Cosa includere nei playbook - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cosa includere nei playbook

I playbook devono contenere i passaggi tecnici che un analista della sicurezza deve seguire per indagare e rispondere in modo adeguato a un potenziale incidente di sicurezza.

Gli elementi da includere in un playbook sono:

  • Panoramica del playbook: a quale scenario di rischio o incidente si riferisce questo playbook? Qual è l'obiettivo del playbook?

  • Prerequisiti: quali registri e meccanismi di rilevamento sono necessari per questo scenario di incidente? Qual è la notifica prevista?

  • Informazioni sulle parti interessate: chi è coinvolto e quali sono le loro informazioni di contatto? Quali sono le responsabilità di ciascuna parte interessata?

  • Fasi di risposta: in tutte le fasi della risposta agli incidenti, quali misure tattiche dovrebbero essere adottate? Quali query deve eseguire l'analista? Quale codice va eseguito per ottenere il risultato desiderato?

    • Rileva: come verrà rilevato l'incidente?

    • Analizza: come verrà determinata la portata dell'impatto?

    • Contenere: in che modo verrà isolato l'incidente per limitarne l'ambito?

    • Eradicazione: come verrà rimossa la minaccia dall'ambiente?

    • Ripristino: in che modo il sistema o la risorsa interessati verranno riportati in produzione?

  • Risultati attesi: dopo l'esecuzione delle query e del codice, qual è il risultato previsto del playbook?

Per verificare la coerenza delle informazioni in ogni playbook, può essere utile creare un modello di playbook da utilizzare negli altri playbook di sicurezza. Alcuni degli elementi elencati in precedenza, come le informazioni sugli stakeholder, possono essere condivisi tra più playbook. In tal caso, puoi creare una documentazione centralizzata per tali informazioni e farvi riferimento nel playbook, quindi enumerare le differenze esplicite nel playbook. In questo modo eviterai di dover aggiornare le stesse informazioni in tutti i tuoi playbook individuali. Creando un modello e identificando le informazioni comuni o condivise nei playbook, puoi semplificare e velocizzare lo sviluppo dei playbook. Infine, è probabile che i tuoi playbook si evolveranno nel tempo; una volta confermata la coerenza dei passaggi, ecco i requisiti per l'automazione.