Was sollte in Playbooks enthalten sein - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was sollte in Playbooks enthalten sein

Playbooks sollten technische Schritte enthalten, die ein Sicherheitsanalyst ausführen muss, um einen potenziellen Sicherheitsvorfall angemessen zu untersuchen und darauf zu reagieren.

Zu den Elementen, die in ein Playbook aufgenommen werden sollten, gehören:

  • Überblick über das Playbook — Auf welches Risiko- oder Vorfallszenario bezieht sich dieses Playbook? Was ist das Ziel des Playbooks?

  • Voraussetzungen — Welche Protokolle und Erkennungsmechanismen sind für dieses Vorfallszenario erforderlich? Wie lautet die erwartete Benachrichtigung?

  • Informationen für Interessengruppen — Wer ist beteiligt und wie lauten ihre Kontaktinformationen? Welche Aufgaben haben die einzelnen Stakeholder?

  • Reaktionsschritte — Welche taktischen Schritte sollten in allen Phasen der Reaktion auf Vorfälle ergriffen werden? Welche Abfragen sollte ein Analyst ausführen? Welcher Code sollte ausgeführt werden, um das gewünschte Ergebnis zu erzielen?

    • Erkennen — Wie wird der Vorfall erkannt?

    • Analysieren — Wie wird der Umfang der Auswirkungen bestimmt?

    • Eindämmen — Wie wird der Vorfall isoliert, um den Umfang einzuschränken?

    • Ausrotten — Wie wird die Bedrohung aus der Umwelt entfernt?

    • Wiederherstellung — Wie wird das betroffene System oder die betroffene Ressource wieder in Betrieb genommen?

  • Erwartete Ergebnisse — Was ist das erwartete Ergebnis des Playbooks, nachdem Abfragen und Code ausgeführt wurden?

Um die Konsistenz der Informationen in jedem Playbook zu überprüfen, kann es hilfreich sein, eine Playbook-Vorlage zu erstellen, die Sie in Ihren anderen Sicherheits-Playbooks verwenden können. Einige der zuvor aufgeführten Elemente, wie z. B. Informationen zu Interessenvertretern, können von mehreren Playbooks gemeinsam genutzt werden. Wenn das der Fall ist, können Sie eine zentrale Dokumentation für diese Informationen erstellen, im Playbook darauf verweisen und dann die expliziten Unterschiede im Playbook auflisten. Auf diese Weise müssen Sie nicht dieselben Informationen in all Ihren einzelnen Playbooks aktualisieren. Indem Sie eine Vorlage erstellen und allgemeine oder gemeinsam genutzte Informationen in Playbooks identifizieren, können Sie die Entwicklung von Playbooks vereinfachen und beschleunigen. Schließlich werden sich Ihre Playbooks wahrscheinlich im Laufe der Zeit weiterentwickeln. Sobald Sie sich vergewissert haben, dass die Schritte konsistent sind, bilden sich daraus die Voraussetzungen für die Automatisierung.