Visão geral dos playbooks

Este documento oferece uma visão geral dos playbooks disponíveis no nível Enterprise do Security Command Center.

Visão geral

No Security Command Center, use playbooks para explorar e enriquecer alertas, receber mais informações sobre descobertas, receber recomendações sobre permissões excessivas na sua organização e automatizar respostas a ameaças, vulnerabilidades, e configurações incorretas. Ao fazer a integração com sistemas de tíquetes, os playbooks ajudam você a se concentrar nas descobertas de postura relevantes, garantindo a sincronização entre casos e tíquetes.

O nível Enterprise do Security Command Center oferece os seguintes playbooks:

  • Playbooks de resposta a ameaças:
    • Playbook de resposta a ameaças da AWS
    • Playbook de resposta a ameaças do Azure
    • Playbook de resposta a ameaças do GCP
    • Google Cloud – Execution – Binary or Library Loaded Executed
    • Google Cloud – Execution – Cryptomining
    • Google Cloud – Execution – Malicious URL Script or Shell Process
    • Google Cloud – Malware – Indicators
    • Google Cloud – Persistence – IAM Anomalous Grant
    • Google Cloud – Persistence – Suspicious Behaviour
  • Playbooks de descobertas de postura:
    • Posture – Toxic Combination Playbook
    • Posture Findings – Generic
    • Posture Findings – Generic – VM Manager (desativado por padrão)
    • Posture Findings With Jira (desativado por padrão)
    • Posture Findings With ServiceNow (desativado por padrão)
  • Playbook para processar as recomendações do IAM:
    • IAM Recommender Response (desativado por padrão)

Os playbooks desativados por padrão são opcionais e exigem que você os ative manualmente antes de usar.

Na página Cases do console de operações de segurança, as descobertas se tornam alertas de caso. Os alertas acionam playbooks anexados para executar o conjunto configurado de ações para recuperar o máximo de informações possível sobre os alertas, corrigir a ameaça e, dependendo do tipo de playbook, fornecer as informações necessárias para criar tíquetes ou gerenciar as combinações tóxicas e as recomendações do IAM.

Playbooks de resposta a ameaças

É possível executar os playbooks de resposta a ameaças para analisar ameaças, enriquecer descobertas usando diferentes fontes e sugerir e aplicar uma resposta de correção. Os playbooks de resposta a ameaças usam vários serviços, como o Google SecOps, o Security Command Center, o Inventário de recursos do Cloud e produtos como o VirusTotal e o Mandiant Threat Intelligence, para ajudar você a obter o máximo de contexto possível sobre as ameaças. Os playbooks podem ajudar você a entender se a ameaça no ambiente é um verdadeiro positivo ou um falso positivo e qual é a resposta ideal para ela.

Para garantir que os playbooks de resposta a ameaças forneçam informações completas sobre as ameaças, consulte Configuração avançada para gerenciamento de ameaças.

O playbook GCP Threat Response Playbook executa uma resposta genérica a ameaças originadas do Google Cloud.

O playbook AWS Threat Response Playbook executa uma resposta genérica a ameaças originadas da Amazon Web Services.

O playbook Azure Threat Response Playbook executa uma resposta genérica a ameaças originadas do Microsoft Azure. Para corrigir ameaças, o playbook enriquece as informações do ID do Microsoft Entra e oferece suporte a respostas a e-mails.

O playbook Google Cloud – Malware – Indicators pode ajudar você a responder a ameaças relacionadas a malware e enriquecer os indicadores de comprometimento (IoC) e os recursos afetados. Como parte da correção, o playbook sugere que você interrompa uma instância suspeita ou desative uma conta de serviço.

O playbook Google Cloud – Execution – Binary or Library Loaded Executed pode ajudar você a processar um novo binário ou biblioteca suspeito em um contêiner. Depois de enriquecer as informações sobre o contêiner e a conta de serviço associada, o playbook envia um e-mail para um analista de segurança atribuído para mais correções.

O playbook Google Cloud – Execution – Binary or Library Loaded Executed funciona com as seguintes descobertas:

  • Binário adicionado executado
  • Biblioteca adicionada carregada
  • Execução: binário malicioso adicionado executado
  • Execução: biblioteca maliciosa adicionada carregada
  • Execução: binário malicioso integrado executado
  • Execução: binário malicioso modificado executado
  • Execução: biblioteca maliciosa modificada carregada

Para mais informações sobre as descobertas em que o manual se concentra, consulte Visão geral da Detecção de Ameaças em Contêiner.

O playbook Google Cloud – Execution – Cryptomining pode ajudar você a detectar ameaças de mineração de criptomoedas em Google Cloud, enriquecer informações sobre recursos e contas de serviço afetados, investigar a atividade detectada em recursos relacionados para vulnerabilidades e configurações incorretas. Como resposta a ameaças, o playbook sugere que você interrompa uma instância de computação afetada ou desative uma conta de serviço.

O playbook Google Cloud – Execution – Malicious URL Script or Shell Process pode ajudar você a processar uma atividade suspeita em um contêiner e realizar um enriquecimento de recursos dedicado. Como resposta a ameaças, o playbook envia um e-mail para um analista de segurança atribuído.

O playbook Google Cloud – Execution – Malicious URL Script or Shell Process funciona com as seguintes descobertas:

  • Script malicioso executado
  • URL malicioso observado
  • Shell reverso
  • Shell filho inesperado

Para mais informações sobre as descobertas em que o manual se concentra, consulte Visão geral da Detecção de Ameaças em Contêiner.

O playbook Google Cloud – Malware – Indicators pode ajudar você a processar as ameaças relacionadas a malware detectadas pelo Security Command Center e investigar as instâncias potencialmente comprometidas.

O playbook Google Cloud – Persistence – IAM Anomalous Grant pode ajudar você a investigar uma identidade ou uma conta de serviço que concedeu permissões suspeitas a um principal, juntamente com o conjunto de permissões concedidas, e identificar o principal em questão. Como resposta a ameaças, o playbook sugere que você desative uma conta de serviço suspeita ou, se não for uma conta de serviço associada a uma descoberta, mas um usuário, envie um e-mail para um analista de segurança atribuído para mais correções.

Para mais informações sobre as regras usadas no playbook, consulte Detecção de Ameaças em Contêiner overview.

O playbook Google Cloud – Persistence – Suspicious Behaviour pode ajudar você a processar os subconjuntos específicos de comportamento suspeito relacionado ao usuário, como fazer login usando um novo método de API. Como resposta a ameaças, o playbook envia um e-mail para um analista de segurança atribuído para mais correções.

Para mais informações sobre as regras usadas no playbook, consulte Visão geral do Event Threat Detection.

Playbooks de descobertas de postura

Use os playbooks de descobertas de postura para analisar as descobertas de postura multicloud, enriquecê-las usando o Security Command Center e o Inventário de recursos do Cloud e destacar as informações relevantes recebidas na guia "Visão geral do caso" tab. Os playbooks de descobertas de postura garantem que a sincronização de descobertas e casos funcione como esperado.

O playbook Posture – Toxic Combination Playbook pode ajudar você a enriquecer combinações tóxicas e definir as informações necessárias, como tags de caso, que o Security Command Center exige para rastrear e processar as combinações tóxicas e as descobertas relacionadas.

O playbook Posture Findings – Generic – VM Manager é uma versão leve do playbook Posture Findings – Generic que não contém etapas de enriquecimento do Inventário de recursos do Cloud e funciona apenas para as descobertas do VM Manager.

Por padrão, apenas o playbook Posture Findings – Generic está ativado. Se você fizer a integração com o Jira ou o ServiceNow, desative o playbook Posture Findings – Generic e ative o relevante para o sistema de emissão de tíquetes. Para saber mais sobre como configurar o Jira ou o ServiceNow, consulte Integrar o Security Command Center Enterprise a sistemas de tíquetes.

Além de investigar e enriquecer as descobertas de postura, os playbooks Posture Findings With Jira e Posture Findings With ServiceNow garantem que o valor do proprietário do recurso (endereço de e-mail) declarado em uma descoberta seja válido e atribuível no respectivo sistema de emissão de tíquetes. Os playbooks de descobertas de postura opcionais coletam as informações necessárias para criar novos tíquetes e atualizar os tíquetes atuais quando novos alertas são ingeridos em casos atuais.

Playbook para processar as recomendações do IAM

Use o playbook IAM Recommender Response para processar e aplicar automaticamente as recomendações sugeridas pelo recomendador do IAM. Esse playbook não oferece enriquecimento e não cria tíquetes, mesmo quando você faz a integração com um sistema de emissão de tíquetes.

Para mais detalhes sobre como ativar e usar o IAM Recommender Response playbook, consulte Automatizar recomendações do IAM usando playbooks.

A seguir

Para saber mais sobre playbooks, consulte as seguintes páginas na documentação do Google SecOps: