Ce qu'il faut inclure dans les playbooks - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ce qu'il faut inclure dans les playbooks

Les playbooks doivent contenir les étapes techniques qu’un analyste de sécurité doit suivre afin d’enquêter de manière adéquate et de répondre à un éventuel incident de sécurité.

Les éléments à inclure dans un playbook incluent :

  • Présentation du playbook — Quel scénario de risque ou d'incident ce playbook aborde-t-il ? Quel est l’objectif du playbook ?

  • Conditions préalables — Quels journaux et mécanismes de détection sont nécessaires pour ce scénario d'incident ? Quelle est la notification attendue ?

  • Informations sur les parties prenantes — Qui est impliqué et quelles sont ses coordonnées ? Quelles sont les responsabilités de chacune des parties prenantes ?

  • Étapes de réponse — Quelles mesures tactiques devraient être prises au cours des différentes phases de la réponse à un incident ? Quelles requêtes un analyste doit-il exécuter ? Quel code doit être exécuté pour obtenir le résultat souhaité ?

    • Détecter — Comment l'incident sera-t-il détecté ?

    • Analyser — Comment l'ampleur de l'impact sera-t-elle déterminée ?

    • Contenir — Comment l'incident sera-t-il isolé pour en limiter la portée ?

    • Éradiquer — Comment la menace sera-t-elle éliminée de l'environnement ?

    • Restaurer — Comment le système ou la ressource concernés seront-ils remis en production ?

  • Résultats attendus — Une fois les requêtes et le code exécutés, quel est le résultat attendu du playbook ?

Pour vérifier la cohérence des informations contenues dans chaque playbook, il peut être utile de créer un modèle de playbook à utiliser dans vos autres playbooks de sécurité. Certains des éléments listés précédemment, tels que les informations sur les parties prenantes, peuvent être partagés entre plusieurs playbooks. Si tel est le cas, vous pouvez créer une documentation centralisée pour ces informations et la référencer dans le playbook, puis énumérer les différences explicites dans le playbook. Cela vous évitera d'avoir à mettre à jour les mêmes informations dans tous vos playbooks individuels. En créant un modèle et en identifiant les informations communes ou partagées dans les playbooks, vous pouvez simplifier et accélérer le développement des playbooks. Enfin, vos playbooks évolueront probablement au fil du temps ; une fois que vous aurez confirmé que les étapes sont cohérentes, cela constitue la condition requise pour l'automatisation.