Kritik alarm geldiğinde ilk saat kararları hasarı belirler. Bu playbook SIEM odaklı SOC ekipleri içindir.
- Alarmı doğrula — false positive mi? İlgili log satırlarını açın.
- Incident açın — tek ticket, tüm ilişkili alarmları bağlayın.
- Etkilenen varlıkları listeleyin — IP, kullanıcı, host.
- Containment — firewall deny, hesap disable (onaylı).
- Logları kilitleyin — retention silinmesin, forensic bundle alın.
- Zaman çizelgesi — SIEM timeline görünümünü doldurun.
- İletişim — yönetim ve hukuk bilgilendirme.
- Kök neden hipotezi — henüz kanıtlanmadan paylaşmayın.
- MITRE etiketle — raporlama için T1110, T1190 vb.
- İyileştirme — kural güncelle, detection gap kapat.
OxiSec incident builder ilişkili alarmları otomatik gruplar; AI özet “ne oldu / ne yapmalı” sunar.