Playbook de seguranca
O que é Playbook de seguranca?
Playbook de segurancaProcedimento documentado e repetivel que indica aos respondedores exatamente o que fazer e em que ordem para um tipo especifico de alerta ou incidente.
Um playbook (ou runbook) de seguranca e o procedimento operativo padrao que transforma um alerta em acao. Descreve o gatilho, as entradas necessarias, os pontos de decisao, as etapas de enriquecimento, as acoes de contencao, os pontos de comunicacao e os criterios de fecho. Os playbooks vivem na base de conhecimento do SOC ou como codigo numa plataforma SOAR capaz de executar passos automaticamente (consultar sandbox, isolar host, desativar utilizador). Um bom playbook e curto, versionado, ensaiado em tabletops, ligado ao plano de resposta a incidentes e revisto apos cada incidente real.
● Exemplos
- 01
Playbook de phishing que obtem cabecalhos, detona anexos em sandbox e remove copias entregues.
- 02
Workflow SOAR que desativa um utilizador comprometido, revoga tokens e abre um ticket para o IT.
● Perguntas frequentes
O que é Playbook de seguranca?
Procedimento documentado e repetivel que indica aos respondedores exatamente o que fazer e em que ordem para um tipo especifico de alerta ou incidente. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Playbook de seguranca?
Procedimento documentado e repetivel que indica aos respondedores exatamente o que fazer e em que ordem para um tipo especifico de alerta ou incidente.
Como funciona Playbook de seguranca?
Um playbook (ou runbook) de seguranca e o procedimento operativo padrao que transforma um alerta em acao. Descreve o gatilho, as entradas necessarias, os pontos de decisao, as etapas de enriquecimento, as acoes de contencao, os pontos de comunicacao e os criterios de fecho. Os playbooks vivem na base de conhecimento do SOC ou como codigo numa plataforma SOAR capaz de executar passos automaticamente (consultar sandbox, isolar host, desativar utilizador). Um bom playbook e curto, versionado, ensaiado em tabletops, ligado ao plano de resposta a incidentes e revisto apos cada incidente real.
Como se defender contra Playbook de seguranca?
As defesas contra Playbook de seguranca costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Playbook de seguranca?
Nomes alternativos comuns: Runbook, Procedimento de resposta.
● Termos relacionados
- defense-ops№ 1062
SOAR
Plataforma que automatiza e orquestra workflows do SOC, encadeando deteções, enriquecimentos e ações de resposta em playbooks executados nas várias ferramentas de segurança.
- forensics-ir№ 524
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
- forensics-ir№ 525
Plano de resposta a incidentes
Documento aprovado que descreve como a organização se prepara, deteta, contém, erradica e recupera de incidentes cibernéticos e captura lições.
- forensics-ir№ 1127
Exercício de mesa
Simulação baseada em discussão em que os intervenientes percorrem um incidente cibernético hipotético para testar planos, papéis, decisões e comunicações.
- defense-ops№ 845
Post-mortem
Revisao sem culpados feita apos um incidente para reconstituir a cronologia, identificar fatores contributivos e definir acoes concretas que previnam ou detetem o problema da proxima vez.