O que é um Playbook?

Playbook
Playbook

Para qualquer ameaça ou ataque cibernético, a equipe do SOC precisa de um playbook e passar por três processos sequencialmente:

  • Detecção
  • Análise
  • Correção

No entanto cada um dos processos pode conter vários subprocessos que exigem que algumas ações passo a passo sejam executadas usando várias ferramentas e envolver diversas áreas terceiras. Além disso todos os processos devem conter as ferramentas que possam ser utilizadas, times que podem ser envolvidos, escalonamentos a serem realizados e subprocessos ou procedimentos a serem seguidos.

Vamos discutir cada um dos três processos.

Detecção

Em primeiro lugar, a própria fase de detecção conterá um conjunto de subprocessos com etapas estruturadas para monitorar a rede, o SIEM, os indicadores de captura etc. Cada subprocesso seria um manual, executado manualmente ou automatizado.

Análise

Em segundo lugar, a fase de análise também terá um subprocesso, por exemplo, pesquisa de IP WHOIS, análise de malware usando Sandbox, coleta de indicadores para análise. Esses subprocessos mencionados nada mais são do que manuais, cada manual contribui para o fluxo de trabalho.

Correção

Em terceiro lugar, a fase de correção conterá vários subprocessos para limpar os ativos, bloquear o IP incorreto e banir o hash do malware na ferramenta de terminal. Todos esses manuais podem ser executados de uma só vez, cobrindo todos os ativos afetados.

Em conclusão, um playbook de resposta a incidente seriam os manuais/procedimentos padrões que a equipe do SOC poderia utilizar para responder um incidente do início ao fim. Se implementado e usado bem, simplificaria e automatizaria o processo, capacitando as equipes a responder melhor a incidentes.

Vantagens

  1. Processos de operação do SOC com os playbooks são criados para simplificar e agilizar a resposta de incidentes.
  2. O processo de operação do SOC como playbooks pode ser facilmente compartilhado entre equipes, clientes e parceiros.
  3. A automação pode ser alcançada, juntamente com a dissociação dos manuais de ferramentas de automação e orquestração.
  4. Melhor tempo de resposta, diminuindo o TMD (tempo médio de detecção) e o TMR (Tempo médio de resposta).

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.