# SEC10-BP04 制定和测试安全事件响应行动手册
<a name="sec_incident_response_playbooks"></a>

 准备事件响应流程的关键环节是制定行动手册。事件响应行动手册提供了规范性指南和步骤，供发生安全事件时遵循。清晰的结构和步骤可简化响应，减少发生人为错误的可能性。

 **在未建立这种最佳实践的情况下暴露的风险等级：**中 

## 实施指导
<a name="implementation-guidance"></a>

 应针对以下事件场景创建行动手册：
+  **预期事件**：应针对预期的事件创建行动手册。这包括拒绝服务（DoS）、勒索软件和凭证泄露等威胁。
+  **已知的安全调查发现或警报**：应该创建行动手册来应对已知的安全调查发现和警报，例如来自 Amazon GuardDuty 的调查发现和警报。当您收到 GuardDuty 调查发现时，行动手册应提供明确的步骤，以防止错误处理或忽略警报。有关修复措施的更多详细信息和指南，请参阅 [Remediating security issues discovered by GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html)。

 行动手册应包含安全分析师需要完成的技术步骤，以便充分调查和应对潜在的安全事件。

 AWS 的客户事件响应团队（CIRT）发布了一个[包含事件响应行动手册的 GitHub 存储库](https://github.com/aws-samples/aws-customer-playbook-framework/tree/main/docs)，而这些事件响应行动手册按威胁情景、类型和资源进行整理。这些行动手册可以进行调整，使其与现有的事件响应过程保持一致，也可以作为开发新的事件响应过程的基础。

### 实施步骤
<a name="implementation-steps"></a>

 行动手册中应包括的项目有：
+  **行动手册概述**：本行动手册针对哪些风险或事件场景？ 本行动手册的目标是什么？ 
+  **先决条件**：此事件场景需要哪些日志、检测机制和自动化工具？ 预期的通知是什么？ 
+  **沟通和上报信息**：谁参与其中，他们的联系信息是什么？ 每个利益相关方的责任是什么？ 
+  **响应步骤**：在事件响应的各个阶段，应采取哪些战术性措施？ 分析师应该进行哪些查询？ 应该运行什么代码才能达到预期的结果？ 
  +  **检测**：如何检测事件？ 
  +  **分析**：如何确定影响范围？ 
  +  **控制**：如何隔离事件来限制其影响范围？ 
  +  **消除**：如何从环境中消除威胁？ 
  +  **恢复**：受影响的系统或资源将如何恢复生产？ 
+  **期望结果**：运行查询和代码后，行动手册的期望结果是什么？ 

## 资源
<a name="resources"></a>

 **相关的 Well-Architected 最佳实践：**
+  [SEC10-BP02 – 制定事件管理计划](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html) 

 **相关文档：**
+  [事件响应行动手册框架](https://github.com/aws-samples/aws-customer-playbook-framework)  
+  [制定自己的事件响应行动手册](https://github.com/aws-samples/aws-incident-response-playbooks-workshop)  
+  [事件响应行动手册样本](https://github.com/aws-samples/aws-incident-response-playbooks)  
+  [使用 Jupyter 行动手册和 CloudTrail Lake 构建 AWS 事件响应运行手册](https://catalog.workshops.aws/incident-response-jupyter/en-US)