Visão geral dos playbooks

Este documento apresenta uma visão geral dos playbooks disponíveis para você no nível Enterprise do Security Command Center.

Visão geral

No Security Command Center, use playbooks para analisar e enriquecer alertas, obter mais informações sobre descobertas, receber recomendações sobre permissões em excesso na organização e automatizar respostas a ameaças, vulnerabilidades e erros de configuração. Ao integrar com sistemas de tíquetes, os playbooks ajudam você a se concentrar em descobertas relevantes de postura, garantindo a sincronização entre casos e tíquetes.

O nível Enterprise do Security Command Center oferece os seguintes playbooks:

  • Playbooks de resposta a ameaças:
    • Manual de resposta a ameaças da AWS
    • Manual de resposta a ameaças do Azure
    • Manual de resposta a ameaças do GCP
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execução – Mineração de criptomoedas
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Malware – Indicadores
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Google Cloud – Persistence – Suspicious Behaviour
  • Manuais de descobertas de postura:
    • Postura: manual de combinação tóxica
    • Descobertas de postura – genérico
    • Descobertas de postura – genérico – VM Manager (desativado por padrão)
    • Descobertas de postura com o Jira (desativado por padrão)
    • Descobertas de postura com o ServiceNow (desativado por padrão)
  • Manual para lidar com as recomendações do IAM:
    • Resposta do recomendador do IAM (desativada por padrão)

Os playbooks desativados por padrão são opcionais e precisam ser ativados manualmente antes do uso.

Na página Casos do console do Security Operations, as descobertas se tornam alertas de caso. Os alertas acionam playbooks anexados para executar o conjunto configurado de ações para recuperar o máximo de informações possível sobre alertas, corrigir a ameaça e, dependendo do tipo de playbook, fornecer as informações necessárias para criar tíquetes ou gerenciar as combinações tóxicas e as recomendações do IAM.

Playbooks de resposta a ameaças

Você pode executar os playbooks de resposta a ameaças para analisar ameaças, enriquecer descobertas usando diferentes fontes e sugerir e aplicar uma resposta de correção. Os playbooks de resposta a ameaças usam vários serviços, como Google SecOps, Security Command Center, Inventário de recursos do Cloud e produtos como VirusTotal e Inteligência contra ameaças da Mandiant, para ajudar você a obter o máximo de contexto possível sobre as ameaças. Os playbooks ajudam você a entender se a ameaça no ambiente é um verdadeiro positivo ou um falso positivo e qual é a resposta ideal para ela.

Para garantir que os playbooks de resposta a ameaças forneçam todas as informações sobre ameaças, consulte Configuração avançada para gerenciamento de ameaças.

O manual de resposta a ameaças do GCP executa uma resposta genérica a ameaças originadas de Google Cloud.

O manual AWS Threat Response Playbook executa uma resposta genérica a ameaças originadas da Amazon Web Services.

O manual Azure Threat Response Playbook executa uma resposta genérica a ameaças originadas do Microsoft Azure. Para corrigir ameaças, o playbook enriquece as informações do ID do Microsoft Entra e permite responder a e-mails.

O playbook Google Cloud – Malware – Indicators (em inglês) ajuda você a responder a ameaças relacionadas a malware e enriquecer os indicadores de comprometimento (IoC) e os recursos afetados. Como parte da correção, o playbook sugere que você pare uma instância suspeita ou desative uma conta de serviço.

O playbook Google Cloud – Execution – Binary or Library Loaded Executed (em inglês) pode ajudar você a lidar com um novo binário ou biblioteca suspeita em um contêiner. Depois de enriquecer as informações sobre o contêiner e a conta de serviço associada, o playbook envia um e-mail a um analista de segurança atribuído para mais correções.

O playbook Google Cloud – Execution – Binary or Library Loaded Executed funciona com as seguintes descobertas:

  • Binário adicionado executado
  • Biblioteca adicionada carregada
  • Execução: binário malicioso adicionado executado
  • Execução: biblioteca maliciosa adicionada carregada
  • Execução: binário malicioso integrado executado
  • Execução: binário malicioso modificado executado
  • Execução: biblioteca maliciosa modificada carregada

Para mais informações sobre as descobertas em que o playbook se concentra, consulte a visão geral do Container Threat Detection.

O playbook Google Cloud – Execution – Cryptomining pode ajudar você a detectar ameaças de mineração de criptomoedas em Google Cloud, enriquecer informações sobre ativos e contas de serviço afetados e investigar a atividade detectada em recursos relacionados para vulnerabilidades e configurações incorretas. Como resposta a ameaças, o playbook sugere que você interrompa uma instância de computação afetada ou desative uma conta de serviço.

O playbook Google Cloud – Execution – Malicious URL Script or Shell Process pode ajudar você a lidar com uma atividade suspeita em um contêiner e realizar um enriquecimento de recursos dedicado. Como resposta a ameaças, o playbook envia um e-mail para um analista de segurança designado.

O playbook Google Cloud – Execution – Malicious URL Script or Shell Process funciona com as seguintes descobertas:

  • Script malicioso executado
  • URL malicioso observado
  • Shell reverso
  • Shell filho inesperado

Para mais informações sobre as descobertas em que o playbook se concentra, consulte a visão geral do Container Threat Detection.

O playbook Google Cloud – Malware – Indicadores pode ajudar você a lidar com as ameaças relacionadas a malware detectadas pelo Security Command Center e investigar as instâncias potencialmente comprometidas.

O playbook Google Cloud – Persistence – IAM Anomalous Grant pode ajudar você a investigar uma identidade ou uma conta de serviço que concedeu permissões suspeitas a um principal, além do conjunto de permissões concedidas, e identificar o principal em questão. Como resposta a ameaças, o playbook sugere que você desative uma conta de serviço suspeita ou, se não for uma conta de serviço associada a uma descoberta, mas um usuário, envie um e-mail a um analista de segurança atribuído para mais correções.

Para mais informações sobre as regras usadas no playbook, consulte a visão geral do Container Threat Detection.

O playbook Google Cloud – Persistência – Comportamento suspeito pode ajudar você a lidar com os subconjuntos específicos de comportamento suspeito relacionado ao usuário, como fazer login usando um novo método de API. Como resposta a uma ameaça, o playbook envia um e-mail a um analista de segurança atribuído para correção adicional.

Para mais informações sobre as regras usadas no playbook, consulte Visão geral do Event Threat Detection.

Playbooks de descobertas de postura

Use os playbooks de descobertas de postura para analisar as descobertas de postura multicloud, enriqueça-as usando o Security Command Center e o Inventário de recursos do Cloud e destaque as informações relevantes recebidas na guia Visão geral do caso. Os playbooks de descobertas de postura garantem que a sincronização de descobertas e casos funcione como esperado.

O playbook Postura – Combinação tóxica ajuda a enriquecer combinações tóxicas e definir as informações necessárias, como tags de caso, que o Security Command Center exige para rastrear e processar as combinações tóxicas e as descobertas relacionadas.

O playbook Descobertas de postura – genérico – VM Manager é uma versão simplificada do playbook Descobertas de postura – genérico que não contém etapas de enriquecimento do Inventário de recursos do Cloud e funciona apenas para as descobertas do VM Manager.

Por padrão, apenas o playbook Descobertas de postura – genérico está ativado. Se você fizer a integração com o Jira ou o ServiceNow, desative o playbook Descobertas de postura – genérico e ative aquele relevante para seu sistema de tíquetes. Para saber mais sobre como configurar o Jira ou o ServiceNow, consulte Integrar o Security Command Center Enterprise a sistemas de tíquetes.

Além de investigar e enriquecer as descobertas de postura, os playbooks Descobertas de postura com Jira e Descobertas de postura com ServiceNow garantem que o valor do proprietário do recurso (endereço de e-mail) declarado em uma descoberta seja válido e atribuível no sistema de tíquetes respectivo. Os playbooks opcionais de postura coletam as informações necessárias para criar novos tíquetes e atualizar os atuais quando novos alertas são ingeridos em casos existentes.

Manual para lidar com as recomendações do IAM

Use o playbook Resposta do recomendador do IAM para resolver e aplicar automaticamente as recomendações sugeridas pelo recomendador do IAM. Esse playbook não oferece enriquecimento e não cria tíquetes, mesmo quando você tem integração com um sistema de emissão de tíquetes.

Para mais detalhes sobre como ativar e usar o playbook Resposta do recomendador do IAM, consulte Automatizar recomendações do IAM usando playbooks.

A seguir

Para saber mais sobre os playbooks, consulte as seguintes páginas na documentação do Google SecOps: