# SEC10-BP04 開發和測試安全事件回應程序手冊
<a name="sec_incident_response_playbooks"></a>

 準備事件回應流程的關鍵部分是制定程序手冊。事件回應程序手冊提供方案指引，以及安全事件發生時應遵循的步驟。提供清晰的結構和步驟簡化了回應的複雜度並減少人為錯誤的可能性。

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 應針對事件案例建立程序手冊，例如：
+  **預期事件**：應針對您預期的事件建立程序手冊。這包括拒絕服務 (DoS)、勒索軟體和憑證入侵等威脅。
+  **已知安全調查結果或提醒**：應針對已知安全調查結果和提醒 (例如 Amazon GuardDuty 調查結果) 建立執行手冊。當您收到 GuardDuty 調查結果時，手冊應提供明確的步驟，以避免處理不當或忽略提醒。如需更多修復相關資訊和指引，請參閱[修復 GuardDuty 發現的安全問題](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html)。

 程序手冊應包含安全分析師應完成的技術步驟，以便充分調查和應對潛在的安全事件。

 AWS 的客戶事件回應團隊 (CIRT) 已發布[包含事件回應操作手冊的 GitHub 儲存庫](https://github.com/aws-samples/aws-customer-playbook-framework/tree/main/docs)，依威脅情境、類型和資源整理。這些操作手冊可以調整到符合您現有的事件回應程序，或可當成開發新程序的基礎。

### 實作步驟
<a name="implementation-steps"></a>

 要納入程序手冊的項目包括：
+  **程序手冊概觀**：這份程序手冊可處理哪些風險或事件？ 程序手冊的目標是什麼？ 
+  **先決條件**：此事件案例需要哪些日誌、偵測機制和自動化工具？ 預期的通知是什麼？ 
+  **溝通和向上呈報資訊**：誰參與其中，其聯絡資訊為何？ 每個利害關係人的責任是什麼？ 
+  **回應步驟**：在事件回應的各個階段，應採取哪些戰術步驟？ 分析師應該執行哪些查詢？ 應該執行哪些程式碼以達到預期的成果？ 
  +  **偵測**：事件的偵測方式為何？ 
  +  **分析**：判斷影響範圍的方式為何？ 
  +  **包含：**隔離事件以限制範圍的方式為何？ 
  +  **根除**：將威脅從環境中移除的方式為何？ 
  +  **復原**：受影響的系統或資源重新投入生產環境的方式為何？ 
+  **預期成果**：執行查詢和程式碼後，程序手冊的預期結果是什麼？ 

## 資源
<a name="resources"></a>

 **相關 Well-Architected 的最佳實務：**
+  [SEC10-BP02 - 制定事件管理計畫](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html) 

 **相關文件：**
+  [事件回應程序手冊的架構](https://github.com/aws-samples/aws-customer-playbook-framework)  
+  [制定您自己的事件回應程序手冊](https://github.com/aws-samples/aws-incident-response-playbooks-workshop)  
+  [事件回應程序手冊範例](https://github.com/aws-samples/aws-incident-response-playbooks)  
+  [使用 Jupyter 程序手冊和 CloudTrail Lake 建置 AWS 事件回應執行手冊](https://catalog.workshops.aws/incident-response-jupyter/en-US)