# SEC10-BP07 Esecuzione di giornate di gioco
<a name="sec_incident_response_run_game_days"></a>

i game day, noti anche come simulazioni o esercizi, sono eventi interni che offrono un'opportunità strutturata per mettere in pratica i piani e le procedure di gestione degli incidenti in uno scenario realistico. Tali attività sono importanti per esercitare le capacità dei partecipanti, con gli stessi strumenti e le stesse tecniche del mondo reale e persino gli stessi ambienti. I game day riguardano fondamentalmente la preparazione e il miglioramento iterativo delle capacità di risposta. Alcuni dei motivi per cui potresti trovare utile l'organizzazione di game day includono: 
+ Convalida della preparazione
+ Sviluppo delle competenze: apprendimento da simulazioni e dal personale preposto alla formazione
+ Rispetto degli obblighi contrattuali o di conformità
+ Generazione di artefatti per l'accreditamento
+ Agilità: miglioramento incrementale
+ Maggiore rapidità e miglioramento degli strumenti
+ Perfezionamento della comunicazione e dell'escalation
+ Gestione più sicura delle situazioni rare e inaspettate

Per questi motivi, il valore derivato dalla partecipazione a un'attività di simulazione aumenta l'efficacia di un'organizzazione durante gli eventi stressanti. Sviluppare un'attività di simulazione realistica e utile può essere un esercizio difficile. Anche se testare le procedure o l'automazione che gestisce eventi noti presenta alcuni vantaggi, è altrettanto utile partecipare alle attività [Security Incident Response Simulations (SIRS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) creative per mettersi alla prova in situazioni impreviste e migliorare continuamente.

Crea simulazioni personalizzate in base al tuo ambiente, al tuo team e ai tuoi strumenti. Trova un problema e progetta una simulazione. Potrebbe trattarsi di una credenziale compromessa, di un server che comunica con sistemi indesiderati o di una configurazione errata che comporta un'esposizione non autorizzata. Identifica gli ingegneri che conoscono l'organizzazione per creare lo scenario e per la partecipazione di un altro gruppo. Lo scenario deve essere realistico e abbastanza impegnativo per essere rilevante. Deve offrire la possibilità di fare pratica con registri, notifiche, escalation ed esecuzioni di runbook o automazioni. Durante la simulazione, i soccorritori devono esercitare le proprie capacità tecniche e organizzative e i leader devono essere coinvolti per sviluppare le competenze necessarie per la gestione degli incidenti. Alla fine della simulazione, riconosci l'impegno del team e trova il modo di iterare, ripetere e ampliare nuove simulazioni.

[AWS ha creato modelli di Runbook di risposta agli incidenti](https://github.com/aws-samples/aws-incident-response-playbooks) che puoi usare non solo per preparare la tua risposta, ma anche come base per una simulazione. Nella fase di pianificazione, una simulazione può essere suddivisa in cinque fasi.

**Raccolta delle prove: **In questa fase, un team riceverà avvisi tramite diversi mezzi, come, ad esempio, un sistema di ticket interno, avvisi da strumenti di monitoraggio, suggerimenti anonimi o persino notizie pubbliche. I team cominciano quindi a esaminare i log di infrastrutture e applicazioni per stabilire l'origine della compromissione. Questa fase deve coinvolgere anche escalation interne e leadership degli incidenti. Una volta identificate queste informazioni, i team passano al contenimento dell'incidente

**Contenimento dell'incidente: **I team avranno stabilito che si è verificato un incidente e avranno identificato l'origine del compromissione. I team devono ora agire per contenerlo disabilitando ad esempio le credenziali compromesse, isolando una risorsa di calcolo o revocando l'autorizzazione di un ruolo.

**Eliminazione dell'incidente: **Ora che l'incidente è stato contenuto, i team lavoreranno per mitigare le vulnerabilità nelle applicazioni o nelle configurazioni dell'infrastruttura che sono state coinvolte nella compromissione. Potrebbe essere necessario ruotare tutte le credenziali utilizzate per un carico di lavoro, modificare le liste di controllo degli accessi (ACL) o cambiare le configurazioni di rete.

**Livello di rischio associato se questa best practice non fosse adottata:** Medio

## Guida all'implementazione
<a name="implementation-guidance"></a>
+  Esegui [game day](https://wa.aws.amazon.com/wat.concept.gameday.en.html): esegui eventi di risposta [a](https://wa.aws.amazon.com/wat.concept.incident.en.html) incidenti simulati [(game day)](https://wa.aws.amazon.com/wat.concept.event.en.html) per minacce diverse che coinvolgono personale e dirigenza chiave. 
+  Integrazione dei concetti appresi: le lezioni apprese dall'esecuzione di [game day](https://wa.aws.amazon.com/wat.concept.gameday.en.html) devono essere parte del loop di feedback per migliorare i processi. 

## Risorse
<a name="resources"></a>

 **Documenti correlati:** 
+ [AWS Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [AWS Elastic Disaster Recovery (Ripristino di emergenza elastico AWS)](https://aws.amazon.com/cloudendure-disaster-recovery/) 

 **Video correlati:** 
+ [ DIY guide to runbooks, incident reports, and incident response ](https://youtu.be/E1NaYN_fJUo)