SEC10-BP04 Développer et tester des playbooks de réponse aux incidents de sécurité

L'élaboration de playbooks est une étape clé de la préparation de vos processus de réponse aux incidents. Les playbooks de réponse aux incidents fournissent une série de recommandations et d'étapes à suivre en cas d'événement de sécurité. Le fait de disposer d'une structure et d'étapes claires simplifie la réponse et réduit le risque d'erreur humaine.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Moyen

Directives d'implémentation

Il est recommandé de créer des playbooks dans les scénarios d'incidents suivants :

• Incidents attendus: créez des playbooks pour les incidents que vous anticipez. Cela inclut des menaces telles que le déni de service (DoS), les rançongiciels et la mise en péril des informations d'identification.

• Résultats ou alertes de sécurité connus: créez des playbooks pour vos résultats et alertes de sécurité connus, tels que les résultats GuardDuty. Vous pourriez recevoir un résultat GuardDuty et vous demander ce que vous devez en faire. Pour éviter de mal gérer ou d'ignorer un résultat GuardDuty, créez un playbook pour chaque résultat GuardDuty potentiel. Certains détails et conseils de résolution sont disponibles dans la documentation GuardDuty. » Il convient de noter que GuardDuty n'est pas activé par défaut et que son activation n'entraîne aucun frais. Pour plus de détails sur GuardDuty, consultez Annexe A : Définition de la capacité du cloud - Visibilité et alertes (langue française non garantie). »

Les playbooks doivent contenir les étapes techniques qu'un analyste de sécurité doit suivre afin d'enquêter de manière adéquate et de répondre à un éventuel incident de sécurité.

Étapes d'implémentation

Les éléments à inclure dans un playbook incluent :

• Présentation du playbook: quel scénario de risque ou d'incident ce playbook aborde-t-il ? Quel est l'objectif du playbook ?

• Conditions préalables: quels journaux, mécanismes de détection et outils automatisés sont requis pour ce scénario d'incident ? Quelle est la notification attendue ?

• Informations sur la communication et les remontées: qui sont les personnes impliquées et quelles sont leurs coordonnées ? Quelles sont les responsabilités de chacune des parties prenantes ?

• Étapes de réponse: quelles sont les mesures tactiques à prendre au cours des différentes phases de la réponse à un incident ? Quelles requêtes un analyste doit-il exécuter ? Quel code doit être exécuté pour obtenir le résultat souhaité ?

  • Détecter: comment l'incident sera-t-il détecté ?

  • Analyser: comment l'étendue de l'impact sera-t-elle déterminée ?

  • Contenir: comment l'incident sera-t-il isolé pour en limiter la portée ?

  • Éradiquer: comment éliminer la menace de l'environnement ?

  • Récupérer: comment le système ou la ressource concernés seront-ils remis en production ?

• Résultats attendus: une fois les requêtes et le code exécutés, quel est le résultat attendu du playbook ?

Ressources

Bonnes pratiques Well-Architected connexes :

• SEC10-BP02 - Développer des plans de gestion des incidents

Documents connexes :

• Cadre des playbooks de réponse aux incidents (langue française non garantie) 

• Développer vos propres playbooks de réponse aux incidents (langue française non garantie) 

• Exemples de playbooks de réponse aux incidents (langue française non garantie) 

• Création d'un runbook de réponse aux incidents AWS à l'aide de playbooks Jupyter et CloudTrail Lake (langue française non garantie)