Incident Response Playbooks: technisch, kurz, wirksam
Playbooks, die im Ernstfall funktionieren: Erkennung, Containment, Forensik, Kommunikation, Lessons Learned.
Minimal-Playbooks, die jeder braucht
- Account Compromise (M365/AAD/AD)
- Malware/Ransomware Verdacht
- Exposed Service / Credential Leak
- Data Exfiltration Verdacht
- DDoS / Availability Incident
Containment (Beispiele)
- M365: Token revoke, risky sign-ins prüfen, CA Policy temporär härten
- AD: Konto disable, Kerberos tickets reset, admin group review
- Netzwerk: isolate VLAN, block egress, sinkhole DNS
- Endpoint: EDR isolate, memory dump (wenn möglich), triage
Evidence Chain (auditfähig)
- Zeitlinie (UTC), Systeme, Aktionen
- Log-Exports (hashen), Ticket IDs
- Entscheidungsprotokoll: warum Maßnahme X
- Abschlussbericht + Maßnahmenplan