Security Playbook
Was ist Security Playbook?
Security PlaybookDokumentierte, wiederholbare Prozedur, die Respondern fuer einen bestimmten Alarm- oder Vorfalltyp genau vorgibt, was wann zu tun ist.
Ein Security-Playbook (oder Runbook) ist die Standardprozedur, die einen Alarm in Handlung umsetzt. Es beschreibt Trigger, Eingaben, Entscheidungspunkte, Anreicherungsschritte, Containment-Aktionen, Kommunikations-Checkpoints und Abschlusskriterien. Playbooks liegen im Wissensbestand des SOC oder als Code in einer SOAR-Plattform, die Schritte automatisch ausfuehren kann (Sandbox-Query, Host isolieren, Benutzer deaktivieren). Gute Playbooks sind kurz genug, um unter Stress zu funktionieren, versioniert, werden in Tabletop-Uebungen geprobt, mit dem Incident-Response-Plan verknuepft und nach jedem realen Vorfall aktualisiert.
● Beispiele
- 01
Phishing-Playbook, das Header zieht, Anhaenge in der Sandbox zur Detonation bringt und zugestellte Kopien quarantaeniert.
- 02
SOAR-Workflow, der einen kompromittierten Benutzer deaktiviert, Tokens widerruft und ein IT-Ticket oeffnet.
● Häufige Fragen
Was ist Security Playbook?
Dokumentierte, wiederholbare Prozedur, die Respondern fuer einen bestimmten Alarm- oder Vorfalltyp genau vorgibt, was wann zu tun ist. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Security Playbook?
Dokumentierte, wiederholbare Prozedur, die Respondern fuer einen bestimmten Alarm- oder Vorfalltyp genau vorgibt, was wann zu tun ist.
Wie funktioniert Security Playbook?
Ein Security-Playbook (oder Runbook) ist die Standardprozedur, die einen Alarm in Handlung umsetzt. Es beschreibt Trigger, Eingaben, Entscheidungspunkte, Anreicherungsschritte, Containment-Aktionen, Kommunikations-Checkpoints und Abschlusskriterien. Playbooks liegen im Wissensbestand des SOC oder als Code in einer SOAR-Plattform, die Schritte automatisch ausfuehren kann (Sandbox-Query, Host isolieren, Benutzer deaktivieren). Gute Playbooks sind kurz genug, um unter Stress zu funktionieren, versioniert, werden in Tabletop-Uebungen geprobt, mit dem Incident-Response-Plan verknuepft und nach jedem realen Vorfall aktualisiert.
Wie schützt man sich gegen Security Playbook?
Schutzmaßnahmen gegen Security Playbook kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Security Playbook?
Übliche alternative Bezeichnungen: Runbook, Response-Prozedur.
● Verwandte Begriffe
- defense-ops№ 1062
SOAR
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.
- forensics-ir№ 524
Incident Response
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
- forensics-ir№ 525
Incident-Response-Plan
Dokumentiertes, freigegebenes Playbook, das festlegt, wie eine Organisation Cybervorfälle vorbereitet, erkennt, eindämmt, bereinigt und auswertet.
- forensics-ir№ 1127
Tabletop-Übung
Diskussionsbasierte Simulation, in der Beteiligte einen hypothetischen Cybervorfall durchspielen, um Pläne, Rollen, Entscheidungen und Kommunikation zu prüfen.
- defense-ops№ 845
Post-Mortem
Schuldfreie Nachbetrachtung nach einem Vorfall, die Zeitlinie und Mitursachen erfasst und konkrete Massnahmen festlegt, um das Problem kuenftig zu verhindern oder frueher zu erkennen.