סקירה כללית של מדריכים

במסמך הזה מפורטת סקירה כללית של מדריכי ההפעלה שזמינים לכם ברמת Enterprise של Security Command Center.

סקירה כללית

ב-Security Command Center, אפשר להשתמש ב-playbooks כדי לחקור התראות ולהוסיף להן מידע, לקבל מידע נוסף על ממצאים, לקבל המלצות לגבי הרשאות עודפות בארגון שלכם ולהפוך את התגובות לאיומים, לפגיעויות ולטעויות בהגדרות לאוטומטיות. כשמשלבים עם מערכות לניהול כרטיסים, תוכניות הפעולה עוזרות להתמקד בממצאים רלוונטיים לגבי מצב האבטחה, תוך הקפדה על סנכרון בין מקרים לכרטיסים.

מהדורת Enterprise של Security Command Center מספקת לכם את המדריכים הבאים:

• ספרי הדרכה לתגובה לאיומים:
  • AWS Threat Response Playbook
  • מדריך תגובה לאיומים ב-Azure
  • מדריך תגובה לאיומים ב-GCP
  • ‫Google Cloud – Execution – Binary or Library Loaded Executed
  • Google Cloud – Execution – Cryptomining
  • Google Cloud – Execution – Malicious URL Script or Shell Process
  • Google Cloud – Malware – Indicators
  • Google Cloud – Persistence – IAM Anomalous Grant
  • Google Cloud – Persistence – Suspicious Behaviour
• מדריכים לממצאים בנושא אבטחה:
  • Posture – Toxic Combination Playbook
  • ממצאים לגבי תנוחה – כללי
  • ממצאי תקינות – כללי – VM Manager (מושבת כברירת מחדל)
  • ממצאי תנוחה עם Jira (מושבת כברירת מחדל)
  • ממצאי תנוחה עם ServiceNow (מושבת כברירת מחדל)
• חוברת הדרכה לטיפול בהמלצות IAM:
  • תגובה של שירות ההמלצות של IAM (מושבתת כברירת מחדל)

ההפעלה של פלייבוקים מושבתת כברירת מחדל, והם אופציונליים. כדי להשתמש בהם, צריך להפעיל אותם ידנית.

בדף Cases במסוף Security Operations, הממצאים הופכים להתראות על אירועים. התראות מפעילות מחברות הפעלה מצורפות כדי לבצע את קבוצת הפעולות שהוגדרה לאחזור כמה שיותר מידע על התראות, לתיקון האיום, ובהתאם לסוג מחברת ההפעלה, לספק את המידע הנדרש ליצירת כרטיסים או לניהול השילובים הרעילים וההמלצות לניהול הרשאות גישה (IAM).

מדריכים לטיפול באיומים

אתם יכולים להפעיל את תוכניות הפעולה לתגובה לאיומים כדי לנתח איומים, להוסיף פרטים לממצאים באמצעות מקורות שונים ולהציע וליישם תגובה לתיקון. המדריכים לתגובה לאיומים משתמשים בכמה שירותים כמו Google SecOps,‏ Security Command Center,‏ מאגר משאבי ענן ומוצרים כמו VirusTotal ו-Mandiant Threat Intelligence כדי לעזור לכם לקבל כמה שיותר הקשר לגבי איומים. המדריכים האלה יכולים לעזור לכם להבין אם האיום בסביבה הוא חיובי אמיתי או חיובי כוזב, ומה התגובה האופטימלית לאיום.

כדי לוודא שספרי ההפעלה לתגובה לאיומים מספקים לכם את כל המידע על האיומים, כדאי לעיין במאמר בנושא הגדרות מתקדמות לניהול איומים.

ה-playbook GCP Threat Response Playbook מפעיל תגובה כללית לאיומים שמקורם ב- Google Cloud.

ה-playbook‏ AWS Threat Response Playbook מבצע תגובה כללית לאיומים שמקורם ב-Amazon Web Services.

ה-playbook‏ Azure Threat Response Playbook מבצע תגובה גנרית לאיומים שמקורם ב-Microsoft Azure. כדי לטפל באיומים, ה-Playbook מעשיר את המידע מ-Microsoft Entra ID ותומך במענה לאימיילים.

המדריך Google Cloud – Malware – Indicators יכול לעזור לכם להגיב לאיומים שקשורים לתוכנות זדוניות, ולהעשיר את האינדיקטורים לפריצה (IoC) ואת המשאבים שהושפעו. כחלק מהפתרון, מדריך ההפעלה מציע להפסיק מופע חשוד או להשבית חשבון שירות.

ה-playbook‏ Google Cloud – Execution – Binary or Library Loaded Executed יכול לעזור לכם לטפל בקובץ בינארי או בספרייה חדשים חשודים בקונטיינר. אחרי שהמידע על מאגר התגים וחשבון השירות המשויך מועשר, ערכת הפעולות שולחת אימייל לאנליסט אבטחה שהוקצה לטיפול בבעיה.

ה-playbook‏ Google Cloud – Execution – Binary or Library Loaded Executed פועל עם הממצאים הבאים:

• נוסף קובץ בינארי שהופעל
• ‫Added Library Loaded
• הפעלה: נוסף קובץ בינארי זדוני שהופעל
• ביצוע: נוספה טעינה של ספרייה זדונית
• ביצוע: בוצעה הפעלה של קובץ בינארי זדוני מובנה
• ביצוע: קובץ בינארי זדוני שונה הופעל
• ביצוע: נטען ספרייה זדונית שעברה שינוי

מידע נוסף על הממצאים שמופיעים ב-Playbook זמין במאמר סקירה כללית על זיהוי איומים בקונטיינר.

המדריך Google Cloud – Execution – Cryptomining יכול לעזור לכם לזהות איומים של כריית מטבעות וירטואליים ב- Google Cloud, להוסיף מידע על נכסים וחשבונות שירות שהושפעו, ולחקור את הפעילות שזוהתה במשאבים קשורים כדי למצוא נקודות חולשה ובעיות בהגדרות. כחלק מתגובה לאיום, ב-playbook מוצע לעצור את מופע המחשוב שהושפע או להשבית חשבון שירות.

המדריך Google Cloud – Execution – Malicious URL Script or Shell Process יכול לעזור לכם לטפל בפעילות חשודה במאגר ולבצע העשרה ייעודית של משאבים. כחלק מהתגובה לאיום, חוברת ההוראות שולחת אימייל לאנליסט אבטחה שהוקצה.

ה-playbook‏ Google Cloud – Execution – Malicious URL Script or Shell Process פועל עם הממצאים הבאים:

• הופעל סקריפט זדוני
• זוהתה כתובת URL זדונית
• Reverse Shell
• Unexpected Child Shell

מידע נוסף על הממצאים שמופיעים ב-Playbook זמין במאמר סקירה כללית על זיהוי איומים בקונטיינר.

המדריך Google Cloud – Malware – Indicators יכול לעזור לכם לטפל באיומים שקשורים לתוכנות זדוניות שזוהו על ידי Security Command Center ולחקור את המקרים שבהם יכול להיות שהמכונות נפגעו.

המדריך Google Cloud – Persistence – IAM Anomalous Grant יכול לעזור לכם לחקור זהות או חשבון שירות שהעניקו הרשאות חשודות למשתמש, יחד עם קבוצת ההרשאות שהוענקו, ולזהות את המשתמש המדובר. כחלק מתגובה לאיומים, בתוכנית הפעולה מוצע להשבית חשבון שירות חשוד, או אם מדובר במשתמש ולא בחשבון שירות שמשויך לממצא, לשלוח אימייל לאנליסט אבטחה שהוקצה לטיפול בבעיה.

מידע נוסף על הכללים שבהם נעשה שימוש ב-Playbook זמין במאמר סקירה כללית על זיהוי איומים בקונטיינר.

המדריך Google Cloud – Persistence – Suspicious Behaviour יכול לעזור לכם לטפל בקבוצות המשנה הספציפיות של התנהגות חשודה שקשורה למשתמשים, כמו כניסה באמצעות שיטה חדשה של API. כחלק מתגובה לאיום, Playbook שולח אימייל לניתוח אבטחה שהוקצה לטיפול נוסף.

מידע נוסף על הכללים שבהם נעשה שימוש ב-Playbook זמין במאמר סקירה כללית של Event Threat Detection.

מדריכים לשימוש בתוצאות של בדיקת אבטחה

אפשר להשתמש ב-playbooks של ממצאי תנוחת האבטחה כדי לנתח את ממצאי תנוחת האבטחה של סביבות מרובות עננים, להעשיר אותם באמצעות Security Command Center ו-מאגר משאבי ענן, ולהדגיש את המידע הרלוונטי שהתקבל בכרטיסייה Case Overview. המדריכים לשיפור המצב מאפשרים לוודא שהסנכרון של הממצאים והמקרים פועל כמצופה.

המדריך Posture – Toxic Combination Playbook יכול לעזור לכם להוסיף פרטים לצירופים רעילים ולהגדיר את המידע הנדרש, כמו תגי מקרים, ש-Security Command Center צריך כדי לעקוב אחרי הצירופים הרעילים והממצאים שקשורים אליהם ולעבד אותם.

ה-playbook‏ Posture Findings – Generic – VM Manager הוא גרסה קלה של ה-playbook‏ Posture Findings – Generic שלא כוללת שלבים להעשרת נתונים ממאגר משאבי הענן, והיא פועלת רק לגבי הממצאים של VM Manager.

כברירת מחדל, רק פלייבוק ממצאי תנוחה – כללי מופעל. אם אתם משתמשים בשילוב עם Jira או ServiceNow, צריך להשבית את פלייבוק Posture Findings – Generic ולהפעיל את הפלייבוק שרלוונטי למערכת אירועים שלכם. מידע נוסף על הגדרת Jira או ServiceNow זמין במאמר שילוב של Security Command Center Enterprise עם מערכות לניהול כרטיסים.

בנוסף לחקירה ולשיפור של ממצאי מצב האבטחה, ערכות הכלים Posture Findings With Jira ו-Posture Findings With ServiceNow מוודאות שהערך של בעלי המשאב (כתובת האימייל) שמצוין בממצא הוא תקף וניתן להקצאה במערכת אירועים המתאימה. ספרי הדרכה אופציונליים בנושא אבטחה אוספים מידע שנדרש ליצירת כרטיסים חדשים ולעדכון כרטיסים קיימים כשמתקבלות התראות חדשות במקרים קיימים.

חוברת הדרכה לטיפול בהמלצות IAM

אתם יכולים להשתמש ב-playbook של IAM Recommender Response כדי לטפל בהמלצות של IAM Recommender וליישם אותן באופן אוטומטי. ה-Playbook הזה לא מספק העשרה ולא יוצר אירועים גם אם יש לכם שילוב עם מערכת אירועים.

לפרטים נוספים על הפעלה ושימוש ב-IAM Recommender Response playbook, אפשר לעיין במאמר אוטומציה של המלצות IAM באמצעות playbooks.

מה השלב הבא?

מידע נוסף על Playbooks זמין בדפים הבאים במסמכי התיעוד של Google SecOps:

• מה יש בדף של Playbook?
• שימוש בתהליכי עבודה במדריכים
• שימוש בפעולות במדריכים
• עבודה עם בלוקים במדריך
• צירוף מדריכים להתראה
• הקצאת פעולות ובלוקים של תוכנית פעולה