Incident Response Playbooks Incident Response Playbooks
Betriebsnahe Playbooks für Ransomware, Token Theft, Insider Threat, Data Breach, kompromittierte OAuth-Apps und Azure-Resource-Incidents. Operational playbooks for ransomware, token theft, insider threat, data breach, compromised OAuth apps, and Azure resource incidents.
📚 Playbook Index
📚 Playbook index
Welches Playbook zu welchem Signal passt. Which playbook fits which signal.
🧨 Ransomware
🧨 Ransomware
Detection, Containment, Recovery. Detection, containment, recovery.
🎟️ Token Theft / AiTM
🎟️ Token theft / AiTM
Tokens widerrufen und Phishing-resistente MFA etablieren. Revoke tokens and establish phishing-resistant MFA.
🧑⚖️ Insider Threat
🧑⚖️ Insider threat
Legal/HR-Koordination und Beweissicherung. Legal/HR coordination and evidence preservation.
📢 Data Breach
📢 Data breach
72h-Meldepflicht und Dokumentation. 72-hour notification and documentation.
🧩 OAuth App / Supply Chain
🧩 OAuth app / supply chain
Compromised app response. Compromised app response.
☁️ Azure Subscription
☁️ Azure subscription
Crypto mining und API-Missbrauch eindämmen. Contain crypto mining and API abuse.
✅ Universal Checklist
✅ Universal checklist
30 Punkte für jeden Incident. 30 steps for any incident.
Playbook Index Playbook index
| Incident Incident | Primäre Signale Primary signals | Erste 30 Minuten First 30 minutes |
|---|---|---|
| Ransomware Ransomware | Mass file deletions, device encryption behavior, EDR alerts Mass file deletions, device encryption behavior, EDR alerts | Geräte isolieren, kompromittierte Konten sperren, Beweise sichern Isolate devices, block compromised accounts, preserve evidence |
| Token Theft / AiTM Token theft / AiTM | Risky sign-ins, impossible travel, suspicious URL clicks Risky sign-ins, impossible travel, suspicious URL clicks | Sessions widerrufen, Re-Auth erzwingen, Nutzer informieren Revoke sessions, force reauthentication, inform the user |
| Insider Threat Insider threat | DLP alerts, mass downloads, resignation context DLP alerts, mass downloads, resignation context | HR/Legal aktivieren, Scope sichern, Monitoring erhöhen Engage HR and legal, secure scope, increase monitoring |
| Data Breach Data breach | Exfiltration, exposed records, regulatorisches Risiko Exfiltration, exposed records, regulatory risk | Datenumfang quantifizieren, Containment, Meldeentscheidung vorbereiten Quantify data scope, contain, prepare notification decision |
| OAuth Supply Chain OAuth supply chain | Suspicious consent grants, Graph exports Suspicious consent grants, Graph exports | App deaktivieren, Consents entziehen, Blast Radius bestimmen Disable app, revoke consents, determine blast radius |
| Azure Resource Compromise Azure resource compromise | Unusual resource creation, crypto mining, key abuse Unusual resource creation, crypto mining, key abuse | Keys rotieren, Rollen entziehen, Subscription scopen Rotate keys, revoke roles, scope the subscription |
Ransomware Response Ransomware response
| Erkennung Detection | Indikatoren Indicators | Sofortmaßnahme Immediate action |
|---|---|---|
| Endpoint Alerts Endpoint alerts | Ransomware behavior, suspicious encryption, shadow copy deletion Ransomware behavior, suspicious encryption, shadow copy deletion | Betroffene Geräte isolieren Isolate affected devices |
| Identity Signals Identity signals | Laterale Bewegung, privilegierte Logons, Kerberoasting Lateral movement, privileged logons, Kerberoasting | Kompromittierte Konten sperren Disable compromised accounts |
| Data Signals Data signals | Mass delete, sync spikes, exfiltration before encryption Mass delete, sync spikes, exfiltration before encryption | Datenabfluss separat bewerten Evaluate exfiltration separately |
Isolieren
Isolate
Isolieren Sie kompromittierte Endpunkte sofort. Trennen Sie VPN, WLAN und Remote-Zugriff, aber erhalten Sie Beweisdaten. Immediately isolate compromised endpoints. Cut VPN, Wi-Fi, and remote access while preserving evidence.
Privilegierte Konten schützen
Protect privileged accounts
Sperren Sie bekannte kompromittierte Konten und rotieren Sie exponierte Admin-Credentials. Block known compromised accounts and rotate exposed admin credentials.
Infektionsvektor bestimmen
Determine infection vector
Prüfen Sie E-Mail, RDP, VPN, Browser-Downloads, Initial Access Broker oder Softwareverteilung. Review email, RDP, VPN, browser downloads, initial access brokers, or software distribution.
Lateral Movement scopen
Scope lateral movement
Untersuchen Sie Identitäten, privilegierte Sessions, SMB-, PsExec- oder Remote-Tool-Nutzung. Investigate identities, privileged sessions, SMB, PsExec, or remote tool usage.
Recovery-Modell entscheiden
Decide recovery model
Treffen Sie eine belastbare Entscheidung zwischen Clean Rebuild und Restore aus validierten Backups. Make a defensible decision between clean rebuild and restore from validated backups.
Post-Incident-Härtung
Post-incident hardening
Schließen Sie Lücken bei MFA, CA, Segmentierung, Backup und Device-Hardening. Close gaps in MFA, conditional access, segmentation, backup, and device hardening.
| Recovery-Pfad Recovery path | Wann bevorzugt When preferred | Kontrollen Controls |
|---|---|---|
| Clean Rebuild Clean rebuild | Wenn Persistenz oder Integrität nicht sicher ausgeschlossen werden kann When persistence or integrity cannot be ruled out | Golden Image, neue Secrets, härtere Baseline Golden image, new secrets, stronger baseline |
| Restore from Backup Restore from backup | Wenn Backup verifiziert, unverändert und zeitnah ist When backup is verified, unmodified, and recent | Offline-Kopie, Malware-Scan, Access Review vor Freigabe Offline copy, malware scan, access review before release |
Token Theft / AiTM Phishing Token theft / AiTM phishing
| Detektion Detection | Frage Question | Aktion Action |
|---|---|---|
| Sign-in Logs Sign-in logs | Gab es nach einem Phishing-Klick einen erfolgreichen Login von neuem Gerät oder Ort? Was there a successful login from a new device or location after a phishing click? | Sessions widerrufen und Vergleich mit URL-Klick herstellen Revoke sessions and correlate with URL click activity |
| Browser Artefakte Browser artifacts | Wurde ein AiTM-Proxy oder adversary-in-the-middle-Flow genutzt? Was an adversary-in-the-middle flow used? | Phishing-Domäne, User-Agent und Redirect-Kette sichern Capture phishing domain, user agent, and redirect chain |
| PRT / Device Trust PRT / Device trust | Ist Device Trust oder PRT betroffen? Is device trust or the PRT affected? | Gerät scopen, Re-Join und Defender-Analyse einplanen Scope the device, consider rejoin, and run Defender analysis |
PowerShell
PowerShell
$UserUpn = "user@contoso.com"
Import-Module Microsoft.Graph.Users
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes "User.ReadWrite.All","AuditLog.Read.All"
Revoke-MgUserSignInSession -UserId $UserUpn
# Update-MgUser -UserId $UserUpn -AccountEnabled:$false
Get-MgAuditLogSignIn -Filter "userPrincipalName eq '$UserUpn'" -All |
Select CreatedDateTime,IPAddress,AppDisplayName,ClientAppUsed,ConditionalAccessStatus,Status,DeviceDetail
Get-MgUserAuthenticationMethod -UserId $UserUpn
"1. Force password change"
"2. Re-register MFA"
"3. Move user to phishing-resistant MFA"
"4. Review device compliance and browser session hygiene"
"5. Validate conditional access for token binding and sign-in frequency"
- Erzwingen Sie eine vollständige Reauthentifizierung und prüfen Sie, ob Sign-in-Frequency oder Continuous Access Evaluation den Missbrauch begrenzen. Force full reauthentication and evaluate whether sign-in frequency or continuous access evaluation can further limit abuse.
- Migrieren Sie betroffene Benutzer auf FIDO2, Passkeys oder Zertifikatsbasierte MFA. Move affected users to FIDO2, passkeys, or certificate-based MFA.
- Erstellen Sie Conditional-Access-Regeln, die riskante Browserpfade, unmanaged devices und OAuth-Risiken stärker begrenzen. Create conditional access rules that more strongly limit risky browser paths, unmanaged devices, and OAuth risk.
Insider Threat Response Insider threat response
| Bereich Area | Leitfrage Guiding question | Hinweis Note |
|---|---|---|
| Detection Detection | Gab es DLP-Alerts, Resignation-Kontext, ungewöhnliche Downloads oder Freigaben? Were there DLP alerts, resignation context, or unusual downloads or sharing? | Unterscheiden Sie Fehlverhalten, Fehler und legitime Ausnahmefälle Differentiate misconduct, mistakes, and legitimate exceptions |
| Legal / HR Legal / HR | Welche Kommunikation und welche Maßnahmen sind zulässig? Which communications and actions are allowed? | Frühzeitig juristisch und personalrechtlich abstimmen Coordinate early with legal and HR |
| Technische Untersuchung Technical investigation | Welche Daten, Geräte, Mails und Speicherorte sind betroffen? Which data, devices, emails, and locations are affected? | Forensische Nachvollziehbarkeit priorisieren Prioritize forensic defensibility |
| Evidence Preservation Evidence preservation | Wie werden Logs, Gerätedaten und Screenshots gesichert? How are logs, device data, and screenshots preserved? | Chain of custody dokumentieren Document chain of custody |
- Begrenzen Sie vorläufige Zugriffe nur so stark wie nötig, bis HR und Legal die Kommunikationsstrategie freigegeben haben. Limit access only as much as necessary until HR and legal approve the communication strategy.
- Sichern Sie Audit-Logs, DLP-Ereignisse, Sharing-Änderungen, USB-Indikatoren und Device-Telemetrie in einem zentralen Beweissatz. Preserve audit logs, DLP events, sharing changes, USB indicators, and device telemetry as a centralized evidence package.
- Prüfen Sie, ob der Benutzer kurz vor Austritt Berechtigungen erweitert, private Cloud-Speicher genutzt oder sensible Daten per E-Mail exportiert hat. Check whether the user expanded privileges, used personal cloud storage, or exported sensitive data by email shortly before departure.
Data Breach Response Data breach response
| Schritt Step | Inhalt Content | Nachweis Evidence |
|---|---|---|
| Discovery Discovery | Was ist passiert, wann wurde es erkannt, welche Systeme sind betroffen? What happened, when was it discovered, and which systems are affected? | Incident-Zeitstrahl Incident timeline |
| Assessment Assessment | Welche Daten, wie viele Betroffene, welche Länder und welche Schutzbedarfe? What data, how many affected persons, which countries, and what sensitivity? | Datenklassifizierung, Volumen, DLP-Nachweis Data classification, volume, DLP evidence |
| Containment Containment | Wie wird weiterer Zugriff verhindert? How is further access prevented? | Access revoke, key rotation, purge, isolation Access revoke, key rotation, purge, isolation |
| Notification Notification | Besteht Meldepflicht nach DSGVO Art. 33 oder Vertragspflichten? Is notification required under GDPR Article 33 or contractual terms? | Rechtliche Bewertung, DPA-Entwurf Legal assessment, DPA draft |
| Documentation Documentation | Wie werden Entscheidungen und Maßnahmen revisionssicher festgehalten? How will decisions and actions be documented defensibly? | Case Record, Freigaben, Abschlussbericht Case record, approvals, closure report |
72-Stunden-Fenster
72-hour window
Wenn ein meldepflichtiger Verstoß wahrscheinlich ist, muss die Bewertung so organisiert sein, dass eine fundierte Entscheidung und gegebenenfalls eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden möglich ist. If a reportable breach is likely, organize the assessment so that an informed decision and, if necessary, a notification to the supervisory authority can be completed within 72 hours.
Compromised OAuth App / Supply Chain Compromised OAuth app / supply chain
App identifizieren
Identify the app
Ermitteln Sie App-ID, Publisher, Service Principal, Owners, Consent-Zeitpunkte und betroffene Benutzer. Identify app ID, publisher, service principal, owners, consent timestamps, and affected users.
Datenzugriff bewerten
Assess data access
Bestimmen Sie, welche Graph-Berechtigungen vorhanden waren und welche Aktivitäten tatsächlich stattgefunden haben. Determine which Graph permissions existed and what activity actually occurred.
Containment
Containment
Deaktivieren Sie den Service Principal, widerrufen Sie Secrets und entfernen Sie Consents. Disable the service principal, revoke secrets, and remove consents.
Audit aller Einwilligungen
Audit all consents
Identifizieren Sie alle Benutzer und Administratoren, die derselben App zugestimmt haben. Identify all users and administrators who granted consent to the same app.
Policy-Härtung
Policy hardening
Überarbeiten Sie Consent Policies, Publisher-Vertrauen und Approval-Flows. Rework consent policies, publisher trust, and approval workflows.
Compromised Azure Subscription Compromised Azure subscription
| Signal Signal | Beispiele Examples | Erste Aktion First action |
|---|---|---|
| Compute Abuse Compute abuse | Neue VMs, Kubernetes-Knoten oder GPU-Instanzen für Mining New VMs, Kubernetes nodes, or GPU instances for mining | Verdächtige Ressourcen stoppen oder isolieren Stop or isolate suspicious resources |
| Access Key Abuse Access key abuse | Speicher- oder Service-Keys außerhalb des Change-Fensters genutzt Storage or service keys used outside change windows | Keys rotieren und Secrets neu verteilen Rotate keys and redistribute secrets |
| Role Assignment Abuse Role assignment abuse | Neue Contributor-/Owner-Zuweisungen New contributor or owner assignments | Nicht autorisierte Zuweisungen entfernen Remove unauthorized assignments |
| API Anomalien API anomalies | Ungewöhnliche ARM-, Graph- oder Management-Plane-Calls Unusual ARM, Graph, or management plane calls | Activity Log und Azure Resource Graph scopen Scope through activity logs and Azure Resource Graph |
PowerShell
PowerShell
Connect-AzAccount
$SubscriptionId = "00000000-0000-0000-0000-000000000000"
Set-AzContext -SubscriptionId $SubscriptionId
Get-AzActivityLog -StartTime (Get-Date).AddDays(-3) |
Select EventTimestamp,OperationName,Caller,ResourceGroupName,ResourceId,Status
Get-AzRoleAssignment |
Select ObjectType,DisplayName,RoleDefinitionName,Scope
# New-AzStorageAccountKey -ResourceGroupName "rg-prod" -Name "stprod01" -KeyName key1
Universal Incident Checklist Universal incident checklist
| Checkliste Checklist | Statusziel Target state |
|---|---|
| Incident owner benannt Incident owner benannt | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Schweregrad bestätigt Schweregrad bestätigt | Erledigt oder bewusst bewertet Completed or consciously assessed |
| War-Room eröffnet War-Room eröffnet | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Zeitpunkt der ersten Erkennung dokumentiert Zeitpunkt der ersten Erkennung dokumentiert | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Primäre Indikatoren gesammelt Primäre Indikatoren gesammelt | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Betroffene Konten identifiziert Betroffene Konten identifiziert | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Betroffene Geräte identifiziert Betroffene Geräte identifiziert | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Betroffene Apps identifiziert Betroffene Apps identifiziert | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Betroffene Daten identifiziert Betroffene Daten identifiziert | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Containment-Optionen bewertet Containment-Optionen bewertet | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Genehmigungen eingeholt Genehmigungen eingeholt | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Reversible Maßnahmen bevorzugt Reversible Maßnahmen bevorzugt | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Break-Glass-Ausnahmen geprüft Break-Glass-Ausnahmen geprüft | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Sessions widerrufen falls nötig Sessions widerrufen falls nötig | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Passwörter/Secrets rotiert falls nötig Passwörter/Secrets rotiert falls nötig | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Verdächtige Regeln oder Weiterleitungen entfernt Verdächtige Regeln oder Weiterleitungen entfernt | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Erste Kommunikation an Stakeholder gesendet Erste Kommunikation an Stakeholder gesendet | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Legal/HR eingebunden falls relevant Legal/HR eingebunden falls relevant | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Beweissicherung gestartet Beweissicherung gestartet | Erledigt oder bewusst bewertet Completed or consciously assessed |
| KQL- oder Log-Scoping abgeschlossen KQL- oder Log-Scoping abgeschlossen | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Root-Cause-Hypothese dokumentiert Root-Cause-Hypothese dokumentiert | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Blast Radius abgeschätzt Blast Radius abgeschätzt | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Recovery-Pfad definiert Recovery-Pfad definiert | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Monitoring verstärkt Monitoring verstärkt | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Detection Gaps identifiziert Detection Gaps identifiziert | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Hardening-Maßnahmen abgeleitet Hardening-Maßnahmen abgeleitet | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Lessons Learned Meeting geplant Lessons Learned Meeting geplant | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Abschlusskriterien definiert Abschlusskriterien definiert | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Abschlussbericht erstellt Abschlussbericht erstellt | Erledigt oder bewusst bewertet Completed or consciously assessed |
| Nachverfolgungstermine festgelegt Nachverfolgungstermine festgelegt | Erledigt oder bewusst bewertet Completed or consciously assessed |