Panoramica dei playbook

Questo documento fornisce una panoramica dei playbook a tua disposizione nel livello Enterprise di Security Command Center.

Panoramica

In Security Command Center, utilizza i playbook per esplorare e arricchire gli avvisi, ottenere maggiori informazioni sui risultati, ricevere consigli sulle autorizzazioni in eccesso nella tua organizzazione e automatizzare le risposte a minacce, vulnerabilità e configurazioni errate. Quando esegui l'integrazione con i sistemi di gestione dei ticket, i playbook ti aiutano a concentrarti sui risultati di postura pertinenti, garantendo al contempo la sincronizzazione tra casi e ticket.

Il livello Enterprise di Security Command Center fornisce i seguenti playbook:

  • Playbook di risposta alle minacce:
    • Guida pratica alla risposta alle minacce di AWS
    • Playbook di risposta alle minacce di Azure
    • GCP Threat Response Playbook
    • Google Cloud - Execution - Binary or Library Loaded Executed
    • Google Cloud – Execution – Cryptomining
    • Google Cloud - Execution - Malicious URL Script or Shell Process
    • Google Cloud - Malware - Indicators
    • Google Cloud - Persistence - IAM Anomalous Grant
    • Google Cloud - Persistenza - Comportamento sospetto
  • Playbook sui risultati della postura:
    • Postura - Guida pratica alla combinazione dannosa
    • Risultati della postura - Generico
    • Posture Findings – Generic – VM Manager (disabilitato per impostazione predefinita)
    • Risultati della postura con Jira (disattivato per impostazione predefinita)
    • Posture Findings With ServiceNow (disattivato per impostazione predefinita)
  • Playbook per la gestione dei suggerimenti IAM:
    • Risposta del motore per suggerimenti IAM (disattivato per impostazione predefinita)

I playbook disabilitati per impostazione predefinita sono facoltativi e richiedono l'attivazione manuale prima dell'utilizzo.

Nella pagina della console Security Operations Casi, i risultati diventano avvisi relativi ai casi. Gli avvisi attivano i playbook collegati per eseguire il set di azioni configurato per recuperare il maggior numero possibile di informazioni sugli avvisi, correggere la minaccia e, a seconda del tipo di playbook, fornire le informazioni richieste per creare ticket o gestire le combinazioni tossiche e i consigli IAM.

Playbook di risposta alle minacce

Puoi eseguire i playbook di risposta alle minacce per analizzare le minacce, arricchire i risultati utilizzando diverse fonti e suggerire e applicare una risposta di correzione. I playbook di risposta alle minacce utilizzano più servizi come Google SecOps, Security Command Center, Cloud Asset Inventory e prodotti come VirusTotal e Mandiant Threat Intelligence per aiutarti a ottenere il maggior contesto possibile sulle minacce. I playbook possono aiutarti a capire se la minaccia nell'ambiente è un vero positivo o un falso positivo e qual è la risposta ottimale.

Per assicurarti che i playbook di risposta alle minacce ti forniscano tutte le informazioni sulle minacce, consulta Configurazione avanzata per la gestione delle minacce.

Il playbook GCP Threat Response Playbook esegue una risposta generica alle minacce provenienti da Google Cloud.

Il playbook AWS Threat Response Playbook esegue una risposta generica alle minacce provenienti da Amazon Web Services.

La guida strategica Azure Threat Response Playbook esegue una risposta generica alle minacce provenienti da Microsoft Azure. Per risolvere le minacce, il playbook arricchisce le informazioni di Microsoft Entra ID e supporta la risposta alle email.

Il playbook Google Cloud - Malware - Indicators può aiutarti a rispondere alle minacce correlate al malware e arricchire gli indicatori di compromissione (IoC) e le risorse interessate. Nell'ambito della correzione, il playbook suggerisce di arrestare un'istanza sospetta o disattivare unaccount di serviziot.

Il playbook Google Cloud – Execution – Binary or Library Loaded Executed può aiutarti a gestire un nuovo binario o una nuova libreria sospetti in un container. Dopo aver arricchito le informazioni sul container e sull'account di servizio associato, il playbook invia un'email a un analista della sicurezza assegnato per ulteriori interventi correttivi.

Il playbook Google Cloud – Execution – Binary or Library Loaded Executed funziona con i seguenti risultati:

  • File binario aggiuntivo eseguito
  • Libreria aggiuntiva caricata
  • Esecuzione: file binario aggiuntivo dannoso eseguito
  • Esecuzione: libreria dannosa aggiuntiva caricata
  • Esecuzione: file binario dannoso integrato eseguito
  • Esecuzione: file binario dannoso modificato eseguito
  • Esecuzione: libreria dannosa modificata caricata

Per ulteriori informazioni sui risultati su cui si concentra il playbook, consulta la panoramica di Container Threat Detection.

Il playbook Google Cloud - Execution - Cryptomining può aiutarti a rilevare le minacce di estrazione di criptovalute in Google Cloud, arricchire le informazioni su asset e service account interessati e analizzare l'attività rilevata sulle risorse correlate per individuare vulnerabilità e configurazioni errate. Come risposta alla minaccia, il playbook suggerisce di arrestare un'istanza di calcolo interessata o disattivare un account di servizio.

Il playbook Google Cloud – Execution – Malicious URL Script or Shell Process può aiutarti a gestire un'attività sospetta in un container ed eseguire un arricchimento delle risorse dedicato. Come risposta alla minaccia, il playbook invia un'email a un analista della sicurezza assegnato.

Il playbook Google Cloud – Execution – Malicious URL Script or Shell Process funziona con i seguenti risultati:

  • Script dannoso eseguito
  • Rilevato URL dannoso
  • Shell inversa
  • Shell secondaria imprevista

Per ulteriori informazioni sui risultati su cui si concentra il playbook, consulta la panoramica di Container Threat Detection.

Il playbook Google Cloud - Malware - Indicators può aiutarti a gestire le minacce correlate a malware rilevate da Security Command Center e a esaminare le istanze potenzialmente compromesse.

Il playbook Google Cloud - Persistence - IAM Anomalous Grant può aiutarti a esaminare un'identità o un account di servizio che ha concesso autorizzazioni sospette a un principal insieme all'insieme di autorizzazioni concesse e a identificare il principal in questione. Come risposta alla minaccia, il playbook suggerisce di disattivare un account di servizio sospetto o, se non si tratta di un account di servizio associato a un risultato, ma di un utente, invia un'email a un analista della sicurezza assegnato per ulteriori azioni correttive.

Per maggiori informazioni sulle regole utilizzate nel playbook, consulta la panoramica di Container Threat Detection.

Il playbook Google Cloud - Persistence - Suspicious Behaviour può aiutarti a gestire i sottoinsiemi specifici di comportamenti sospetti correlati agli utenti, ad esempio l'accesso utilizzando un nuovo metodo API. Come risposta alla minaccia, il playbook invia un'email a un analista della sicurezza assegnato per ulteriori interventi correttivi.

Per maggiori informazioni sulle regole utilizzate nel playbook, vedi Panoramica di Event Threat Detection.

Playbook sui risultati della postura

Utilizza i playbook per i risultati della postura per analizzare i risultati della postura multicloud, arricchiscili utilizzando Security Command Center e Cloud Asset Inventory ed evidenzia le informazioni pertinenti ricevute nella scheda Panoramica della richiesta. I playbook per i risultati della postura garantiscono che la sincronizzazione di risultati e casi funzioni come previsto.

Il playbook Posture - Toxic Combination Playbook può aiutarti ad arricchire le combinazioni tossiche e a impostare le informazioni necessarie, come i tag delle richieste, che Security Command Center richiede per monitorare ed elaborare le combinazioni tossiche e i risultati correlati.

Il playbook Posture Findings – Generic – VM Manager è una versione leggera del playbook Posture Findings – Generic che non contiene passaggi di arricchimento di Cloud Asset Inventory e funziona solo per i risultati di VM Manager.

Per impostazione predefinita, è attivato solo il playbook Posture Findings – Generic. Se esegui l'integrazione con Jira o ServiceNow, disattiva il playbook Posture Findings – Generic e attiva quello pertinente per il tuo sistema di gestione dei ticket. Per scoprire di più sulla configurazione di Jira o ServiceNow, consulta Integrare Security Command Center Enterprise con i sistemi di gestione dei ticket.

Oltre a esaminare e arricchire i risultati della postura, i playbook Posture Findings With Jira e Posture Findings With ServiceNow assicurano che il valore del proprietario della risorsa (indirizzo email) indicato in un risultato sia valido e assegnabile nel rispettivo sistema di gestione dei ticket. I playbook facoltativi per la postura raccolgono le informazioni necessarie per creare nuovi ticket e aggiornare quelli esistenti quando vengono inseriti nuovi avvisi nei casi esistenti.

Playbook per la gestione dei suggerimenti IAM

Utilizza il playbook Risposta del motore per suggerimenti IAM per risolvere e applicare automaticamente i suggerimenti proposti dal motore per suggerimenti IAM. Questo playbook non fornisce arricchimento e non crea ticket anche se hai eseguito l'integrazione con un sistema di gestione delle richieste.

Per ulteriori dettagli sull'attivazione e l'utilizzo del playbook Risposta del motore per suggerimenti IAM, consulta Automatizzare i suggerimenti IAM utilizzando i playbook.

Passaggi successivi

Per saperne di più sui playbook, consulta le seguenti pagine della documentazione di Google SecOps: