| 功能 | 定義 | 舉例/用途 |
|---|---|---|
| 透明性 transparency | 記錄事件並確保信息可存取,確保符合法規及內部流程 | 作為保險理賠、法規調查及法律程序中的證據。insurance claims, regulatory investigations, and legal proceedings |
| 標準化 standardization | 標準化透過可重複的流程和程序支持持續改進、有助於知識傳遞及新成員入職可遵循的規範或標準。 | 建立安全政策、過程及程序,確保工作質量,並通過可重複的流程和程序來保持一致性 incident response plan |
| 清晰性 clarity | 提供成員明確了解職責及完成任務的方法 | 使用 Incident Response Playbooks,避免不確定性及混亂。 |
事件回應計畫透過預先制定程序/文件來標準化組織的回應流程。
| 範疇 | 說明 | 舉例 |
|---|---|---|
| 了解受眾 (Know your audience) | 適應不同受眾的需求和語言。 | 為SOC經理撰寫的技術摘要與為CEO撰寫的簡要高層摘要的差異。 |
| 簡潔明瞭 (Be concise) | 避免冗長,確保重點先行以易於讀取。 | 執行摘要讓人快速掃瞄出關鍵發現和數據。 |
| 定期更新 (Update regularly) | 文件應隨著威脅變化定期審查和升級。 | 在事件後進行審查並更新文檔中的漏洞部分。 |
| 序號 | 項目 | 描述 |
|---|---|---|
| 1 | 證據描述description of the evidence | 涉及識別資訊 (例:所在地點、主機名、MAC地址或IP地址)。 |
| 2 | 保全紀錄custody log | 詳細記錄每次轉移或處理的人的姓名、日期時間以及轉移的目的。 |
| 3 | 合法性目的 | 記錄是否符合法律流程和透明記錄的要求,如提供給法庭使用。 |
如果錄入有錯誤或遺漏條目,將導致 Broken Chain of Custody,進一步可能影響證據的效力和信譽,在法律上可能導致證據無法使用
| 主題 | 說明 | 優點與應用 |
|---|---|---|
| Playbook 定義 | 一種詳細記錄操作行動的手冊 | 幫助安全分析師快速且有序地完成事件響應 |
| Playbook 的價值 | 減少猜測、不確定性;創造高效結構 | - 提升安全團隊效率- 確保不遺漏重要步驟 |
| Playbook 的種類 | - 非自動化- 自動化- 半自動化 | - 半自動化:減少人力重複工作- 自動化:提升分析速度 |
| 範例:DDoS 响应 | 1. 確定攻擊標誌2. 收集日誌3. 分析證據 | 確保團隊能有效處理 DDoS 攻擊 |
| 工具 | SOAR, SIEM | 將 Playbook 與工具結合進行自動化 |
| 更新與維護 | 必須定期更新才能相應進化的威脅;適時更新需求 | 確保 Playbooks 的實效性 |
| 類型 | 特點 | 範例 | 優點 | 缺點 |
|---|---|---|---|---|
| 非自動化 (Non-automated) | 需要分析人員逐步執行每個操作,以完成整個流程。 | DDoS Playbook: 分析人員手動執行每個步驟來解決DDoS攻擊問題。 | 符合針對性需求,適用於複雜情境需要人工判斷。 | 效率低,執行耗時高,容易因人為錯誤導致失敗。 |
| 自動化 (Automated) | 配置SOAR或SIEM工具,自動完成某些事故應對流程中的特定任務,例如分類事件嚴重性或收集證據。 | 使用自動化Playbook來降低事件解決所需的時間,例如透過SOAR工具來自動分類事件嚴重等級。 | 減少事件解決時間,處理快速,大量應用於常規性、高頻率的流程。 | 無法清楚處理需要更深入人工分析的情況,過度依賴系統的準確性。 |
| 半自動化 (Semi-automated) | 部分工作以自動化完成(如重複性、耗時或容易出錯的工作),而人工則集中於優先處理其他高難度任務。提高效率與生產力,並縮短解決時間。 | 將重複性資料分析自動化,並讓分析員專注於策略性應對。 | 減少重複性錯誤,增加生產力;兼有人工與自動化的靈活性。 | 部分人工介入仍需時間投入,並需要分析人員技能達標。 |
yennefer
iThome鐵人賽
看影片追技術