Incident Playbook

หากคุณมีความคิดสำหรับโครงการโปรดเริ่มต้นการอภิปราย

ว่าโครงการนี้จะถูกสร้างขึ้นโดยชุมชนการตอบสนองของ SOC/เหตุการณ์

• พัฒนาแคตตาล็อกของ playbook ตอบสนองเหตุการณ์สำหรับทุกเทคนิค MITER (โปรดจำไว้ว่ามันจะไม่ทำงานสำหรับกลยุทธ์บางอย่าง)
• พัฒนาแคตตาล็อกของ playbook ตอบสนองเหตุการณ์สำหรับเหตุการณ์ที่ไม่ธรรมดา
• พัฒนาการตั้งค่า JSON สำหรับ playbooks
• พัฒนาแคตตาล็อกของสถานการณ์การออกกำลังกายที่สามารถใช้เพื่อการฝึกอบรม
• พัฒนาแคตตาล็อกของเครื่องมือที่ใช้สำหรับการตอบสนองเหตุการณ์ [Plus Reviews for the different tools]
• พัฒนาแคตตาล็อกระบบอัตโนมัติตอบสนองเหตุการณ์
• พัฒนาแคตตาล็อกของรายการตรวจสอบ [For Before, During, After Incidents]
• พัฒนาแคตตาล็อกของบทบาทที่องค์กรสามารถใช้เพื่อสร้างโปรแกรมของตนเอง
• พัฒนาแคตตาล็อกรหัสเหตุการณ์และการกระทำ API ที่คุณสามารถ/จะเห็นในการตรวจจับ SIEM

• พัฒนาหนังสือการ์ดต่อสู้ที่สามารถอ้างอิงเพื่อขอความช่วยเหลือได้ทันทีในระหว่างเหตุการณ์

• playbook: T1133 - การเข้าถึง VPN และ VDI ที่ไม่ได้รับอนุญาต
• Playbook: T1189 - Drive By Confomise
• playbook: T1566 - ฟิชชิ่ง

• playbook: T1114 - การประนีประนอมอีเมลคลาวด์

• Playbook: T1110.003 - การฉีดพ่นรหัสผ่าน

• Playbook: T1055 - การฉีดยา

• Playbook: T1053 - งาน/งานตามกำหนดเวลา

• Playbook: T1052.001 - การกรองผ่าน USB

• Playbook: T1485 - การทำลายข้อมูล
• playbook: T1486 - ข้อมูลที่เข้ารหัสสำหรับ Impact ransomware
• playbook: T1489 - บริการหยุดบริการ
• playbook: T1491.002 - defacement ภายนอก

สำหรับการร้องขอการดึงทุกครั้งที่ส่งปัญหาจะต้องสร้างขึ้นด้วย

• โปรดอ่านการสร้าง playbook ใหม่
• ตรวจสอบรายการเทคนิค MITER เพื่อเลือกและสร้างปัญหาใหม่
• หรือคุณสามารถดูรายการปัญหาที่พร้อมใช้งานได้

• หาวิธีรวมทีมอะตอมสีแดง

• การสร้าง playbook
• การรวมเทคนิคเข้ากับ playbook เล่มเดียว
• ขั้นตอนการตอบสนองของเหตุการณ์

วางแผนที่จะเพิ่มรูปภาพในภายหลัง

• Dominik Sigl