インシデント対応の最初のステップは、望ましくないすべての状況を考え、それが発生した場合の行動計画を定義することです。
例えば、Amazon GuardDuty が、Amazon EC2 インスタンスからのビットコインマイニングや、悪意のある C&Cサーバーへの外向き接続通信を新しく検出した場合、「セキュリティグループを変更して、全てのアウトバウンド接続を禁止し、インシデント調査チームが使用するワークステーションの IP アドレスからのリモートアクセス (SSH/RDP) のインバウンド接続のみを許可する」と行動計画を定義できます。
アクションをとるべきシナリオを確立し、それをプレイブックとして文書化することが推奨されます。
文書化された計画があると、一貫性とスケールに役立ちます。最も経験豊富なセキュリティ人員が休暇中などで稼働できない場合でも、計画が文書化されていれば、経験の浅い人員が最も適格な人員の指示に従って同様の対応を行うことができます。