Playbook de seguridad
¿Qué es Playbook de seguridad?
Playbook de seguridadProcedimiento documentado y repetible que indica a los respondedores exactamente que hacer y en que orden para un tipo concreto de alerta o incidente.
Un playbook (o runbook) de seguridad es el procedimiento operativo estandar que convierte una alerta en accion. Describe el disparador, las entradas necesarias, los puntos de decision, los pasos de enriquecimiento, las acciones de contencion, los hitos de comunicacion y los criterios de cierre. Los playbooks viven en la base de conocimiento del SOC o como codigo en una plataforma SOAR que ejecuta pasos automaticamente (consulta a sandbox, aislar un host, deshabilitar un usuario). Un buen playbook es corto, esta versionado, se practica en ejercicios tabletop, se mapea al plan de respuesta y se revisa tras cada incidente real para incorporar lecciones aprendidas.
● Ejemplos
- 01
Playbook de phishing que extrae cabeceras del correo, detona adjuntos en sandbox y elimina copias entregadas.
- 02
Flujo SOAR que deshabilita a un usuario comprometido, revoca tokens y abre un ticket para TI.
● Preguntas frecuentes
¿Qué es Playbook de seguridad?
Procedimiento documentado y repetible que indica a los respondedores exactamente que hacer y en que orden para un tipo concreto de alerta o incidente. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Playbook de seguridad?
Procedimiento documentado y repetible que indica a los respondedores exactamente que hacer y en que orden para un tipo concreto de alerta o incidente.
¿Cómo funciona Playbook de seguridad?
Un playbook (o runbook) de seguridad es el procedimiento operativo estandar que convierte una alerta en accion. Describe el disparador, las entradas necesarias, los puntos de decision, los pasos de enriquecimiento, las acciones de contencion, los hitos de comunicacion y los criterios de cierre. Los playbooks viven en la base de conocimiento del SOC o como codigo en una plataforma SOAR que ejecuta pasos automaticamente (consulta a sandbox, aislar un host, deshabilitar un usuario). Un buen playbook es corto, esta versionado, se practica en ejercicios tabletop, se mapea al plan de respuesta y se revisa tras cada incidente real para incorporar lecciones aprendidas.
¿Cómo defenderse de Playbook de seguridad?
Las defensas contra Playbook de seguridad combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Playbook de seguridad?
Nombres alternativos comunes: Runbook, Procedimiento de respuesta.
● Términos relacionados
- defense-ops№ 1062
SOAR
Plataforma que automatiza y orquesta los flujos de trabajo del SOC encadenando detecciones, enriquecimientos y acciones de respuesta en playbooks que se ejecutan en las herramientas de seguridad.
- forensics-ir№ 524
Respuesta a incidentes
Proceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.
- forensics-ir№ 525
Plan de respuesta a incidentes
Manual documentado y aprobado que define cómo la organización se prepara, detecta, contiene, erradica, recupera y aprende de los incidentes cibernéticos.
- forensics-ir№ 1127
Ejercicio de mesa
Simulación basada en discusión donde los responsables recorren un incidente hipotético para probar planes, roles, decisiones y comunicaciones.
- defense-ops№ 845
Post-mortem
Revision sin culpables tras un incidente para reconstruir la cronologia, identificar factores contribuyentes y definir acciones concretas que eviten o detecten el problema la proxima vez.