Présentation des playbooks

Ce document présente les playbooks disponibles dans le niveau Enterprise de Security Command Center.

Présentation

Dans Security Command Center, utilisez des playbooks pour explorer et enrichir les alertes, obtenir plus d'informations sur les résultats, recevoir des recommandations concernant les autorisations excessives dans votre organisation, et automatiser les réponses aux menaces, aux failles, et aux erreurs de configuration. Lorsque vous effectuez une intégration à des systèmes de gestion des demandes, les playbooks vous aident à vous concentrer sur les résultats de stratégie pertinents tout en assurant la synchronisation entre les cas et les demandes.

Le niveau Enterprise de Security Command Center vous fournit les playbooks suivants :

• Playbooks de réponse aux menaces :
  • AWS Threat Response Playbook
  • Azure Threat Response Playbook
  • GCP Threat Response Playbook
  • Google Cloud – Execution – Binary or Library Loaded Executed
  • Google Cloud – Execution – Cryptomining
  • Google Cloud – Execution – Malicious URL Script or Shell Process
  • Google Cloud – Malware – Indicators
  • Google Cloud – Persistence – IAM Anomalous Grant
  • Google Cloud – Persistence – Suspicious Behaviour
• Playbooks de résultats de stratégie :
  • Posture – Toxic Combination Playbook
  • Posture Findings – Generic
  • Posture Findings – Generic – VM Manager (désactivé par défaut)
  • Posture Findings With Jira (désactivé par défaut)
  • Posture Findings With ServiceNow (désactivé par défaut)
• Playbook de gestion des recommandations IAM :
  • IAM Recommender Response (désactivé par défaut)

Les playbooks désactivés par défaut sont facultatifs et doivent être activés manuellement avant de pouvoir être utilisés.

Sur la page Demandes de la console Security Operations, les résultats deviennent des alertes de cas. Les alertes déclenchent des playbooks associés pour exécuter l'ensemble d'actions configuré afin de récupérer autant d'informations que possible sur les alertes, de corriger la menace et, selon le type de playbook, de fournir les informations requises pour créer des demandes ou gérer les combinaisons toxiques et les recommandations IAM.

Playbooks de réponse aux menaces

Vous pouvez exécuter les playbooks de réponse aux menaces pour analyser les menaces, enrichir les résultats à l'aide de différentes sources, et suggérer et appliquer une réponse de correction. Les playbooks de réponse aux menaces utilisent plusieurs services tels que Google SecOps, Security Command Center, inventaire des éléments cloud, et des produits tels que VirusTotal et Mandiant Threat Intelligence pour vous aider à obtenir autant de contexte que possible sur les menaces. Les playbooks peuvent vous aider à déterminer si la menace dans l'environnement est un vrai positif ou un faux positif, et quelle est la réponse optimale.

Pour vous assurer que les playbooks de réponse aux menaces vous fournissent toutes les informations sur les menaces, consultez Configuration avancée pour la gestion des menaces.

Le playbook GCP Threat Response Playbook exécute une réponse générique aux menaces provenant de Google Cloud.

Le playbook AWS Threat Response Playbook exécute une réponse générique aux menaces provenant d'Amazon Web Services.

Le playbook Azure Threat Response Playbook exécute une réponse générique aux menaces provenant de Microsoft Azure. Pour corriger les menaces, le playbook enrichit les informations de Microsoft Entra ID et permet de répondre aux e-mails.

Le playbook Google Cloud – Malware – Indicators peut vous aider à répondre aux menaces liées aux logiciels malveillants et à enrichir les indicateurs de compromission (IoC) et les ressources concernées. Dans le cadre de la correction, le playbook vous suggère d'arrêter une instance suspecte ou de désactiver un compte de service.

Le playbook Google Cloud – Execution – Binary or Library Loaded Executed peut vous aider à gérer un nouveau binaire ou une nouvelle bibliothèque suspects dans un conteneur. Après avoir enrichi les informations sur le conteneur et le compte de service associé, le playbook envoie un e-mail à un analyste en sécurité attribué pour une correction plus approfondie.

Le playbook Google Cloud – Execution – Binary or Library Loaded Executed fonctionne avec les résultats suivants :

• Fichier binaire ajouté exécuté
• Ajout de bibliothèque chargée
• Exécution : binaire malveillant ajouté exécuté
• Exécution : bibliothèque malveillante ajoutée chargée
• Exécution : binaire malveillant intégré exécuté
• Exécution : binaire malveillant modifié exécuté
• Exécution : bibliothèque malveillante modifiée chargée

Pour en savoir plus sur les résultats sur lesquels le playbook se concentre, consultez Présentation de Container Threat Detection.

Le playbook Google Cloud – Execution – Cryptomining peut vous aider à détecter les menaces de minage de cryptomonnaie dans Google Cloud, à enrichir les informations sur les éléments et les comptes de service concernés, et à examiner l'activité détectée sur les ressources associées pour détecter les failles et les erreurs de configuration. En guise de réponse aux menaces, le playbook vous suggère d'arrêter une instance de calcul concernée ou de désactiver un compte de service.

Le playbook Google Cloud – Execution – Malicious URL Script or Shell Process peut vous aider à gérer une activité suspecte dans un conteneur et à effectuer un enrichissement de ressources dédié. En guise de réponse aux menaces, le playbook envoie un e-mail à un analyste en sécurité attribué.

Le playbook Google Cloud – Execution – Malicious URL Script or Shell Process fonctionne avec les résultats suivants :

• Script malveillant exécuté
• URL malveillante observée
• Interface système inversée
• Shell enfant inattendu

Pour en savoir plus sur les résultats sur lesquels le playbook se concentre, consultez Présentation de Container Threat Detection.

Le playbook Google Cloud – Malware – Indicators peut vous aider à gérer les menaces liées aux logiciels malveillants détectées par Security Command Center et à examiner les instances potentiellement compromises.

Le playbook Google Cloud – Persistence – IAM Anomalous Grant peut vous aider à examiner une identité ou un compte de service qui a accordé des autorisations suspectes à un principal, ainsi que l'ensemble des autorisations accordées, et à identifier le principal en question. En guise de réponse aux menaces, le playbook vous suggère de désactiver un compte de service suspect ou, s'il ne s'agit pas d'un compte de service associé à un résultat, mais d'un utilisateur, il envoie un e-mail à un analyste en sécurité attribué pour une correction plus approfondie.

Pour en savoir plus sur les règles utilisées dans le playbook, consultez Présentation de Container Threat Detection.

Le playbook Google Cloud – Persistence – Suspicious Behaviour peut vous aider à gérer les sous-ensembles spécifiques de comportements suspects liés aux utilisateurs, comme la connexion à l'aide d'une nouvelle méthode d'API. En guise de réponse aux menaces, le playbook envoie un e-mail à un analyste en sécurité attribué pour une correction plus approfondie.

Pour en savoir plus sur les règles utilisées dans le playbook, consultez Présentation d'Event Threat Detection.

Playbooks de résultats de stratégie

Utilisez les playbooks de résultats de stratégie pour analyser les résultats de stratégie multicloud, les enrichir à l'aide de Security Command Center et de l'inventaire des éléments cloud, et mettre en évidence les informations pertinentes reçues dans l'onglet Présentation du cas. Les playbooks de résultats de stratégie garantissent que la synchronisation des résultats et des cas fonctionne comme prévu.

Le playbook Posture – Toxic Combination Playbook peut vous aider à enrichir les combinaisons toxiques et à définir les informations nécessaires, telles que les tags de cas, dont Security Command Center a besoin pour suivre et traiter les combinaisons toxiques et les résultats associés.

Le playbook Posture Findings – Generic – VM Manager est une version allégée du playbook Posture Findings – Generic qui ne contient pas d'étapes d'enrichissement de l'inventaire des éléments cloud et ne fonctionne que pour les résultats de VM Manager.

Par défaut, seul le playbook Posture Findings – Generic est activé. Si vous effectuez une intégration à Jira ou ServiceNow, désactivez le playbook Posture Findings – Generic et activez celui qui est pertinent pour votre système de gestion des demandes. Pour en savoir plus sur la configuration de Jira ou ServiceNow, consultez Intégrer Security Command Center Enterprise à des systèmes de gestion des demandes.

En plus d'examiner et d'enrichir les résultats de stratégie, les playbooks Posture Findings With Jira et Posture Findings With ServiceNow garantissent que la valeur du propriétaire de la ressource (adresse e-mail) indiquée dans un résultat est valide et attribuable dans le système de gestion des demandes respectif. Les playbooks de résultats de stratégie facultatifs collectent les informations requises pour créer des demandes et mettre à jour les demandes existantes lorsque de nouvelles alertes sont ingérées dans des cas existants.

Playbook de gestion des recommandations IAM

Utilisez le playbook IAM Recommender Response pour traiter et appliquer automatiquement les recommandations suggérées par l'outil de recommandation IAM. Ce playbook ne fournit aucun enrichissement et ne crée pas de demandes, même lorsque vous avez effectué une intégration à un système de gestion des demandes.

Pour en savoir plus sur l'activation et l'utilisation du playbook IAM Recommender Response, consultez Automatiser les recommandations IAM à l'aide de playbooks.

Étape suivante

Pour en savoir plus sur les playbooks, consultez les pages suivantes de la documentation Google SecOps :

• Que contient la page du playbook ?
• Utiliser des flux dans les playbooks
• Utiliser des actions dans les playbooks
• Utiliser les blocs de playbook
• Associer des playbooks à une alerte
• Attribuer des actions et des blocs de playbook