Neste artigo, exploramos os conceitos de Playbook e Runbook, elementos importantes para profissionais de segurança da informação envolvidos na resolução de alertas e incidentes. Abordaremos o que cada termo significa, suas diferenças, quando aplicar cada um e como desenvolvê-los. Nosso objetivo é esclarecer essas questões de maneira direta, garantindo uma compreensão completa.
Primeiramente, vamos definir os termos:
Playbook: Um documento que detalha "o que" deve ser feito em alto nível. Exemplos de instruções em um playbook incluem:
Analisar os logs para identificar atividades maliciosas.
Isolar a máquina afetada da rede.
Remover os artefatos maliciosos.
Desabilitar o usuário afetado.
Bloquear o IP envolvido.
Runbook: Um documento que fornece instruções detalhadas sobre "como" executar tarefas específicas. Exemplos de instruções em um runbook são:
Para analisar logs de linha de comando no Splunk, siga o seguinte passo a passo...
Para isolar uma máquina utilizando o CrowdStrike, execute as instruções a seguir...
Para desabilitar um usuário no Active Directory, comece fazendo acesso via RDP e...
Aqui começamos a compreender a distinção entre cada tipo de documento. O playbook contém instruções de alto nível, detalhando o que precisa ser feito, enquanto o runbook oferece instruções específicas sobre como realizar essas tarefas.
Por que utilizar o Playbook além do Runbook?
O uso do Playbook garante que um alerta ou incidente seja tratado de forma eficiente, independentemente do ambiente afetado ou da ferramenta utilizada. Isso ocorre porque o Playbook se concentra no processo em si, sem se limitar a ferramentas específicas. Essa abordagem assegura uma resposta consistente e padronizada a incidentes, adaptável a qualquer cenário ou tecnologia envolvida.
Além disso, os Runbooks podem ser integrados dentro de um Playbook, permitindo que, para cada cenário, um Runbook diferente seja empregado. Este método é particularmente útil para consultorias de segurança que atendem vários clientes com diferentes infraestruturas. Por exemplo, o fluxo de tratamento de um alerta de malware é similar em todos os ambientes, mas as ferramentas empregadas podem variar: o cliente X pode usar Cortex e Azure Entra ID, enquanto o cliente Y pode usar CrowdStrike e Windows Server. Assim, seguindo o Playbook de Malware, o analista utilizará o Runbook "Isolar máquina no Cortex" para o ambiente do cliente X e "Isolar máquina no CrowdStrike" para o cliente Y, garantindo ações específicas e precisas conforme as ferramentas disponíveis.
O fluxo a seguir ilustra um exemplo de como um analista utiliza um Playbook e um Runbook para tratar um incidente de malware, detacando a etapa em que a máquina afetada deve ser isolada.
Como Desenvolver Seus Próprios Playbooks e Runbooks
Playbook
Ao criar um Playbook, é fundamental primeiro definir qual tipo será utilizado. Existem pelo menos três tipos de Playbooks:
Fluxogramas: Este tipo de Playbook é visualizado em forma de fluxograma, permitindo ver claramente o fluxo do processo de tratamento.
Exemplo de playbook em Fluxograma: Treinamentos/playbooks_Runbooks/T1110 Brute Force.pdf at main · SecurityEveryDay/Treinamentos (github.com)
Texto: Um Playbook em texto contém instruções listadas em tópicos dentro de um documento. Diferente do fluxograma, ele detalha o que deve ser feito em cada etapa do tratamento de incidente.
Exemplo de playbook em Texto: Treinamentos/playbooks_Runbooks/Playbook para alertas de Scan de Portas.pdf at main · SecurityEveryDay/Treinamentos (github.com)
Híbrido: O Playbook híbrido combina elementos dos dois anteriores, apresentando tanto instruções textuais quanto um fluxograma visual. Isso permite que o analista acompanhe o fluxo da tratativa tanto visualmente quanto textualmente.
Prós e contras de cada tipo de Playbook:
Fluxogramas:
Prós: Facilidade de visualização do processo, intuitivo para seguir durante emergências.
Contras: Pode ser menos detalhado em instruções específicas, difícil de atualizar sem ferramentas apropriadas.
Texto:
Prós: Detalhado, permite inclusão de instruções específicas e notas explicativas.
Contras: Pode ser menos imediato para localizar informações rapidamente em uma situação de pressão.
Híbrido:
Prós: Combina os benefícios dos fluxogramas e do texto, oferecendo detalhamento com visualização clara.
Contras: Mais complexo para criar e manter, pode exigir mais recursos para desenvolvimento.
Quando se trata de desenvolver um playbook, é comum seguir o framework do NIST Special Publication 800-61, que detalha cada fase do tratamento de incidentes de segurança. Este documento fornece uma estrutura abrangente que orienta as organizações através das etapas essenciais, desde a preparação até a recuperação e pós-incidente. A seguir, apresentamos as fases descritas pelo NIST:
Para mais insformações sobre o NIST special Publication 800-6 leia: Computer Security Incident Handling Guide (nist.gov)
Runbook
Ao criar um Runbook, não existe um "template" rígido a ser seguido, mas é crucial que as instruções sejam claras e específicas. O objetivo é garantir que qualquer analista possa ler o documento e executar a tarefa sem dúvidas sobre o que precisa ser feito. O Runbook deve detalhar cada passo, desde o login na ferramenta até os cliques necessários. É importante incluir capturas de tela com setas indicativas, mostrando exatamente onde clicar e o que será visualizado, facilitando a compreensão e a execução das tarefas descritas.
Aqui está um exemplo de Runbook: Treinamentos/playbooks_Runbooks/Runbook - Bloqueio de IP no Suricata.pdf at main · SecurityEveryDay/Treinamentos (github.com)
Considerações finais
Em alguns casos, ao desenvolver uma documentação específica, pode surgir a dúvida se o material é um Playbook ou um Runbook. Baseado em minha experiência, a dica que deixo é: não se prenda à nomenclatura, seja Playbook, Runbook, ou uma combinação dos dois. O mais importante é que a documentação criada seja útil e eficaz na resolução do problema para o qual foi desenvolvida. Focar na funcionalidade e na clareza das informações é o que realmente importa para que o documento atenda às necessidades da equipe e da organização.
Treinamentos da SecDay
Na SecDay, estamos empenhados em desenvolver treinamentos para aqueles interessados em aprofundar seus conhecimentos em segurança da informação. Não deixe de conferir nossos treinamentos gratuitos disponíveis no YouTube e explorar os treinamentos enterprise oferecidos em nossa plataforma Academy.
Academy: Academy | Secday
YouTube: SecDay - YouTube