인시던트 플레이 북 및 스크립트
1) 섹션의 목적
탐지에서 복구, 통신, 법적 통지 및 개선에 이르기까지 운영 및 준수 루프 내 사고에 신속하고 일관되게 대응하기 위해 단일 버전의 플레이 북 세트를 구성하십시오.
2) 플레이 북 표준 (스크립트 카드)
카탈로그의 각 플레이 북은 단일 템플릿에 따라 작성됩니다
ID: PB- <code >/Version: v <MAJOR. MINOR >/Owner: <role/name>
Title: <short and unambiguous>
Scope: <technology/payments/information security/compliance/PR>
Severity: S1 S2 S3 S4 (activation criteria)
Detection: <metrics/alerts/log signatures/sources>
Start triggers: <conditions and thresholds>
RACI: IC / Tech Lead / Sec Lead / Comms / Legal / Payments / CS / Data
Response steps:
0-15 min: <start actions, war room, holding statement>
15-60 min: <stabilization/bypasses/reserves/first external message>
1-4 hours: <in-depth diagnostics/fixes/targeted notifications>
Up to 24 hours: <final update/compensation/reports/retro slot>
Communications: <templates for status, players, partners, regulators, media>
Artifacts: <timeline, logs, dumps, screenshots, tickets, reports>
Legal: <to/when to notify, formats, languages>
Exit criteria: <conditions for closing the incident>
MTTD/MTTA/MTTR targets: <numerical benchmarks>
Prevention: <CAPA and backlog links to epics>
Last workout: <date/results/remarks>3) 심각성 및 부족 매트릭스 (요약)
S1 (중요): 글로벌 코어/지갑 다운 타임, PII/재무 데이터 유출, 대규모 지불 불가능, 규제 조사.
업데이트: 처음 15 분; 그 후 30-60 분마다.
S2 (높음): 지역 가동 중지 시간, 지불 전환 감소> 10%, 누출없이 취약점을 확인했습니다.
S3 (평균): 개별 제공 업체/기능의 저하, CS 호출의 증가는 데이터베이스로> 30% 입니다.
S4 (낮음): 지역 결함, 단일 불만.
심사 (빠른 점검): 사실? 규모? 수단/데이터의 보안? 법적 마감일? 백업 경로? 첫 번째 메시지의 채널과 다음 업데이트의 시간?
4) 역할 및 통신
IC (Incident Commander): 타임 라인/솔루션 소유자.
기술 리드 (SRE/플랫폼): 진단/수정/해결 방법.
보안 책임자 (AppSec/Blue Team): 필요한 경우 법의학/격리/정보 보안 알림.
지불 리드: PSP/뱅크, 다중 경로, 수동 처리.
법률/준수: 규제 고지, 언어, 마감일.
Comms Lead: 상태 페이지, 전자 메일/SMS/푸시, 계열사, 미디어.
CS/CRM 리드: 매크로, 보상, 대상 세그먼트.
데이터/분석: 영향 평가, 보고서, MTT 제어.
단일 음성: Comms + Legal을 통한 모든 외부 메시지.
5) 범용 체크리스트
5. 1 플레이 북 시작 (0-15 분)
- IC 할당, 전쟁 실 개방, 안무가 할당.
- 심각도 (S1-S4), 영향 반경이 식별되었습니다.
- 보호 조치가 취해집니다 (phicheflags, 한계, 위험에 대한 결론 중지).
- 다음 업데이트의 보유 진술과 ETA가 준비되었습니다.
- 아티팩트 수정 티켓 (로그/덤프/스크린 샷) 을 만들었습니다.
5. 2 첫 번째 외부 메시지 전에
- 사실 확인, 비밀 제외/PII.
- 문구의 법적 검토.
- 지금해야 할 일에 대한 사용자에게 명확한 지시.
- 다음 업데이트 시간이 명시 적으로 지정됩니다.
5. 3 사건 종결
- 뿌리 제거/보상 조치가 구현되었습니다.
- 보상이 발생하고 분쟁이 발생한 거래가 처리되었습니다.
- 최종 보고서/상태 업데이트; 레트로 할당
- CAPA 항목은 소유자와 날짜로 작성됩니다.
6) 전형적인 플레이 북 (카탈로그)
PB-SEC-01: 데이터 유출/계정 타협 (S1)
탐지: 입력 이상, EDR/WAF 트리거, 계정 해킹 불만, 포럼 유출.
0-15 분: 영향을받는 시스템의 격리; 비밀의 회전; 손상된 토큰을 비활성화 MFA 캠페인 포함.
15-60 분: 영향을받는 사람들에게 대상 알림; 최초의 공공 커뮤니케이 법의학 인공물 수정.
1-4 시간: PII 액세스 감사; 공급자/클라우드는 규제 통지 준비를 요청합니다.
최대 24 시간: 자세한 보고서, 주요 변경, 비밀번호 업데이트, 확장 모니터링.
커뮤니케이션: 상태 페이지, 영향을받는 이메일, 파트너, 필요한 경우 미디어 Q & A.
법적: 규정 된 기간 내에 규제/은행/PSP 알림.
종료 기준: 현지화 된 위험; 모든 토큰이 교체되었습니다 플레이어는 지시를 보냈습니 누락/제한된 피해가 확인되었습니다
예방: 버그 현상금, 경화, DLP, 비밀 관리.
PB-PAY-02: 지불 위기 (PSP/은행 사용 불가) (S1/S2)
탐지: 조정 속도 감소, 고장 증가, 출력 대기열.
0-15 분: 대기 PSP/경로로 전환; 자동 출력의 소프트 서스펜션; 박스 오피스의 배너 "대체 방법".
15-60 분: 첫 번째 외부 메시지 (현금 데스크/상태); VIP/취약 그룹의 수동 우선 순위; PSP와의 통신.
1-4 시간: 한계의 재 계산; 불편에 대한 보상; 파트너에게보고하십시오.
최대 24 시간: 최종 보고서; SLA는 트래픽 밸런싱 규칙을 업데이트합니다.
예방: 다중 획득, 방법에 의한 건강 점검, 자동 재조정.
PB-NET-03: DDoS/질량 네트워크 저하 (S1)
0-15 분: anti-DDoS 프로파일 활성화; 속도 제한/캡핑; CNC/WAF 가드 규칙은 일시적으로 무거운 엔드 포인트를 끄십시오.
15-60 분: 지오 필터/블랙리스트; 공급자와의 커뮤니케이션; ETA 사용자에게 첫 번째 메시지.
1-4 시간: 전면 스케일링; 카나리아 점검; 공격 원격 측정 분석.
예방: 정기적 인 DDoS 운동; 적응 프로파일; 예비 ASN/CDN입니다.
PB-GAME-04: 게임 제공 업체의 실패 (S2/S3)
탐지: 공급자 API 오류가 증가하고 CS가 급증하면 특정 타이틀이 필요합니다.
단계: 영향을받는 게임을 일시적으로 숨깁니다. 프롬프트/교체 대차 대조표 동기화 공급자 및 플레이어를 표시합니다.
예방: 실패/가까운 전략, 디렉토리 캐싱, 건강 표시 게임.
PB-REG-05: 규제 사건 (S1/S2)
사례: 보너스 조건 위반, KYC/KYB 실패, 광고 위반.
단계: 논란의 여지가있는 역학 동결; 법률/준수 상담; 중립 문구; 템플릿보고.
예방: 사전 클리어런스 프로모션, 정기적 인 T&C 감사
PB-FRD-06: 사기 링/남용 (S2)
탐지: 다중 회계, 보너스 남용, 중재 이상의 급증.
단계: 예금/인출에 대한 시간 제한; 목표 KYC; 장치/결제/IP 번들 차단; 위험 보고서.
커뮤니케이션: 개별 알림; 사기 방지 논리를 공개적으로 공개하지 마십시오
예방: 행동 모델, 그래프 분석, 속도 필터.
PB-DATA-07: 데이터 무결성/균형 비동기화 (S1/S2)
단계: 지갑을 "안전 모드" 로 이동; 위험한 작전 금지; 단위의 로그/스냅 샷 조정에서 복구; 개인 알림.
예방: 2 상 커밋/dedempotence, 이벤트 소싱, 불변.
PB-AFF-08: 제휴 추적 중단 (S3)
단계: 픽셀/포스트 백 수정; 보상 보고서; 파트너에게 알리는 알림 시간 속성 계수.
예방: 전환 모니터링, 예비 콜백.
PB-PR-09: 명성 폭풍 (S2/S3)
단계: 단일 위치; 사실; Q&A; 의견의 논쟁을 피하십시오. 사실로 오랫동안 읽을 준비를하십시오
예방: 화자의 미디어 교육, 사실이있는 "어두운 사이트".
PB-PHI-10: 피싱/가짜 사이트 (S2)
단계: 증거 수집; 레지스트라/호스터에게 알리기; 플레이어에게 경고; 피싱 방지 페이지 DMARC/브랜드 표시기를 업데이트합니다.
예방: 도메인 유사성 모니터링, 피싱 방지 제공 업체와의 파트너십.
7) 메시지 템플릿 (빠른 삽입)
홀딩 문장 (외부, 계정 2 줄):- 키> 이유: [구성 요소/공급자]. 영향: [백분율/지리/기간]. 취한 조치: [예약/롤백/유효성]. 보상: [유형/기준]. 다음 단계: [예방/타이밍].
파트너/계열사: 간단한 "추적/임시 조치/ETA에 영향을 미치는 방법".
규제 기관/은행/PSP: 공식 알림: 사실, 조치, 고객 영향, 예방 계획, 최종 보고서 마감일.
8) 지표 및 목표
탐지: MTTD, 경고 대 잡음.
반응: MTTA, TTS (시간 설명), SLA 업데이트 비율.
복구: 영향을받는 서비스에 대한 MTTR, RTO/RPO.
영향: 플레이어/트랜잭션에 영향을 미치고 GGR 손실, 요금 환급률.
커뮤니케이션: 개방/클릭 속도, 적용 범위, 재 시도 속도, CSAT/DSAT.
준수: 필수 알림의 적시성, 아티팩트의 완전성.
9) 유물 및 증거 기반
최소 세트는 티켓/사건 저장소에 저장됩니다
의사 결정 및 조치 시간 줄 (미세한 정확도);
로그/덤프/스크린 샷/내보내기 그래프;
설정/빌드 버전
메시지 복사 및 수신자 목록
영향을받는 계정/거래 목록
법적 통지 (초안/제출/답변).
10) 도구 및 통합
사건 봇: '/선언 ', '/심각도 S1.. S4 ', '/업데이트 <텍스트>', '/닫기 '.
상태 페이지: 공개 피드; 가동 시간 센서와의 통합.
보상: 세그먼트 계산기 (시간, 지리, 게임, 지불 방법 별).
보안 스택: EDR/WAF/SIEM/IDS; SOAR의 플레이 북.
관찰 가능성: 로그/메트릭/트레일, 오류 예산, SLO 대시 보드.
11) 플레이 북 디렉토리 관리 (거버넌스)
버전: Git 저장소, PR 프로세스, 시맨틱 버전.
책임: 각 플레이 북에는 소유자와 예약이 있습니다.
감사: 각 S1/S2 이후 예정되지 않은 분기 별.
교육: 분기당 1 회 테이블 탑, 6 개월에 한 번씩 중요한 시나리오에 대한 실시간 드릴.
호환성: BCP/DRP, 확장 매트릭스, 책임있는 플레이, 알림 정책에 대한 링크.
12) 빠른 구현 시작 (30 일)
1. 상위 10 개 위험 시나리오 목록을 작성하고 소유자를 임명하십시오.
2. 각각에 대해-표준 (섹션 2) 에 따라 카드를 발급하고 저장소에 입력하십시오.
3. 플레이 북을 사건 봇 (쇼트 코드 및 메시지 템플릿) 에 연결하십시오.
4. 2 개의 탁상 연습 (지불 + 정보 보안) 및 1 개의 라이브 드릴 (게임 제공 업체의 저하) 을 수행하십시오.
5. 메트릭 대시 보드 (MTTD/MTTA/MTTR, TTS, SLA 업데이트%) 를 시작하십시오.
6. CAPA 백 로그를 작성하고 타이밍 및 RACI에 동의하십시오.
7. 샌드 박스를 통해 템플릿 (플레이어/파트너/레귤레이터에게) 의 "건조한" 분포를 롤백하십시오.
- 위기 관리 및 커뮤니케이
- 비즈니스 연속성 계획 (BCP)
- 재난 복구 계획 (DRP)
- 에스컬레이션 매트릭스
- 알림 및 경고 시스템
- 책임있는 플레이 및 플레이어 보호