SEC10-BP04 Mengembangkan dan menguji playbook respons insiden keamanan - AWS Well-Architected Framework
Panduan implementasi Sumber daya

SEC10-BP04 Mengembangkan dan menguji playbook respons insiden keamanan

Bagian penting dari penyiapan proses respons insiden Anda adalah mengembangkan playbook. Playbook respons insiden memberikan serangkaian panduan preskriptif dan langkah-langkah yang harus diikuti ketika event keamanan terjadi. Memiliki struktur dan langkah yang jelas menyederhanakan respons dan mengurangi kemungkinan kesalahan manusia.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Playbook harus dibuat untuk skenario insiden seperti:

  • Insiden yang diperkirakan: Playbook harus dibuat untuk insiden yang Anda antisipasi. Ini mencakup ancaman seperti denial of service (DoS), ransomware, dan kompromi kredensial.

  • Temuan atau pemberitahuan keamanan yang diketahui: Playbook harus dibuat untuk temuan dan pemberitahuan keamanan Anda yang diketahui, seperti temuan . Anda mungkin menerima temuan GuardDuty dan berpikir, “Lalu apa?” Untuk mencegah kesalahan penanganan atau pengabaian temuan GuardDuty, buat playbook untuk setiap temuan GuardDuty potensial. Beberapa detail dan panduan perbaikan dapat ditemukan di dokumentasi GuardDuty. Perlu dicatat bahwa GuardDuty tidak diaktifkan secara default dan dikenakan biaya. Untuk detail selengkapnya tentang GuardDuty, lihat Lampiran A: Definisi kemampuan cloud - Visibilitas dan pembuatan pemberitahuan.

Playbook harus berisi langkah-langkah teknis untuk diselesaikan oleh analis keamanan untuk menyelidiki dan merespons insiden keamanan potensial secara memadai.

Langkah implementasi

Item yang perlu disertakan dalam playbook meliputi:

  • Gambaran umum playbook: Risiko atau skenario insiden apa yang ditangani oleh playbook ini? Apa tujuan dari playbook?

  • Prasyarat: Log, mekanisme deteksi, dan alat otomatis apa yang diperlukan untuk skenario insiden ini? Apa notifikasi yang diharapkan?

  • Komunikasi dan informasi eskalasi: Siapa yang terlibat dan apa informasi kontak mereka? Apa tanggung jawab setiap pemangku kepentingan?

  • Langkah-langkah respons: Di seluruh fase respons insiden, langkah taktis apa yang harus dilakukan? Kueri apa yang harus dijalankan analis? Kode apa yang harus dijalankan untuk mencapai hasil yang diinginkan?

    • Deteksi: Bagaimana insiden akan dideteksi?

    • Analisis: Bagaimana cakupan dampak ditentukan?

    • Membendung: Bagaimana insiden akan diisolasi untuk membatasi cakupan?

    • Memberantas: Bagaimana ancaman akan disingkirkan dari lingkungan?

    • Memulihkan: Bagaimana sistem atau sumber daya yang terdampak akan dikembalikan ke produksi?

  • Hasil yang diharapkan: Setelah kueri dan kode dijalankan, apa hasil yang diharapkan dari playbook?

Sumber daya

Praktik terbaik Well-Architected terkait:

Dokumen terkait: