Плейбук безопасности
Что такое Плейбук безопасности?
Плейбук безопасностиДокументированная повторяемая процедура, которая указывает реагирующим, что именно и в каком порядке делать при определённом типе оповещения или инцидента.
Плейбук (или ранбук) безопасности — стандартная операционная процедура, превращающая алерт в действия. Он описывает триггер, необходимые входные данные, точки принятия решений, шаги обогащения, действия по сдерживанию, точки коммуникации и критерии закрытия. Плейбуки хранятся в базе знаний SOC или как код в платформе SOAR, способной выполнять шаги автоматически (запрос в песочницу, изоляция хоста, отключение пользователя). Хороший плейбук достаточно короток, чтобы следовать ему под давлением, версионируется, отрабатывается в tabletop-учениях, согласован с планом IR и обновляется после каждого реального инцидента.
● Примеры
- 01
Плейбук по фишингу извлекает заголовки письма, детонирует вложения в песочнице и удаляет доставленные копии.
- 02
SOAR-сценарий блокирует скомпрометированного пользователя, отзывает токены и открывает заявку в ИТ.
● Частые вопросы
Что такое Плейбук безопасности?
Документированная повторяемая процедура, которая указывает реагирующим, что именно и в каком порядке делать при определённом типе оповещения или инцидента. Относится к категории Защита и операции в кибербезопасности.
Что означает Плейбук безопасности?
Документированная повторяемая процедура, которая указывает реагирующим, что именно и в каком порядке делать при определённом типе оповещения или инцидента.
Как защититься от Плейбук безопасности?
Защита от Плейбук безопасности обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Плейбук безопасности?
Распространённые альтернативные названия: Ранбук, Процедура реагирования.