Incident Playbook

Если у вас есть идея для проекта, начните обсуждение.

Что этот проект будет создан сообществом реагирования SOC/инцидентов

• Разработайте каталог воспроизведения инцидентов для каждой техники MITHE (имейте в виду, что это не сработает для какой -то тактики).
• Разработать каталог игровой книги по инцидентам для необычных инцидентов.
• Разработать настройку JSON для игр
• Разработайте каталог сценариев упражнений, который можно использовать для тренировочных целей.
• Разработать каталог инструментов, используемых для ответа на инциденты [Plus Reviews for the different tools] .
• Разработать каталог автоматизаций реагирования на инциденты.
• Разработать каталог контрольных списков [For Before, During, After Incidents] .
• Разработать каталог ролей, который может использовать организация, для создания собственной программы.
• Разработайте каталог кодов событий и действий API, которые вы можете/увидите в обнаружении SIEM.

• Разработайте книгу о бит -карте, которая может быть ссылкой на немедленную помощь во время инцидента.

• Playbook: T1133 - Доступ к VPN и VDI.
• Playbook: T1189 - Drive By Compromise
• Пьеса: T1566 - Фишинг

• Playbook: T1114 - Облачный компромисс электронной почты

• Playbook: T1110.003 - распыление пароля

• Playbook: T1055 - Внедрение процесса

• Playbook: T1053 - Запланированная задача/работа

• Playbook: T1052.001 - Эксфильтрация над USB

• Playbook: T1485 - Разрушение данных
• Playbook: T1486 - Данные зашифрованы для воздействия вымогателей
• Playbook: T1489 - Остановка обслуживания
• Playbook: T1491.002 - Внешнее смягчение

Для каждого представленного вопроса также должен быть создан вопрос.

• Пожалуйста, прочитайте создание новой книги;
• Проверьте список методов MITRE на выбор и создайте новую проблему;
• Или вы можете просто посмотреть на список проблем, которые готовы к работе.

• Выяснить, как интегрировать атомную красную команду

• Создание пьесы
• Объединение техник в одну пьесу
• Фазы ответа инцидента

Планирование добавления фотографий позже

• Доминик Сигл