本文概要說明 Security Command Center Enterprise 方案提供的劇本。
總覽
在 Security Command Center 中,使用手冊探索及擴充快訊、取得有關發現項目的更多資訊、取得貴機構中多餘權限的建議,以及自動回應威脅、安全漏洞和錯誤設定。整合票證系統後,劇本可協助您專注於相關的狀態發現項目,同時確保案件和票證同步。
Security Command Center Enterprise 方案提供下列劇本:
- 威脅回應教戰手冊:
- AWS 威脅回應劇本
- Azure 威脅回應教戰手冊
- GCP 威脅回應劇本
- Google Cloud - Execution - Binary or Library Loaded Executed
- Google Cloud - Execution - Cryptomining
- Google Cloud - Execution - Malicious URL Script or Shell Process
- Google Cloud - Malware - Indicators
- Google Cloud - Persistence - IAM Anomalous Grant
- Google Cloud - 持續性 - 可疑行為
- 防護機制發現項目劇本:
- 防護機制 - 有害組合教戰手冊
- 防護機制發現項目 - 一般
- 姿勢發現項目 - 一般 - VM 管理員 (預設為停用)
- Jira 發現的防護機制 (預設為停用)
- 透過 ServiceNow 取得姿勢發現 (預設為停用)
- 處理 IAM 建議的教戰手冊:
- IAM 建議工具回應 (預設為停用)
預設停用的劇本為選用劇本,您必須先手動啟用,才能使用。
在「案件」安全營運控制台頁面中,調查結果會變成「案件快訊」。快訊會觸發附加的劇本,執行設定的一系列動作,盡可能擷取快訊的相關資訊、修正威脅,並視劇本類型而定,提供建立工單或管理有害組合和 IAM 建議所需的資訊。
威脅回應教戰手冊
您可以執行威脅回應劇本來分析威脅、使用不同來源擴充調查結果,以及建議並套用補救措施。威脅應變應對手冊會使用 Google SecOps、Security Command Center、Cloud Asset Inventory 等多項服務,以及 VirusTotal 和 Mandiant Threat Intelligence 等產品,盡可能協助您取得威脅的相關背景資訊。這些應對手冊可協助您判斷環境中的威脅是真陽性還是誤判,並瞭解最佳應對方式。
如要確保威脅回應應對手冊提供完整的威脅資訊,請參閱「威脅管理進階設定」。
GCP 威脅回應應對手冊會對源自 Google Cloud的威脅執行一般回應。
AWS 威脅回應應對手冊會針對源自 Amazon Web Services 的威脅執行一般回應。
Azure 威脅應變手冊會針對源自 Microsoft Azure 的威脅執行一般回應。為解決威脅,劇本會擴充 Microsoft Entra ID 的資訊,並支援回覆電子郵件。
Google Cloud - 惡意軟體 - 指標劇本可協助您因應惡意軟體相關威脅,並豐富漏洞指標 (IoC) 和受影響的資源。在補救措施中,劇本會建議您停止可疑的執行個體或停用服務帳戶。
Google Cloud - Execution - Binary or Library Loaded/Executed 劇本可協助您處理容器中可疑的新二進位檔或程式庫。應對手冊會先擴充容器和相關聯服務帳戶的資訊,然後傳送電子郵件給指派的安全分析師,以進行後續補救措施。
「Google Cloud - Execution - Binary or Library Loaded/Executed」劇本適用於下列發現項目:
- 已執行新增的二進位檔
- 已載入新增的資料庫
- 執行:已執行新增的惡意二進位檔
- 執行:已載入新增的惡意資料庫
- 執行:已執行內建的惡意二進位檔
- 執行:已執行修改過的惡意二進位檔
- 執行:已載入修改過的惡意資料庫
如要進一步瞭解劇本著重的調查結果,請參閱 Container Threat Detection 總覽。
Google Cloud - Execution - Cryptomining 劇本可協助您在 Google Cloud中偵測加密貨幣挖礦威脅、豐富受影響資產和服務帳戶的資訊,並調查相關資源上偵測到的活動,找出安全漏洞和設定錯誤。為因應威脅,手冊建議您停止受影響的運算執行個體,或停用服務帳戶。
Google Cloud - Execution - Malicious URL Script or Shell Process 劇本可協助您處理容器中的可疑活動,並執行專屬資源擴充作業。為因應威脅,應對手冊會傳送電子郵件給指派的資安分析師。
Google Cloud - Execution - Malicious URL Script or Shell Process 劇本適用於下列發現項目:
- 已執行惡意指令碼
- 偵測到惡意網址
- 反向殼層
- 非預期的子殼層
如要進一步瞭解劇本著重的調查結果,請參閱 Container Threat Detection 總覽。
Google Cloud - Malware - Indicators 劇本可協助您處理 Security Command Center 偵測到的惡意軟體相關威脅,並調查可能遭入侵的執行個體。
Google Cloud - Persistence - IAM Anomalous Grant 劇本可協助您調查身分或服務帳戶,這些帳戶將可疑權限授予主體,以及授予的權限組合,並找出有問題的主體。為因應威脅,劇本建議您停用可疑的服務帳戶,或如果與發現項目相關聯的不是服務帳戶,而是使用者,則將電子郵件傳送給指派的安全分析師,以進行進一步補救。
如要進一步瞭解劇本中使用的規則,請參閱「Container Threat Detection 總覽」。
Google Cloud - 持續性 - 可疑行為劇本可協助您處理特定子集的可疑使用者相關行為,例如使用新的 API 方法登入。為因應威脅,應對手冊會將電子郵件傳送給指派的安全性分析師,以便進一步補救。
如要進一步瞭解劇本中使用的規則,請參閱「Event Threat Detection 總覽」。
防護機制發現項目應對手冊
使用安全狀態發現項目劇本分析多雲安全狀態發現項目,並使用 Security Command Center 和 Cloud Asset Inventory 擴充這些項目,然後在「案件總覽」分頁中醒目顯示收到的相關資訊。姿勢發現事項劇本可確保發現事項和案件的同步作業正常運作。
Posture - Toxic Combination Playbook 應對手冊可協助您擴充有害組合,並設定必要資訊 (例如 Security Command Center 追蹤及處理有害組合和相關發現項目時所需的案件標記)。
「Posture Findings - Generic - VM Manager」(姿勢發現 - 一般 - VM 管理員) 劇本是「Posture Findings - Generic」(姿勢發現 - 一般) 劇本的輕量版,不含 Cloud Asset Inventory 擴充步驟,僅適用於 VM 管理員發現項目。
根據預設,系統只會啟用「Posture Findings – Generic」劇本。 如果整合 Jira 或 ServiceNow,請停用「Posture Findings – Generic」劇本,並啟用與票證系統相關的劇本。如要進一步瞭解如何設定 Jira 或 ServiceNow,請參閱「整合 Security Command Center Enterprise 與支援單處理系統」。
除了調查及豐富狀態發現項目,Posture Findings With Jira 和 Posture Findings With ServiceNow 劇本可確保發現項目中列出的資源擁有者值 (電子郵件地址) 有效,且可在對應的票證系統中指派。選用性姿勢發現事項劇本會收集必要資訊,以便在現有案件中擷取新快訊時,建立新案件並更新現有案件。
處理 IAM 建議的手冊
使用 IAM 推薦功能回應劇本,自動處理及套用 IAM 推薦功能建議。即使您已整合支援單系統,這個劇本也不會提供任何擴充功能,也不會建立支援單。
如要進一步瞭解如何啟用及使用 IAM 建議工具回應劇本,請參閱「使用劇本自動執行 IAM 建議」。
後續步驟
如要進一步瞭解劇本,請參閱 Google SecOps 說明文件中的下列頁面: