Apa saja yang perlu dimasukkan dalam playbook - Respons Insiden Keamanan AWS Panduan Pengguna

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apa saja yang perlu dimasukkan dalam playbook

Playbook harus berisi langkah-langkah teknis yang akan dijalankan oleh analis keamanan untuk menyelidiki dan merespons insiden keamanan potensial secara memadai.

Item yang akan disertakan dalam playbook meliputi:

  • Gambaran umum playbook – Skenario risiko atau insiden apa yang ditangani oleh playbook ini? Apa tujuan dari playbook ini?

  • Prasyarat – Log dan mekanisme deteksi apa yang diperlukan untuk skenario insiden ini? Apa notifikasi yang diharapkan?

  • Informasi pemangku kepentingan – Siapa yang terlibat dan apa informasi kontak mereka? Apa saja tanggung jawab setiap pemangku kepentingan?

  • Langkah respons – Di seluruh fase respons insiden, langkah taktis apa yang perlu diambil? Kueri apa yang perlu dijalankan analis? Kode apa yang perlu dijalankan untuk mencapai hasil yang diinginkan?

    • Deteksi – Bagaimana insiden tersebut akan terdeteksi?

    • Analisis – Bagaimana cakupan dampak akan ditentukan?

    • Tahan – Bagaimana insiden akan diisolasi untuk membatasi cakupan?

    • Berantas – Bagaimana ancaman akan dihilangkan dari lingkungan?

    • Pulihkan – Bagaimana sistem atau sumber daya yang terpengaruh akan dibawa kembali ke produksi?

  • Hasil yang diharapkan – Setelah kueri dan kode dijalankan, apa hasil yang diharapkan dari playbook tersebut?

Untuk memverifikasi informasi yang konsisten di setiap playbook, sebaiknya buat templat playbook yang dapat digunakan di seluruh playbook keamanan Anda yang lainnya. Beberapa item yang sudah terdaftar, seperti informasi pemangku kepentingan, dapat digunakan di beberapa playbook. Jika demikian, Anda dapat membuat dokumentasi terpusat untuk informasi tersebut dan merujuknya di dalam playbook, lalu menyebutkan perbedaan eksplisitnya di dalam playbook. Dengan begitu, Anda tidak perlu memperbarui informasi yang sama di setiap playbook Anda. Dengan membuat templat dan mengidentifikasi informasi umum atau bersama di playbook, Anda dapat menyederhanakan dan mempercepat pengembangan playbook. Terakhir, playbook Anda kemungkinan akan berkembang seiring waktu; setelah Anda memastikan bahwa langkah-langkahnya konsisten, hal ini membentuk persyaratan untuk otomatisasi.