Playbooks – Übersicht

In diesem Dokument finden Sie eine Übersicht über die Playbooks, die Ihnen in der Enterprise-Stufe von Security Command Center zur Verfügung stehen.

Übersicht

In Security Command Center können Sie Playbooks verwenden, um Benachrichtigungenzu untersuchen und anzureichern, weitere Informationen zu Ergebnissen zu erhalten, Empfehlungen zu übermäßigen Berechtigungen in Ihrer Organisation zu erhalten und Antworten auf Bedrohungen, Sicherheitslücken und Fehlkonfigurationen zu automatisieren. Wenn Sie Ticketsysteme einbinden, können Sie sich mit Playbooks auf relevante Ergebnisse zum Sicherheitsstatus konzentrieren und gleichzeitig die Synchronisierung zwischen Fällen und Tickets sicherstellen.

In der Enterprise-Stufe von Security Command Center stehen Ihnen die folgenden Playbooks zur Verfügung:

  • Playbooks zur Reaktion auf Bedrohungen:
    • AWS Threat Response Playbook
    • Azure Threat Response Playbook
    • GCP Threat Response Playbook
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execution – Cryptomining
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Malware – Indicators
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Google Cloud – Persistence – Suspicious Behaviour
  • Playbooks für Ergebnisse zum Sicherheitsstatus:
    • Posture – Toxic Combination Playbook
    • Posture Findings – Generic
    • Posture Findings – Generic – VM Manager (standardmäßig deaktiviert)
    • Posture Findings With Jira (standardmäßig deaktiviert)
    • Posture Findings With ServiceNow (standardmäßig deaktiviert)
  • Playbook für den Umgang mit IAM-Empfehlungen:
    • IAM Recommender Response (standardmäßig deaktiviert)

Die standardmäßig deaktivierten Playbooks sind optional und müssen manuell aktiviert werden, bevor Sie sie verwenden können.

Auf der Security Operations-Konsolenseite Cases werden Ergebnisse zu Fallbenachrichtigungen. Benachrichtigungen lösen angehängte Playbooks aus, um die konfigurierten Aktionen auszuführen, mit denen so viele Informationen wie möglich zu Benachrichtigungen abgerufen werden, die Bedrohung behoben wird und je nach Playbook-Typ die erforderlichen Informationen zum Erstellen von Tickets oder zum Verwalten der toxischen Kombinationen und IAM-Empfehlungen bereitgestellt werden.

Playbooks zur Reaktion auf Bedrohungen

Sie können die Playbooks zur Reaktion auf Bedrohungen ausführen, um Bedrohungen zu analysieren, Ergebnisse aus verschiedenen Quellen anzureichern und eine Behebungsantwort vorzuschlagen und anzuwenden. Playbooks zur Reaktion auf Bedrohungen verwenden mehrere Dienste wie Google SecOps, Security Command Center, Cloud Asset Inventory und Produkte wie VirusTotal und Mandiant Threat Intelligence, um so viele Informationen wie möglich zu Bedrohungen zu erhalten. Mit den Playbooks können Sie feststellen, ob die Bedrohung in der Umgebung ein echtes positives oder ein falsches positives Ergebnis ist und welche optimale Reaktion darauf ist.

Informationen dazu, wie Sie sicherstellen, dass die Playbooks zur Reaktion auf Bedrohungen alle Informationen zu Bedrohungen enthalten, finden Sie unter Erweiterte Konfiguration für die Bedrohungs verwaltung.

Das Playbook GCP Threat Response Playbook führt eine allgemeine Reaktion auf Bedrohungen aus, die von stammen Google Cloud.

Das Playbook AWS Threat Response Playbook führt eine allgemeine Reaktion auf Bedrohungen aus, die von Amazon Web Services stammen.

Das Playbook Azure Threat Response Playbook führt eine allgemeine Reaktion auf Bedrohungen aus, die von Microsoft Azure stammen. Um Bedrohungen zu beheben, reichert das Playbook die Informationen aus Microsoft Entra ID an und unterstützt die Reaktion auf E-Mails.

Mit dem Playbook Google Cloud – Malware – Indicators können Sie auf Bedrohungen im Zusammenhang mit Malware reagieren und die Indikatoren für Kompromittierung (Indicators of Compromise, IoC) und betroffenen Ressourcen anreichern. Im Rahmen der Behebung schlägt das Playbook vor, eine verdächtige Instanz zu beenden oder ein Dienstkonto zu deaktivieren.

Mit dem Playbook Google Cloud – Execution – Binary or Library Loaded Executed können Sie eine verdächtige neue Binärdatei oder Bibliothek in einem Container verarbeiten. Nachdem die Informationen zum Container und zum zugehörigen Dienstkonto angereichert wurden, sendet das Playbook eine E-Mail an einen zugewiesenen Sicherheitsanalysten, um die Behebung fortzusetzen.

Das Playbook Google Cloud – Execution – Binary or Library Loaded Executed funktioniert mit den folgenden Ergebnissen:

  • Ausgeführte Binärdatei hinzugeführt
  • Hinzugefügte Mediathek geladen
  • Ausführung: Hinzugefügtes schädliches Binärprogramm ausgeführt
  • Ausführung: Hinzugefügte schädliche Bibliothek geladen
  • Ausführung: Integriertes schädliches Binärprogramm ausgeführt
  • Ausführung: Geändertes schädliches Binärprogramm ausgeführt
  • Ausführung: Geänderte schädliche Bibliothek geladen

Weitere Informationen zu den Ergebnissen, auf die sich das Playbook konzentriert, finden Sie unter Übersicht über Container Threat Detection.

Mit dem Playbook Google Cloud – Execution – Cryptomining können Sie Bedrohungen durch Kryptowährungs-Mining in Google Clouderkennen, Informationen zu betroffenen Assets und Dienstkonten anreichern und die auf zugehörigen Ressourcen erkannte Aktivität auf Sicherheitslücken und Fehlkonfigurationen untersuchen. Als Reaktion auf Bedrohungen schlägt das Playbook vor, eine betroffene Compute-Instanz zu beenden oder ein Dienstkonto zu deaktivieren.

Mit dem Playbook Google Cloud – Execution – Malicious URL Script or Shell Process können Sie eine verdächtige Aktivität in einem Container verarbeiten und eine dedizierte Ressourcenanreicherung durchführen. Als Reaktion auf Bedrohungen sendet das Playbook eine E-Mail an einen zugewiesenen Sicherheitsanalysten.

Das Playbook Google Cloud – Execution – Malicious URL Script or Shell Process funktioniert mit den folgenden Ergebnissen:

  • Schädliches Script ausgeführt
  • Schädliche URL beobachtet
  • Reverse Shell
  • Unerwartete untergeordnete Shell

Weitere Informationen zu den Ergebnissen, auf die sich das Playbook konzentriert, finden Sie unter Übersicht über Container Threat Detection.

Mit dem Playbook Google Cloud – Malware – Indicators können Sie die von Security Command Center erkannten Bedrohungen im Zusammenhang mit Malware verarbeiten und die potenziell kompromittierten Instanzen untersuchen.

Mit dem Playbook Google Cloud – Persistence – IAM Anomalous Grant können Sie eine Identität oder ein Dienstkonto untersuchen, das einem Prinzipal verdächtige Berechtigungen gewährt hat, sowie die gewährten Berechtigungen und den betreffenden Prinzipal identifizieren. Als Reaktion auf Bedrohungen schlägt das Playbook vor, ein verdächtiges Dienstkonto zu deaktivieren. Wenn es sich nicht um ein Dienstkonto handelt, das mit einem Ergebnis verknüpft ist, sondern um einen Nutzer, wird eine E-Mail an einen zugewiesenen Sicherheitsanalysten gesendet, um die Behebung fortzusetzen.

Weitere Informationen zu den im Playbook verwendeten Regeln finden Sie unter Übersicht über Container Threat Detection.

Mit dem Playbook Google Cloud – Persistence – Suspicious Behaviour können Sie bestimmte Teilmengen verdächtigen nutzerbezogenen Verhaltens verarbeiten, z. B. die Anmeldung mit einer neuen API-Methode. Als Reaktion auf Bedrohungen sendet das Playbook eine E-Mail an einen zugewiesenen Sicherheitsanalysten, um die Behebung fortzusetzen.

Weitere Informationen zu den im Playbook verwendeten Regeln finden Sie unter Übersicht über Event Threat Detection.

Playbooks für Ergebnisse zum Sicherheitsstatus

Mit den Playbooks für Ergebnisse zum Sicherheitsstatus können Sie die Ergebnisse zum Sicherheitsstatus in der Multi-Cloud-Umgebung analysieren, sie mit Security Command Center und Cloud Asset Inventory anreichern und die erhaltenen relevanten Informationen auf dem Tab „Fallübersicht “ hervorheben. Die Playbooks für Ergebnisse zum Sicherheitsstatus sorgen dafür, dass die Synchronisierung für Ergebnisse und Fälle wie erwartet funktioniert.

Mit dem Playbook Posture – Toxic Combination Playbook können Sie toxische Kombinationen anreichern und die erforderlichen Informationen wie Fall-Tags festlegen, die Security Command Center benötigt, um die toxischen Kombinationen und zugehörigen Ergebnisse zu verfolgen und zu verarbeiten.

Das Playbook Posture Findings – Generic – VM Manager ist eine vereinfachte Version des Playbooks Posture Findings – Generic , das keine Anreicherungsschritte für Cloud Asset Inventory enthält und nur für die VM Manager-Ergebnisse funktioniert.

Standardmäßig ist nur das Playbook Posture Findings – Generic aktiviert. Wenn Sie Jira oder ServiceNow einbinden, deaktivieren Sie das Playbook Posture Findings – Generic und aktivieren Sie das für Ihr Ticketsystem relevante Playbook. Weitere Informationen zum Konfigurieren von Jira oder ServiceNow finden Sie unter Security Command Center Enterprise in Ticketsysteme einbinden.

Neben der Untersuchung und Anreicherung von Ergebnissen zum Sicherheitsstatus sorgen die Playbooks Posture Findings With Jira und Posture Findings With ServiceNow dafür, dass der in einem Ergebnis angegebene Ressourceninhaberwert (E-Mail-Adresse) gültig und im jeweiligen Ticketsystem zuweisbar ist. Optionale Playbooks für Ergebnisse zum Sicherheitsstatus erfassen Informationen, die zum Erstellen neuer Tickets und zum Aktualisieren vorhandener Tickets erforderlich sind, wenn neue Benachrichtigungen in vorhandene Fälle aufgenommen werden.

Playbook für den Umgang mit IAM-Empfehlungen

Mit dem Playbook IAM Recommender Response können Sie die vom IAM-Recommender vorgeschlagenen Empfehlungen automatisch bearbeiten und anwenden. Dieses Playbook bietet keine Anreicherung und erstellt keine Tickets, auch wenn Sie ein Ticketsystem eingebunden haben.

Weitere Informationen zum Aktivieren und Verwenden des IAM Recommender Response Playbooks finden Sie unter IAM-Empfehlungen mit Playbooks automatisieren.

Nächste Schritte

Weitere Informationen zu Playbooks finden Sie auf den folgenden Seiten in der Google SecOps-Dokumentation: