Playbook 概览

本文档简要介绍了 Security Command Center 企业版中提供的 Playbook。

概览

在 Security Command Center 中,使用 Playbook 探索和丰富提醒、获取有关发现结果的更多信息、获取有关组织中超出权限的建议,以及自动响应威胁、漏洞和配置错误。与工单系统集成后,手册可帮助您专注于相关状况发现结果,同时确保支持请求与工单保持同步。

Security Command Center 的企业版层级为您提供了以下手册:

  • 威胁响应手册:
    • AWS 威胁响应手册
    • Azure 威胁响应手册
    • GCP 威胁响应手册
    • Google Cloud - 执行 - 加载的二进制文件或库已执行
    • Google Cloud - 执行 - 挖矿
    • Google Cloud - 执行 - 恶意网址脚本或 Shell 进程
    • Google Cloud - 恶意软件 - 指标
    • Google Cloud - 持久性 - IAM 异常授予
    • Google Cloud - 持久性 - 可疑行为
  • 安全状况发现结果手册:
    • 姿势 - 危险组合手册
    • 安全状况调查结果 - 常规
    • 态势发现 - 通用 - 虚拟机管理器(默认处于停用状态)
    • 通过 Jira 生成的状况发现结果(默认处于停用状态)
    • 使用 ServiceNow 生成的状况发现结果(默认处于停用状态)
  • 用于处理 IAM 建议的 Playbook:
    • IAM Recommender 响应(默认处于停用状态)

默认处于停用状态的 Playbook 是可选的,您需要先在安全运营控制台中手动启用它们,然后才能使用。

在安全运营控制台中,发现结果会转换为支持请求提醒。提醒会触发关联的 Playbook 来执行配置的一组操作,以检索尽可能多的信息来修复威胁,并根据 Playbook 类型提供创建工单或管理有害组合和 IAM 建议所需的信息。

威胁响应手册

您可以执行威胁响应手册,以分析威胁、使用不同的来源丰富发现结果,以及建议和应用补救措施响应。威胁响应手册会使用 Google SecOps、Security Command Center、Cloud Asset Inventory 等多种服务,以及 VirusTotal 和 Mandiant Threat Intelligence 等产品,帮助您尽可能获取有关威胁的背景信息。这些手册可帮助您了解环境中的威胁是真正例还是假正例,以及针对该威胁的最佳响应是什么。

为确保威胁响应手册可为您提供有关威胁的完整信息,请参阅威胁管理的高级配置

GCP 威胁响应手册可针对来自 Google Cloud 的威胁执行通用响应。

AWS 威胁响应手册可针对源自 Amazon Web Services 的威胁执行通用响应。

Azure 威胁响应手册可针对源自 Microsoft Azure 的威胁执行通用响应。为了补救威胁,该手册会丰富 Microsoft Entra ID 中的信息,并支持回复电子邮件。

Google Cloud - 恶意软件 - 指标手册可帮助您应对与恶意软件相关的威胁,并丰富失陷指标 (IoC) 和受影响的资源。作为补救措施,该 Playbook 建议您停止可疑实例或停用服务账号。

Google Cloud - 执行 - 加载并执行的二进制文件或库 Playbook 可帮助您处理容器中可疑的新二进制文件或库。丰富容器和关联的服务账号的相关信息后,该 Playbook 会向指定的安全分析师发送电子邮件,以便进一步进行补救。

Google Cloud - 执行 - 二进制文件或库已加载并已执行 Playbook 适用于以下发现结果:

  • 已执行添加的二进制文件
  • 已加载添加的库
  • 执行:已执行添加的恶意二进制文件
  • 执行:添加了“已加载恶意库”
  • 执行:已执行内置恶意二进制文件
  • 执行:已执行经过修改的恶意二进制文件
  • 执行:加载了经过修改的恶意库

如需详细了解该手册重点关注的发现结果,请参阅 Container Threat Detection 概览

Google Cloud - 执行 - 挖矿手册可帮助您检测 Google Cloud 中的加密货币挖矿威胁、丰富受影响的资产和服务账号的相关信息,并调查在相关资源上检测到的活动是否存在漏洞和错误配置。作为威胁响应,该 Playbook 建议您停止受影响的计算实例或停用服务账号。

Google Cloud - 执行 - 恶意网址脚本或 Shell 进程 Playbook 可帮助您处理容器中的可疑活动并执行专用资源丰富功能。作为威胁响应,该 Playbook 会向指定的安全分析师发送电子邮件。

Google Cloud - 执行 - 恶意网址脚本或 Shell 进程手册适用于以下发现结果:

  • 已执行恶意脚本
  • 观察到恶意网址
  • 反向 shell
  • 意外的 Shell Shell

如需详细了解该手册重点关注的发现结果,请参阅 Container Threat Detection 概览

Google Cloud - 恶意软件 - 指标手册可帮助您处理 Security Command Center 检测到的与恶意软件相关的威胁,并调查可能已遭到入侵的实例。

Google Cloud - 持久性 - IAM 异常授予手册可帮助您调查向主账号授予可疑权限的身份或服务账号以及授予的权限集,并确定相关主账号。作为威胁响应,该手册建议您停用可疑的服务账号;如果与发现项关联的不是服务账号,而是用户,则建议您向指定的安全分析师发送电子邮件,以便进一步采取补救措施。

如需详细了解该 Playbook 中使用的规则,请参阅 Container Threat Detection 概览

Google Cloud - 持久性 - 可疑行为手册可帮助您处理特定子集的与用户相关的可疑行为,例如使用新 API 方法登录。作为威胁响应,该 Playbook 会向指定的安全分析师发送电子邮件,以便进一步采取补救措施。

如需详细了解该 Playbook 中使用的规则,请参阅 Event Threat Detection 概览

安全状况发现结果 playbook

使用状况发现结果手册分析多云状况发现结果,使用 Security Command Center 和 Cloud Asset Inventory 丰富这些结果,并在“支持请求概览”标签页中突出显示收到的相关信息。安全状况发现结果 Playbook 可确保发现结果和支持请求的同步按预期运行。

态势 - 有害组合手册可帮助您丰富有害组合,并设置 Security Command Center 跟踪和处理有害组合及相关发现所需的必要信息(例如支持请求标记)。

状态发现结果 - 通用 - 虚拟机管理器 Playbook 是 状态发现结果 - 通用 Playbook 的轻量版,不包含 Cloud Asset Inventory 丰富步骤,并且仅适用于虚拟机管理器发现结果。

默认情况下,只有态势发现结果 - 通用 Playbook 处于启用状态。如果您与 Jira 或 ServiceNow 集成,请停用状况发现 - 通用 Playbook,并启用与您的工单系统相关的 Playbook。如需详细了解如何配置 Jira 或 ServiceNow,请参阅将 Security Command Center Enterprise 与工单系统集成

除了调查和丰富状况发现结果之外,使用 Jira 生成状况发现结果使用 ServiceNow 生成状况发现结果手册还可确保发现结果中所述的资源所有者值(电子邮件地址)有效且可在相应的工单系统中分配。可选的状态发现手册会在将新提醒提取到现有支持请求时收集创建新工单和更新现有工单所需的信息。

处理 IAM 建议的指南

使用 IAM Recommender Response 手册,自动解决 IAM Recommender 建议的问题并应用建议。此 Playbook 不会提供任何丰富功能,也不会创建工单,即使您已与服务工单系统集成也是如此。

如需详细了解如何启用和使用 IAM Recommender Response 手册,请参阅使用手册自动执行 IAM 建议

后续步骤

如需详细了解 Playbook,请参阅 Google SecOps 文档中的以下页面: