Visão geral dos playbooks

Este documento apresenta uma visão geral dos playbooks disponíveis no nível Enterprise do Security Command Center.

Visão geral

No Security Command Center, use playbooks para analisar e enriquecer alertas, receber mais informações sobre descobertas, receber recomendações sobre permissões em excesso na organização e automatizar respostas a ameaças, vulnerabilidades e configurações incorretas. Quando você faz a integração com sistemas de tíquetes, os playbooks ajudam você se concentra nas descobertas de postura relevantes e garante a sincronização entre casos e tíquetes de suporte.

O nível Enterprise do Security Command Center oferece os seguintes manuais:

  • Playbooks de resposta a ameaças:
    • Manual de resposta a ameaças da AWS
    • Manual de Resposta a Ameaças do Azure
    • Manual de resposta a ameaças do GCP
    • Google Cloud: execução: binário ou biblioteca carregada executada
    • Google Cloud – Execução – Criptomineração
    • Google Cloud – Execução – script de URL malicioso ou Processo de shell
    • Google Cloud – Malware – Indicadores
    • Google Cloud: persistência – concessão anormal do IAM
    • Google Cloud – Persistência – Comportamento suspeito
  • Manuais de resultados de postura:
    • Posture – Toxic Combination Playbook (link em inglês)
    • Descobertas de postura – Genérica
    • Descobertas de postura – Genérica – VM Manager (desativada por padrão)
    • Descobertas de postura com o Jira (desativada por padrão)
    • Posture Findings With ServiceNow (desativado por padrão)
  • Playbook para lidar com as recomendações do IAM:
    • Resposta do recomendador do IAM (desativado por padrão)

Os playbooks desativados por padrão são opcionais e exigem a ativação manualmente no console de Operações de Segurança antes de usá-los.

No console de Operações de Segurança, as descobertas se tornam alertas de caso. Acionador de alertas playbooks anexados para executar o conjunto de ações configurado para recuperar o máximo possível de informações sobre os alertas, remediando e, dependendo do tipo de playbook, fornecer as informações necessárias para criar tíquetes ou gerenciar as combinações tóxicas e o IAM recomendações.

Playbooks de resposta a ameaças

É possível executar os playbooks de resposta a ameaças para analisar ameaças, aprimorar descobertas usando fontes diferentes e sugerir e aplicar uma resposta de correção. Os playbooks de resposta a ameaças usam vários serviços, Google SecOps, Security Command Center, Inventário de recursos do Cloud e produtos como VirusTotal e Mandiant Threat Intelligence você obtém o máximo de contexto possível sobre ameaças. Os playbooks podem ajudar você a entender se a ameaça do ambiente é positivo ou falso positivo e qual é a melhor resposta para ele.

Para garantir que os playbooks de resposta a ameaças forneçam todas as informações sobre ameaças, consulte Configuração avançada para gerenciamento de ameaças.

O manual GCP Threat Response Playbook executa uma resposta genérica a ameaças originadas do Google Cloud.

O playbook AWS Threat Response Playbook executa uma resposta genérica para ameaças com origem no Amazon Web Services.

O manual de Resposta a ameaças do Azure executa uma resposta genérica a ameaças originadas do Microsoft Azure. Para remediar ameaças, o playbook enriquece as informações do Microsoft Entra ID e oferece suporte para responder a e-mails.

O playbook Google Cloud – Malware – indicadores pode ajudar responder a ameaças relacionadas a malware e enriquecer os indicadores de comprometimento (IoC) e os recursos afetados. Como parte da correção, o playbook sugere que você interrompe uma instância suspeita ou desativa uma conta de serviço.

O playbook Google Cloud – Execution – Binary or Library Loaded Executed pode ajudar você a lidar com um novo binário ou biblioteca suspeito em um contêiner. Depois de enriquecer as informações sobre o contêiner e a conta de serviço associada, o playbook envia um e-mail a um analista de segurança designado para uma correção adicional.

O guia Google Cloud – Execução – Binário ou biblioteca carregado executado funciona com as seguintes descobertas:

  • Adição de binário executado
  • Adição de biblioteca carregada
  • Execução: adição de binário malicioso executado
  • Execução: biblioteca maliciosa carregada
  • Execução: criação em binário malicioso executado
  • Execução: binário malicioso modificado executado
  • Execução: biblioteca maliciosa modificada carregada

Para mais informações sobre as descobertas em que o playbook se concentra, consulte Detecção de ameaças a contêineres geral do Google.

No playbook Google Cloud – Execução – mineração de criptomoedas, você pode detectar ameaças à mineração de criptomoedas no Google Cloud, aprimorar informações sobre ativos e contas de serviço afetados, investigar a atividade em recursos relacionados em busca de vulnerabilidades e configurações incorretas. Como resposta a ameaças, o playbook sugere que você interrompa uma operação instância ou desativar um conta de serviço.

O script ou shell do Google Cloud – Execução – URL malicioso Process pode ajudar a lidar com atividades suspeitas em um contêiner e e realizar um enriquecimento de recursos dedicado. Como resposta a ameaças, o playbook envia um e-mail para o analista de segurança designado.

O script ou shell do Google Cloud – Execução – URL malicioso Process funciona com as seguintes descobertas:

  • Script malicioso executado
  • URL malicioso observado
  • Shell reverso
  • Shell filho inesperado

Para mais informações sobre as descobertas em que o playbook se concentra, consulte Detecção de ameaças a contêineres geral do Google.

O playbook Google Cloud: indicadores de malware pode ajudar você a lidar com as ameaças relacionadas a malware detectadas pelo Security Command Center e investigar as instâncias potencialmente comprometidas.

Concessão anômala de IAM do Google Cloud Persistência pode ajudar a investigar uma identidade ou conta de serviço que concedeu permissões suspeitas para um principal junto com o conjunto de permissões concedidas, e identificar o principal em questão. Como resposta a ameaças, o playbook sugere que você desative uma conta de serviço suspeita ou, caso ela não seja um serviço associada a uma descoberta, mas a um usuário, envia e-mails para ao analista de segurança atribuído a ele para remediação adicional.

Para mais informações sobre as regras usadas no playbook, consulte Detecção de ameaças a contêineres geral do Google.

Google Cloud – Persistência – Comportamento suspeito pode ajudar você a lidar com subconjuntos específicos de problemas como fazer login usando um novo método de API. Como resposta a ameaças, playbook envia um e-mail a um analista de segurança atribuído para correção adicional.

Para mais informações sobre as regras usadas no playbook, consulte Informações gerais sobre ameaças a eventos Detecção.

Playbooks de descobertas de postura

Use os playbooks de descobertas de postura para analisar as descobertas de postura multicloud, enriquecê-los usando o Security Command Center e o Inventário de recursos do Cloud e destacar as informações relevantes recebidas nos artigos Visão geral do caso guia. Os playbooks de descobertas de postura garantem que a sincronização das descobertas e funciona conforme o esperado.

O manual Posture – Manual de Combinação Tóxica pode ajudar você a enriquecer combinações tóxicas e definir as informações necessárias, como tags de capitalização que O Security Command Center precisa rastrear e processar as combinações tóxicas e descobertas relacionadas.

O playbook Descobertas de postura – Genérico – VM Manager é uma versão leve do playbook Descobertas de postura – Genérica, que não contém etapas de aprimoramento do Inventário de recursos do Cloud e só funciona para descobertas do VM Manager.

Por padrão, apenas o playbook Descobertas de postura – Genérica está ativado. Se você se integrar ao Jira ou ao ServiceNow, desative as Descobertas de postura: Genérica e ative o que for relevante para seu sistema de tíquetes. Para saber Saiba mais sobre como configurar o Jira ou o ServiceNow em Integrar o Security Command Center Empresa com sistemas de tíquetes

Além de investigar e enriquecer as descobertas de postura, a Postura As descobertas com o Jira e Descobertas de postura com o ServiceNow garantem se o valor do proprietário do recurso (endereço de e-mail) indicado em uma descoberta é válido atribuíveis no respectivo sistema de tíquetes. Os playbooks de resultados de postura opcionais coletam as informações necessárias para criar novos tickets e atualizar tickets existentes quando novos alertas são processados nos casos.

Playbook para lidar com as recomendações do IAM

Use o playbook Resposta do recomendador do IAM para resolver e aplicar automaticamente as recomendações sugeridas pelo recomendador do IAM. Isso manual não oferece nenhum enriquecimento e não cria tíquetes, mesmo quando integrados a um sistema de tíquetes.

Para mais detalhes sobre como ativar e usar o playbook Resposta do recomendador do IAM, consulte Automatizar recomendações do IAM usando playbooks.

A seguir

Para saber mais sobre playbooks, consulte as páginas a seguir na Documentação do Google SecOps: