플레이북 포함 대상 - AWS 보안 인시던트 대응 사용 설명서

플레이북 포함 대상

플레이북에는 보안 분석가가 잠재적인 보안 인시던트를 적절히 조사하고 대응하기 위해 완료해야 할 기술 단계가 포함되어야 합니다.

플레이북에 포함할 항목은 다음과 같습니다.

  • 플레이북 개요 - 이 플레이북은 어떤 위험 또는 인시던트 시나리오를 다루고 있나요? 플레이북의 목표는 무엇인가요?

  • 사전 조건 - 이 인시던트 시나리오에 어떤 로그 및 탐지 메커니즘이 필요한가요? 예상되는 알림은 무엇인가요?

  • 이해관계자 정보 - 관련자는 누구이며 연락처 정보는 어떻게 되나요? 관련된 각 이해관계자의 책임은 무엇인가요?

  • 대응 단계 - 인시던트 대응 단계 전반에서 어떤 전술적 단계를 수행해야 하나요? 분석가는 어떤 쿼리를 실행해야 하나요? 원하는 결과를 얻으려면 어떤 코드를 실행해야 하나요?

    • 탐지 - 어떻게 인시던트를 탐지하나요?

    • 분석 - 어떻게 영향 범위를 결정하나요?

    • 격리 - 범위를 제한하기 위해 어떻게 인시던트를 격리하나요?

    • 근절 - 환경에서 위협을 어떻게 제거하나요?

    • 복구 - 영향을 받은 시스템이나 리소스를 어떻게 프로덕션 환경으로 복구하나요?

  • 예상 결과 - 쿼리와 코드가 실행된 후 플레이북의 예상 결과는 무엇인가요?

각 플레이북에서 일관된 정보를 확인하려면 다른 보안 플레이북에서 사용할 플레이북 템플릿을 생성하는 것이 유용할 수 있습니다. 이해관계자 정보와 같이 이전에 나열된 항목 중 일부를 여러 플레이북에서 공유할 수 있습니다. 그렇다면 해당 정보에 대한 중앙 집중식 문서를 만들고 플레이북에서 참조한 다음 플레이북에 명확한 차이점을 열거할 수 있습니다. 이렇게 하면 모든 개별 플레이북에서 동일한 정보를 업데이트할 필요가 없습니다. 플레이북에서 템플릿을 만들고 공통적이거나 공유되는 정보를 식별하면 플레이북 개발을 간소화하고 가속화할 수 있습니다. 마지막으로, 플레이북은 시간이 지남에 따라 진화할 가능성이 높으며, 단계가 일관성이 있음이 확인되면 자동화를 위한 요구 사항이 형성됩니다.