Заметки на полях: Microsoft Incident response playbook Ежедне | [MIS]ter & [MIS]sis Team

Заметки на полях: Microsoft Incident response playbook

Ежедневно атакам подвергаются сотни организаций. А у крупных организаций инциденты безопасности происходят каждый день. Большое количество инцидентов, в конечном итоге, очень плохо влияет на BlueTeam - глаз замыливается и какие-то действительно серьезные инциденты пропускаются.

Пропуск инцидентов еще усугубляется тем, что не у всех организаций (даже крупных) есть инструкция (или playbook) о том, как надо обрабатывать инциденты, на что обращать внимание, как расследовать. Нет каких-то чеклистов, чтобы быстро посмотреть, проверить, сохранить и потом (в случае необходимости) вернуться к инциденту.

У компании Microsoft есть небольшой гайд по тому как реагировать на самые распространенные типы атак.

Под самыми распространенными понимают всего 3 вида атак:

1) Фишинг
2) password spraying
3) Предоставление разрешения для приложения - предоставление разрешений приложению для доступа к каким-то данным пользователя или организации (например, была распространенная фишинговая атака, когда злоумышленник создавал свое приложение и оно просило доступ к авторизационным данным пользователя)

Конечно, playbook от Microsoft ориентирован больше на их продукты - Azure Sentinel, Azure AD.

Но схемы процесса для расследования и чеклисты - очень информативные и полезные - их можно использовать для построения процессов в своей компании.

Очень рекомендуем ознакомиться - https://docs.microsoft.com/en-us/security/compass/incident-response-playbooks и составить playbook для своей организации. Или хотя бы иметь представление, где можно посмотреть, если на данный момент не актуально