關聯筆記:Google Cybersecurity Certificate > C2 課程總覽
C2W4 — 使用 Playbook 回應事件
Module 4: Use playbooks to respond to incidents
目錄
- 一、Playbook 到底是什麼?
- Playbook 的核心定義與價值
- Playbook 有哪些類型?
- 為什麼 Playbook 是「活文件」?
- 二、事件回應六階段怎麼走?
有考核- Phase 1:準備(Preparation)
- Phase 2:偵測與分析(Detection and Analysis)
- Phase 3:遏止(Containment)
- Phase 4:消除與恢復(Eradication and Recovery)
- Phase 5:事後活動(Post-incident Activity)
- Phase 6:協調(Coordination)
- 三、Playbook 如何和 SIEM / SOAR 協同作業?
- Playbook + SIEM:從警報到回應
- Playbook + SOAR:自動化降低重複工作
- 實例:惡意軟體警報的四步處置
- 四、術語速查表
- 五、考核易混淆觀念
一、Playbook 到底是什麼?
1. Playbook 的核心定義與價值
- Playbook(操作手冊):提供任何作業行動細節的手冊,以預先定義、保持更新的步驟清單,讓團隊在高壓下仍能一致地回應事件
核心邏輯
Playbook 的價值不是讓人不用思考,而是確保無論是誰在處理事件,都能遵循相同的最低標準——緊急性(urgency)、效率(efficiency)與精確性(accuracy)三者兼顧。
2. Playbook 有哪些類型?
常見類型:
| 類型 | 說明 |
|---|---|
| Incident response playbook(事件回應手冊) | 最常見,涵蓋完整六階段流程 |
| Security alerts playbook(安全警報手冊) | 針對特定警報類型(如勒索軟體、DDoS)的處置流程 |
| Team-specific playbook(團隊專屬手冊) | 針對特定小組的操作指引 |
| Product-specific playbook(產品專屬手冊) | 針對特定產品或系統的操作指引 |
Incident and vulnerability response playbook(事件與弱點回應手冊) 是初階分析師最常用的兩種。兩者都基於組織的 business continuity plan(業務連續性計畫) 制定——確保事件後能恢復正常運作的路徑規劃。
3. 為什麼 Playbook 是「活文件」?
Playbook 需要持續更新,常見觸發原因:
- 發現流程疏漏(oversight in outlined policies and procedures)
- 法規或合規標準改變(changes in industry standards)
- 威脅行為者的戰術與技術演進(evolving threat actor tactics and techniques)
因為不同國家的法規要求不同,各組織的 playbook 內容可能有差異——通報義務受政府法律和合規標準影響,且隨事件發生地點與受影響資料類型而改變。
二、事件回應六階段怎麼走?
Incident response(事件回應):組織快速識別攻擊、遏止損害、修正安全事件後果的一系列行動。
| # | 階段 | 一句話目標 |
|---|---|---|
| 1 | Preparation(準備) | 事前部署降低事件機率與衝擊 |
| 2 | Detection & Analysis(偵測與分析) | 確認事件是否真的發生、規模多大 |
| 3 | Containment(遏止) | 圍住損害不讓擴散 |
| 4 | Eradication & Recovery(消除與恢復) | 清除痕跡、還原正常運作 |
| 5 | Post-incident Activity(事後活動) | 從事件學習、改善態勢 |
| 6 | Coordination(協調) | 貫穿全程的通報與資訊共享 |
① Preparation(準備)
↓
② Detection & Analysis(偵測與分析)
↓
③ Containment(遏止)
↓
④ Eradication & Recovery(消除與恢復)
↓
⑤ Post-incident Activity(事後活動)
⑥ Coordination(協調)── 橫貫全程,不是最後一步第 6 階段「協調」是貫穿全程的橫向行動,列為第 6 是因為框架需要編號位置,不代表它最後執行。
1. Phase 1:準備(Preparation)
- 目標:降低事件發生的可能性、風險與影響
- 具體行動:
- 建立事件回應程序與文件(documenting procedures)
- 制定人員配置計畫(staffing plans)
- 對使用者進行教育訓練(educating users)
- 建立各安全團隊成員的角色與職責分工
準備是整個成功回應的 基礎——沒有準備,後面五階段都難以有效執行。
2. Phase 2:偵測與分析(Detection and Analysis)
- 目標:透過既定流程與工具,偵測並分析事件
- 具體行動:
- 使用適當工具與策略判斷是否發生資安事件
- 分析事件的可能規模(magnitude)——確認是否有資安漏洞發生
3. Phase 3:遏止(Containment)
- 目標:防止損害擴大,降低事件的即時衝擊
- 對組織來說是高優先事項,因為能保護關鍵資產與資料不受持續風險
遏止 ≠ 消除:遏止是先「圍住」不讓擴散,消除才是清除所有痕跡。
4. Phase 4:消除與恢復(Eradication and Recovery)
- 目標:完全移除事件的所有痕跡(artifacts),讓組織回到正常運作
- 具體行動:
- 移除惡意程式碼(malicious code)
- 修補已知弱點(mitigating vulnerabilities)
- 恢復受影響環境到安全狀態,也稱為 IT restoration(IT 還原)
5. Phase 5:事後活動(Post-incident Activity)
- 目標:從事件中學習,提升未來的應對能力
- 具體行動:
- 記錄事件(documenting the incident)
- 向組織領導層通報
- 將學習到的教訓落地(applying lessons learned)
- 嚴重事件可進行全面的根本原因分析(root cause analysis),並實施安全態勢改進
6. Phase 6:協調(Coordination)
- 目標:確保合規,並在整個事件回應過程中協調通報與資訊共享
- 具體行動:
- 按組織標準,在回應過程中持續通報與分享資訊
- 確保滿足合規要求(compliance requirements)
協調不是最後才做的事,而是 貫穿整個六階段的持續行動;它列為第六是因為框架需要一個位置,而非代表它最後執行。
三、Playbook 如何和 SIEM / SOAR 協同作業?
1. Playbook + SIEM:從警報到回應
- SIEM 工具蒐集並分析資料,偵測威脅並產生警報(alerts)
- 分析師收到警報後,使用對應的 playbook 引導回應流程
SIEM 偵測異常 ──→ 產生警報 ──→ 分析師收到警報 ──→ 查對應 playbook ──→ 依步驟回應2. Playbook + SOAR:自動化降低重複工作
- SOAR(Security Orchestration, Automation, and Response,安全協調、自動化與回應):用於自動化 SIEM 或 MDR(Managed Detection and Response,託管偵測與回應)工具產生的重複性任務的軟體
實際範例
使用者連續多次輸入錯誤密碼 → SOAR 自動封鎖帳號以阻止可能的入侵 → 分析師再查 playbook 處理後續步驟
SOAR vs SIEM 比較:
| 工具 | 主要功能 | 關鍵差異 |
|---|---|---|
| SIEM | 蒐集、分析、產生警報 | 人工回應為主 |
| SOAR | 自動化執行重複任務 | 自動回應為主,減少人工介入 |
3. 實例:惡意軟體警報的四步處置
當 SIEM 偵測到潛在惡意軟體攻擊,playbook 引導分析師:
1. Assess (評估) ──→ 2. Contain (遏止) ──→ 3. Eradicate & Recover (消除與恢復) ──→ 4. Post-incident (事後)
確認警報 隔離受感染系統 清除 + 用乾淨備份還原 撰寫報告 / 必要時通報執法| 步驟 | 行動 | 說明 |
|---|---|---|
| 1. 評估(Assess) | 確認警報有效性 | 分析日誌資料與相關指標,判斷是否真實發生事件 |
| 2. 遏止(Contain) | 隔離受感染系統 | 斷開受感染的網路系統,防止惡意軟體蔓延 |
| 3. 消除與恢復(Eradicate & Recover) | 清除並還原 | 恢復作業系統;用事件前的乾淨備份還原受影響資料 |
| 4. 事後活動與協調(Post-incident) | 報告與通報 | 撰寫最終報告告知利害關係人;必要時向執法機關(如美國 FBI)通報 |
Playbook 也稱為 runbook(執行手冊),兩個名詞可互換使用。
四、術語速查表
前文已詳細解釋的術語不再重複,請回對應章節查閱。
| 英文 | 中文 | 白話解釋 |
|---|---|---|
| Playbook / Runbook | 操作手冊 / 執行手冊 | 事件發生時依循的標準流程文件,兩名詞可互換 |
| Incident response | 事件回應 | 快速識別、遏止、修正安全事件的一系列行動 |
| Business continuity plan | 業務連續性計畫 | 讓企業在安全事件後能恢復正常運作的路徑規劃 |
| SOAR | 安全協調自動化與回應 | 自動化重複性安全任務的軟體平台 |
| MDR | 託管偵測與回應 | Managed Detection and Response,委外的偵測 + 回應服務 |
| Root cause analysis | 根本原因分析 | 找出事件真正起因,不只是處理表面症狀 |
| Artifacts | 事件痕跡 | 攻擊留下的所有痕跡,包含惡意檔案、日誌記錄等 |
| Containment | 遏止 / 隔離 | 先控制事件擴大,不讓它蔓延到其他系統 |
| Escalation | 升級通報 | 把事件交由更高層或更專責的人處理 |
五、考核易混淆觀念
本節只收錄「容易選錯」的判斷邏輯。基礎概念請點連結回前面章節複習。
六階段順序(→ 第二節)
易錯點
- 正確順序:準備 → 偵測與分析 → 遏止 → 消除與恢復 → 事後活動 → 協調
- 協調不是「完成後才做」,它貫穿整個過程;列為第六只是框架排序,不代表最後執行
- Containment(遏止)≠ Eradication(消除):遏止是圍住不讓擴散,消除才是清除所有痕跡
Playbook 更新觸發條件(→ 第一節 3)
易錯點
- Playbook 是活文件(living document),需持續更新
- 更新的觸發不只是「有事件發生」,還包含:流程疏漏被發現、法規改變、威脅技術演進
SOAR vs SIEM(→ 第三節 2)
易錯點
- SIEM = 蒐集、分析、偵測 → 產生警報 → 主要靠人工回應
- SOAR = 自動化執行重複任務(如自動封鎖帳號)→ 減少人工介入
- 兩者都用於威脅監控,但SOAR 重點在「自動化執行」,SIEM 重點在「分析與偵測」
筆記建立日期:2026-04-11 | 最後更新:2026-05-01