Vista geral dos guias interativos

Este documento oferece uma vista geral dos manuais de soluções disponíveis para si no nível Enterprise do Security Command Center.

Vista geral

No Security Command Center, use manuais de procedimentos para explorar e enriquecer os alertas, obter mais informações sobre as conclusões, receber recomendações sobre autorizações excessivas na sua organização e automatizar as respostas a ameaças, vulnerabilidades e configurações incorretas. Quando se integra com sistemas de emissão de bilhetes, os manuais de procedimentos ajudam a focar-se nas conclusões relevantes da postura, ao mesmo tempo que garantem a sincronização entre registos e pedidos.

O nível Enterprise do Security Command Center oferece-lhe os seguintes playbooks:

  • Manuais de resposta a ameaças:
    • Guia interativo de resposta a ameaças da AWS
    • Guia interativo de resposta a ameaças do Azure
    • Guia interativo de resposta a ameaças da GCP
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execution – Cryptomining
    • Google Cloud – Execução – Script de URL malicioso ou processo de shell
    • Google Cloud – Malware – Indicators
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Google Cloud – Persistence – Suspicious Behaviour
  • Manuais de soluções de conclusões sobre a postura:
    • Posture – Toxic Combination Playbook
    • Posture Findings – Generic
    • Resultados da postura – Genérico – Gestor de VMs (desativado por predefinição)
    • Resultados da postura com o Jira (desativado por predefinição)
    • Resultados de postura com o ServiceNow (desativado por predefinição)
  • Guia para processar as recomendações da IAM:
    • Resposta do IAM Recommender (desativada por predefinição)

Os manuais desativados por predefinição são opcionais e requerem que os ative manualmente antes de os usar.

Na página da consola de operações de segurança Registos, as conclusões tornam-se alertas de registos. Os alertas acionam manuais de procedimentos anexados para executar o conjunto de ações configurado para obter o máximo de informações possível sobre os alertas, corrigir a ameaça e, consoante o tipo de manual de procedimentos, fornecer as informações necessárias para criar pedidos ou gerir as combinações tóxicas e as recomendações de IAM.

Guias interativos de resposta a ameaças

Pode executar os manuais de procedimentos de resposta a ameaças para analisar ameaças, enriquecer descobertas com diferentes origens e sugerir e aplicar uma resposta de remediação. Os manuais de resposta a ameaças usam vários serviços, como o Google SecOps, o Security Command Center, o Cloud Asset Inventory e produtos como o VirusTotal e o Mandiant Threat Intelligence, para ajudar a obter o máximo de contexto possível sobre as ameaças. Os manuais de soluções podem ajudar a compreender se a ameaça no ambiente é um verdadeiro positivo ou um falso positivo e qual é a resposta ideal para a mesma.

Para garantir que os manuais de procedimentos de resposta a ameaças lhe fornecem as informações completas sobre ameaças, consulte o artigo Configuração avançada para gestão de ameaças.

O guia interativo GCP Threat Response Playbook executa uma resposta genérica a ameaças que têm origem em Google Cloud.

O guia interativo AWS Threat Response Playbook executa uma resposta genérica a ameaças originadas nos Amazon Web Services.

O manual de procedimentos Azure Threat Response Playbook executa uma resposta genérica a ameaças originárias do Microsoft Azure. Para corrigir ameaças, o manual de procedimentos enriquece as informações do Microsoft Entra ID e suporta a resposta a emails.

O manual de procedimentos Google Cloud – Software malicioso – Indicadores pode ajudar a responder a ameaças relacionadas com software malicioso e enriquecer os indicadores de comprometimento (IoC) e os recursos afetados. Como parte da correção, o manual de procedimentos sugere que pare uma instância suspeita ou desative uma conta de serviço.

O manual de procedimentos Google Cloud – Execution – Binary or Library Loaded Executed pode ajudar a lidar com um novo ficheiro binário ou uma biblioteca suspeita num contentor. Após o enriquecimento das informações sobre o contentor e a conta de serviço associada, o manual de procedimentos envia um email a um analista de segurança atribuído para remediação adicional.

O manual de procedimentos Google Cloud – Execution – Binary or Library Loaded Executed funciona com as seguintes conclusões:

  • Added Binary Executed
  • Biblioteca adicionada carregada
  • Execução: Added Malicious Binary Executed
  • Execução: Added Malicious Library Loaded
  • Execução: binário malicioso incorporado executado
  • Execução: ficheiro binário malicioso modificado executado
  • Execução: biblioteca maliciosa modificada carregada

Para mais informações acerca das conclusões em que o manual se foca, consulte a vista geral da deteção de ameaças de contentores.

O manual de procedimentos Google Cloud – Execution – Cryptomining pode ajudar a detetar ameaças de mineração de criptomoedas no Google Cloud, enriquecer as informações sobre os recursos e as contas de serviço afetados, investigar a atividade detetada em recursos relacionados para vulnerabilidades e configurações incorretas. Como resposta a uma ameaça, o plano de ação sugere que pare uma instância de computação afetada ou desative uma conta de serviço.

O manual de procedimentos Google Cloud – Execution – Malicious URL Script or Shell Process pode ajudar a processar uma atividade suspeita num contentor e realizar um enriquecimento de recursos dedicado. Como resposta a ameaças, o manual de procedimentos envia um email a um analista de segurança atribuído.

O manual de procedimentos Google Cloud – Execution – Malicious URL Script or Shell Process funciona com as seguintes conclusões:

  • Script malicioso executado
  • URL malicioso observado
  • Reverse Shell
  • Unexpected Child Shell

Para mais informações acerca das conclusões em que o manual se foca, consulte a vista geral da deteção de ameaças de contentores.

O manual de procedimentos Google Cloud – Software malicioso – Indicadores pode ajudar a lidar com as ameaças relacionadas com software malicioso detetadas pelo Security Command Center e investigar as instâncias potencialmente comprometidas.

O manual de procedimentos Google Cloud – Persistence – IAM Anomalous Grant pode ajudar a investigar uma identidade ou uma conta de serviço que concedeu autorizações suspeitas a um principal, juntamente com o conjunto de autorizações concedidas, e identificar o principal em questão. Como resposta a uma ameaça, o manual de procedimentos sugere que desative uma conta de serviço suspeita ou, se não for uma conta de serviço associada a uma descoberta, mas sim um utilizador, envie um email a um analista de segurança atribuído para remediação adicional.

Para mais informações acerca das regras usadas no manual de estratégias, consulte a vista geral da deteção de ameaças de contentores.

O manual de procedimentos Google Cloud – Persistência – Comportamento suspeito pode ajudar a processar os subconjuntos específicos de comportamento suspeito relacionado com o utilizador, como iniciar sessão através de um novo método de API. Como resposta a ameaças, o manual de procedimentos envia um email a um analista de segurança atribuído para remediação adicional.

Para mais informações sobre as regras usadas no manual de soluções, consulte o artigo Vista geral da deteção de ameaças de eventos.

Guias interativos de resultados da postura

Use os manuais de procedimentos de conclusões de postura para analisar as conclusões de postura de várias nuvens, enriquecê-las com o Security Command Center e o Cloud Asset Inventory, e realçar as informações relevantes recebidas no separador Vista geral do registo. Os guias interativos de conclusões de postura garantem que a sincronização de conclusões e casos funciona como esperado.

O manual Posture – Toxic Combination Playbook pode ajudar a enriquecer combinações tóxicas e definir as informações necessárias, como etiquetas de registos, que o Security Command Center requer para monitorizar e processar as combinações tóxicas e as conclusões relacionadas.

O playbook Posture Findings – Generic – VM Manager é uma versão simplificada do playbook Posture Findings – Generic que não contém passos de enriquecimento do inventário de recursos da nuvem e só funciona para as conclusões do VM Manager.

Por predefinição, apenas o manual Posture Findings – Generic está ativado. Se fizer a integração com o Jira ou o ServiceNow, desative o manual de procedimentos Posture Findings – Generic e ative o que for relevante para o seu sistema de emissão de pedidos. Para saber mais sobre a configuração do Jira ou do ServiceNow, consulte o artigo Integre o Security Command Center Enterprise com sistemas de emissão de pedidos.

Além de investigar e enriquecer as conclusões de postura, os manuais de procedimentos Conclusões de postura com o Jira e Conclusões de postura com o ServiceNow garantem que o valor do proprietário do recurso (endereço de email) indicado numa conclusão é válido e atribuível no respetivo sistema de emissão de pedidos. Os manuais de soluções de postura opcionais recolhem as informações necessárias para criar novos pedidos e atualizar os pedidos existentes quando são carregados novos alertas em registos existentes.

Guia para processar as recomendações da IAM

Use o manual de procedimentos IAM Recommender Response para resolver e aplicar automaticamente as recomendações sugeridas pelo IAM Recommender. Este manual não fornece enriquecimento e não cria pedidos, mesmo quando tem integração com um sistema de emissão de pedidos.

Para mais detalhes sobre como ativar e usar o manual de procedimentos IAM Recommender Response, consulte o artigo Automatize as recomendações da IAM com manuais de procedimentos.

O que se segue?

Para saber mais sobre os manuais de procedimentos, consulte as seguintes páginas na documentação do Google SecOps: