

# SEC10-BP04 Sviluppo e test di playbook di risposta agli incidenti di sicurezza
<a name="sec_incident_response_playbooks"></a>

 Una parte fondamentale della preparazione dei processi di risposta agli incidenti è costituita dallo sviluppo di playbook. I playbook di risposta agli incidenti forniscono una serie di indicazioni prescrittive e di passaggi da seguire quando si verifica un evento di sicurezza. Avere una struttura e passaggi chiari semplifica la risposta e riduce la probabilità di errore umano. 

 **Livello di rischio associato se questa best practice non fosse adottata:** medio 

## Guida all'implementazione
<a name="implementation-guidance"></a>

 È necessario creare i playbook per scenari di incidenti come: 
+  **Incidenti previsti**: i playbook devono essere creati per gli incidenti previsti. tra cui minacce come il Denial of Service (DoS), il ransomware e la compromissione delle credenziali. 
+  **Avvisi o esiti di sicurezza noti**: i playbook devono essere creati per gli esiti e gli avvisi di sicurezza noti, ad esempio gli esiti GuardDuty. Potresti ricevere un risultato di GuardDuty e non sapere cosa fare. Per evitare di mal gestire o ignorare un risultato di GuardDuty, crea un playbook per ogni potenziale risultato di GuardDuty. I dettagli e le indicazioni sulla correzione sono disponibili nella [documentazione di GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html). Vale la pena notare che GuardDuty non è abilitato per impostazione predefinita e comporta costi. Per maggiori dettagli su GuardDuty, consulta [Appendice A: Definizioni delle capacità del cloud - Visibilità e avvisi](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/visibility-and-alerting.html). 

 I playbook devono contenere i passaggi tecnici che un analista deve completare per indagare e rispondere adeguatamente a un potenziale incidente di sicurezza. 

### Passaggi dell'implementazione
<a name="implementation-steps"></a>

 Gli elementi da includere in un playbook sono: 
+  **Panoramica del playbook**: quale scenario di rischio o incidente affronta questo playbook? Qual è l'obiettivo del playbook? 
+  **Prerequisiti**: quali log, meccanismi di rilevamento e strumenti automatizzati sono necessari per questo scenario di incidente? Qual è la notifica prevista? 
+  **Informazioni sulla comunicazione e sull'escalation**: chi è coinvolto e quali sono le loro informazioni di contatto? Quali sono le responsabilità di ogni stakeholder? 
+  **Fasi di risposta**: in tutti i passaggi per la risposta agli incidenti, quali misure tattiche devono essere prese? Quali query deve eseguire l'analista? Quale codice deve essere eseguito per ottenere il risultato desiderato? 
  +  **Individuazione**: come verrà rilevato l'incidente? 
  +  **Analisi**: come verrà determinato l'ambito dell'impatto? 
  +  **Contenimento**: come verrà isolato l'incidente per limitarne la portata? 
  +  **Sradicamento**: come verrà rimossa la minaccia dall'ambiente? 
  +  **Recupero**: in che modo il sistema o la risorsa interessati verranno riportati in produzione? 
+  **Risultati attesi**: dopo l'esecuzione delle query e del codice, qual è il risultato previsto del playbook? 

## Risorse
<a name="resources"></a>

 **Best practice Well-Architected correlate:** 
+  [SEC10-BP02 Sviluppo di piani di gestione degli incidenti](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html) 

 **Documenti correlati:** 
+  [Framework for Incident Response Playbooks](https://github.com/aws-samples/aws-customer-playbook-framework)  
+  [Develop your own Incident Response Playbooks](https://github.com/aws-samples/aws-incident-response-playbooks-workshop)  
+  [Incident Response Playbook Samples](https://github.com/aws-samples/aws-incident-response-playbooks)  
+  [Building an AWS incident response runbook using Jupyter playbooks and CloudTrail Lake](https://catalog.workshops.aws/incident-response-jupyter/en-US)  

 