# SEC10-BP04 Desenvolver e testar playbooks de resposta a incidentes de segurança
Uma parte fundamental da preparação de seus processos de resposta a incidentes é desenvolver playbooks. Os playbooks de resposta a incidentes fornecem recomendações e etapas a serem seguidas quando um evento de segurança ocorre. Ter uma estrutura e etapas claras simplifica a resposta e reduz a probabilidade de erro humano.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio
## Orientação para implementação
Os playbooks devem ser criados para cenários de incidentes, como:
+ **Incidentes esperados:** os playbooks devem ser criados para os incidentes previstos. Isso inclui ameaças como negação de serviço (DoS), ransomware e comprometimento de credenciais.
+ **Descobertas ou alertas de segurança conhecidos**: devem ser criados playbooks para abordar descobertas e alertas de segurança conhecidos, como os do Amazon GuardDuty. Quando você recebe uma descoberta do GuardDuty, o manual deve fornecer etapas claras para evitar o manuseio incorreto ou a ignorância do alerta. Para obter mais detalhes e orientações sobre remediação, consulte [Correção de problemas de segurança descobertos pelo GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html).
Os playbooks devem conter etapas técnicas a serem concluídas por um analista de segurança para investigar e responder adequadamente a um possível incidente de segurança.
A Equipe de Resposta a Incidentes de Clientes (CIRT) da AWS publicou um [repositório no GitHub que contém manuais de resposta a incidentes](https://github.com/aws-samples/aws-customer-playbook-framework/tree/main/docs) organizados por cenário, tipo e recurso de ameaça. Esses manuais podem ser adaptados para se alinharem aos procedimentos existentes de resposta a incidentes ou servir como base para o desenvolvimento de novos.
### Etapas de implementação
Os itens a serem incluídos em um playbook incluem:
+ **Visão geral do playbook**: qual cenário de risco ou incidente esse playbook aborda? Qual é o objetivo do playbook?
+ **Pré-requisitos**: quais logs, mecanismos de detecção e ferramentas automatizadas são necessários para esse cenário de incidente? Qual é a notificação esperada?
+ **Informações de comunicação e escalação**: quem está envolvido e quais são suas informações de contato? Quais são as responsabilidades de cada parte interessada?
+ **Etapas da resposta:** em todas as fases da resposta a incidentes, quais etapas táticas devem ser seguidas? Que consultas um analista deve executar? Que código deve ser executado para alcançar o resultado desejado?
+ **Detectar**: como o incidente será detectado?
+ **Analisar**: como o escopo do impacto será determinado?
+ **Conter**: como o incidente será isolado para limitar o escopo?
+ **Erradicar**: como a ameaça será removida do ambiente?
+ **Recuperar**: como o sistema ou o recurso afetado voltará à produção?
+ **Resultados esperados**: depois que as consultas e o código forem executados, qual é o resultado esperado do playbook?
## Recursos
**Práticas recomendadas do Well-Architected relacionadas:**
+ [SEC10-BP02 Desenvolver planos de gerenciamento de incidentes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html)
**Documentos relacionados:**
+ [Framework para playbooks de resposta a incidentes](https://github.com/aws-samples/aws-customer-playbook-framework)
+ [Como desenvolver seus próprios playbooks de resposta a incidentes](https://github.com/aws-samples/aws-incident-response-playbooks-workshop)
+ [Exemplos de playbook de resposta a incidentes](https://github.com/aws-samples/aws-incident-response-playbooks)
+ [Criar um runbook de resposta a incidentes da AWS using playbooks do Jupyter e o CloudTrail Lake](https://catalog.workshops.aws/incident-response-jupyter/en-US)