# プレイブックに含める内容
<a name="what-to-include-in-playbooks"></a>

 プレイブックには、起こりうるセキュリティインシデントを適切に調査して対応するために、セキュリティアナリストが実行すべき技術的な手順を記載する必要があります。

 プレイブックに記載すべき項目には次のようなものがあります。
+  **プレイブックの概要** – このプレイブックがどのようなリスクやインシデントシナリオに対応しているか。このプレイブックの目的は何か。
+  **前提条件** – このインシデントシナリオには、どのようなログおよび検出メカニズムが必要か。どのような通知が想定されるか。
+ **ステークホルダー情報** – 関係者とその連絡先情報。各利害関係者の責任は何か。
+ **対応ステップ** – インシデント対応の各フェーズで、どのような戦術的措置を講じるべきか。アナリストはどのようなクエリを実行すべきか。望ましい結果を得るためにどのようなコードを実行すべきか。
  + **検知** – インシデントはどのように検出されるか。
  + **分析** – 影響範囲はどのように特定されるか。
  + **封じ込め** – 影響範囲を限定するために、インシデントをどのように隔離するか。
  + **根絶** – どのようにして脅威を環境から取り除くか。
  + **復旧** – 影響を受けたシステムやリソースをどのようにして本番環境に戻すか。
+ **期待される結果** – クエリとコードが実行された後、プレイブックで想定される結果はどのようなものか。

 各プレイブックの情報の一貫性を検証するには、プレイブックテンプレートを作成して他のセキュリティプレイブックで使用すると便利です。ステークホルダー情報など、以前にリストアップした項目の一部は、複数のプレイブック間で共有できます。この場合、その情報を一元化した文書を作成し、プレイブックで参照してから、そのプレイブックで明示的な違いを列挙することができます。これにより、すべてのプレイブックで同じ情報を逐一更新する必要がなくなります。テンプレートを作成し、プレイブックで共通の情報または共有されている情報を特定することで、プレイブックの作成を簡素化し、スピードアップできます。最後に、プレイブックは時間の経過に伴って進化する可能性があります。ステップの一貫性を確認しておくことは、自動化の要件となります。