Playbook 概览

本文档概述了 Security Command Center 企业版层级中可供您使用的剧本。

概览

在 Security Command Center 中,您可以使用 playbook 来探索和丰富提醒,获取有关发现结果的更多信息,获取有关组织中过度授予的权限的建议,以及自动响应威胁、漏洞和错误配置。与工单系统集成后,剧本可帮助您专注于相关的姿态发现结果,同时确保支持请求与工单之间的同步。

Security Command Center Enterprise 层级为您提供以下剧本:

  • 威胁响应 playbook:
    • AWS 威胁响应剧本
    • Azure 威胁响应剧本
    • GCP 威胁响应实战宝典
    • Google Cloud - 执行 - 加载的二进制文件或库已执行
    • Google Cloud - 执行 - 挖矿
    • Google Cloud - 执行 - 恶意网址脚本或 Shell 进程
    • Google Cloud - 恶意软件 - 指标
    • Google Cloud - 持久性 - IAM 异常授权
    • Google Cloud - 持久性 - 可疑行为
  • 安全状况发现结果剧本:
    • 姿势 - 恶意组合剧本
    • 安全状况发现结果 - 常规
    • 姿态发现结果 - 通用 - 虚拟机管理器(默认处于停用状态)
    • 将安全状况发现项与 Jira 集成(默认处于停用状态)
    • 将姿势检测结果与 ServiceNow 集成(默认处于停用状态)
  • 用于处理 IAM 建议的手册:
    • IAM Recommender 响应(默认处于停用状态)

默认停用的 playbook 是可选的,您需要先手动启用它们,然后才能使用。

支持请求安全运维控制台页面上,发现结果会变成支持请求提醒。提醒会触发附加的剧本,以执行配置的一组操作,尽可能检索有关提醒的信息、修复威胁,并根据剧本类型提供创建工单或管理有害组合和 IAM 建议所需的信息。

威胁响应 playbook

您可以执行威胁响应 playbook 来分析威胁、使用不同来源丰富调查结果,并建议和应用补救措施。 威胁响应策略方案使用 Google SecOps、Security Command Center、Cloud Asset Inventory 等多种服务,以及 VirusTotal 和 Mandiant Threat Intelligence 等产品,帮助您尽可能多地了解威胁的背景信息。这些 playbook 可帮助您了解环境中的威胁是真阳性还是假阳性,以及针对该威胁的最佳应对措施。

如需确保威胁响应 playbook 为您提供有关威胁的完整信息,请参阅威胁管理的高级配置

GCP 威胁响应 playbook 会针对源自 Google Cloud的威胁执行通用响应。

AWS 威胁响应剧本会针对源自 Amazon Web Services 的威胁执行通用响应。

Azure 威胁响应剧本会针对源自 Microsoft Azure 的威胁执行通用响应。为了修复威胁,该使用指南丰富了来自 Microsoft Entra ID 的信息,并支持回复电子邮件。

Google Cloud - 恶意软件 - 指标剧本可帮助您应对与恶意软件相关的威胁,并丰富失陷指标 (IoC) 和受影响的资源。作为补救措施的一部分,该剧本建议您停止可疑实例或停用服务账号。

Google Cloud - 执行 - 加载的二进制文件或库已执行 playbook 可帮助您处理容器中的可疑新二进制文件或库。在丰富了有关容器和关联服务账号的信息后,该 playbook 会向分配的安全分析师发送电子邮件,以便进一步补救。

Google Cloud - 执行 - 加载的二进制文件或库已执行 playbook 可用于以下发现结果:

  • 已执行添加的二进制文件
  • 已加载添加的库
  • 执行:已执行添加的恶意二进制文件
  • 执行:加载了添加的恶意库
  • 执行:执行了内置恶意二进制文件
  • 执行:已执行修改的恶意二进制文件
  • 执行:加载了修改的恶意库

如需详细了解该剧本重点关注的发现结果,请参阅 Container Threat Detection 概览

Google Cloud - 执行 - 加密货币挖矿剧本可帮助您检测 Google Cloud中的加密货币挖矿威胁,丰富有关受影响资产和服务账号的信息,调查相关资源上检测到的漏洞和错误配置活动。作为威胁应对措施,该 playbook 建议您停止受影响的计算实例或停用服务账号。

Google Cloud - 执行 - 恶意网址脚本或 Shell 进程 playbook 可帮助您处理容器中的可疑活动并执行专用资源扩充。作为威胁响应,该 playbook 会向分配的安全分析师发送电子邮件。

Google Cloud - 执行 - 恶意网址脚本或 Shell 进程 playbook 可处理以下发现结果:

  • 已执行恶意脚本
  • 观察到恶意网址
  • 反向 shell
  • 意外的子 shell

如需详细了解该剧本重点关注的发现结果,请参阅 Container Threat Detection 概览

Google Cloud - 恶意软件 - 指标剧本可帮助您处理 Security Command Center 检测到的与恶意软件相关的威胁,并调查可能受到入侵的实例。

Google Cloud - 持久性 - IAM 异常授权 playbook 可帮助您调查向主账号授予可疑权限的身份或服务账号,以及授予的权限集,并确定相关主账号。作为威胁应对措施,该剧本建议您停用可疑的服务账号;如果可疑账号不是与发现项关联的服务账号,而是用户账号,则向分配的安全分析师发送电子邮件,以便进一步补救。

如需详细了解剧本中使用的规则,请参阅 Container Threat Detection 概览

Google Cloud - 持久性 - 可疑行为剧本可帮助您处理与用户相关的特定可疑行为子集,例如使用新的 API 方法登录。作为威胁响应,该 playbook 会向分配的安全分析师发送电子邮件,以便进一步采取补救措施。

如需详细了解剧本中使用的规则,请参阅 Event Threat Detection 概览

安全状况发现结果 playbook

使用姿态发现结果剧本分析多云姿态发现结果,使用 Security Command Center 和 Cloud Asset Inventory 丰富这些结果,并在“问题概览”标签页中突出显示收到的相关信息。 安全状况发现结果剧本可确保发现结果和支持请求的同步按预期运行。

姿态 - 恶意组合剧本剧本可帮助您丰富恶意组合,并设置必要的信息(例如支持请求标记),以便 Security Command Center 跟踪和处理恶意组合及相关发现结果。

Posture Findings – Generic – VM Manager playbook 是 Posture Findings – Generic playbook 的轻量级版本,不包含 Cloud Asset Inventory 丰富步骤,仅适用于虚拟机管理器发现结果。

默认情况下,仅启用姿势发现结果 - 常规 playbook。 如果您与 Jira 或 ServiceNow 集成,请停用姿态发现 - 通用 playbook,并启用与您的工单系统相关的 playbook。如需详细了解如何配置 Jira 或 ServiceNow,请参阅将 Security Command Center Enterprise 与工单系统集成

除了调查和丰富姿态发现结果之外,Posture Findings With JiraPosture Findings With ServiceNow playbook 还可以确保发现结果中声明的资源所有者值(电子邮件地址)在相应的工单系统中有效且可分配。可选的姿势发现 playbook 会收集所需信息,以便在将新提醒提取到现有支持请求中时创建新支持请求和更新现有支持请求。

处理 IAM 建议的指南

使用 IAM Recommender 响应剧本自动处理和应用 IAM Recommender 提供的建议。此 playbook 不提供丰富功能,即使您已与工单系统集成,也不会创建工单。

如需详细了解如何启用和使用 IAM Recommender Response 剧本,请参阅使用剧本自动执行 IAM 建议

后续步骤

如需详细了解剧本,请参阅 Google SecOps 文档中的以下页面: