, playbook ini memperkaya informasi dari Microsoft Entra ID dan mendukung respons terhadap email.

Playbook Google Cloud – Malware – Indicators dapat membantu Anda merespons ancaman terkait malware dan memperkaya indikator gangguan (IoC) dan resource yang terpengaruh. Sebagai bagian dari perbaikan, playbook menyarankan agar Anda menghentikan instance yang mencurigakan atau menonaktifkan akun layanan.

Playbook Google Cloud – Execution – Binary or Library Loaded Executed dapat membantu Anda menangani biner atau library baru yang mencurigakan dalam container. Setelah memperkaya informasi tentang penampung dan akun layanan terkait, playbook akan mengirimkan email kepada analis keamanan yang ditugaskan untuk melakukan perbaikan lebih lanjut.

Playbook Google Cloud – Execution – Binary or Library Loaded Executed berfungsi dengan temuan berikut:

• Eksekusi Biner yang Ditambahkan
• Library yang Ditambahkan Dimuat
• Eksekusi: Program Biner Berbahaya yang Ditambahkan Dieksekusi
• Eksekusi: Pustaka Berbahaya yang Dimuat Ditambahkan
• Eksekusi: Biner Berbahaya Bawaan Dieksekusi
• Eksekusi: Biner Berbahaya yang Dimodifikasi Dieksekusi
• Eksekusi: Library Berbahaya yang Dimodifikasi Dimuat

Untuk mengetahui informasi selengkapnya tentang temuan yang menjadi fokus playbook, lihat ringkasan Container Threat Detection.

Playbook Google Cloud – Execution – Cryptomining dapat membantu Anda mendeteksi ancaman penambangan mata uang kripto di Google Cloud, memperkaya informasi tentang aset dan akun layanan yang terpengaruh, menyelidiki aktivitas yang terdeteksi pada resource terkait untuk mengetahui kerentanan dan kesalahan konfigurasi. Sebagai respons terhadap ancaman, playbook menyarankan agar Anda menghentikan instance komputasi yang terpengaruh atau menonaktifkan akun layanan.

Playbook Google Cloud – Execution – Malicious URL Script or Shell Process dapat membantu Anda menangani aktivitas mencurigakan dalam container dan melakukan pengayaan resource khusus. Sebagai respons terhadap ancaman, playbook mengirim email kepada analis keamanan yang ditugaskan.

Playbook Google Cloud – Execution – Malicious URL Script or Shell Process berfungsi dengan temuan berikut:

• Skrip Berbahaya Dieksekusi
• URL Berbahaya Terdeteksi
• Reverse Shell
• Shell Turunan yang Tidak Terduga

Untuk mengetahui informasi selengkapnya tentang temuan yang menjadi fokus playbook, lihat ringkasan Container Threat Detection.

Playbook Google Cloud – Malware – Indicators dapat membantu Anda menangani ancaman terkait malware yang terdeteksi oleh Security Command Center dan menyelidiki instance yang berpotensi disusupi.

Playbook Google Cloud – Persistence – IAM Anomalous Grant dapat membantu Anda menyelidiki identitas atau akun layanan yang memberikan izin mencurigakan kepada akun utama beserta serangkaian izin yang diberikan, dan mengidentifikasi akun utama yang dimaksud. Sebagai respons terhadap ancaman, playbook menyarankan agar Anda menonaktifkan akun layanan yang mencurigakan atau, jika bukan akun layanan yang terkait dengan temuan, tetapi pengguna, kirimkan email kepada analis keamanan yang ditetapkan untuk melakukan perbaikan lebih lanjut.

Untuk mengetahui informasi selengkapnya tentang aturan yang digunakan dalam playbook, lihat Ringkasan Container Threat Detection.

Playbook Google Cloud – Persistence – Suspicious Behaviour dapat membantu Anda menangani subset spesifik perilaku mencurigakan terkait pengguna seperti login menggunakan metode API baru. Sebagai respons terhadap ancaman, playbook mengirimkan email kepada analis keamanan yang ditugaskan untuk perbaikan lebih lanjut.

Untuk mengetahui informasi selengkapnya tentang aturan yang digunakan dalam playbook, lihat Ringkasan Event Threat Detection.

Playbook temuan postur

Gunakan buku pedoman temuan postur untuk menganalisis temuan postur multicloud, memperkayanya menggunakan Security Command Center dan Cloud Asset Inventory, serta menandai informasi relevan yang diterima di tab Ringkasan Kasus. Playbook temuan postur memastikan bahwa sinkronisasi untuk temuan dan kasus berfungsi seperti yang diharapkan.

Playbook Posture – Toxic Combination Playbook dapat membantu Anda memperkaya kombinasi toksik dan menetapkan informasi yang diperlukan seperti tag kasus yang dibutuhkan Security Command Center untuk melacak dan memproses kombinasi toksik dan temuan terkait.

Playbook Posture Findings – Generic – VM Manager adalah versi ringan dari playbook Posture Findings – Generic yang tidak berisi langkah-langkah pengayaan Inventaris Aset Cloud dan hanya berfungsi untuk temuan VM Manager.

Secara default, hanya playbook Posture Findings – Generic yang diaktifkan. Jika Anda terintegrasi dengan Jira atau ServiceNow, nonaktifkan playbook Temuan Postur – Generik dan aktifkan playbook yang relevan untuk sistem tiket Anda. Untuk mempelajari lebih lanjut cara mengonfigurasi Jira atau ServiceNow, lihat Mengintegrasikan Security Command Center Enterprise dengan sistem tiket.

Selain menyelidiki dan memperkaya temuan postur, playbook Temuan Postur dengan Jira dan Temuan Postur dengan ServiceNow memastikan bahwa nilai pemilik resource (alamat email) yang dinyatakan dalam temuan valid dan dapat ditetapkan dalam sistem tiket masing-masing. Playbook temuan postur opsional mengumpulkan informasi yang diperlukan untuk membuat tiket baru dan memperbarui tiket yang ada saat pemberitahuan baru dimasukkan ke dalam kasus yang ada.

Playbook untuk menangani rekomendasi IAM

Gunakan playbook Respons Pemberi Rekomendasi IAM untuk secara otomatis mengatasi dan menerapkan rekomendasi yang disarankan oleh pemberi rekomendasi IAM. Playbook ini tidak menyediakan pengayaan dan tidak membuat tiket meskipun Anda telah terintegrasi dengan sistem tiket.

Untuk mengetahui detail selengkapnya tentang cara mengaktifkan dan menggunakan playbook Respons Pemberi Rekomendasi IAM, lihat Mengotomatiskan rekomendasi IAM menggunakan playbook.

Apa langkah selanjutnya?

Untuk mempelajari lebih lanjut playbook, lihat halaman berikut dalam dokumentasi Google SecOps:

• Apa yang ada di halaman Playbook?
• Menggunakan alur kerja dalam playbook
• Menggunakan tindakan dalam playbook
• Bekerja dengan blok playbook
• Melampirkan playbook ke pemberitahuan
• Menetapkan tindakan dan blok playbook