Descripción general de las guías

En este documento, se proporciona una descripción general de las guías disponibles para el nivel Enterprise de Security Command Center.

Descripción general

En Security Command Center, debes usar guías para explorar y enriquecer las alertas, obtener más información sobre los hallazgos, recibir recomendaciones sobre los permisos excesivos en tu organización y automatizar las respuestas ante amenazas, vulnerabilidades y errores de configuración. Cuando realizas la integración en sistemas de tickets, las guías sirven para que te enfoques en los hallazgos relevantes de la postura y, al mismo tiempo, garantices la sincronización entre los casos y los tickets.

El nivel Enterprise de Security Command Center proporciona las guías siguientes:

• Guías de respuestas ante amenazas:
  • Guía de respuestas ante amenazas de AWS
  • Guía de respuestas ante amenazas de Azure
  • Guía de respuestas ante amenazas de Google Cloud
  • Google Cloud: Ejecución – Objeto binario o biblioteca cargados o ejecutados
  • Google Cloud: Ejecución – Criptominería
  • Google Cloud: Ejecución – Secuencia de comandos de URL o proceso de Shell maliciosos
  • Google Cloud: Malware – Indicadores
  • Google Cloud: Persistencia – Otorgamiento anómalo de IAM
  • Google Cloud: Persistencia – Comportamiento sospechoso
• Guías de hallazgos sobre la postura:
  • Postura: Guía de combinaciones tóxicas
  • Hallazgos sobre la postura: Respuestas genéricas
  • Hallazgos sobre la postura: Respuestas genéricas – VM Manager (inhabilitado de forma predeterminada)
  • Hallazgos sobre la postura con Jira (inhabilitado de forma predeterminada)
  • Hallazgos sobre la postura con ServiceNow (inhabilitado de forma predeterminada)
• Guía para controlar las recomendaciones de IAM:
  • Respuesta del recomendador de IAM (inhabilitada de forma predeterminada)

Las guías inhabilitadas de forma predeterminada son opcionales y requieren que las habilites manualmente antes de usarlas.

En la página Casos de la consola de operaciones de seguridad, los hallazgos se convierten en alertas de casos. Las alertas activan las guías vinculadas con el objetivo de ejecutar el conjunto configurado de acciones para recuperar la mayor cantidad de información posible sobre las alertas, corregir la amenaza y, según el tipo de guía, proporcionar la información necesaria con el objetivo de crear tickets o administrar las combinaciones tóxicas y las recomendaciones de IAM.

Guías de respuestas ante amenazas

Puedes ejecutar las guías de respuestas ante amenazas para analizarlas, enriquecer los hallazgos con diferentes fuentes y, además, de sugerir y aplicar una respuesta de corrección. Las guías de respuestas ante amenazas usan varios servicios, como Google SecOps, Security Command Center, Cloud Asset Inventory y productos como VirusTotal y Mandiant Threat Intelligence, para obtener el mayor contexto posible sobre las amenazas. Con las guías, podrás comprender si la amenaza en el entorno es un verdadero positivo o un falso positivo y cuál es la mejor manera de responder a ella.

Para asegurarte de que las guías de respuestas ante amenazas proporcionen toda la información sobre estas, consulta Configuración avanzada para la administración de amenazas.

La Guía de respuestas ante amenazas de Google Cloud ejecuta una respuesta genérica ante las amenazas que se originan en Google Cloud.

La Guía de respuestas ante amenazas de AWS ejecuta una respuesta genérica ante las amenazas que se originan en Amazon Web Services.

La Guía de respuestas ante amenazas de Azure ejecuta una respuesta genérica ante las amenazas que se originan en Microsoft Azure. Para corregir las amenazas, la guía enriquece la información del Microsoft Entra ID y admite las respuestas a correos electrónicos.

La guía de Google Cloud: Malware – Indicadores puede ayudarte a responder a las amenazas relacionadas con malware y a enriquecer los indicadores de compromiso (IoC) y los recursos afectados. Como parte de la corrección, la guía te sugiere que detengas una instancia sospechosa o inhabilites una cuenta de servicio.

La guía Google Cloud: Ejecución – Objeto binario o biblioteca cargados o ejecutados puede ayudarte a controlar un nuevo objeto binario o una biblioteca sospechosos en un contenedor. Después de enriquecer la información sobre el contenedor y la cuenta de servicio asociada, la guía envía un correo electrónico a un analista de seguridad asignado para que realice más correcciones.

La guía Google Cloud: Ejecución – Objeto binario o biblioteca cargados o ejecutados funciona con los hallazgos siguientes:

• Se ejecutó un objeto binario agregado
• Se cargó una biblioteca agregada
• Ejecución: Se ejecutó un objeto binario malicioso agregado
• Ejecución: Se cargó una biblioteca maliciosa agregada
• Ejecución: Se ejecutó un objeto binario malicioso integrado
• Ejecución: Se ejecutó un objeto binario malicioso modificado
• Ejecución: Se cargó una biblioteca maliciosa modificada

Para obtener más información sobre los hallazgos en los que se enfoca la guía, consulta Descripción general de Container Threat Detection.

La guía Google Cloud: Ejecución – Criptominería puede ayudarte a detectar amenazas relacionadas con la minería de criptomonedas en Google Cloud, a enriquecer la información sobre los recursos y las cuentas de servicio afectados y a investigar la actividad detectada en los recursos relacionados en busca de vulnerabilidades y parámetros de configuración incorrectos. Como respuesta ante amenazas, la guía sugiere que detengas una instancia de procesamiento afectada o inhabilites una cuenta de servicio.

La guía Google Cloud: Ejecución – Secuencia de comandos de URL o proceso de Shell maliciosos puede ayudarte a controlar la actividad sospechosa que se desarrolla en un contenedor y a enriquecer los recursos dedicados. Como respuesta a la amenaza, la guía envía un correo electrónico a un analista de seguridad asignado.

La guía Google Cloud: Ejecución – Secuencia de comandos de URL o proceso de Shell maliciosos funciona con los hallazgos siguientes:

• Se ejecutó una secuencia de comandos maliciosa
• Se detectó una URL maliciosa
• Shell inversa
• Shell secundaria inesperada

Para obtener más información sobre los hallazgos en los que se enfoca la guía, consulta Descripción general de Container Threat Detection.

La guía Google Cloud: Malware – Indicadores puede ayudarte a controlar las amenazas relacionadas con malware que detecta Security Command Center y a investigar las instancias que podrían estar comprometidas.

La guía Google Cloud: Persistencia: Otorgamiento anómalo de IAM puede ayudarte a investigar una identidad o una cuenta de servicio que otorgó permisos sospechosos a una principal junto con el conjunto de permisos otorgados y a identificar la principal en cuestión. Como respuesta a la amenaza, la guía sugiere que inhabilites una cuenta de servicio sospechosa o, si no se trata de una cuenta de servicio asociada a un hallazgo, sino de un usuario, que envíes un correo electrónico a un analista de seguridad asignado para que realice más correcciones.

Para obtener más información sobre las reglas que se usan en la guía, consulta la descripción general de Container Threat Detection.

La guía Google Cloud: Persistencia – Comportamiento sospechoso puede ayudarte a controlar los subconjuntos específicos de comportamiento sospechoso relacionado con el usuario, como el acceso con un nuevo método de API. Como respuesta a la amenaza, la guía envía un correo electrónico a un analista de seguridad asignado para que realice más correcciones.

Para obtener más información sobre las reglas que se usan en la guía, consulta la Descripción general de Event Threat Detection.

Guías de hallazgos sobre la postura

Usa las guías de hallazgos sobre la postura para analizar los hallazgos de múltiples nubes, enriquecerlos con Security Command Center y Cloud Asset Inventory y, además, destacar la información relevante recibida en la pestaña Descripción general del caso. Las guías de hallazgos sobre la postura garantizan que la sincronización de los hallazgos y los casos funcionen según lo esperado.

La guía Postura: Guía de combinaciones tóxicas puede ayudarte a enriquecer las combinaciones tóxicas y establecer la información necesaria, como las etiquetas de casos, que Security Command Center requiere para hacer un seguimiento de las combinaciones tóxicas y los hallazgos relacionados, además de procesarlos.

La guía Hallazgos de la postura: Respuestas genéricas – VM Manager es una versión ligera de la guía Hallazgos sobre la postura: Respuestas genéricas que no contiene pasos de enriquecimiento de Cloud Asset Inventory y solo funciona para los hallazgos de VM Manager.

De forma predeterminada, solo está habilitada la guía Hallazgos sobre la postura: Respuestas genéricas. Si realizas la integración en Jira o ServiceNow, inhabilita la guía Hallazgos sobre la postura: Respuestas genéricas y habilita la que sea pertinente para tu sistema de tickets. Para obtener más información sobre cómo configurar Jira o ServiceNow, consulta Integra Security Command Center Enterprise en sistemas de tickets.

Además de investigar y enriquecer hallazgos sobre la postura, las guías Hallazgos sobre la postura con Jira y Hallazgos sobre la postura con ServiceNow garantizan que el valor del propietario del recurso (la dirección de correo electrónico) que se indica en un hallazgo sea válido y se pueda asignar en el sistema de tickets respectivo. Las guías opcionales de hallazgos sobre la postura recopilan la información necesaria para crear tickets nuevos y actualizar los existentes cuando se transfieren alertas nuevas a los casos existentes.

Guía para controlar las recomendaciones de IAM

Usa la guía Respuesta del recomendador de IAM para abordar y aplicar automáticamente las recomendaciones que sugiere el recomendador de IAM. Esta guía no proporciona enriquecimiento ni crea tickets incluso si realizaste una integración en un sistema de tickets.

Para obtener más detalles sobre cómo habilitar y usar la guía Respuesta del recomendador de IAM, consulta Automatiza las recomendaciones de IAM con guías.

¿Qué sigue?

Para obtener más información sobre las guías, consulta las páginas siguientes de la documentación de Google SecOps:

• ¿Qué hay en la página de la guía?
• Usa flujos en las guías.
• Usa acciones en las guías.
• Trabaja con bloques de la guía.
• Adjunta guías a una alerta.
• Asigna acciones y bloques de guías.