本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
手冊中要包含的內容
程序手冊應包含安全分析師應完成的技術步驟,以便充分調查和應對潛在的安全事件。
要納入程序手冊的項目包括:
-
手冊概觀 – 此手冊處理哪些風險或事件案例? 程序手冊的目標是什麼?
-
先決條件 – 此事件案例需要哪些日誌和偵測機制? 預期的通知是什麼?
-
利害關係人資訊 – 涉及的人員及其聯絡資訊為何? 每個利害關係人的責任是什麼?
-
回應步驟 – 在事件回應的各階段中,應採取哪些策略步驟? 分析師應該執行哪些查詢? 應該執行哪些程式碼以達到預期的成果?
-
Detect – 如何偵測事件?
-
分析 – 如何判斷影響範圍?
-
包含 – 如何隔離事件以限制範圍?
-
消除 – 如何從環境中移除威脅?
-
復原 – 如何將受影響的系統或資源帶回生產環境?
-
-
預期結果 – 執行查詢和程式碼之後,手冊的預期結果是什麼?
若要驗證每個程序手冊中一致的資訊,建立程序手冊範本以在其他安全程序手冊中使用會很有幫助。某些先前列出的項目,例如利益相關者資訊,可以在多個手冊之間共用。如果是這種情況,您可以為該資訊建立集中式文件,並在手冊中參考它,然後列舉手冊中的明確差異。這將讓您不必更新所有個別手冊中的相同資訊。透過建立範本並識別手冊中的常見或共用資訊,您可以簡化和加速手冊開發。最後,您的手冊可能會隨著時間演進;一旦您確認步驟一致,就會形成自動化的需求。
