Panoramica dei playbook

Questo documento fornisce una panoramica dei playbook disponibili nel livello Enterprise di Security Command Center.

Panoramica

In Security Command Center, utilizza i playbook per esplorare e arricchire gli avvisi, ottenere maggiori informazioni sui risultati, ricevere consigli sulle autorizzazioni in eccesso nella la tua organizzazione e automatizzare le risposte a minacce, vulnerabilità e configurazioni errate. Quando esegui l'integrazione con i sistemi di gestione dei ticket, i playbook ti aiutano a concentrarti sui risultati pertinenti della postura, garantendo al contempo la sincronizzazione tra richieste e ticket.

Il livello Enterprise di Security Command Center fornisce i seguenti playbook:

  • Playbook di risposta alle minacce:
    • Playbook di risposta alle minacce AWS
    • Playbook di Azure Threat Response
    • Playbook per la risposta alle minacce di Google Cloud
    • Google Cloud – Esecuzione – Caricamento di codice binario o libreria Eseguita
    • Google Cloud – Esecuzione – Cryptomining
    • Google Cloud – Esecuzione – Script URL o processo di shell dannosi
    • Google Cloud – Malware – Indicators
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Google Cloud – Persistenza – Comportamento sospetto
  • Playbook per i risultati della postura:
    • Postura: Playbook per le combinazioni dannose
    • Risultati relativi alla postura: generici
    • Posture Findings – Generic – VM Manager (disattivato per impostazione predefinita)
    • Risultati relativi alla postura con Jira (disattivata per impostazione predefinita)
    • Risultati relativi alla posizione con ServiceNow (disattivato per impostazione predefinita)
  • Playbook per la gestione dei suggerimenti IAM:
    • Risposta del motore per suggerimenti IAM (disattivata per impostazione predefinita)

I playbook disattivati per impostazione predefinita sono facoltativi e richiedono di essere attivati manualmente nella console Security Operations prima di poterli utilizzare.

Nella console Security Operations, i risultati diventano avvisi relativi alle richieste. Gli avvisi attivano gli script allegati per eseguire l'insieme di azioni configurate per recuperare il maggior numero possibile di informazioni sugli avvisi, risolvere la minaccia e, a seconda del tipo di script, fornire le informazioni necessarie per creare ticket o gestire le combinazioni dannose e i consigli IAM.

Playbook di risposta alle minacce

Puoi eseguire i playbook di risposta alle minacce per analizzare le minacce, arricchire i risultati utilizzando diverse origini e suggerire e applicare una risposta di correzione. I playbook di risposta alle minacce utilizzano più servizi come Google SecOps, Security Command Center, Cloud Asset Inventory e prodotti come VirusTotal e Mandiant Threat Intelligence per aiutarti a ottenere il maggior contesto possibile sulle minacce. I playbook possono aiutarti a capire se la minaccia nell'ambiente è un vero positivo o un falso positivo e qual è la risposta ottimale.

Per assicurarti che i playbook di risposta alle minacce forniscano informazioni complete sulle minacce, consulta Configurazione avanzata per la gestione delle minacce.

Il playbook Playbook per la risposta alle minacce di Google Cloud esegue una risposta generica alle minacce che provengono da Google Cloud.

Il playbook AWS Threat Response Playbook esegue una risposta generica alle minacce provenienti da Amazon Web Services.

La guida strategica Azure Threat Response Playbook esegue una risposta generica alle minacce che provengono da Microsoft Azure. Per risolvere i problemi relativi alle minacce, il playbook arricchisce le informazioni di Microsoft Entra ID e supporta la risposta alle email.

Il playbook Google Cloud – Malware – Indicators può aiutarti a rispondere alle minacce correlate ai malware e ad arricchire gli indicatori di compromissione (IoC) e le risorse interessate. Nell'ambito della correzione, il playbook suggerisce di interrompere un'istanza sospetta o di disattivare un account di servizio.

Il playbook Google Cloud – Esecuzione – Caricamento di un file binario o di una libreria eseguito può aiutarti a gestire un nuovo file binario o una nuova libreria sospetti in un contenitore. Dopo aver arricchito le informazioni sul contenitore e sullaccount di servizio associato, il playbook invia un'email a un analista della sicurezza assegnato per ulteriori correzioni.

Il playbook Google Cloud – Esecuzione – Caricamento di codice binario o libreria eseguito funziona con i seguenti risultati:

  • Programma binario aggiuntivo eseguito
  • Libreria aggiuntiva caricata
  • Esecuzione: programma binario dannoso aggiuntivo eseguito
  • Esecuzione: caricamento di una libreria dannosa aggiuntiva
  • Esecuzione: programma binario dannoso integrato eseguito
  • Esecuzione: programma binario dannoso modificato eseguito
  • Esecuzione: libreria dannosa modificata caricata

Per ulteriori informazioni sui risultati su cui si concentra il playbook, consulta la panoramica di Container Threat Detection.

Il playbook Google Cloud – Esecuzione – Cryptomining può aiutarti a rilevare le minacce di mining di criptovalute in Google Cloud, arricchire le informazioni sugli asset e sugli account di servizio interessati, esaminare l'attività rilevata sulle risorse correlate per rilevare vulnerabilità e configurazioni errate. Come risposta alla minaccia, il playbook suggerisce di arrestare un'istanza di calcolo interessata o di disattivare un account di servizio.

Il playbook Google Cloud – Esecuzione – Script URL o processo shell dannosi può aiutarti a gestire un'attività sospetta in un contenitore ed eseguire un arricchimento delle risorse dedicato. Come risposta alla minaccia, il playbook invia un'email a un analista della sicurezza assegnato.

Il playbook Google Cloud – Esecuzione – Script o processo di shell con URL dannoso funziona con i seguenti risultati:

  • Script dannoso eseguito
  • URL dannoso rilevato
  • Shell inversa
  • Shell secondario imprevisto

Per ulteriori informazioni sui risultati su cui si concentra il playbook, consulta la panoramica di Container Threat Detection.

Il playbook Google Cloud - Malware - Indicators può aiutarti a gestire le minacce correlate ai malware rilevate da Security Command Center e a esaminare le istanze potenzialmente compromesse.

Il playbook Google Cloud – Persistence – IAM Anomalous Grant può aiutarti a esaminare un'identità o un account di servizio che ha concesso autorizzazioni sospette a un principale insieme all'insieme di autorizzazioni concesse, e identificare il principale in questione. Come risposta alle minacce, il playbook consiglia di disattivare un account di servizio sospetto o, se non si tratta di un account di servizio associato a un rilevamento, ma di un utente, invia un'email a un analista della sicurezza assegnato per ulteriori correzioni.

Per ulteriori informazioni sulle regole utilizzate nel playbook, consulta la panoramica di Container Threat Detection.

Il playbook Google Cloud – Persistence – Suspicious Behaviour può aiutarti a gestire sottoinsiemi specifici di comportamenti correlati agli utenti sospetti, come l'accesso utilizzando un nuovo metodo API. Come risposta alla minaccia, il playbook invia un'email a un analista della sicurezza assegnato per ulteriori rimedi.

Per ulteriori informazioni sulle regole utilizzate nel playbook, consulta Panoramica di Event Threat Detection.

Playbook per i risultati relativi alla postura

Utilizza i playbook dei risultati relativi alla postura per analizzare i risultati relativi alla postura multicloud, arricchirli utilizzando Security Command Center e Cloud Asset Inventory ed evidenziare le informazioni pertinenti ricevute nella scheda Panoramica della richiesta. I playbook dei risultati relativi alla conformità assicurano che la sincronizzazione dei risultati e delle richieste funzioni come previsto.

Il playbook Posture – Toxic Combination Playbook può aiutarti a arricchire le combinazioni tossiche e impostare le informazioni necessarie, come i tag delle richieste, che Security Command Center richiede per monitorare ed elaborare le combinazioni tossiche e i risultati correlati.

Il playbook Posture Findings – Generic – VM Manager è una versione leggera del playbook Posture Findings – Generic che non contiene i passaggi di arricchimento di Cloud Asset Inventory e funziona solo per i risultati di VM Manager.

Per impostazione predefinita, è attivato solo il playbook Posture Findings – Generic (Risultati relativi alla posizione - Generico). Se esegui l'integrazione con Jira o ServiceNow, disattiva il playbook Posture Findings – Generic e attiva quello pertinente per il tuo sistema di ticketing. Per scoprire di più sulla configurazione di Jira o ServiceNow, consulta Integrare Security Command Center Enterprise con i sistemi di ticketing.

Oltre a esaminare e arricchire i risultati relativi alla posizione, i playbook Posture Findings With Jira e Posture Findings With ServiceNow garantiscono che il valore del proprietario della risorsa (indirizzo email) indicato in un risultato sia valido e assegnabile nel rispettivo sistema di ticketing. I playbook facoltativi relativi ai risultati relativi alla posizione raccoglieranno le informazioni necessarie per creare nuovi ticket e aggiornare quelli esistenti quando i nuovi avvisi vengono importati nelle richieste esistenti.

Playbook per la gestione dei suggerimenti IAM

Utilizza il playbook Risposta al motore per suggerimenti IAM per risolvere e applicare automaticamente i consigli suggeriti dal motore per suggerimenti IAM. Questo playbook non fornisce arricchimenti e non crea richieste anche se hai eseguito l'integrazione con un sistema di gestione delle richieste.

Per ulteriori dettagli sull'attivazione e sull'utilizzo del playbook Risposta del motore per suggerimenti IAM, consulta Automatizzare i suggerimenti IAM utilizzando i playbook.

Passaggi successivi

Per saperne di più sui playbook, consulta le seguenti pagine della documentazione di Google SecOps: