Плейбук безопасности
Что такое Плейбук безопасности?
Плейбук безопасностиДокументированная повторяемая процедура, которая указывает реагирующим, что именно и в каком порядке делать при определённом типе оповещения или инцидента.
Плейбук (или ранбук) безопасности — стандартная операционная процедура, превращающая алерт в действия. Он описывает триггер, необходимые входные данные, точки принятия решений, шаги обогащения, действия по сдерживанию, точки коммуникации и критерии закрытия. Плейбуки хранятся в базе знаний SOC или как код в платформе SOAR, способной выполнять шаги автоматически (запрос в песочницу, изоляция хоста, отключение пользователя). Хороший плейбук достаточно короток, чтобы следовать ему под давлением, версионируется, отрабатывается в tabletop-учениях, согласован с планом IR и обновляется после каждого реального инцидента.
● Примеры
- 01
Плейбук по фишингу извлекает заголовки письма, детонирует вложения в песочнице и удаляет доставленные копии.
- 02
SOAR-сценарий блокирует скомпрометированного пользователя, отзывает токены и открывает заявку в ИТ.
● Частые вопросы
Что такое Плейбук безопасности?
Документированная повторяемая процедура, которая указывает реагирующим, что именно и в каком порядке делать при определённом типе оповещения или инцидента. Относится к категории Защита и операции в кибербезопасности.
Что означает Плейбук безопасности?
Документированная повторяемая процедура, которая указывает реагирующим, что именно и в каком порядке делать при определённом типе оповещения или инцидента.
Как работает Плейбук безопасности?
Плейбук (или ранбук) безопасности — стандартная операционная процедура, превращающая алерт в действия. Он описывает триггер, необходимые входные данные, точки принятия решений, шаги обогащения, действия по сдерживанию, точки коммуникации и критерии закрытия. Плейбуки хранятся в базе знаний SOC или как код в платформе SOAR, способной выполнять шаги автоматически (запрос в песочницу, изоляция хоста, отключение пользователя). Хороший плейбук достаточно короток, чтобы следовать ему под давлением, версионируется, отрабатывается в tabletop-учениях, согласован с планом IR и обновляется после каждого реального инцидента.
Как защититься от Плейбук безопасности?
Защита от Плейбук безопасности обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Плейбук безопасности?
Распространённые альтернативные названия: Ранбук, Процедура реагирования.
● Связанные термины
- defense-ops№ 1062
SOAR
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
- forensics-ir№ 525
План реагирования на инциденты
Утверждённый документ, описывающий, как организация готовится, обнаруживает, сдерживает, ликвидирует, восстанавливается и извлекает уроки из киберинцидентов.
- forensics-ir№ 1127
Настольные учения
Дискуссионная симуляция, в которой заинтересованные стороны проходят гипотетический киберинцидент для проверки планов, ролей, решений и коммуникаций.
- defense-ops№ 845
Постмортем
Безобвинительный разбор после инцидента, в котором фиксируют хронологию, факторы, способствовавшие проблеме, и конкретные шаги для её предотвращения или раннего обнаружения.