Ringkasan playbook

Dokumen ini memberikan ringkasan playbook yang tersedia untuk Anda di paket Enterprise Security Command Center.

Ringkasan

Di Security Command Center, gunakan playbook untuk menjelajahi dan memperkaya pemberitahuan, mendapatkan informasi selengkapnya tentang temuan, mendapatkan rekomendasi tentang izin berlebih di organisasi Anda, dan mengotomatiskan respons terhadap ancaman, kerentanan, dan konfigurasi yang salah. Saat Anda berintegrasi dengan sistem tiket, playbook membantu Anda berfokus pada temuan postur yang relevan sekaligus memastikan sinkronisasi antara kasus dan tiket.

Paket Enterprise Security Command Center menyediakan playbook berikut:

• Playbook respons ancaman:
  • AWS Threat Response Playbook
  • Azure Threat Response Playbook
  • GCP Threat Response Playbook
  • Google Cloud – Execution – Binary or Library Loaded Executed
  • Google Cloud – Execution – Cryptomining
  • Google Cloud – Execution – Malicious URL Script or Shell Process
  • Google Cloud – Malware – Indicators
  • Google Cloud – Persistence – IAM Anomalous Grant
  • Google Cloud – Persistence – Suspicious Behaviour
• Playbook temuan postur:
  • Posture – Toxic Combination Playbook
  • Posture Findings – Generic
  • Posture Findings – Generic – VM Manager (dinonaktifkan secara default)
  • Posture Findings With Jira (dinonaktifkan secara default)
  • Posture Findings With ServiceNow (dinonaktifkan secara default)
• Playbook untuk menangani rekomendasi IAM:
  • IAM Recommender Response (dinonaktifkan secara default)

Playbook yang dinonaktifkan secara default bersifat opsional dan mengharuskan Anda mengaktifkannya secara manual sebelum menggunakannya.

Di halaman konsol Security Operations Cases, temuan menjadi pemberitahuan kasus. Pemberitahuan memicu playbook terlampir untuk menjalankan kumpulan tindakan yang dikonfigurasi untuk mengambil informasi sebanyak mungkin tentang pemberitahuan, mengatasi ancaman, dan, bergantung pada jenis playbook, memberikan informasi yang diperlukan untuk membuat tiket atau mengelola kombinasi berbahaya dan rekomendasi IAM.

Playbook respons ancaman

Anda dapat menjalankan playbook respons ancaman untuk menganalisis ancaman, memperkaya temuan menggunakan berbagai sumber, serta menyarankan dan menerapkan respons perbaikan. Playbook respons ancaman menggunakan beberapa layanan seperti Google SecOps, Security Command Center, Inventaris Aset Cloud, dan produk seperti VirusTotal dan Mandiant Threat Intelligence untuk membantu Anda mendapatkan konteks sebanyak mungkin tentang ancaman. Playbook dapat membantu Anda memahami apakah ancaman di lingkungan adalah positif palsu atau positif asli dan apa respons yang optimal untuknya.

Untuk memastikan playbook respons ancaman memberikan informasi lengkap tentang ancaman, lihat Konfigurasi lanjutan untuk pengelolaan ancaman.

Playbook GCP Threat Response Playbook menjalankan respons umum terhadap ancaman yang berasal dari Google Cloud.

Playbook AWS Threat Response Playbook menjalankan respons umum terhadap ancaman yang berasal dari Amazon Web Services.

Playbook Azure Threat Response Playbook menjalankan respons umum terhadap ancaman yang berasal dari Microsoft Azure. Untuk mengatasi ancaman, playbook memperkaya informasi dari Microsoft Entra ID dan mendukung respons terhadap email.

Playbook Google Cloud – Malware – Indicators dapat membantu Anda merespons ancaman terkait malware dan memperkaya indikator kompromi (IoC) serta resource yang terpengaruh. Sebagai bagian dari perbaikan, playbook menyarankan Anda menghentikan instance yang mencurigakan atau menonaktifkan akun layanan.

Playbook Google Cloud – Execution – Binary or Library Loaded Executed dapat membantu Anda menangani biner atau library baru yang mencurigakan dalam container. Setelah memperkaya informasi tentang container dan akun layanan terkait, playbook akan mengirimkan email kepada analis keamanan yang ditugaskan untuk perbaikan lebih lanjut.

Playbook Google Cloud – Execution – Binary or Library Loaded Executed berfungsi dengan temuan berikut:

• Added Binary Executed
• Added Library Loaded
• Execution: Added Malicious Binary Executed
• Execution: Added Malicious Library Loaded
• Execution: Built in Malicious Binary Executed
• Execution: Modified Malicious Binary Executed
• Execution: Modified Malicious Library Loaded

Untuk mengetahui informasi selengkapnya tentang temuan yang menjadi fokus playbook, lihat Container Threat Detection overview.

Playbook Google Cloud – Execution – Cryptomining dapat membantu Anda mendeteksi ancaman penambangan mata uang kripto Google Cloud, memperkaya informasi tentang aset dan akun layanan yang terpengaruh, serta menyelidiki aktivitas yang terdeteksi pada resource terkait untuk kerentanan dan konfigurasi yang salah. Sebagai respons ancaman, playbook menyarankan Anda menghentikan instance komputasi yang terpengaruh atau menonaktifkan akun layanan.

Playbook Google Cloud – Execution – Malicious URL Script or Shell Process dapat membantu Anda menangani aktivitas yang mencurigakan dalam container dan melakukan pengayaan resource khusus. Sebagai respons ancaman, playbook mengirimkan email kepada analis keamanan yang ditugaskan.

Playbook Google Cloud – Execution – Malicious URL Script or Shell Process berfungsi dengan temuan berikut:

• Malicious Script Executed
• Malicious URL Observed
• Reverse Shell
• Unexpected Child Shell

Untuk mengetahui informasi selengkapnya tentang temuan yang menjadi fokus playbook, lihat Container Threat Detection overview.

Playbook Google Cloud – Malware – Indicators dapat membantu Anda menangani ancaman terkait malware yang terdeteksi oleh Security Command Center dan menyelidiki instance yang berpotensi terkompromi.

Playbook Google Cloud – Persistence – IAM Anomalous Grant dapat membantu Anda menyelidiki identitas atau akun layanan yang memberikan izin mencurigakan kepada principal beserta kumpulan izin yang diberikan, dan mengidentifikasi principal yang dimaksud. Sebagai respons ancaman, playbook menyarankan Anda menonaktifkan akun layanan yang mencurigakan atau, jika bukan akun layanan yang terkait dengan temuan, tetapi pengguna, playbook akan mengirimkan email kepada analis keamanan yang ditugaskan untuk perbaikan lebih lanjut.

Untuk mengetahui informasi selengkapnya tentang aturan yang digunakan dalam playbook, lihat Ringkasan Container Threat Detection.

Playbook Google Cloud – Persistence – Suspicious Behaviour dapat membantu Anda menangani subset tertentu dari perilaku terkait pengguna yang mencurigakan seperti login menggunakan metode API baru. Sebagai respons ancaman, playbook mengirimkan email kepada analis keamanan yang ditugaskan untuk perbaikan lebih lanjut.

Untuk mengetahui informasi selengkapnya tentang aturan yang digunakan dalam playbook, lihat Ringkasan Event Threat Detection.

Playbook temuan postur

Gunakan playbook temuan postur untuk menganalisis temuan postur multicloud, memperkayanya menggunakan Security Command Center dan Inventaris Aset Cloud, serta menandai informasi relevan yang diterima di tab Ringkasan Kasus. Playbook temuan postur memastikan sinkronisasi untuk temuan dan kasus berfungsi seperti yang diharapkan.

Playbook Posture – Toxic Combination Playbook dapat membantu Anda memperkaya kombinasi berbahaya dan menetapkan informasi yang diperlukan seperti tag kasus yang diperlukan Security Command Center untuk melacak dan memproses kombinasi berbahaya dan temuan terkait.

Playbook Posture Findings – Generic – VM Manager adalah versi ringan dari playbook Posture Findings – Generic yang tidak berisi langkah-langkah pengayaan Inventaris Aset Cloud dan hanya berfungsi untuk temuan VM Manager.

Secara default, hanya playbook Posture Findings – Generic yang diaktifkan. Jika Anda berintegrasi dengan Jira atau ServiceNow, nonaktifkan playbook Posture Findings – Generic dan aktifkan playbook yang relevan untuk sistem tiket Anda. Untuk mempelajari lebih lanjut cara mengonfigurasi Jira atau ServiceNow, lihat Mengintegrasikan Security Command Center Enterprise dengan sistem tiket.

Selain menyelidiki dan memperkaya temuan postur, playbook Posture Findings With Jira dan Posture Findings With ServiceNow memastikan bahwa nilai pemilik resource (alamat email) yang tercantum dalam temuan valid dan dapat ditetapkan dalam sistem tiket masing-masing. Playbook temuan postur opsional mengumpulkan informasi yang diperlukan untuk membuat tiket baru dan memperbarui tiket yang ada saat pemberitahuan baru dimasukkan ke dalam kasus yang ada.

Playbook untuk menangani rekomendasi IAM

Gunakan playbook IAM Recommender Response untuk otomatis mengatasi dan menerapkan rekomendasi yang disarankan oleh pemberi rekomendasi IAM. Playbook ini tidak memberikan pengayaan dan tidak membuat tiket meskipun Anda telah berintegrasi dengan sistem tiket.

Untuk mengetahui detail selengkapnya tentang cara mengaktifkan dan menggunakan IAM Recommender Response playbook, lihat Mengotomatiskan rekomendasi IAM menggunakan playbook.

Apa langkah selanjutnya?

Untuk mempelajari playbook lebih lanjut, lihat halaman berikut dalam dokumentasi Google SecOps:

• Apa yang ada di halaman Playbook?
• Menggunakan alur dalam playbook
• Menggunakan tindakan dalam playbook
• Menggunakan blok playbook
• Melampirkan playbook ke pemberitahuan
• Menetapkan tindakan dan blok playbook