From b6f6b3043d4789a784f2d3e4c2ee1a1e4718801d Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 09:02:15 +0200
Subject: [PATCH 001/199] =?UTF-8?q?traducci=C3=B3n=20playbook=20phishing?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
playbooks/playbook-phishing.md | 352 +++++++++++++++++----------------
1 file changed, 180 insertions(+), 172 deletions(-)
diff --git a/playbooks/playbook-phishing.md b/playbooks/playbook-phishing.md
index 30c7500..d89efa8 100644
--- a/playbooks/playbook-phishing.md
+++ b/playbooks/playbook-phishing.md
@@ -1,174 +1,182 @@
## Playbook: Phishing
-**Investigate, remediate (contain, eradicate), and communicate in parallel!**
-
-Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
-
-### Investigate
-
-`TODO: Expand investigation steps, including key questions and strategies, for phishing.`
-
-1. **Scope the attack** Usually you will be notified that a potential phishing attack is underway, either by a user, customer, or partner.
- * Determine **total number of impacted users**
- * Understand **user actions** in response to the phishing email (_e.g._, did they download the attachment, visit the spoofed site, or give out any personal or business information such as credentials)
- * Find the potentially related activity. Check:
- * social media
- * any possibly suspicious emails
- * emails with links to external and unknown URLs
- * non-returnable or non-deliverable emails
- * any kind of notification of suspicious activity
-1. **Analyze the message** using a safe device (i.e., **do not** open messages on a device with access to sensitive data or credentials as the message may contain malware), determine: `TODO: Specify tools and procedure`
- * who received the message
- * who was targeted by the message (may be different than "successful" recipients)
- * email address of the sender
- * subject line
- * message body
- * attachments (**do not open attachments** except according to established procedures)
- * links, domains, and hostnames (**do not follow links** except according to established procedures)
- * email metadata including message headers (see below)
- * sender information from the 'from' field and the X-authenticated user header
- * all client and mail server IP addresses
- * note "quirks" or suspicious features
-1. **Analyze links and attachments** `TODO: Specify tools and procedure`
- * use passive collection such as nslookup and whois to find IP addresses and registration information
- * find related domains using OSINT (_e.g._, [reverse whois](https://www.whoxy.com/reverse-whois/)) on email addresses and other registration data
- * submit links, attachments, and/or hashes to [VirusTotal](https://www.virustotal.com/gui/)
- * submit links, attachments, and/or hashes to a malware sandbox such as [Cuckoo](https://cuckoosandbox.org/), [Hybrid Analysis](https://www.hybrid-analysis.com/), [Joe Sandbox](https://www.joesecurity.org/), or [VMray](https://www.vmray.com/).
-1. Categorize the type of attack. `TODO: Customize categories and create additional playbooks for common or high-impact phishing types`
-1. **Determine the severity.** Consider:
- * whether public or personal safety is at risk
- * whether personal data (or other sensitive data) is at risk
- * any evidence of who is behind the attack
- * number of affected assets
- * preliminary business impact
- * whether services are affected
- * whether you are able to control/record critical systems
-
-`TODO: Expand investigation steps, including key questions and strategies, for phishing.`
-
-### Remediate
-
-* **Plan remediation events** where these steps are launched together (or in coordinated fashion), with appropriate teams ready to respond to any disruption.
-* **Consider the timing and tradeoffs** of remediation actions: your response has consequences.
-
-#### Contain
-
-`TODO: Customize containment steps, tactical and strategic, for phishing.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* Contain affected accounts
- * change login credentials
- * reduce access to critical services, systems, or data until investigation is complete
- * reenforce multi-factor authentication (MFA)
-* Block activity based on discovered indicators of compromise, _e.g._:
- * block malicious domains using DNS, firewalls, or proxies
- * block messages with similar senders, message bodies, subjects, links, attachments, _etc._, using email gateway or service.
-* Implement forensic hold or retain forensic copies of messages
-* Purge related messages from other user inboxes, or otherwise make inaccessible
-* Contain broader compromise in accordance with general IR plan
-* Consider mobile device containment measures such as wiping via mobile device management (MDM). Balance against investigative/forensic impact.
-* Increase detection "alert level," with enhanced monitoring, particularly from related accounts, domains, or IP addresses.
-* Consider outside security assistance to support investigation and remediation
-* Confirm relevant software upgrades and anti-malware updates on assets.
-
-#### Reference: Remediation Resources
-
-`TODO: Specify financial, personnel, and logistical resources to accomplish remediation`
-
-### Communicate
-
-`TODO: Customize communication steps for phishing`
-
-`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan`
-
-1. Escalate incident and communicate with leadership per procedure
-1. Document incident per procedure (and [report](https://us-cert.cisa.gov/report-phishing))
-1. Communicate with internal and external legal counsel per procedure, including discussions of compliance, risk exposure, liability, law enforcement contact, _etc._
-1. Communicate with users (internal)
- 1. Communicate incident response updates per procedure
- 1. Communicate impact of incident **and** incident response actions (e.g., containment: "why is the file share down?")
- 1. Communicate requirements: "what should users do and not do?"
-1. Communicate with customers
- 1. Focus particularly on those whose data was affected
- 1. Generate required notifications based on applicable regulations (particularly those that may consider phishing a data breach or otherwise requires notifications) `TODO: Expand notification requirements and procedures for applicable regulations`
-1. Contact insurance provider(s)
- 1. Discuss what resources they can make available, what tools and vendors they support and will pay for, _etc._
- 1. Comply with reporting and claims requirements to protect eligibility
-1. Consider notifying and involving [law enforcement](https://www.usa.gov/stop-scams-frauds) TODO: Link the following bullets to actual resources for your organization
- 1. [Local law enforcement](#TODO-link-to-actual-resource)
- 1. [State or regional law enforcement](#TODO-link-to-actual-resource)
- 1. [Federal or national law enforcement](#TODO-link-to-actual-resource)
-1. Communicate with security and IT vendors TODO: Link the following bullets to actual resources for your organization
- 1. Notify and collaborate with [managed providers](#TODO-link-to-actual-resource) per procedure
- 1. Notify and collaborate with [incident response consultants](#TODO-link-to-actual-resource) per procedure
-
-### Recover
-
-`TODO: Customize recovery steps for phishing`
-
-`TODO: Specify tools and procedures for each step, below`
-
-1. Launch business continuity/disaster recovery plan(s) if compromise involved business outages: _e.g._, consider migration to alternate operating locations, fail-over sites, backup systems.
-1. Reinforce training programs regarding suspected phishing attacks. Key suspicious indicators may include:
- * misspellings in the message or subject
- * phony-seeming sender names, including mismatches between display name and email address
- * personal email addresses for official business (e.g., gmail or yahoo emails from business colleagues)
- * subject lines marked "[EXTERNAL]" on emails that look internal
- * [malicious or suspicious links](https://www.pcworld.com/article/248963/how-to-tell-if-a-link-is-safe-without-clicking-on-it.html)
- * receiving an email or attachment they were not expecting but from someone they know (contact sender before opening it)
- * reporting suspicious activity to IT or security
-1. Ensure that IT and security staff is up to date on recent phishing techniques.
-1. Determine if any controls have failed when falling victim to an attack and rectify them. Here is a [good source](https://www.proofpoint.com/us/security-awareness/post/14-things-do-after-phishing-attack) to consider following a phishing attack.
-
-### Resources
-
-#### Reference: User Actions for Suspected Phishing Attack
-
-`TODO: Customize steps for users dealing with suspected phishing`
-
-1. Stay calm, take a deep breath.
-1. Take pictures of your screen using your smartphone showing the things you noticed: the phishing message, the link if you opened it, the sender information.
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. Every little bit helps! Document the following:
- 1. What did you notice?
- 1. Why did you think it was a problem?
- 1. What were you doing at the time you detected it?
- 1. When did it first occur, and how often since?
- 1. Where were you when it happened, and on what network? (office/home/shop, wired/wireless, with/without VPN, _etc._)
- 1. What systems are you using? (operating system, hostname, _etc._)
- 1. What account were you using?
- 1. What data do you typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Contact the [help desk](#TODO-link-to-actual-resource) using the [phishing hotline](#TODO-link-to-actual-resource) or the [phishing report toolbar](#TODO-link-to-actual-resource) and be as helpful as possible.
-1. Be patient: the response may be disruptive, but you are protecting your team and the organization! **Thank you.**
-
-#### Reference: Help Desk Actions for Suspected Phishing Attack
-
-`TODO: Customize steps for help desk personnel dealing with suspected phishing`
-
-1. Stay calm, take a deep breath.
-1. Open a ticket to document the incident, per procedure. `TODO: Customize template with key questions (see below) and follow-on workflow`
-1. Ask the user to take pictures of their screen using their smartphone showing the things they noticed: the phishing message, the link if you opened it, the sender information, _etc._ If this is something you noticed directly, do the same yourself.
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. If this is a user report, ask detailed questions, including:
- 1. What did you notice?
- 1. Why did you think it was a problem?
- 1. What were you doing at the time you detected it?
- 1. When did it first occur, and how often since?
- 1. What networks are involved? (office/home/shop, wired/wireless, with/without VPN, _etc._)
- 1. What systems are involved? (operating system, hostname, _etc._)
- 1. What data is involved? (paths, file types, file shares, databases, software, _etc._)
- 1. What users and accounts are involved? (active directory, SaaS, SSO, service accounts, _etc._)
- 1. What data do the involved users typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Ask follow-up questions as necessary. **You are an incident responder, we are counting on you.**
-1. Get detailed contact information from the user (home, office, mobile), if applicable.
-1. Record all information in the ticket, including hand-written and voice notes.
-1. Quarantine affected users and systems. `TODO: Customize containment steps, automate as much as possible`
-1. Contact the [security team](#TODO-link-to-actual-resource) and stand by to participate in the response as directed: investigation, remediation, communication, and recovery.
-
-#### Additional Information
-
-1. [Anti-Phishing Attack resources](https://resources.infosecinstitute.com/category/enterprise/phishing/phishing-countermeasures/top-16-anti-phishing-resources/#gref)
-1. [Methods of Identifying a Phishing attack](https://www.securitymetrics.com/blog/7-ways-recognize-phishing-email)
-1. [Phishing Email Examples](https://www.phishing.org/phishing-examples)
-1. [Anti-Phishing best practices](https://resources.infosecinstitute.com/category/enterprise/phishing/phishing-countermeasures/anti-phishing-best-practices/#gref)
+**Investigar, reparar (contener, erradicar), y comunicar en paralelo!**
+
+Asigna pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este playbook no es meramente secuencial. Utilice su mejor criterio.
+
+### Investigar
+
+`TODO: Ampliar los pasos de las investigaciones, incluyendo preguntas y estrategias claves, para el phishing.`
+
+1. **Ámbito del ataque** Normalmente se le notificará que se está produciendo un posible ataque de phishing, ya sea por parte de un usuario, cliente o socio.
+ * Determinar el **número total de usuarios afectados**.
+ * Comprender **las acciones de los usuarios** en la respuesta al phishing de un correo electrónico (_e.j._, ¿Descargaroón el archivo adjunto?, ¿Visitarón el sitio suplantado?, ¿O, dieron alguna información personal o comercial como credenciales?)
+ * Encontrar la actividad potencialmente relacionada. Comprueba:
+ * Redes Sociales
+ * Cualquier correo electrónico sospechoso posible.
+ * Correos electrónicos con enlaces a URL's externas y desconocidas.
+ * Correos electrónicos de no-retorno o no-entregables.
+ * Cualquier tipo de notificación de actividad sospechosa.
+1. **Analizar el mensaje** utilizando un dispositivo seguro (es decir, **no** abrir los mensajes en un dispositivo con acceso a datos sensibles o credenciales ya que el mensaje puede contener malware), determinar:
+`TODO: Especificar las herramientas y el procedimiento`.
+ * Quién ha recibido el mensaje
+ * Quién era el objetivo del mensaje (puede ser diferente de los destinatarios a los que iba realmente dirigido el mensaje)
+ * Dirección de correo electrónico del remitente
+ * línea de asunto
+ * Cuerpo del mensaje
+ * Adjuntos (**no abra los archivos adjuntos** salvo según los procedimientos establecidos)
+ * Enlaces, dominios, y nombres de host (**no siga los enlaces**, excepto según los procedimientos establecidos)
+ * Metadatos del correo electrónico inluidas las cabeceras de los mensajes (véase más adelante)
+ * Información del remitente en el campo "de" y en la cabecera del usuario autenticado-X
+ * Todas las direcciones IP del cliente y del servidor de correo
+ * Anotar las "peculiaridades" o características sospechosas
+1. **Analizar los enlaces y los archivos adjuntos**
+`TODO: Especificar las herramientas y el procedimiento`
+ * Utilizar la recopilación pasiva como nslookup y whois para encontrar direcciones IP e información de registro
+ * Encontrar dominios relacionados utilizando OSINT (_e.j._, [reverse whois](https://www.whoxy.com/reverse-whois/)) en direcciones de correo electrónico y otros datos de registro.
+ * Enviar enlaces, archivos adjuntos y/o hashes a [VirusTotal](https://www.virustotal.com/gui/)
+ * Enviar enlaces, adjuntos y/o hashes a un sandbox de malware como [Cuckoo](https://cuckoosandbox.org/), [Hybrid Analysis](https://www.hybrid-analysis.com/), [Joe Sandbox](https://www.joesecurity.org/), o [VMray](https://www.vmray.com/).
+1. Categorice el tipo de ataque.
+`TODO: Personalizar las categorías y crear playbooks adicionales para tipos de phishing comunes o de alto impacto`
+1. **Determine la gravedad.** Considerar:
+ * Si la seguridad pública o personal está en riesgo
+ * Si los datos personales (u otros datos sensibles) están en riesgo
+ * Si hay pruebas de quién está detrás del ataque
+ * Número de activos afectados
+ * El impacto preliminar en el negocio
+ * Si los servicios se ven afectados
+ * Si se pueden controlar/registrar los sistemas críticos
+
+`TODO: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el phishing.`
+
+### Reparar
+
+* **Planificar eventos de reparación** en los que estos pasos se pongan en marcha juntos (o de forma coordinada), con los equipos adecuados listos para responder a cualquier interrupción.
+* **Considere el momento y las compensaciones** de las acciones de reparación: su respuesta tiene consecuencias.
+
+#### Contener
+
+`TODO: Personalizar los pasos de contención, tácticos y estrátegicos, para el phishing.`
+
+`TODO: Especifique las herramientas y los procedimientos para cada paso, a continuación.`
+
+* Contener las cuentas afectadas
+ * Cambiar las credenciales de acceso
+ * Reducir el acceso a los servicios, sistemas o datos críticos hasta que se complete la investigación
+ * Reforzar la autenticación multifactor (MFA)
+* Bloquear la actividad en función de los indicadores de compromiso descubiertos, _e.j._:
+ * Bloquear dominios maliciosos mediante DNS, cortafuegos o proxies
+ * Bloquear los mensajes con remitentes, cuerpos de mensajes, asuntos, enlaces, archivos adjuntos similares, etc., utilizando la puerta de enlace predeterminada o el servicio de correo electrónico.
+* Implementar la retención forense o conservar copias forenses de los mensajes
+* Purgar los mensajes relacionados de las bandejas de entrada de otros usuarios, o hacerlos inaccesibles de otro modo.
+* Contener el compromiso más amplio de acuerdo con el plan general de IR
+* Considerar medidas de contención de los dispositivos móviles, como el borrado a través de la gestión de dispositivos móviles (MDM). Equilibrio con el impacto de la investigación/forense.
+* Aumentar el "nivel de alerta" de la detección, con una mayor supervisión, en particular de las cuentas, dominios o direcciones IP relacionadas.
+* Considerar la posibilidad de contar con asistencia externa en materia de seguridad para apoyar la investigación y la correción.
+* Confirmar las actualizaciones de software y antimalware pertinenestes en los activos.
+
+#### Referencia: Recursos de Reparación
+
+`TODO: Especifique los recursos financieros, de personal y logísticos para llevar a cabo la reparación.`
+
+### Comunicar
+
+`TODO: Personalizar los pasos de comunicación para el phishing`
+
+`TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general.`
+
+1. Elevar el incidente y comunicarlo a la dirección según el procedimiento
+1. Documente el incidente según el procedimiento (y [informe](https://us-cert.cisa.gov/report-phishing))
+1. Comunicarse con los asesores jurídicos internos y externos según el procedimiento, incluyendo discusiones sobre el cumplimiento, la exposición al riesgo, la responsabilidad, el contacto con las fuerzas del orden, _etc._
+1. Comnunicación con los usuarios (interna)
+ 1. Comunicar las actualizaciones de la respuesta a incidentes según el procedimiento
+ 1. Comunicar el impacto del incidente **y** las acciones de respuesta al mismo (e.j., contención: "¿Por qué está caído el archivo compartido?")
+ 1. Comunicar los requisitos: "¿Qué deben hacer y no hacer los usuarios?"
+1. Comunicar a los clientes
+ 1. Centrarse especialmente en aquellos cuyos datos se vieron afectados
+ 1. Genere las notificaciones requeridas en base a las regulaciones aplicables (particularmente aquellas que puedan considerar el phishing como una violación de datos o que requieren notificaciones de otro tipo)
+ `TODO: Ampliar los requisitos y procedimientos de notificación para las regulaciones aplicables`
+1. Contactar con el/los proveedor/es de seguros
+ 1. Discutir qué recursos pueden poner a disposición, qué herramientas y proveedores apoyan y pagarán, _etc._
+ 1. Cumplir con los requisitos de presentación de informes y reclamaciones para proteger la elegibilidad.
+1. Considere la posibilidad de notificar e implicar a [las fuerzas del orden](https://www.policia.es/_es/tupolicia_conocenos_estructura_dao_cgpoliciajudicial_bcit.php)
+ `TODO: Vincule los siguiente puntos con los recursos reales de su organización`
+ 1. [Aplicación de la ley local](#TODO-enlace-a-actual-recurso)
+ 1. [Aplicación de la ley a nivel estatal o regional](#TODO-enlace-a-actual-recurso)
+ 1. [Fuerzas de seguridad nacionales o europeas](#TODO-enlace-a-actual-recurso)
+1. Comuníquese con los proveedores de seguridad y de TI
+ `TODO: Vincule las siguientes viñetas con los recursos reales de su organización`
+ 1. Notifique y colabore con [proveedores gestionados](#TODO-enlace-a-actual-recurso) para el procedimiento
+ 1. Notifique y colabore con [consultores de respuesta ante incidentes](#TODO-enlace-a-actual-recurso) para el procedimiento
+
+### Recuperación
+
+`TODO: Personalizar los pasos de recuperación para el phishing`
+
+`TODO: Especifique las herramientas y los procedimientos para cada paso, a continuación`
+
+1. Poner en marcha un plan de continuidad de negocio/recuperación de desastres si el compromiso implica interrupciones de negocio: _e.j._, considerar la migración a ubicaciones operativas alternativas, clústers de conmutación por error, sistemas de copias de seguridad.
+1. Reforzar los programas de formación sobre los ataques de phishing sospechosos. Los principales indicadores de sospecha pueden ser:
+ * Errores ortográficos en el mensaje o en el asunto
+ * Nombres de remitentes que parezcan de telélefono, incluida la falta de coincidencia entre el nombre y la dirección de correo electrónico.
+ * Direcciones de correo electrónico personales para asuntos oficiales (e.j., correos electrónicos de gmail o yahoo de colegas de trabajo)
+ * Líneas de asunto marcadas con "[EXTERNO]" en correos electrónicos que parecen internos.
+ * [enlaces maliciosos o sospechosos](https://www.pcworld.com/article/248963/how-to-tell-if-a-link-is-safe-without-clicking-on-it.html)
+ * Recibir un correo electrónico o un archivo adjunto que no se esperaba, pero que proviene de alguien conocido (contactar con el remitente antes de abrirlo).
+ * Informar de actividades sospechosas al departamento de TI o de seguridad.
+1. Asegúrate de que el personal de TI y de seguridad está al día de las técnicas de phishing más recientes.
+1. Determine si ha fallado algún conrol al ser victima de un ataque y rectifíquelo. He aquí una [buena fuente](https://www.proofpoint.com/us/security-awareness/post/14-things-do-after-phishing-attack) a tener en cuenta tras un ataque de phishing.
+
+### Recursos
+
+#### Referencia: Acciones del usuario ante la sospecha de un ataque de phishing
+
+`TODO: Personalizar los pasos para los usuarios ante una sospecha de phishing`
+
+1. Mantenga la calma y respire profundamente.
+1. Haz fotos de tu pantalla con tu smartphone mostrando las cosas que has notado: el mensaje de phishing, el enlace si lo has abierto, la información del remitente.
+1. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y boli. Todo por poco que sea, ayuda! Documenta lo siguiente:
+ 1. ¿Qué has notado?
+ 1. ¿Por qué pensaste que era un problema?
+ 1. ¿Qué estabas haciendo en el momento en que lo detectaste?
+ 1. ¿Cuándo se produjo por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿Dónde estaba cuando ocurrió y en qué red? (oficina/casa/tienda, con cable/inalámbrica, con/sin VPN, _etc._)
+ 1. ¿Qué sistemas está utilizando? (sistema operativo, nombre de host, _etc._)
+ 1. ¿Qué cuenta utilizas?
+ 1. ¿A qué datos suele acceder?
+ 1. ¿Con quién más te has puesto en contacto sobre este incidente y qué les has dicho?
+1. Ponte en contacto con el [servicio de ayuda](#TODO-enlace-a-actual-recurso) utlizando la [línea directa de phishing](#TODO-enlace-a-actual-recurso) o la [barra de herramientas de informe de phishing](#TODO-enlace-a-actual-recurso) y sé lo más servicial posible.
+1. Ten paciencia: La respuesta puede ser perturbardora, pero estas protegiendo a tu equipo y a la organización! **Gracias.**
+
+#### Referencia: Acciones del servicio de ayuda ante un presunto ataque phishing
+
+`TODO: Personalizar los pasos para el personal del servicio de asistencia ante una sospecha de phishing`
+
+1. Mantenga la calma y respire profundamente.
+1. Abra un ticket para documentar el incidente, según el procedimiento.
+ `TODO: Personalizar la plantilla con las preguntas clave (véase más abajo) y el flujo de trabajo posterior`
+3. Pídale al usuario que tome fotos de su pantalla usando su smartphone mostrando las cosas que notó: el mensaje de phishing, el enlace si lo abrió, la información del remitente, _etc._ Si es algo que notó directamente, haga lo mismo usted.
+4. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y boli. Si se trata de un informe de usurio, haz preguntas detalladas, incluyendo:
+ 1. ¿Qué has notado?
+ 1. ¿Por qué pensaste que era un problema?
+ 1. ¿Qué estabas haciendo en el momento en que lo detectaste?
+ 1. ¿Cuándo se produjo por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿De qué redes se trata? (oficina/casa/tienda, cableada/inalámbrica, con/sin VPN, _etc._)
+ 1. ¿De qué sistemas se trata? (sistema operativo, nombre de host, _etc._)
+ 1. ¿De qué datos se trata? (rutas, tipos de archivos, archivos compartidos, bases de datos, software, _etc._)
+ 1. ¿Qué usuarios y cuentas están implicados? (directorio activo, SaaS, SSO, cuentas de servicio, _etc._)
+ 1. ¿A qué datos suelen acceder los usuarios implicados?
+ 1. ¿Con quién más te has puesto en contacto sobre este incidente y qué les has dicho?
+5. Haz las preguntas de seguimiento que sean necesarias. **Usted es de respuesta ante Incidentes, Contamos contigo.**
+6. Obtenga información de contacto detallada del usuario (domicilio, oficina, móvil), si procede.
+7. Registra toda la información en el ticket, incluyendo notas manuscritas y de voz.
+8. Poner en cuarentena a los usuarios y sistemas afectados.
+ `TODO: Personalizar el contenido de los pasos, automatizar tanto como sea posible.`
+10. Póngase en contacto con el [equipo de seguridad](#TODO-enlace-a-actual-recurso) y prepárase para participar en la respuesta según las indicaciones: investigación, reparación comunicación y recuperación.
+
+#### Información adicional
+
+1. [Recurso Ataque Anti-Phishing](https://resources.infosecinstitute.com/category/enterprise/phishing/phishing-countermeasures/top-16-anti-phishing-resources/#gref)
+1. [Métodos de Identificación de Ataques Phishing](https://www.securitymetrics.com/blog/7-ways-recognize-phishing-email)
+1. [Ejemplos Correos electrónicos de Phishing](https://www.phishing.org/phishing-examples)
+1. [Mejores prácticas Anti-Phishing](https://resources.infosecinstitute.com/category/enterprise/phishing/phishing-countermeasures/anti-phishing-best-practices/#gref)
From 2af0160c98975513b81453304ec3c336f48a28de Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 09:03:40 +0200
Subject: [PATCH 002/199] =?UTF-8?q?traducci=C3=B3n=20index=20roles?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
roles/index.md | 65 +++++++++++++++++++++++++-------------------------
1 file changed, 32 insertions(+), 33 deletions(-)
diff --git a/roles/index.md b/roles/index.md
index 872040c..0cbc7da 100644
--- a/roles/index.md
+++ b/roles/index.md
@@ -1,35 +1,34 @@
# Roles
-The following are the descriptions, duties, and training for each of the defined roles in an incident response.
-
-`TODO: Customize roles, descriptions, duties, and training, if necessary.`
-
-## Structure of Roles
-
-* Command Team
- * [Incident Commander](#role-incident-commander-ic)
- * [Deputy Incident Commander](#role-deputy-incident-commander-deputy)
- * [Scribe](#role-scribe)
-* Liaison Team
- * Internal [Liaison](#role-liaison)
- * External Liaison
-* Operations Team
- * [Subject Matter Experts](#role-subject-matter-expert-sme) (SMEs) for Systems
- * SMEs for Teams/Business Units
- * SMEs for Executive Functions (_e.g._, Legal, HR, Finance)
-During larger complex incidents, the role structure may be adjusted to account for the creation of sub-teams. Read about how we handle [complex incidents](/before/complex_incidents.md) for more information.
-
-This is a **flexible structure**: every role will not be filled by a different person for every incident. For example, in a small incident the Deputy might act as the Scribe and Internal Liaison. The structure is flexible and scales based on the incident.
-
-## Wartime vs. Peacetime
-
-On incident response calls ("wartime"), a different organizational structure overrides normal operations ("peacetime"):
-
-* The Incident Commander is in charge. No matter their rank during peacetime, they are now the highest ranked individual on the call, higher than the CEO.
-* Primary responders (folks acting as primary on-call for a team/service) are the highest ranked individuals for that service.
-* Decisions will be made by the IC after consideration of the information presented. Once that decision is made, it is final.
-* Riskier decisions can be made by the IC than would normally be considered during peacetime.
-* The IC may go against a consensus decision. If a poll is done, and 9/10 people agree but 1 disagrees. The IC may choose the disagreement option despite a majority vote. Even if you disagree, the IC's decision is final. During the call is not the time to argue with them.
-* The IC may use language or behave in a way you find rude. This is wartime, and they need to do whatever it takes to resolve the situation, so sometimes rudeness occurs. This is not personal, and something you should be prepared to experience if you've never been in a wartime situation before.
-* You may be asked to leave the call by the IC, or you may even be forcibly kicked off a call. It is at the IC's discretion to do this if they feel you are not providing useful input. Again, this is not personal and you should remember that wartime is different than peacetime.
-
+A continuación se presentan las descripciones, los deberes y la formación para cada uno de los roles definidos en la respuesta a un incidente.
+
+`TODO: Personalizar los roles, las descripciones, las funciones y la formación, si es necesario.`
+
+## Estrcutura de los roles
+
+* Equipo de Mando
+ * [Comandante de Incidente](#role-incident-commander-ic)
+ * [Comandante-Adjunto de Incidente](#role-deputy-incident-commander-deputy)
+ * [Escribano o Escribiente](#role-scribe)
+* Equipo de enlace
+ * Enlace Interno [Enlace](#role-liaison)
+ * Enlace externo
+* Equipo de Operaciones
+ * [Expertos en la materia](#role-subject-matter-expert-sme) (PYMES) para Sistemas
+ * PYMES para equipos/unidades de negocio
+ * PYMES para las funciones ejecutivas (_e.j._, Legal, RRHH, Finanzas)
+En el caso de incidentes complejos de mayor envergadura, la estructura de funciones puede ajustarse para tener en cuenta la creación de subequipos. Para más información, lea cómo gestionamos los [Incidentes Complejos](/before/complex_incidents.md).
+
+Esta es una **estructura flexible**: cada rol no será ocupado por una persona diferente para cada incidente. Por ejemplo, en un incidente pequeño, el adjunto podría actuar como escribiente y enlace interno. La estructura es flexible y se adapta al incidente.
+
+## Tiempos de Guerra vs. Tiempos de Paz
+
+En las llamadas de respuesta a Incidentes ("tiempos de guerra"), una estructura organizativa diferente anula las operaciones normales ("tiempos de paz"):
+
+* El Comandante del incidente está al mando. Independientemente de su rango en tiempos de paz, ahora es la persona de mayor rango en la llamada, superior al director general o CEO.
+* Los primeros intervinientes (las personas que actúan como primeros intervinientes de un equipo/servicio) son las personas de mayor rango de ese servicio.
+* Las decisiones serán tomadas por el CI tras considerar la información presentada. Una vez tomada la decisión, es definitiva.
+* El CI puede tomar decisiones más arriesgadas que las que normalmente se considerarían en tiempos de paz.
+* El CI puede ir en contra de una decisión consensuada. Si se hace una encuenta, y 9/10 personas están de acuerdo pero 1 está en desacuerdo. El CI puede elegir la opción del desacuerdo a pesar del voto de la mayoría. Aunque no esté de acuerdo, la decisión del CI es definitiva. Durante la convocatoria no es el momento de discutir con ellos.
+* El CI puede utilizar un lenguaje o comportarse de una manera que usted considere grosera. Esto es tiempo de guerra, y necesitan hacer lo que sea necesario para resolver la situación, por lo que a veces se producen groserías. Esto no es personal, y es algo que debes estar preparado para experimentar si nunca has estado en una situación de guerra.
+* Es posible que el CI te pida que abandones la llamada, o incluso que te eche a la fuerza de una llamada. Esto queda a discreción del CI si considera que no estás aportando nada útil. De nuevo, esto no es personal y debes recordar que los tiempo de guerra son diferentes a los tiempo de paz.
From 7040e8a5d0a4848a3de0d2e5711b7f3d36b44da2 Mon Sep 17 00:00:00 2001
From: JesusJimenezSantana
<94167953+JesusJimenezSantana@users.noreply.github.com>
Date: Tue, 10 May 2022 09:04:55 +0200
Subject: [PATCH 003/199] Add files via upload
---
README.md | 234 +++++++++++++++++++++++++++---------------------------
1 file changed, 117 insertions(+), 117 deletions(-)
diff --git a/README.md b/README.md
index c570ad3..0efeea6 100644
--- a/README.md
+++ b/README.md
@@ -1,117 +1,117 @@
-# Incident Response Plan Template
-
-## About
-
-This template was developed by the team at [Counteractive Security](https://www.counteractive.net), to help all organizations get a good start on a concise, directive, specific, flexible, and free incident response plan. Build a [plan you will actually use](https://www.counteractive.net/posts/an-ir-plan-you-will-use/) to respond effectively, minimize cost and impact, and get back to business as soon as possible.
-
-Download the latest release [here](https://github.com/counteractive/incident-response-plan-template/releases/latest), a please create an issue or submit a pull request with any feedback, suggestions, or updates.
-
-## Instructions
-
-**💡 If you prefer to work in Microsoft Word (.docx format), please download the [example word version](examples/plan.docx) and customize directly using the [instructions below](#customize).**
-
-For those working in other formats like markdown, html, or pdf, please read on.
-
-### Download or fork this template
-
-The layout is as follows:
-
-* `during.md`: the core of the plan, actions taken during an incident response.
-* `playbooks/`: a folder containing playbooks with investigation, remediation, and communication suggestions for specific incidents. Create playbooks for any incidents that are highly likely or highly damaging for your organization. `playbooks/index.md` contains the playbook section header content, and each playbook should follow the convention `playbooks/playbook-[THREAT].md`.
-* `roles/`: a folder containing descriptions of each role in the plan, along with duties and training notes. `index.md` contains the roles section header content, and each role should follow the convention `playbooks/role-[ORDER]-[NAME].md`.
-* `after.md`: the guide to after-action review (_a.k.a._, hotwash, debrief, or post-mortem)---actions taken after an incident response.
-* `about.md`: a footer containing information about the plan/template as a whole.
-* `info.yml`: a file containing values for the template strings throughout the plan (see below)
-
-### Fill `info.yml` with your organization's information
-
-The template files have a lot of placeholders that `{{LOOK_LIKE_THIS}}`. The purpose of each placeholder should be discernable from context, and the [default `info.yml` file](./info.yml) is commented for additional clarity. This is the [mustache](https://mustache.github.io/) template syntax, and has wide support in a variety of tools and languages.
-
-The easiest way to replace these variables is to customize the `info.yml` file with your organization's information and use the provided [Makefile](https://en.wikipedia.org/wiki/Make_(software)) (as of v1.0.0) to automatically find and replace all the relevant strings. _NOTE:_ this requires `make` (naturally), `mustache`, and `pandoc` to be installed and available in the user's `$PATH`. _NOTE:_ pdf output needs `pdflatex` (see [this gist](https://gist.github.com/rain1024/98dd5e2c6c8c28f9ea9d) for instructions on Ubuntu/Debian), and you'll need `git` if you want to clone the repository rather than download the zipped source.
-
-If you don't have the information or tools referenced in the template variables, that's definitely worth fixing. **Especially** the critical information list (data you want to protect) and critical asset list (systems you want to protect).
-
-### Build the template
-
-In your linux, mac, or [WSL](https://docs.microsoft.com/en-us/windows/wsl/faq) terminal:
-
-```bash
-# install core dependencies, if not already present
-sudo apt-get install make ruby-mustache pandoc
-
-# for pdf format (big)
-sudo apt-get install texlive-latex-base texlive-fonts-recommended texlive-fonts-extra texlive-latex-extra
-
-# change to the directory of the cloned repository
-cd /path/to/incident-response-plan-template
-
-# build the template
-make
-```
-
-This merges the template components, combines them with your custom data from `info.yml`, and outputs all supported formats in the `public/` directory. That's it!
-
-*If you have a specific case and want more details, read on!*
-
-### Further customize the plan
-
-1. Fill in any remaining template variables (the strings that `{{LOOK_LIKE_THIS}}`).
-1. Review all the `TODO` prompts for likely areas to customize, if desired. Delete them if no changes are required.
-1. Add any roles or playbooks relevant to your organization. These can also be added over time.
-1. Customize anything else! Whatever you feel is most effective for your organization.
-1. _Optional:_ Customize formatting directly or [using pandoc's options](https://learnbyexample.github.io/customizing-pandoc/). The default Makefile uses the default pandoc styles, and they're not for everyone.
-
-### Deploy and use the plan
-
-The makefile uses [pandoc](https://pandoc.org) to create a variety of formats, or you can use the markdown files with [mkdocs](http://www.mkdocs.org/), [hugo](https://gohugo.io/), or countless other platforms.
-
-### Examples
-
-Examples in each format are available in [the examples directory](./examples). The [markdown version](./examples/plan.md) is a good place to start, rendered from markdown to html automatically by github.
-
-### Contact Us
-
-For professional assistance with incident response, or with customizing, implementing, or testing your plan, please contact us at contact@counteractive.net or [(888) 925-5765](tel:+18889255765).
-
-## License
-
-This template is provided under the Apache License, version 2.0. See the [LICENSE](./LICENSE) and [NOTICE](./NOTICE) files for additional information.
-
-## References and Additional Reading
-
-* [Awesome Incident Response](https://github.com/meirwah/awesome-incident-response)
-* [NIST Computer Security Incident Handling Guide](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) (NIST)
-* [CERT Societe Generale Incident Response Methodologies](https://github.com/certsocietegenerale/IRM/tree/master/EN)
-* [Incident Handler's Handbook](https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901) (SANS)
-* [Technical Approaches to Uncovering and Remediating Malicious Activity](https://us-cert.cisa.gov/ncas/alerts/aa20-245a) (Cybersecurity and Infrastructure Security Agency (CISA))
-* [Responding to IT Security Incidents](https://technet.microsoft.com/en-us/library/cc700825.aspx) (Microsoft)
-* [Defining Incident Management Processes for CSIRTs: A Work in Progress](http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=7153) (CMU)
-* [Creating and Managing Computer Security Incident Handling Teams (CSIRTS)](https://www.first.org/conference/2008/papers/killcrece-georgia-slides.pdf) (CERT)
-* [Incident Management for Operations](http://shop.oreilly.com/product/0636920036159.do) (Rob Schnepp, Ron Vidal, Chris Hawley)
-* [_Incident Response & Computer Forensics, Third Edition_](http://a.co/cUkFzMh) (Jason Luttgens. Matthew Pepe. Kevin Mandia)
-* [_Incident Response_](http://shop.oreilly.com/product/9780596001308.do) (Kenneth R. van Wyk, Richard Forno)
-* [The Checklist Manifesto](http://atulgawande.com/book/the-checklist-manifesto/) (Atul Gawande)
-* [The Field Guide to Understanding Human Error](https://www.amazon.com/Field-Guide-Understanding-Human-Error/dp/0754648265) (Sidney Dekker)
-* [Normal Accidents: Living with High-Risk Technologies](https://www.amazon.com/Normal-Accidents-Living-High-Risk-Technologies/dp/0691004129) (Charles Perrow)
-* [Site Reliability Engineering](https://landing.google.com/sre/book.html) (Google)
-* [Debriefing Facilitation Guide](http://extfiles.etsy.com/DebriefingFacilitationGuide.pdf) (Etsy)
-* [Every Minute Counts: Leading Heroku's Incident Response](https://www.heavybit.com/library/video/every-minute-counts-coordinating-herokus-incident-response/) (Blake Gentry)
-* [Three Analytical Traps in Accident Investigation](https://www.youtube.com/watch?v=TqaFT-0cY7U) (Dr. Johan Bergström)
-* [US National Incident Management System (NIMS)](https://www.fema.gov/national-incident-management-system) (FEMA)
-* [Informed's NIMS Incident Command System Field Guide](https://www.amazon.com/gp/product/1284038408) (Michael J. Ward)
-* [PagerDuty IR Docs](https://response.pagerduty.com/)
-* [NIST 800-61r2](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
-* [NIST CSF](https://www.nist.gov/cyberframework)
-* [CSO Online 10 Steps](https://www.csoonline.com/article/3203705/security/10-steps-for-a-successful-incident-response-plan.html) (June 2017) and [CSO Online 9 Steps](https://www.csoonline.com/article/3099684/disaster-recovery/9-steps-for-a-successful-incident-response-plan.html) (July 2016)
-* [SecurityMetrics blog 6 Steps to Making an IR Plan](http://blog.securitymetrics.com/2017/01/6-steps-to-making-incident-response-plan.html)
-* [Cal Berkeley IR Plan Development](https://security.berkeley.edu/incident-response-planning-guideline)
-* [EPA IR Plan](https://www.epa.gov/sites/production/files/2016-01/documents/cio_2150-p-08.2.pdf)
-* [incidentresponse.com playbooks](https://www.incidentresponse.com/playbooks/)
-
-## Roadmap
-
-See [issues](https://github.com/counteractive/incident-response-plan-template/issues) list.
-
-## Changelog
-
-See [releases](https://github.com/counteractive/incident-response-plan-template/releases) page.
+# Plantilla para el plan de respuesta a incidentes
+
+## Acerca de
+
+Esta plantilla ha sido creada por el equipo de [Counteractive Security](https://www.counteractive.net/), para ayudar a todas las organizaciones a comenzar de forma concisa, directa, especifica, flexible y gratuita un plan de respuesta de incidentes. Crea un plan [que utilizaras](https://www.counteractive.net/posts/an-ir-plan-you-will-use/) para responder de manera eficiente, minimizando los costes e impactos, para volver a trabajar lo mas rápido posible.
+
+Descarga la última versión [aquí](https://github.com/counteractive/incident-response-plan-template/releases/latest), por favor cree un problema o suba un pull request con retroalimentación, sugerencias, o actualizaciones.
+
+## Instrucciones
+
+**💡 Si prefieres trabajar con Microsoft Word (.docx format), por favor descargue [ejemplo de word](examples/plan.docx) y personalice directamente usando [instrucciones abajo](#customize).**
+
+Para aquellos trabajando con markdown, html, o pdf, por favor siga leyendo.
+
+### Descargue o clone esta plantilla
+
+El diseño es el siguiente:
+
+* `during.md`: el núcleo del plan, acciones llevadas a cabo durante una respuesta a incidentes.
+* `playbooks/`: carpeta la cual contiene guías de investigación, remediación y sugerencias de comunicación para incidentes específicos. Cree guías para cualquier incidente que seguramente haga daño a su organización. `playbooks/index.md` contiene el contenido de la sección de la cabecera de la guía y cada guía debería seguir el convenio `playbooks/playbook-[THREAT].md`.
+* `roles/`: carpeta la cual contiene descripciones de cada rol en el plan, además de deberes y notas de entrenamiento. `index.md` contiene los contenido de la sección de la cabecera de roles y cada rol debería seguir el convenio `playbooks/role-[ORDER]-[NAME].md`.
+* `after.md`: la guía de repaso de acciones posteriores (_a.k.a._, hotwash, debrief, o post-mortem)---acciones llevadas a cabo despues de una respuesta a incidentes.
+* `about.md`: footer que contiene información acerca de toda la plantilla.
+* `info.yml`: archivo que contiene valores para las cadenas de texto de la plantilla durante todo el plan (ver abajo)
+
+### Rellenar `info.yml` con la información de tu organización
+
+Los archivos de la plantilla tienen muchos marcadores de posición que `{{se_ven_así}}`. El propósito de cada marcador debería ser discernible del contexto y de [default `info.yml` file](./info.yml) está comentado para claridad adicional. Esta es la sintaxis de la plantilla [mustache](https://mustache.github.io/) y tiene un enorme soporte mediante una variedad de herramientas y lenguajes.
+
+La manera más fácil de reemplazar esas variables es personalizar el archivo `info.yml` con la información de tu organización y usar el proporcionado [Makefile](https://en.wikipedia.org/wiki/Make_(software)) (as of v1.0.0) para encontrar y reemplazar automáticamente todas las cadenas de texto relevantes. _NOTA:_ esto requiere que `make` (naturalmente), `mustache`, y `pandoc` esten instalados y disponibles en el path de usuario `$PATH`. _NOTA:_ la salida en pdf necesita `pdflatex` (ver [this gist](https://gist.github.com/rain1024/98dd5e2c6c8c28f9ea9d) para instrucciones en Ubuntu/Debian), y necesitarás `git` si quiere clonar el repositorio antes que descargarlo en formato zip.
+
+Si no tiene la información o las herramientas referenciadas en las variables de la plantilla, es mejor solucionar eso. **Especialmente** la lista de información crítica (datos que quiere proteger) y la lista de activos críticos (sistemas que quiere proteger).
+
+### Construye la plantilla
+
+En la terminal de su linux, mac, o [WSL](https://docs.microsoft.com/en-us/windows/wsl/faq):
+
+```bash
+# instalar dependencias indispensables si no están ya
+sudo apt-get install make ruby-mustache pandoc
+
+# para formato pdf (big)
+sudo apt-get install texlive-latex-base texlive-fonts-recommended texlive-fonts-extra texlive-latex-extra
+
+# cambiar al directorio del repositorio clonado
+cd /path/to/incident-response-plan-template
+
+# construir la plantilla
+make
+```
+
+Esto fusiona los componentes de la plantilla, los combina con tus datos personalizados de `info.yml`, y los saca en todos los formatos soportados en el directorio `public/`.
+
+*Si tiene un caso específico y quiere más detalles, siga leyendo!*
+
+### Personalizar aún más el plan
+
+1. Rellenar cualquier variable restante de la plantilla (las cadenas como `{{se_ven_así}}`).
+1. Repasar todos los indicadores `TODO` para probables areas personalizables, si se desea. Borrarlas si los cambios no se requieren.
+1. Añadir cualquier rol o guía relevante para tu organización. Pueden ser añadidos con el tiempo.
+1. Personalizar cualquier cosa más! Lo que sea que sienta que sea más efectivo paara tu organización.
+1. _Opcional:_ Personalizar el formateo directamente o [usar opciones de pandoc](https://learnbyexample.github.io/customizing-pandoc/). El Makefile por defecto usa los estilos predeterminados de Pandoc y no son para cualquiera.
+
+### Despliegue y uso del plan
+
+El Makefile usa [pandoc](https://pandoc.org) para crear una variedad de formatos o puede usar los archivos markdown con [mkdocs](http://www.mkdocs.org/), [hugo](https://gohugo.io/), o un sinfín de otras plataformas.
+
+### Ejemplos
+
+Ejemplos de cada formato están disponibles en [directorio de ejemplos](./examples). El [markdown version](./examples/plan.md) es un buen lugar para empezar, renderizado de markdown a html automáticamente por github.
+
+### Contactenos
+
+Para profesional asistencia con respuesta a incidentes, o con personalización, implementación, o probar su plan, por favor contactenos en contact@counteractive.net o [(888) 925-5765](tel:+18889255765).
+
+## Licencia
+
+Esta plantilla está proporcionada bajo una licencia Apache version 2.0. Ver la [LICENCIA](./LICENSE) y [NOTICIA](./NOTICE) archivos para información adicional.
+
+## Referencias y Material adicional
+
+* [Awesome Incident Response](https://github.com/meirwah/awesome-incident-response)
+* [NIST Computer Security Incident Handling Guide](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) (NIST)
+* [CERT Societe Generale Incident Response Methodologies](https://github.com/certsocietegenerale/IRM/tree/master/EN)
+* [Incident Handler's Handbook](https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901) (SANS)
+* [Technical Approaches to Uncovering and Remediating Malicious Activity](https://us-cert.cisa.gov/ncas/alerts/aa20-245a) (Cybersecurity and Infrastructure Security Agency (CISA))
+* [Responding to IT Security Incidents](https://technet.microsoft.com/en-us/library/cc700825.aspx) (Microsoft)
+* [Defining Incident Management Processes for CSIRTs: A Work in Progress](http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=7153) (CMU)
+* [Creating and Managing Computer Security Incident Handling Teams (CSIRTS)](https://www.first.org/conference/2008/papers/killcrece-georgia-slides.pdf) (CERT)
+* [Incident Management for Operations](http://shop.oreilly.com/product/0636920036159.do) (Rob Schnepp, Ron Vidal, Chris Hawley)
+* [_Incident Response & Computer Forensics, Third Edition_](http://a.co/cUkFzMh) (Jason Luttgens. Matthew Pepe. Kevin Mandia)
+* [_Incident Response_](http://shop.oreilly.com/product/9780596001308.do) (Kenneth R. van Wyk, Richard Forno)
+* [The Checklist Manifesto](http://atulgawande.com/book/the-checklist-manifesto/) (Atul Gawande)
+* [The Field Guide to Understanding Human Error](https://www.amazon.com/Field-Guide-Understanding-Human-Error/dp/0754648265) (Sidney Dekker)
+* [Normal Accidents: Living with High-Risk Technologies](https://www.amazon.com/Normal-Accidents-Living-High-Risk-Technologies/dp/0691004129) (Charles Perrow)
+* [Site Reliability Engineering](https://landing.google.com/sre/book.html) (Google)
+* [Debriefing Facilitation Guide](http://extfiles.etsy.com/DebriefingFacilitationGuide.pdf) (Etsy)
+* [Every Minute Counts: Leading Heroku's Incident Response](https://www.heavybit.com/library/video/every-minute-counts-coordinating-herokus-incident-response/) (Blake Gentry)
+* [Three Analytical Traps in Accident Investigation](https://www.youtube.com/watch?v=TqaFT-0cY7U) (Dr. Johan Bergström)
+* [US National Incident Management System (NIMS)](https://www.fema.gov/national-incident-management-system) (FEMA)
+* [Informed's NIMS Incident Command System Field Guide](https://www.amazon.com/gp/product/1284038408) (Michael J. Ward)
+* [PagerDuty IR Docs](https://response.pagerduty.com/)
+* [NIST 800-61r2](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
+* [NIST CSF](https://www.nist.gov/cyberframework)
+* [CSO Online 10 Steps](https://www.csoonline.com/article/3203705/security/10-steps-for-a-successful-incident-response-plan.html) (June 2017) and [CSO Online 9 Steps](https://www.csoonline.com/article/3099684/disaster-recovery/9-steps-for-a-successful-incident-response-plan.html) (July 2016)
+* [SecurityMetrics blog 6 Steps to Making an IR Plan](http://blog.securitymetrics.com/2017/01/6-steps-to-making-incident-response-plan.html)
+* [Cal Berkeley IR Plan Development](https://security.berkeley.edu/incident-response-planning-guideline)
+* [EPA IR Plan](https://www.epa.gov/sites/production/files/2016-01/documents/cio_2150-p-08.2.pdf)
+* [incidentresponse.com playbooks](https://www.incidentresponse.com/playbooks/)
+
+## Hoja de ruta
+
+Ver lista de [problemas](https://github.com/counteractive/incident-response-plan-template/issues) .
+
+## Registro de cambios
+
+Ver página de [versiones](https://github.com/counteractive/incident-response-plan-template/releases) .
From a7fe396a4a2f0eb458f6cbcd1a130371631126b7 Mon Sep 17 00:00:00 2001
From: jesusrelinque <94535862+jesusrelinque@users.noreply.github.com>
Date: Tue, 10 May 2022 09:05:04 +0200
Subject: [PATCH 004/199] =?UTF-8?q?Traducci=C3=B3n=20rol=204=20experto?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
roles/role-4-expert.md | 80 +++++++++++++++++++++---------------------
1 file changed, 40 insertions(+), 40 deletions(-)
diff --git a/roles/role-4-expert.md b/roles/role-4-expert.md
index 213fa06..e6c1130 100644
--- a/roles/role-4-expert.md
+++ b/roles/role-4-expert.md
@@ -1,40 +1,40 @@
-## Role: Subject Matter Expert (SME)
-
-### Description
-
-A Subject Matter Expert (SME) is a domain expert or designated owner of a team, component, or service (an "area"). You are there to support the incident commander in identifying the cause of the incident, suggesting and evaluation investigation, remediation, and communication actions, and following through on them as tasked.
-
-### Duties
-
-1. Diagnose common problems within your area of expertise.
-1. Rapidly fix issues found during an incident.
-1. Concise communication:
- * Condition: What is the current state of your area? Is it healthy or not?
- * Actions: What actions need to be taken if your area is not in a healthy state?
- * Needs: What support do you need need to perform an action?
-1. Participate in the investigation, remediation, and/or communication phases of the response.
-1. Announce all suggestions to the incident commander, it is their decision on how to proceed, do not follow any actions unless told to do so.
-
-If you are on-call for any team, you may be paged for an incident and will be expected to respond as a subject matter expert (SME) for your team, component, or service. Anyone who is considered a "domain expert" can act as a SME for an incident. Typically the team's primary on-call will act as the SME for that team.
-
-#### Prepare for On-Call Period
-
-1. Be prepared, by having already familiarized yourself with our incident response policies and procedures.
-1. Make sure you have set up your alerting methods in accordance with our on-call procedure.
-1. Check you can join the incident call. You may need to install a browser plugin.
-1. Be aware of your upcoming on-call time and arrange swaps around travel, vacations, appointments, etc.
-1. If you are an Incident Commander, make sure you are not on-call for your team at the same time as being on-call as Incident Commander.
-
-#### During On-Call Period
-
-1. Have your laptop and Internet with you at all times during your on-call period (office, home, a MiFi, a phone with a tethering plan, etc).
-1. If you have important appointments, you need to get someone else on your team to cover that time slot in advance.
-1. When you receive an alert for an incident, you are expected to join the incident call and chat as quickly as possible (within minutes).
-1. You will be asked questions or given actions by the Incident Commander. Answer questions concisely, and follow all actions given (even if you disagree with them).
-1. If you're not sure about something, bring in other SMEs from your team that can help. **Never hesitate to escalate**, if necessary.
-1. Do not blame. This incident response process is completely blameless: blaming is counter productive and distracts from the problem at hand. After-action review will identify places we can all improve.
-
-### Training
-
-* Read and understand the incident response plan, including the roles and playbooks.
-
+## Rol: Experto en la materia {Subject Matter Expert (SME)}
+
+### Descripción
+
+Un experto en la materia (SME) es un experto en el dominio o propietario designado de un equipo, componente o servicio (un "área"). Está ahí para apoyar al jefe de incidentes en la identificación de la causa del incidente, sugiriendo y evaluando las acciones de investigación, remediación y comunicación, y realizando el seguimiento de las mismas según se le encomiende.
+
+### Funciones
+
+1. Diagnosticar problemas comunes dentro de su área de experiencia.
+1. Solucionar rápidamente los problemas detectados durante un incidente.
+1. Comunicación concisa:
+ * Estado: ¿Cuál es el estado actual de su área? ¿Es saludable o no?
+ * Acciones: ¿Qué medidas hay que tomar si su zona no se encuentra en un estado saludable?
+ * Necesidades: ¿Qué apoyo necesita para realizar una acción?
+1. Participar en las fases de investigación, remediación y/o comunicación de la respuesta.
+1. Anunciar todas las sugerencias al comandante del incidente, es su decisión cómo proceder, no siga ninguna acción a menos que se le indique.
+
+Si está de guardia para cualquier equipo, puede ser llamado para un incidente y se espera que responda como experto en la materia (SME) para su equipo, componente o servicio. Cualquiera que se considere un "experto en la materia" puede actuar como SME para un incidente. Por lo general, el principal de guardia del equipo actuará como SME para ese equipo.
+
+
+#### Prepárese para el periodo de guardia
+
+1. Esté preparado, habiéndose familiarizado ya con nuestras políticas y procedimientos de respuesta a incidentes.
+1. Asegúrese de que ha configurado sus métodos de alerta de acuerdo con nuestro procedimiento de guardia.
+1. Compruebe que puede unirse a la llamada de incidentes. Es posible que tenga que instalar un plugin para el navegador.
+1. Tenga en cuenta su próximo tiempo de guardia y organice los cambios en función de los viajes, las vacaciones, las citas, etc.
+1. Si usted es comandante de incidentes, asegúrese de no estar de guardia para su equipo al mismo tiempo que está de guardia como comandante de incidentes.
+
+#### Durante el periodo de guardia
+
+1. Tenga su ordenador portátil e Internet con usted en todo momento durante su período de guardia (oficina, casa, un MiFi, un teléfono con un plan de conexión, etc).
+1. Si tiene citas importantes, debe conseguir que otra persona de su equipo cubra esa franja horaria con antelación.
+1. Cuando recibas una alerta de incidente, se espera que te unas a la llamada de incidente y chatees lo antes posible (en cuestión de minutos).
+1. El jefe de incidentes le hará preguntas o le dará acciones. Responde a las preguntas de forma concisa y sigue todas las acciones que se te den (incluso si no estás de acuerdo con ellas).
+1. Si no estás seguro de algo, haz venir a otros miembros de tu equipo que puedan ayudarte. **Nunca dudes en escalar**, si es necesario.
+1. No culpes. Este proceso de respuesta a incidentes no tiene ninguna culpa: culpar es contraproducente y distrae del problema en cuestión. La revisión posterior a la acción identificará los puntos en los que todos podemos mejorar.
+
+### Formación
+
+* Lea y comprenda el plan de respuesta a incidentes, incluidas las funciones y las guías de actuación.
From d70fa0846c53227690b6cdf4e5e7ff9c06e548b8 Mon Sep 17 00:00:00 2001
From: JesusJimenezSantana
<94167953+JesusJimenezSantana@users.noreply.github.com>
Date: Tue, 10 May 2022 09:09:04 +0200
Subject: [PATCH 005/199] Add files via upload
---
roles/role-5-liaison.md | 110 ++++++++++++++++++++--------------------
1 file changed, 55 insertions(+), 55 deletions(-)
diff --git a/roles/role-5-liaison.md b/roles/role-5-liaison.md
index 9850cd8..5d61ccf 100644
--- a/roles/role-5-liaison.md
+++ b/roles/role-5-liaison.md
@@ -1,55 +1,55 @@
-## Role: Liaison
-
-### Description
-
-Liaisons interact with other teams or stakeholders, outside the incident response team. These often include:
-
-* External Liaison: responsible for interacting with customers, either directly, or via public communication.
-* Internal Liaison: responsible for interacting with internal stakeholders. Whether it's notifying an internal team of the incident, or mobilizing additional responders within the organization.
-
-### Duties
-
-#### External or Customer Liaison
-
-1. Post any publicly facing messages regarding the incident (Twitter, etc).
-1. Notify the IC of any customers or media coverage reporting affects of the incident.
-1. Provide customers with the external message from the post-mortem once it is completed.
-1. Contact or interact with external stakeholders such as vendors, partners, law enforcement, _etc._
-1. **Do not** feel responsible for creating every message: work with the Incident Commander and other stakeholders.
-1. As appropriate, keep customers informed during an incident.
-1. Act as a voice for our customers to the Incident Commander, as this is useful for IC decision making.
-1. Gaining message approval after you have crafted the public message: copy the message into chat and wait for verbal/written confirmation from the IC before proceeding.
-
-##### Tips for Public Messages
-
-* Prepare a default message in advance that can be used for the initial update if the scope of the issue is unknown.
-* Be honest. Do not lie or guess.
-* Describe our progress in resolving the incident.
- * _"We are aware of an incident..."_
- * _"We are investigating delayed notifications..."_
- * _"A fix has been applied and is currently being deployed..."_
- * _"The issue has been resolved..."_
-* Be clear about how the incident is affecting customers. This is the primary piece of information customers will care about.
-* Provide workarounds customers can use until the incident is resolved.
-* Don't estimate resolution times.
-* Provide the appropriate level of detail.
-
-#### Internal Liaison
-
-1. Page SME's or other on-call personnel as instructed by the Incident Commander.
-1. Notify or mobilize other teams within the organization (e.g. Finance, Legal, Marketing), as instructed by the Incident Commander.
-1. Track and anticipate SMEs on the call.
-1. Interact with stakeholders and provide status updates as necessary.
-1. Interact with internal stakeholders to answer their questions, to keep the primary call distraction free.
-1. Provide regular status updates to the executive team, giving an executive summary of the current status.
-
-### Training
-
-Read and understand the incident response plan, including the roles and playbooks.
-
-#### Prerequisites
-
-* Excellent verbal and written **communication skills**.
-* _OPTIONAL:_ Customer support training.
-* _OPTIONAL:_ Corporate communication or marketing training.
-
+## Rol: Enlace
+
+### Descripción
+
+Los enlaces interactuan con otros equipos o partes interesadas fuera del equipo de respuesta a incidentes. A menudo incluyen:
+
+* Enlace externo: responsable de interactuar con clientes, ya sea directamente o por vía pública.
+* Enlace interno: responsable de interactuar con las partes interesadas internas. Tanto si se trata de notificar un incidente al equipo interno como al movilizar respuestas adicionales dentro de la organización.
+
+### Deberes
+
+#### Enlace con el exterior o con el cliente
+
+1. Subir cualquier mensaje de cara al público con respecto al incidente (Twitter, etc).
+1. Notificar al IC (Intelligence Customer) de cualquier cliente o cobertura de los medios de comunicación que informen de los efectos del incidente.
+1. Proporcionar a los clientes el mensaje externo de la autopsia una vez que se haya completado.
+1. Contactar o interactuar con las partes interesadas externas, como proveedores, socios, fuerzas de seguridad, _etc._
+1. **No** sentirse responsable de la creación de cada mensaje: trabajar con el Jefe del Incidente y otras partes interesadas.
+1. Según proceda, mantener a los clientes informados durante un incidente.
+1. Actuar como voz de nuestros clientes ante el Jefe de Incidentes, ya que esto es útil para la toma de decisiones del IC.
+1. Obtener la aprobación del mensaje después de haber elaborado el mensaje público: copiar el mensaje en el chat y esperar la confirmación verbal/escrita del IC antes de continuar.
+
+##### Pistas para mensajes públicos
+
+* Preparar de antemano un mensaje por defecto que pueda utilizarse para la actualización inicial si se desconoce el alcance del problema.
+* Sé honesto. No mientas o supongas.
+* Describa nuestros progresos en la resolución del incidente.
+ * _"Somos conscientes de un incidente..."_
+ * _"Estamos investigando los retrasos en las notificaciones..."_
+ * _"Se ha aplicado una corrección y se está desplegando actualmente..."_
+ * _"El problema ha sido resuelto..."_
+* Explique claramente cómo afecta el incidente a los clientes. Esta es la principal información que les interesa a los clientes.
+* Proporcionar soluciones que los clientes puedan utilizar hasta que se resuelva la incidencia.
+* No calcule los tiempos de resolución.
+* Proporcionar el nivel de detalle adecuado.
+
+#### Enlace interno
+
+1. Página PYMES u otro personal de guardia según las instrucciones del Jefe del Incidente.
+1. Notificar o movilizar a otros equipos de la organización (por ejemplo, Finanzas, Legal, Marketing), según las instrucciones del Jefe del Incidente.
+1. Seguir y anticiparse a las PYMES en la convocatoria.
+1. Interactuar con las partes interesadas y proporcionar actualizaciones de estado cuando sea necesario.
+1. Interactuar con las partes interesadas internas para responder a sus preguntas, para mantener la llamada principal libre de distracciones.
+1. Proporcionar actualizaciones periódicas de la situación al equipo ejecutivo, ofreciendo un resumen ejecutivo de la situación actual.
+
+### Formación
+
+Leer y comprender el plan de respuesta a incidentes, incluyendo los roles y las guías.
+
+#### Prerequisitos
+
+* Excelentes **habilidades de comunicación** verbal y escrita.
+* _OPCIONAL:_ Formación en atención al cliente.
+* _OPCIONAL:_ Comunicación corporativa o formación en marketing.
+
From 1f1c16b6caba178a19588323dcda3453312198bc Mon Sep 17 00:00:00 2001
From: jesusrelinque <94535862+jesusrelinque@users.noreply.github.com>
Date: Tue, 10 May 2022 09:09:05 +0200
Subject: [PATCH 006/199] =?UTF-8?q?Traducci=C3=B3n=20after?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
after.md | 73 ++++++++++++++++++++++++++++----------------------------
1 file changed, 36 insertions(+), 37 deletions(-)
diff --git a/after.md b/after.md
index 7fe9eb7..14ae558 100644
--- a/after.md
+++ b/after.md
@@ -1,37 +1,36 @@
-# Conduct an After Action Review (AAR)
-
-1. Schedule an After Action Review (AAR) meeting within {{AAR_SLA}} and invite the attendees listed at {{AAR_ATTENDEES}}. Always include the following:
- * The incident commander.
- * Service owners involved in the incident.
- * Key engineer(s)/responders involved in the incident.
-1. Designate an AAR owner who will investigate the incident in advance of the meeting to prepare, looking into the incident process itself including reviewing notes and reports.
-
-## Conduct the AAR Meeting
-
-Document answers to the following key questions:
-
-1. **What happened?** Create a timeline, supported with data or other artifacts. **Avoid blame. Find facts.**
-1. **What was supposed to happen?**
- * Detail deviations from process, procedure, or best practice, including SME assessments.
- * Identify ways the incident could have been detected sooner, or responded to more effectively
-1. **What were the root causes?** Find root cause to things that happened and to things that should have happened.
-1. **How can we improve?** Capture action items _with assignees and due dates_. Consider:
- * Stop: what should we stop doing?
- * Start: what should we start doing?
- * Continue: what should we keep doing?
-
-## Communicate AAR Status and Results
-
-The AAR owner, in coordination with the Internal Liaison, will communicate the status of the AAR (see below)
-
-### Status Descriptions
-
-| Status | Description |
-|-|-|
-| **Draft** | AAR investigation is still ongoing |
-| **In Review** | AAR investigation has been completed, and is ready to be reviewed during the AAR meeting. |
-| **Reviewed** | AAR meeting is over and the content has been reviewed and agreed upon.
If there are additional "External Messages", the communications team will take action to prepare. |
-| **Closed** | No further actions are needed on the AAR (outstanding issues are tracked in tickets).
If no "External Messages", skip straight to this once the meeting is over.
If there are additional "External Messages", communications team will update AAR Closed once sent. |
-
-Communicate the results of the AAR internally and finalize the AAR documentation.
-
+# Realizar una revisión posterior a la acción (Conduct an After Action Review, AAR)
+
+1. Programe una reunión de revisión posterior a la acción (AAR) dentro de {{AAR_SLA}} e invite a los asistentes que figuran en {{AAR_ATTENDEES}}. Incluya siempre a los siguientes:
+ * El jefe del incidente.
+ * Los propietarios de los servicios implicados en el incidente.
+ * Ingeniero(s)/responsable(s) clave(s) implicado(s) en el incidente.
+1. Designe a un propietario del AAR que investigue el incidente antes de la reunión para prepararlo, estudiando el proceso del incidente en sí, incluyendo la revisión de notas e informes.
+
+## Realización de la reunión AAR
+
+Documente las respuestas a las siguientes preguntas clave:
+
+1. **¿Qué ocurrió?** Cree una línea de tiempo, apoyada con datos u otros artefactos. **Evitar las culpas. Busca los hechos.**
+1. **¿Qué se suponía que iba a ocurrir?**
+ * Detallar las desviaciones del proceso, el procedimiento o las mejores prácticas, incluidas las evaluaciones de las PYMES.
+ * Identifique las formas en que el incidente podría haberse detectado antes o haberse respondido con mayor eficacia.
+1. **¿Cuáles fueron las causas fundamentales?** Encuentre la raíz de lo que ocurrió y de lo que debería haber ocurrido.
+1. **¿Cómo podemos mejorar?** Capture los elementos de acción con asignados y fechas de vencimiento. Considerar:
+ * Detener: ¿Qué debemos dejar de hacer?
+ * Empezar: ¿Qué deberíamos empezar a hacer?
+ * Continuar: ¿Qué debemos seguir haciendo?
+
+## Comunicar el estado y los resultados del AAR
+
+El propietario del informe, en coordinación con el enlace interno, comunicará el estado del informe (véase más abajo).
+
+### Descripciones de estado
+
+| Estado | Descripción |
+|-|-|
+| **Borrador** | La investigación de la AAR sigue en curso |
+| **En revisión** | La investigación AAR se ha completado, y está lista para ser revisada durante la reunión AAR. |
+| **Revisado** | La reunión de AAR ha terminado y el contenido ha sido revisado y acordado.
Si hay "Mensajes externos" adicionales, el equipo de comunicación tomará medidas para prepararlos. |
+| **Cerrado** | No es necesario realizar más acciones en el AAR (los problemas pendientes se rastrean en los tickets).
Si no hay "Mensajes Externos", pase directamente a esto una vez que la reunión haya terminado.
Si hay "Mensajes Externos" adicionales, el equipo de comunicaciones actualizará el AAR Cerrado una vez enviado. |
+
+Comunicar internamente los resultados del AAR y finalizar la documentación del AAR.
From 6aa7bc4c25510a3d2e768d106156ec9a0ed84e02 Mon Sep 17 00:00:00 2001
From: AbelPosadoReyes <94357701+AbelPosadoReyes@users.noreply.github.com>
Date: Tue, 10 May 2022 09:09:25 +0200
Subject: [PATCH 007/199] Add files via upload
---
playbooks/index.md | 12 +-
playbooks/playbook-defacement.md | 335 ++++++++++++++++---------------
2 files changed, 175 insertions(+), 172 deletions(-)
diff --git a/playbooks/index.md b/playbooks/index.md
index e8fafa2..5aff633 100644
--- a/playbooks/index.md
+++ b/playbooks/index.md
@@ -1,6 +1,6 @@
-# Playbooks
-
-The following playbooks capture common [investigation](#investigate), [remediation](#remediate), and [communication](#communicate) steps for particular types of incident.
-
-`TODO: Create additional playbooks for highly likely or highly damaging incident types.`
-
+# Libros de jugadas
+
+Los siguientes libros de jugadas capturan los pasos comunes de [investigación](#investigación), [remediación](#remediación) y [comunicación](#comunicación) para determinados tipos de incidentes.
+
+Tarea: Crear libros de juego adicionales para tipos de incidentes muy probables o muy perjudiciales.
+
diff --git a/playbooks/playbook-defacement.md b/playbooks/playbook-defacement.md
index 8e5ebf2..77809c4 100644
--- a/playbooks/playbook-defacement.md
+++ b/playbooks/playbook-defacement.md
@@ -1,166 +1,169 @@
-## Playbook: Website Defacement
-
-**Investigate, remediate (contain, eradicate), and communicate in parallel!**
-
-Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
-
-### Investigate
-1. Immediately take the defaced server offline for further investigation
- * This is especially important if the defacement is insulting or triggering in any way. Remove this from the public eye as quickly as possible to avoid harm as well as to mitigate business impact.
- * The defacement message may also contain false information that could mislead users or put them at risk.
- * Taking the server offline will allow a deeper investigation of the defacement. This may be necessary as the hacker may have dove depper into the organization accessing application servers, databases, etc.
-2. Determine the system's source of vulnerability that was used by the attacker. Common exploits include:
- * SQL injection attakcs
- * This kind of attack occurs when an attacker interferes with an application's queries to the database. Therefore, this can lead to unauthorized access to private or sensitive data. Read more about SQL injection attacks [here](https://www.acunetix.com/websitesecurity/sql-injection/)
- * Remote File Inclusion (RFI) attacks
- * This kind of attack exploits an application's referencing function to upload malware from a remote URL. Read more about RFI attacks [here](https://www.acunetix.com/blog/articles/remote-file-inclusion-rfi/)
- * webshells
- * More about web shells and website defacement [here](https://www.wordfence.com/blog/2017/06/wso-shell/)
- * poor web application design
- * javascript hacks
- * PHP/ASP hacks
- * Here's more on [hacking with javascript](https://itnext.io/how-companies-are-hacked-via-malicious-javascript-code-12aa82560bdc)
- * other methods of detection include:
- * Checking the server logs
- * look through the web page's access log and error log for any suspicious or unfamiliar activity
- * of course, it is also a good idea to check the IDS or IPS firewall logs, if available
- * Checking files with static content
- * Scanning databases for malicious content
- * Checking links present in the page
-3. Collect any clues as to who the hacker is or what organization they are working for. Consider the following questions:
- * What did the defacement portray? Did it include an obvious message?
- * Did the defacement seem harmless or intentional? Could the hacker be a kid messing around or a professional group working with a motive?
- * Does it seem like your organization was targeted? Who may want to target your organization?
- * What did the hacker hope to accomplish?
- * Consult [here](https://www.geeksforgeeks.org/types-of-hackers/) to learn more about the types of hackers that may have attacked your webpage.
-4. Collect other important information from the page that has been defaced such as:
- * a screenshot of the defacement
- * the domain and IP address of the page
- * details of the web server
- * page's source code
- * analyze this carefully to identify the problem and ensure that it is on a server belonging to the company
- * name or any information on the attacker
-6. There are also tools available to aid in both detection and log analysis. A few are listed below:
- * Weblog Expert
- * Sawmill
- * Deep Log Analyzer
-
-
-`TODO: Expand investigation steps, including key questions and strategies, for website defacement.`
-
-### Remediate
-
-* **Plan remediation events** where these steps are launched together (or in coordinated fashion), with appropriate teams ready to respond to any disruption.
-* **Consider the timing and tradeoffs** of remediation actions: your response has consequences.
-
-#### Contain
-
-`TODO: Customize containment steps, tactical and strategic, for website defacement.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-1. Backup all data stored on the web server for forensic purposes.
-2. As previously mentioned, make sure to take the defaced page's server down temporarily while investigation occurs.
- * You should have an error page prepared for this situation that informs user and/or employees that maintenance is undereway and the page they sought will return shortly. You may even wish to have a backup website prepared where you may publish content while investigation and remediation are underway and have your temporary error page redirect users to this backup site.
- * Check your network architecture map. If the breach is another system on the network, take that down and investigate it.
-3. Once the source of the attack has been determined, apply the necessarily steps to ensure this will not happen again. This may include modifying code or editing access rights.
- * Reference the "Investigate" section for common sources of vulnerability.
- * If this is outside of your domain, simply ensure that you have given the appropriate personnel all the information on the attack that you have and allow experts to do their job.
-
-### Recover
-
-`TODO: Customize recovery steps for defacement`
-
-`TODO: Specify tools and procedures for each step, below`
-
-1. Remove the hacker's message and replace with original, legitimate content. If data was lost in the attack, reference backups and restore the original page as much as possible.
- * Check backups for indicators of compromise
- * Consider partial recovery and backup integrity testing
-2. Consider asking users to change their login credentials if the web server has user authentication.
-3. After implementing risk avoidance measures (as recommended below), restore your server showing the original page content.
-4. If necessary and/or applicable, prepare an apology/explanation of the attack that occurred for users or anyone who witnessed the defacement. Ensure that is it clear that the defacement content does not reflect your organization in any way.
-
-#### Risk Avoidance
-
-`TODO: Communicate with other employees to ensure that everyone understands and contributes to the following steps, where applicable`
-
-1. Use as few plug-ins as necessary. Hackers target websites that are vulnerable and have many sources of entry. You can limit these sources of entry by only using what you need and removing any unused or old plug ins and software. It is also important to update these as soon as possible.
-2. Closely monitor and mandate access to administrative content. Only allow individuals access to what they need access to. This will reduce the chance of human error leading to cyber attacks. There are more DIY methods of prevention mentioned in [this article](https://cirt.gy/index.php/node/116) (steps 6-12) and in resource #4 at the end of this playbook.
-3. Regularly check for malware on your site by scanning the source code. Look for scripts, iframes, or URLs that look unfamiliar and make sure to also scan URLs that do look familiar.
-4. There are many highly reputable automated website scanners that will not cost any of your time and will thoroughly scan your site for vulnerabilities regularly. Here is a [link to popular scanners](https://resources.infosecinstitute.com/14-popular-web-application-vulnerability-scanners/#gref).
-5. Defend against common points of exploitation such as SQL injections and XSS attacks. [This article](https://www.banffcyber.com/knowledge-base/articles/best-practices-address-issue-web-defacement/) includes best practices to defend these attacks.
-6. Install defacement detection programs so that if an attack were to occurr again, you would be prepared and respond quickly. Here is an [article](https://www.techradar.com/news/best-website-defacement-monitoring-service) that summarizes some of 2020's best monitoring services.
-7. Discuss with your employees the importance of keeping administrative access limited and confidential and inform them of these steps to avoid incidents including regular cybersecurity awareness training.
-
-#### Reference: Remediation Resources
-
-`TODO: Specify financial, personnel, and logistical resources to accomplish remediation`
-
-### Communicate
-
-`TODO: Customize communication steps for defacement`
-
-`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan`
-
-1. Escalate incident and communicate with leadership per procedure
-1. Document incident per procedure (and report if applicable)
-1. Communicate with internal and external legal counsel per procedure, including discussions of compliance, risk exposure, liability, law enforcement contact, _etc._
-1. Communicate with users (internal)
- 1. Communicate incident response updates per procedure
- 1. Communicate impact of incident **and** incident response actions (e.g., containment: "why is the file share down?")
- 1. Communicate requirements: "what should users do and not do?"
-1. Communicate with customers
- 1. Focus particularly on those whose data was affected
- 1. Generate required notifications based on applicable regulations (particularly those that may consider defacement a data breach or otherwise requires notifications) `TODO: Expand notification requirements and procedures for applicable regulations`
-1. Contact insurance provider(s)
- 1. Discuss what resources they can make available, what tools and vendors they support and will pay for, _etc._
- 1. Comply with reporting and claims requirements to protect eligibility
-1. Consider notifying and involving law enforcement. TODO: Link the following bullets to actual resources for your organization
- 1. [Local law enforcement](#TODO-link-to-actual-resource)
- 1. [State or regional law enforcement](#TODO-link-to-actual-resource)
- 1. [Federal or national law enforcement](#TODO-link-to-actual-resource)
-1. Communicate with security and IT vendors TODO: Link the following bullets to actual resources for your organization
- 1. Notify and collaborate with [managed providers](#TODO-link-to-actual-resource) per procedure
- 1. Notify and collaborate with [incident response consultants](#TODO-link-to-actual-resource) per procedure
-
-### Resources
-
-#### Reference: User Actions for Suspected Defacement Attack
-
-`TODO: Customize steps for users dealing with suspected defacement`
-
-1. Stay calm, take a deep breath.
-1. Disconnect your system from the network `TODO: include detailed steps with screenshots, a pre-installed tool or script to make this easy ("break in case of emergency"), consider hardware network cut-off switches`
-1. Take pictures of the page you see using your smartphone showing the things you noticed: the defacement message and any other changes to the usual site.
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. Every little bit helps! Document the following:
- 1. What did you notice?
- 1. When did it first occur, and how often since?
- 1. What data do you typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Contact the [help desk](#TODO-link-to-actual-resource) and be as helpful as possible.
-1. Be patient: allow the IT personnel get it under control, you may be protecting others from harm! **Thank you.**
-
-#### Reference: Help Desk Actions for Suspected Defacement Attack
-
-`TODO: Customize steps for help desk personnel dealing with suspected defacement`
-
-1. Stay calm, take a deep breath.
-1. Open a ticket to document the incident, per procedure. `TODO: Customize template with key questions (see below) and follow-on workflow`
-1. Use your best judgement on which steps to prioritize (i.e. if the defacement left harmful or triggerring content, prioritize taking down the server immediately).
-1. Ask the user to take pictures of their screen using their smartphone showing the things they noticed.
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. If this is a user report, ask detailed questions, including:
- 1. What did you notice?
- 1. When did it first occur, and how often since?
- 1. What data do you typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Ask follow-up questions as necessary. **You are an incident responder, we are counting on you.**
-1. Get detailed contact information from the user (home, office, mobile), if applicable.
-1. Record all information in the ticket, including hand-written and voice notes.
-1. Quarantine affected users and systems. `TODO: Customize containment steps, automate as much as possible`
-1. Contact the [security team](#TODO-link-to-actual-resource) and stand by to participate in the response as directed: investigation, remediation, communication, and recovery.
-
-#### Additional Information
-1. A helpful and detailed [paper](https://pdfs.semanticscholar.org/899e/2d629e06d920b9059edb21fcb52cdb33f783.pdf) on defacement detection
-2. 10 tools for [better website monitoring and security](https://geekflare.com/website-defacement-monitoring/)
-3. [2019 Website Threat Research Report](https://sucuri.net/reports/2019-hacked-website-report/) with helpful statistics
-4. [Article](https://www.imperva.com/learn/application-security/website-defacement-attack/) including DIYs and Best practices to prevent website defacement
\ No newline at end of file
+
+## Playbook: Desaparición de sitios web
+
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+Asigne los pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este libro de jugadas no es puramente secuencial. Utilice su mejor criterio.
+
+### Investigar
+
+1. Desconecte inmediatamente el servidor desfigurado para investigarlo.
+ * Esto es especialmente importante si la desfiguración es insultante o provocadora de algún modo. Elimine esto de la vista del público tan pronto como sea posible para evitar daños, así como para mitigar el impacto del negocio.
+ * El mensaje de desfiguración también puede contener información falsa que podría confundir a los usuarios o ponerlos en peligro.
+ * Desconectar el servidor permitirá una investigación más profunda de la desfiguración. Esto puede ser necesario, ya que el hacker puede haberse adentrado en la organización accediendo a servidores de aplicaciones, bases de datos, etc.
+2. Determine el origen de la vulnerabilidad del sistema que ha utilizado el atacante. Los exploits más comunes son:
+ * Ataques de inyección SQL
+ * Este tipo de ataque se produce cuando un atacante interfiere en las consultas de una aplicación a la base de datos. Por lo tanto, esto puede conducir a un acceso no autorizado a datos privados o sensibles. Lea más sobre los ataques de inyección SQL [aquí](https://www.acunetix.com/websitesecurity/sql-injection/)
+ * Ataques de inclusión remota de archivos (RFI)
+ * Este tipo de ataque explota la función de referencia de una aplicación para cargar malware desde una URL remota. Más información sobre los ataques RFI [aquí](https://www.acunetix.com/blog/articles/remote-file-inclusion-rfi/)
+ * webshells
+ * Más información sobre web shells y defacement de sitios web [aquí](https://www.wordfence.com/blog/2017/06/wso-shell/)
+ * mal diseño de aplicaciones web
+ * hacks de javascript
+ * hacks de PHP/ASP
+ * Aquí hay más sobre [hacking con javascript](https://itnext.io/how-companies-are-hacked-via-malicious-javascript-code-12aa82560bdc)
+ * otros métodos de detección incluyen:
+ * Comprobar los registros del servidor
+ * buscar en el registro de acceso y en el registro de errores de la página web cualquier actividad sospechosa o desconocida
+ * por supuesto, también es una buena idea comprobar los registros del firewall IDS o IPS, si están disponibles
+ * Comprobar los archivos con contenido estático
+ * Escanear las bases de datos en busca de contenido malicioso
+ * Comprobación de los enlaces presentes en la página
+3. Recoge cualquier pista sobre quién es el hacker o para qué organización trabaja. Considera las siguientes preguntas:
+ * ¿Qué representa la desfiguración? ¿Incluía un mensaje obvio?
+ * ¿Parece que la desfiguración es inofensiva o intencionada? ¿Podría ser el hacker un niño jugando o un grupo profesional que trabaja con un motivo?
+ * ¿Parece que su organización haya sido el objetivo? ¿Quién podría querer atacar a su organización?
+ * ¿Qué esperaba conseguir el hacker?
+ * Consulta [aquí](https://www.geeksforgeeks.org/types-of-hackers/) para saber más sobre los tipos de hackers que pueden haber atacado tu página web.
+4. Recoge otra información importante de la página que ha sido desfigurada, como por ejemplo
+ * una captura de pantalla de la desfiguración
+ * el dominio y la dirección IP de la página
+ * detalles del servidor web
+ * el código fuente de la página
+ * analizarlo cuidadosamente para identificar el problema y asegurarse de que se encuentra en un servidor de la empresa
+ * nombre o cualquier información sobre el atacante
+6. También existen herramientas que ayudan a la detección y al análisis de los registros. A continuación se enumeran algunas de ellas:
+ * Weblog Expert
+ * Sawmill
+ * Deep Log Analyzer
+
+
+
+`TODO: Ampliar los pasos de la investigación, incluyendo las preguntas clave y las estrategias, para la desfiguración de sitios web.`
+
+### Remediar
+
+**Planificar eventos de reparación** en los que estos pasos se pongan en marcha juntos (o de forma coordinada), con los equipos adecuados listos para responder a cualquier interrupción.
+* **Considere el momento y las compensaciones** de las acciones de remediación: su respuesta tiene consecuencias.
+
+#### Contención
+
+Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para la desfiguración de sitios web.
+
+Tarea: Especificar las herramientas y los procedimientos para cada paso, a continuación.
+
+1. Haga una copia de seguridad de todos los datos almacenados en el servidor web con fines forenses.
+2. Como se ha mencionado anteriormente, asegúrese de que el servidor de la página desfigurada está temporalmente fuera de servicio mientras se lleva a cabo la investigación.
+ * Debe tener una página de error preparada para esta situación que informe al usuario y/o a los empleados de que el mantenimiento está en marcha y que la página que buscaban volverá en breve. Incluso podría tener preparada una página web de respaldo en la que pueda publicar contenido mientras se lleva a cabo la investigación y la reparación, y hacer que su página de error temporal redirija a los usuarios a este sitio de respaldo.
+ * Compruebe su mapa de arquitectura de red. Si la brecha es otro sistema de la red, descárguelo e investíguelo.
+3. Una vez que se haya determinado el origen del ataque, aplique los pasos necesarios para garantizar que esto no vuelva a suceder. Esto puede incluir la modificación del código o la edición de los derechos de acceso.
+ * Consulte la sección "Investigar" para conocer las fuentes comunes de vulnerabilidad.
+ * Si esto está fuera de su dominio, simplemente asegúrese de que ha dado al personal apropiado toda la información sobre el ataque que tiene y permita que los expertos hagan su trabajo.
+
+
+### Recover
+
+`TODO: Personalizar los pasos de recuperación para la desfiguración`
+
+`TODO: Especifique las herramientas y los procedimientos para cada paso, a continuación`
+
+1. Elimine el mensaje del hacker y reemplácelo por el contenido original y legítimo. Si se han perdido datos en el ataque, consulte las copias de seguridad y restaure la página original en la medida de lo posible.
+ * Compruebe las copias de seguridad en busca de indicadores de compromiso
+ * Considere la recuperación parcial y la prueba de integridad de las copias de seguridad
+2. Considere pedir a los usuarios que cambien sus credenciales de acceso si el servidor web tiene autenticación de usuario.
+3. Después de aplicar las medidas para evitar riesgos (como se recomienda a continuación), restaure su servidor mostrando el contenido original de la página.
+4. Si es necesario y/o aplicable, prepare una disculpa/explicación del ataque ocurrido para los usuarios o cualquier persona que haya presenciado la desfiguración. Asegúrese de que queda claro que el contenido desfigurado no refleja a su organización de ninguna manera.
+
+#### Evitar riesgos
+
+`TODO: Comuníquese con otros empleados para asegurarse de que todos entienden y contribuyen a los siguientes pasos, cuando sea aplicable`.
+
+1. Utilice el menor número de plug-ins posible. Los piratas informáticos tienen como objetivo los sitios web que son vulnerables y tienen muchas fuentes de entrada. Puedes limitar estas fuentes de entrada utilizando sólo lo que necesites y eliminando los plug-ins y el software que no utilices o sean antiguos. También es importante actualizarlos lo antes posible.
+2. Controle de cerca y ordene el acceso a los contenidos administrativos. Permita que las personas accedan sólo a lo que necesitan. Esto reducirá la posibilidad de que un error humano provoque un ciberataque. Hay más métodos de prevención DIY mencionados en [este artículo](https://cirt.gy/index.php/node/116) (pasos 6-12) y en el recurso #4 al final de este libro de jugadas.
+3. Comprueba regularmente si hay malware en tu sitio web escaneando el código fuente. Busca scripts, iframes o URLs que te parezcan desconocidos y asegúrate de escanear también las URLs que sí te resulten familiares.
+4. Hay muchos escáneres automáticos de sitios web de gran reputación que no le costarán nada de su tiempo y escanearán a fondo su sitio en busca de vulnerabilidades con regularidad. Aquí hay un [enlace a escáneres populares](https://resources.infosecinstitute.com/14-popular-web-application-vulnerability-scanners/#gref).
+5. Defiéndase contra los puntos comunes de explotación, como las inyecciones SQL y los ataques XSS. [Este artículo](https://www.banffcyber.com/knowledge-base/articles/best-practices-address-issue-web-defacement/) incluye las mejores prácticas para defender estos ataques.
+6. Instala programas de detección de desfiguración para que, si volviera a producirse un ataque, estés preparado y respondas rápidamente. Aquí hay un [artículo](https://www.techradar.com/news/best-website-defacement-monitoring-service) que resume algunos de los mejores servicios de monitoreo de 2020.
+7. Habla con tus empleados de la importancia de mantener el acceso administrativo limitado y confidencial e infórmales de estos pasos para evitar incidentes, incluyendo la formación periódica de concienciación sobre ciberseguridad.
+
+#### Referencia: Recursos de remediación
+
+`TODO: especificar los recursos financieros, de personal y logísticos para llevar a cabo la reparación`.
+
+### Comunicar
+
+TODO: Personalizar los pasos de comunicación para la desfiguración
+
+TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general`.
+
+1. 1. Elevar el incidente y comunicarlo a la dirección según el procedimiento
+1. 2. Documentar el incidente según el procedimiento (e informar si procede)
+1. Comunicarse con los asesores jurídicos internos y externos según el procedimiento, incluyendo discusiones sobre el cumplimiento, la exposición al riesgo, la responsabilidad, el contacto con las fuerzas del orden, _etc._.
+1. Comunicarse con los usuarios (internos)
+ 1. Comunicar las actualizaciones de la respuesta a incidentes según el procedimiento
+ 1. Comunicar el impacto del incidente **y** las acciones de respuesta al incidente (por ejemplo, contención: "¿por qué está caído el archivo compartido?")
+ 1. Comunicar los requisitos: "¿qué deben hacer y no hacer los usuarios?"
+1. Comunicar a los clientes
+ 1. Centrarse especialmente en aquellos cuyos datos se vieron afectados
+ 1. Generar las notificaciones requeridas en base a las regulaciones aplicables (particularmente aquellas que puedan considerar la desfiguración como una violación de datos o que requieran notificaciones de otro tipo) `TODO: Ampliar los requisitos y procedimientos de notificación para las regulaciones aplicables`.
+1. Contactar con los proveedores de seguros
+ 1. Discutir qué recursos pueden poner a disposición, qué herramientas y proveedores apoyan y pagarán, _etc._.
+ 1. Cumplir con los requisitos de presentación de informes y reclamaciones para proteger la elegibilidad
+1. Considerar la posibilidad de notificar e implicar a las fuerzas del orden. TODO: Vincule las siguientes viñetas con los recursos reales de su organización
+ 1. [Aplicación de la ley local](#TODO-link-to-actual-resource)
+ 1. 1. [Aplicación de la ley a nivel estatal o regional](#TODO-link-to-actual-resource)
+ 1. 1. [Fuerzas de seguridad federales o nacionales](#TODO-link-to-actual-resource)
+1. Comuníquese con los proveedores de seguridad y de TI TODO: Vincule las siguientes viñetas con los recursos reales de su organización
+ 1. Notifique y colabore con [proveedores gestionados](#TODO-link-to-actual-resource) según el procedimiento
+ 1. 2. Notificar y colaborar con [consultores de respuesta a incidentes](#TODO-link-to-actual-resource) por procedimiento
+
+### Recursos
+
+#### Referencia: Acciones del usuario ante un ataque de sospecha de defacement
+
+Tarea: Personalizar los pasos a seguir por los usuarios ante una sospecha de defacement
+
+1. Mantenga la calma y respire profundamente.
+1. 2. Desconecte su sistema de la red `TODO: incluya pasos detallados con capturas de pantalla, una herramienta preinstalada o un script para hacer esto fácil ("romper en caso de emergencia"), considere interruptores de corte de red por hardware`.
+1. Haz fotos de la página que veas con tu smartphone mostrando las cosas que has notado: el mensaje de desfiguración y cualquier otro cambio en el sitio habitual.
+1. 2. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. Todo ayuda. Documenta lo siguiente:
+ 1. ¿Qué has notado?
+ 1. ¿Cuándo ocurrió por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿A qué datos suele acceder?
+ 1. ¿Con quién más se ha puesto en contacto en relación con este incidente y qué le ha dicho?
+1. Ponte en contacto con el [servicio de asistencia](#TODO-enlace-al-recurso) y sé lo más servicial posible.
+1. Ten paciencia: deja que el personal informático lo controle, ¡puedes estar protegiendo a otros de un daño! **Gracias.**
+
+#### Referencia: Acciones del Help Desk ante un presunto ataque de defacement
+
+`TODO: Personalizar los pasos para el personal del servicio de asistencia ante una sospecha de defacement`.
+
+1. Mantenga la calma y respire profundamente.
+1. Abra un ticket para documentar el incidente, según el procedimiento. Tarea: Personalizar la plantilla con las preguntas clave (véase más abajo) y el flujo de trabajo posterior.
+1. Utiliza tu mejor criterio para decidir qué pasos priorizar (por ejemplo, si la desfiguración dejó contenido dañino o desencadenante, prioriza la retirada del servidor inmediatamente).
+1. Pídele al usuario que tome fotos de su pantalla con su teléfono inteligente mostrando las cosas que notó.
+1. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. 2. Si se trata de un informe de usuario, haga preguntas detalladas, incluyendo
+ 1. ¿Qué has notado?
+ 1. ¿Cuándo ocurrió por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿A qué datos suele acceder?
+ 1. ¿Con quién más se ha puesto en contacto en relación con este incidente y qué le ha dicho?
+1. Haga las preguntas de seguimiento que sean necesarias. **Usted es una persona que responde al incidente, contamos con usted.**
+1. Obtenga información de contacto detallada del usuario (domicilio, oficina, móvil), si procede.
+1. Registre toda la información en el ticket, incluyendo notas manuscritas y de voz.
+1. Ponga en cuarentena a los usuarios y sistemas afectados. `TODO: Personalizar los pasos de contención, automatizar todo lo posible`.
+1. Póngase en contacto con el [equipo de seguridad] (#TODO-link-to-actual-resource) y prepárese para participar en la respuesta según las indicaciones: investigación, reparación, comunicación y recuperación.
+
+#### Información adicional
+1. Un útil y detallado [paper](https://pdfs.semanticscholar.org/899e/2d629e06d920b9059edb21fcb52cdb33f783.pdf) sobre la detección de la desfiguraciónw
+2. 10 herramientas para[better website monitoring and security](https://geekflare.com/website-defacement-monitoring/)
+3. [2019 Website Threat Research Report](https://sucuri.net/reports/2019-hacked-website-report/) con estadísticas útiles
+4. [Article](https://www.imperva.com/learn/application-security/website-defacement-attack/) incluyendo bricolaje y mejores prácticas para evitar la desfiguración de sitios web
\ No newline at end of file
From 985e47c73066f22dfad4313bb3f6d1aa72152469 Mon Sep 17 00:00:00 2001
From: AbelPosadoReyes <94357701+AbelPosadoReyes@users.noreply.github.com>
Date: Tue, 10 May 2022 09:10:03 +0200
Subject: [PATCH 008/199] Update index.md
---
playbooks/index.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/playbooks/index.md b/playbooks/index.md
index 5aff633..8d3ccb5 100644
--- a/playbooks/index.md
+++ b/playbooks/index.md
@@ -1,4 +1,4 @@
-# Libros de jugadas
+# Playbook
Los siguientes libros de jugadas capturan los pasos comunes de [investigación](#investigación), [remediación](#remediación) y [comunicación](#comunicación) para determinados tipos de incidentes.
From 00153dc08a2252a8669824325934bce9330d2c68 Mon Sep 17 00:00:00 2001
From: DavidValenClass <94535833+DavidValenClass@users.noreply.github.com>
Date: Tue, 10 May 2022 09:14:13 +0200
Subject: [PATCH 009/199] Add files via upload
---
playbooks/playbook-identity-and-access.md | 129 +++++++++++-----------
1 file changed, 64 insertions(+), 65 deletions(-)
diff --git a/playbooks/playbook-identity-and-access.md b/playbooks/playbook-identity-and-access.md
index 3b6aaf2..b8c3875 100644
--- a/playbooks/playbook-identity-and-access.md
+++ b/playbooks/playbook-identity-and-access.md
@@ -1,65 +1,64 @@
-## Playbook: Identity and Access Compromise
-
-**Investigate, remediate (contain, eradicate), and communicate in parallel!**
-
-Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
-
-### Investigate
-
-`TODO: Expand investigation steps, including key questions and strategies, for identity and access compromise.`
-
-1. TODO
-
-### Remediate
-
-* **Plan remediation events** where these steps are launched together (or in coordinated fashion), with appropriate teams ready to respond to any disruption.
-* **Consider the timing and tradeoffs** of remediation actions: your response has consequences.
-
-#### Contain
-
-`TODO: Customize containment steps, tactical and strategic, for identity and access compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* TODO
-
-`TODO: Consider automating containment measures using orchestration tools.`
-
-#### Eradicate
-
-`TODO: Customize eradication steps, tactical and strategic, for identity and access compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* TODO
-
-#### Reference: Remediation Resources
-
-`TODO: Specify financial, personnel, and logistical resources to accomplish remediation.`
-
-### Communicate
-
-`TODO: Customize communication steps for identity and access compromise`
-
-`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan.`
-
-In addition to the general steps and guidance in the incident response plan:
-
-1. TODO
-
-### Recover
-
-`TODO: Customize recovery steps for identity and access compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-In addition to the general steps and guidance in the incident response plan:
-
-1. TODO
-
-### Resources
-
-#### Additional Information
-
-1. ["Title"](#TODO-url), Author Last Name (Date)
-
+## Playbook: Compromiso de identidad y acceso
+
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+
+Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este libro de jugadas no es puramente secuencial. Utilice su mejor criterio.
+
+### Investigar
+
+Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el compromiso de la identidad y el acceso.
+
+1. TODO
+
+### Remediar
+
+* **Planificar eventos de remediación** en los que estos pasos se lancen juntos (o de forma coordinada), con los equipos apropiados listos para responder a cualquier interrupción.
+* **Considere el tiempo y las compensaciones** de las acciones de remediación: su respuesta tiene consecuencias.
+
+#### Contención
+
+Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para el compromiso de la identidad y el acceso.
+
+TODO: Especificar las herramientas y procedimientos para cada paso, a continuación.
+
+*TODO
+
+`TODO: Considerar la automatización de las medidas de contención utilizando herramientas de orquestación.`
+
+#### Erradicar
+
+TODO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el compromiso de la identidad y el acceso.
+
+TODO: Especificar herramientas y procedimientos para cada paso, a continuación.
+
+* TODO
+
+#### Referencia: Recursos de remediación
+
+`TODO: Especificar los recursos financieros, de personal y logísticos para llevar a cabo la remediación.`
+
+### Comunicar
+
+TODO: Personalizar los pasos de comunicación para el compromiso de la identidad y el acceso.
+
+`TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general.`
+
+Además de los pasos y orientaciones generales del plan de respuesta a incidentes:
+
+1. TODO
+
+### Recuperación
+
+`TODO: Personalizar los pasos de recuperación para el compromiso de la identidad y el acceso.`
+
+`TODO: Especifique las herramientas y los procedimientos para cada paso, a continuación.`
+
+Además de los pasos y orientaciones generales del plan de respuesta a incidentes:
+
+1. TODO
+
+### Recursos
+
+#### Información adicional
+
+1. ["Title"](#TODO-url), Author Last Name (Date)
From 46f749aec7207cf58dd3cb78e556882f877ff33c Mon Sep 17 00:00:00 2001
From: alejandrosanchezman
<94168011+alejandrosanchezman@users.noreply.github.com>
Date: Tue, 10 May 2022 09:14:46 +0200
Subject: [PATCH 010/199] Add files via upload
---
about.md | 75 +++++++++++++++++++++++++++++---------------------------
1 file changed, 39 insertions(+), 36 deletions(-)
diff --git a/about.md b/about.md
index 05304bb..b5344f3 100644
--- a/about.md
+++ b/about.md
@@ -1,36 +1,39 @@
-# About
-
-This template was developed by the team at [Counteractive Security](https://www.counteractive.net), to help all organizations get a good start on a concise, directive, specific, flexible, and free incident response plan. Build a [plan you will actually use](https://www.counteractive.net/posts/an-ir-plan-you-will-use/) to respond effectively, minimize cost and impact, and get back to business as soon as possible.
-
-## License
-
-This template is provided under the Apache License, version 2.0. You can view the source code for this plan at https://github.com/counteractive.
-
-## Instructions
-
-Customize this plan template for your own organization. Instructions are available in the project's [README](https://github.com/counteractive). For professional assistance with incident response, or with customizing, implementing, or testing your plan, please contact us by [email](mailto:support@counteractive.net) or [phone](tel:+18889255765).
-
-## References and Additional Reading
-
-* [NIST Computer Security Incident Handling Guide](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) (NIST)
-* [CERT Societe Generale Incident Response Methodologies](https://github.com/certsocietegenerale/IRM/tree/master/EN)
-* [NIST Cybersecurity Framework](https://www.nist.gov/cyberframework)
-* [Incident Handler's Handbook](https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901) (SANS)
-* [Responding to IT Security Incidents](https://technet.microsoft.com/en-us/library/cc700825.aspx) (Microsoft)
-* [Defining Incident Management Processes for CSIRTs: A Work in Progress](http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=7153) (CMU)
-* [Creating and Managing Computer Security Incident Handling Teams (CSIRTS)](https://www.first.org/conference/2008/papers/killcrece-georgia-slides.pdf) (CERT)
-* [Incident Management for Operations](http://shop.oreilly.com/product/0636920036159.do) (Rob Schnepp, Ron Vidal, Chris Hawley)
-* [_Incident Response & Computer Forensics, Third Edition_](http://a.co/cUkFzMh) (Jason Luttgens. Matthew Pepe. Kevin Mandia)
-* [_Incident Response_](http://shop.oreilly.com/product/9780596001308.do) (Kenneth R. van Wyk, Richard Forno)
-* [The Checklist Manifesto](http://atulgawande.com/book/the-checklist-manifesto/) (Atul Gawande)
-* [The Field Guide to Understanding Human Error](https://www.amazon.com/Field-Guide-Understanding-Human-Error/dp/0754648265) (Sidney Dekker)
-* [Normal Accidents: Living with High-Risk Technologies](https://www.amazon.com/Normal-Accidents-Living-High-Risk-Technologies/dp/0691004129) (Charles Perrow)
-* [Site Reliability Engineering](https://landing.google.com/sre/book.html) (Google)
-* [Debriefing Facilitation Guide](http://extfiles.etsy.com/DebriefingFacilitationGuide.pdf) (Etsy)
-* [Every Minute Counts: Leading Heroku's Incident Response](https://www.heavybit.com/library/video/every-minute-counts-coordinating-herokus-incident-response/) (Blake Gentry)
-* [Three Analytical Traps in Accident Investigation](https://www.youtube.com/watch?v=TqaFT-0cY7U) (Dr. Johan Bergström)
-* [US National Incident Management System (NIMS)](https://www.fema.gov/national-incident-management-system) (FEMA)
-* [Informed's NIMS Incident Command System Field Guide](https://www.amazon.com/gp/product/1284038408) (Michael J. Ward)
-* [Advanced PostMortem Fu and Human Error 101 (Velocity 2011)](http://www.slideshare.net/jallspaw/advanced-postmortem-fu-and-human-error-101-velocity-2011)
-* [Blame. Language. Sharing.](http://fractio.nl/2015/10/30/blame-language-sharing/)
-
+# Acerca de
+
+Esta plantilla ha sido creada por el equipo de [Counteractive Security](https://www.counteractive.net), para ayudar a todas las organizaciones a comenzar de forma concisa, directa, especifica, flexible y gratuita un plan de respuesta de incidentes. crea un plan [que utilizaras](https://www.counteractive.net/posts/an-ir-plan-you-will-use/) para responder de manera eficiente, minimizando los costes e impactos, para volver a trabajar lo mas rapido posible.
+
+
+## Licencia
+
+Esta plantilla esta proporcionado bajo la licencia de apache, version 2.0. puedes ver el codigo fuente en https://github.com/counteractive.
+
+
+## Instrucciones
+
+Personaliza esta plantilla para tu organizacion. Las instrucciones estan disponibles en el [README](https://github.com/counteractive) del projecto. Para asistencia profesional con respuestas de incidentes, o con customizacion, implementacion, o testeo de tu plan, porfavor contacta con nosotros por [email](mailto:support@counteractive.net) o [telefono](tel:+18889255765).
+
+
+## Referencias y material adicional
+
+* [NIST Computer Security Incident Handling Guide](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) (NIST)
+* [CERT Societe Generale Incident Response Methodologies](https://github.com/certsocietegenerale/IRM/tree/master/EN)
+* [NIST Cybersecurity Framework](https://www.nist.gov/cyberframework)
+* [Incident Handler's Handbook](https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901) (SANS)
+* [Responding to IT Security Incidents](https://technet.microsoft.com/en-us/library/cc700825.aspx) (Microsoft)
+* [Defining Incident Management Processes for CSIRTs: A Work in Progress](http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=7153) (CMU)
+* [Creating and Managing Computer Security Incident Handling Teams (CSIRTS)](https://www.first.org/conference/2008/papers/killcrece-georgia-slides.pdf) (CERT)
+* [Incident Management for Operations](http://shop.oreilly.com/product/0636920036159.do) (Rob Schnepp, Ron Vidal, Chris Hawley)
+* [_Incident Response & Computer Forensics, Third Edition_](http://a.co/cUkFzMh) (Jason Luttgens. Matthew Pepe. Kevin Mandia)
+* [_Incident Response_](http://shop.oreilly.com/product/9780596001308.do) (Kenneth R. van Wyk, Richard Forno)
+* [The Checklist Manifesto](http://atulgawande.com/book/the-checklist-manifesto/) (Atul Gawande)
+* [The Field Guide to Understanding Human Error](https://www.amazon.com/Field-Guide-Understanding-Human-Error/dp/0754648265) (Sidney Dekker)
+* [Normal Accidents: Living with High-Risk Technologies](https://www.amazon.com/Normal-Accidents-Living-High-Risk-Technologies/dp/0691004129) (Charles Perrow)
+* [Site Reliability Engineering](https://landing.google.com/sre/book.html) (Google)
+* [Debriefing Facilitation Guide](http://extfiles.etsy.com/DebriefingFacilitationGuide.pdf) (Etsy)
+* [Every Minute Counts: Leading Heroku's Incident Response](https://www.heavybit.com/library/video/every-minute-counts-coordinating-herokus-incident-response/) (Blake Gentry)
+* [Three Analytical Traps in Accident Investigation](https://www.youtube.com/watch?v=TqaFT-0cY7U) (Dr. Johan Bergström)
+* [US National Incident Management System (NIMS)](https://www.fema.gov/national-incident-management-system) (FEMA)
+* [Informed's NIMS Incident Command System Field Guide](https://www.amazon.com/gp/product/1284038408) (Michael J. Ward)
+* [Advanced PostMortem Fu and Human Error 101 (Velocity 2011)](http://www.slideshare.net/jallspaw/advanced-postmortem-fu-and-human-error-101-velocity-2011)
+* [Blame. Language. Sharing.](http://fractio.nl/2015/10/30/blame-language-sharing/)
+
From 562ad0cbae41cda5e4c4304961d936f3afe83464 Mon Sep 17 00:00:00 2001
From: DavidValenClass <94535833+DavidValenClass@users.noreply.github.com>
Date: Tue, 10 May 2022 09:15:03 +0200
Subject: [PATCH 011/199] Add files via upload
---
roles/role-0-all-participants.md | 95 ++++++++++++++++----------------
1 file changed, 47 insertions(+), 48 deletions(-)
diff --git a/roles/role-0-all-participants.md b/roles/role-0-all-participants.md
index bf963af..6ccc577 100644
--- a/roles/role-0-all-participants.md
+++ b/roles/role-0-all-participants.md
@@ -1,48 +1,47 @@
-## Role: All Participants
-
-### Description
-
-All participants in an incident response have the responsibility to help resolve the incident according to the incident response plan, under the authority of the Incident Commander.
-
-### Duties
-
-#### Exhibit Call Etiquette
-
-* Join both the call and chat.
-* Keep background noise to a minimum.
-* Keep your microphone muted until you have something to say.
-* Identify yourself when you join the call; State your name and role (_e.g._, "I am the SME for team x").
-* Speak up and speak clearly.
-* Be direct and factual.
-* Keep conversations/discussions short and to the point.
-* Bring any concerns to the Incident Commander (IC) on the call.
-* Respect time constraints given by the Incident Commander.
-* If you join only one channel (call or chat), do not actively participate, as it causes disjoined communication.
-* **Use clear terminology, and avoid acronyms or abbreviations. Clarity and accuracy is more important than brevity.**
-
-##### Reference: Common Voice Procedure
-
-Standard radio [voice procedure](https://en.wikipedia.org/wiki/Voice_procedure#Words_in_voice_procedure) **is not required**, however you may hear certain terms (or need to use them yourself). Common phrases include:
-
-* **Ack/Rog:** "I have received and understood"
-* **Say Again:** "Repeat your last message"
-* **Standby:** "Please wait a moment for the next response"
-* **Wilco:** "Will comply"
-
-**Do not** invent new abbreviations; favor being explicit over implicit.
-
-#### Follow the Incident Commander
-
-The Incident Commander (IC) is the leader of the incident response process.
-
-* Follow instructions from the incident commander.
-* Do not perform any actions unless the incident commander has told you to do so.
-* The commander will typically poll for strong objections before tasking a large action. Raise objections if you have them.
-* Once the commander has made a decision, follow that decision (even if you disagreed).
-* Answer any questions the commander asks you in a clear and concise way. Answering "I don't know" is acceptable. Do not guess.
-* The commander may ask you to investigate something and get back to them in X minutes. Be ready with an answer within that time. Asking for more time is acceptable, but provide the commander an estimate.
-
-### Training
-
-Read and understand the incident response plan, including the roles and playbooks.
-
+## Roles: Todos los participantes
+
+### Descripción
+
+Todos los participantes en la respuesta a un incidente tienen la responsabilidad de ayudar a resolver el incidente de acuerdo con el plan de respuesta a incidentes, bajo la autoridad del Jefe de Incidentes.
+
+### Deberes
+
+#### Exhibir la etiqueta de la llamada
+
+* Participar tanto en la llamada como en el chat.
+* Mantenga el ruido de fondo al mínimo.
+* Mantenga el micrófono silenciado hasta que tenga algo que decir.
+* Identifíquese cuando entre en la llamada; diga su nombre y su función (por ejemplo, "Soy el SME del equipo x").
+* Habla con claridad.
+* Sea directo y objetivo.
+* Mantenga las conversaciones/debates breves y al grano.
+* Comunicar cualquier preocupación al Jefe de Incidentes (IC) en la llamada.
+* Respetar las limitaciones de tiempo dadas por el Jefe del Incidente.
+* Si te unes a un solo canal (llamada o chat), no participes activamente, ya que provoca una comunicación inconexa.
+* **Utilice una terminología clara y evite acrónimos o abreviaturas. La claridad y la precisión son más importantes que la brevedad.**
+
+##### Referencia: Procedimiento común de voz
+
+El [procedimiento de voz] estándar de la radio (https://en.wikipedia.org/wiki/Voice_procedure#Words_in_voice_procedure) **no es obligatorio**, sin embargo, es posible que escuche ciertos términos (o que tenga que utilizarlos usted mismo). Las frases comunes incluyen:
+
+* **Ack/Rog:** "He recibido y entendido"
+* **Say Again:** "Repita su último mensaje"
+* **Standby:** "Por favor, espere un momento para la siguiente respuesta"
+* **Wilco:** "Cumpliré"
+
+**No** invente nuevas abreviaturas; favorezca ser explícito sobre lo implícito.
+
+#### Seguir al jefe del Incidente
+
+El jefe del incidente (IC) es el líder del proceso de respuesta al incidente.
+
+* Siga las instrucciones del jefe del incidente.
+* No realice ninguna acción a menos que el jefe del incidente se lo indique.
+* El jefe normalmente sondeará si hay objeciones fuertes antes de asignar una acción importante. Plantee sus objeciones si las tiene.
+* Una vez que el jefe haya tomado una decisión, sígala (incluso si no está de acuerdo).
+* Responde a cualquier pregunta que te haga el jefe de forma clara y concisa. Responder "no sé" es aceptable. No adivine.
+* El jefe puede pedirte que investigues algo y que le contestes en X minutos. Esté preparado con una respuesta dentro de ese tiempo. Pedir más tiempo es aceptable, pero proporcione al jefe una estimación.
+
+### Capacitación
+
+Lee y entiende el plan de respuesta a incidentes, incluyendo los roles y los libros de jugadas.
From e358943793ad58cfb67edee3f01234aa019593f6 Mon Sep 17 00:00:00 2001
From: alejandrosanchezman
<94168011+alejandrosanchezman@users.noreply.github.com>
Date: Tue, 10 May 2022 09:15:47 +0200
Subject: [PATCH 012/199] Add files via upload
---
roles/role-1-commander.md | 156 +++++++++++++++++++-------------------
1 file changed, 77 insertions(+), 79 deletions(-)
diff --git a/roles/role-1-commander.md b/roles/role-1-commander.md
index e34e859..ab0e9ce 100644
--- a/roles/role-1-commander.md
+++ b/roles/role-1-commander.md
@@ -1,79 +1,77 @@
-## Role: Incident Commander (IC)
-
-### Description
-
-The Incident Commander (IC) acts as the single source of truth of what is currently happening and what is going to happen during an major incident. The IC is the highest ranking individual on any incident call, regardless of their day-to-day rank. They are the decision maker during an incident; they delegate tasks and listen to subject matter experts to resolve the incident. Their decisions made as commander are final.
-
-Your job as an IC is to evaluate the situation, provide clear guidance and coordination, recruiting others to gather context/details. **Do not perform any investigation or remediation:** delegate these tasks.
-
-### Duties
-
-Resolve the incident as quickly and as safely as possible using the incident response plan as a framework: lead the team to investigate, remediate, communicate. Use the Deputy to assist you, and delegate to relevant liaisons and experts (SMEs) at your discretion.
-
-1. Help prepare for incidents,
- * Setup communications channels for incidents.
- * Funnel people to these communications channels when there is a major incident.
- * Train team members on how to communicate during incidents and train other Incident Commanders.
-1. Drive incidents to resolution,
- * Get everyone on the same communication channel.
- * Collect information from team members for their services/area of ownership status.
- * Collect proposed repair actions, then recommend repair actions to be taken.
- * Delegate all repair actions, the Incident Commander is NOT a resolver.
- * Be the single authority on system status
-1. Facilitate calls and meetings,
- * Gain consensus (Poll During a Decision)
- * Provide status updates
- * Reduce scope (dismiss attendees when possible)
- * Spin off sub-teams
- * Transfer command when necessary
- * Sign off calls
- * Maintain order
- * Get straight answers
- * Handle executive swoop such as
- * Overriding the Incident Commander
- * Anti-motivation
- * Information requests
- * Questioning severity
- * Handle disruptive or belligerent responders
-1. Post Mortem,
- * Creating the initial template right after the incident so people can put in their thoughts while fresh.
- * Assigning the post-mortem after the event is over, this can be done after the call.
- * Work with Team Leads/Managers on scheduling preventive actions.
-
-The Incident Commander uses some additional call procedures and lingo:
-
-* Always announce when you join the call if you are the on-call IC.
-* **Do not** let discussions get out of hand. Keep conversations short.
-* Note objections from others, but your call is final.
-* If anyone is being actively disruptive to your call, kick them off.
-* Announce the end of the call.
-* After an incident, communicate with other training Incident Commanders on any debrief actions you feel are necessary.
-
-**Use clear terminology, and avoid acronyms or abbreviations. Clarity and accuracy is more important than brevity.**
-
-### Training
-
-* Read the incident response plan, including all roles and playbooks.
-* Participate in an incident response exercise.
-* Shadow a current incident commander without actively participating, keeping your questions until the end.
-* Reverse shadow a current incident commander. Respond to incidents with the current IC there to take over if necessary.
-* _OPTIONAL:_ facilitation training
-* _OPTIONAL:_ Refer to [Incident Responders as Facilitators (and Therapists)](#FIX) and the [PagerDuty Incident Commander training](https://response.pagerduty.com/training/incident_commander/) for more ideas and discussion.
-
-#### Prerequisites
-
-There is no seniority or business-unit prerequisites to become an Incident Commander, it is a role open to anyone with the training and ability. Before you can be an Incident Commander, it is expected that you meet the following criteria:
-
-* Excellent verbal and written **communication skills**.
-* **High-level knowledge** of business infrastructure and functions.
-* Excellent critical thinking, judgment, and decision-making.
-* Flexibility and ability to **listen to expert feedback**, modifying plans as necessary.
-* **Participated in at least two incident responses**.
-* Gravitas, ability to **take command**, and **willingness to kick people off a call** to remove distractions, even if it's the CEO.
-
-Deep technical knowledge is not required! Incident Commanders do not require deep technical knowledge of our systems. Your job as Incident Commander is to coordinate the response, not make technical changes. Don’t think you can’t be an Incident Commander just because you’re not in the engineering department.
-
-#### Graduation
-
-Upon completion of training, add yourself to the Incident Commander roster.
-
+## Rol: Jefe de incidente
+
+### Descripcion
+El jefe de incidente (JI) actua como la unica fuente de lo que realmente esta ocurriendo y va a ocurrir durante un incidente grave. El JI es el individuo con mayor ranking en cualquier llamada de incidente, sin importar el rango en el dia a dia. Ellos son los que toman decisiones durante un incidente; delegan tareas y prestan atencion a expertos en la materia que estan tratando para resolver el incidente. Las decisiones tomadas por el el jefe de incidente son las decisivas.
+
+Tu trabajo como jefe de incidente es evaluar la situacion, proveer un guiado claro y cordinado, contratar otros trabajadores para recolectar contexto/detalles.**No realizar investigaciones o remedios** delega estos trabajos.
+
+### Deberes
+
+Resuelve el incidente lo mas rapido y seguro posible usando el plan de respuesta de incidentes como plantilla de trabajo: guia al equipo de investigacion, remedio, comunicación. Utiliza al diputado para que te ayude, y delegue a relevantes enlaces y expertos a tu discreción.
+
+1. Ayuda a preparos para incidentes,
+ * Establecer canales de comunicacion para incidentes.
+ * Redirige a las personas hacia estos canales de comunicacion cuando acurra algun incidente grave.
+ * Entrena a miembros del equipo sobre como comunicarte durante incidentes y entrena a otros jefes de incidentes.
+1. Dirige los incidentes hacia una solucion,
+ * Lleva a todos al mismo canal de comunicacion.
+ * Recolecta informacion de los miembros del equipo por sus servicios de estatus.
+ * Recolecta propuestas de reparacion de acciones, despues recomienda acciones de reparacion para que se lleven acabo.
+ * Delega todas la acciones de reparacion, el jefe de incidentes no es un resolutor.
+ * Se la unica fuente de autoridad en el estado del sistema.
+1. Facilita las llamadas y reuniones,
+ * Gana concenso (Realiza encuentas durante las llamadas)
+ * Proporciona actualizaciones de estatus
+ * Reduce el alcance (despedir a los asistentes cuando sea posible)
+ * Spin off sub-equipos
+ * Transfiere el control cuando sea necesario
+ * Firmar las llamadas
+ * Mantener el orden
+ * Obten respuestas directas
+ * Manejar las caidas de ejecutivos como
+ * Anular al jefe de incidentes
+ * Desmotivación
+ * Peticion de informacion
+ * Cuestionar la severidad
+ * Manejar respuestas perturbadoras o beligerantes
+1. Post Mortem,
+ * Crear la plantilla inicial justo despues del incidente para que las personas puedan escribir sus opiniones mientras estan frescas.
+ * Asignar el post-mortem despues de que el evento termine, esto puede darse despues de terminar la llamada.
+ * Trabaja con los manager o jefes de equipo para organizar acciones preventivas.
+
+El jefe de incidentes utiliza metodos y lenguajes adicionales:
+
+* Siempre anuncie cuando se una a la llamada si es el JI de guardia.
+* **No** permita que las discusiones se salgan de control. Mantenga las conversaciones cortas.
+* Tenga en cuenta las objeciones de los demás, pero tu decision es la definitiva.
+* Si alguien está interrumpiendo activamente tu decision, expulsalo.
+* Anuncia el final de la llamada.
+* Después de un incidente, comuníquese con otros jefes de incidentes sobre cualquier acción que considere necesaria.
+
+**Utilice una terminología clara y evite las siglas o abreviaturas. La claridad y la precisión son más importantes que la brevedad.**
+
+### Practicas
+
+* Lea el plan de respuesta a incidentes, incluidos todos los roles y manuales.
+* Participar en un ejercicio de respuesta a incidentes.
+* Seguir a un jefe de incidentes actual sin participar activamente, manteniendo sus preguntas hasta el final.
+* Tomar la iniciativa de un jefe de incidentes. Responda a incidentes con el JI actual allí para hacerse cargo si es necesario.
+* _OPCIONAL:_ facilitar las practicas
+* _OPCIONAL:_ recurre a [Incident Responders as Facilitators (and Therapists)](#FIX) y al [PagerDuty Incident Commander training](https://response.pagerduty.com/training/incident_commander/) para mas ideas y discussiones.
+
+#### prerequisitos
+
+No hay requisitos previos de antigüedad o unidad de negocios para convertirse en jefe de Incidentes, es un rol abierto a cualquier persona con la capacitación y la capacidad. Antes de que pueda ser un jefe de incidentes, se espera que cumpla con los siguientes criterios:
+
+* Excelentes **habilidades de comunicación** verbal y escrita.
+* **Conocimiento de alto nivel** de la infraestructura y las funciones comerciales.
+* Excelente pensamiento crítico, juicio y toma de decisiones.
+* Flexibilidad y capacidad para **escuchar comentarios de expertos**, modificando los planes según sea necesario.
+* **Participó en al menos dos respuestas a incidentes**.
+* Capacidad para **tomar el mando** y **disposición para expulsar a las personas de una llamada** para eliminar las distracciones, incluso si se trata del director ejecutivo.
+
+¡No se requieren conocimientos técnicos profundos! Los jefes de incidentes no requieren un conocimiento técnico profundo de nuestros sistemas. Su trabajo como jefe de incidentes es coordinar la respuesta, no realizar cambios técnicos. No crea que no puede ser un jefe de Incidentes solo porque no está en el departamento de ingeniería.
+
+#### Graduación
+
+Al finalizar el entrenamiento, agréguese a la lista de jefes de incidentes.
From 12f7f7a7d531e3ada212d6ede2bdd42f39d3efaa Mon Sep 17 00:00:00 2001
From: alejandrosanchezman
<94168011+alejandrosanchezman@users.noreply.github.com>
Date: Tue, 10 May 2022 09:16:29 +0200
Subject: [PATCH 013/199] Add files via upload
---
examples/plan.md | 3218 +++++++++++++++++++++++-----------------------
1 file changed, 1611 insertions(+), 1607 deletions(-)
diff --git a/examples/plan.md b/examples/plan.md
index 7b09551..904b0a2 100644
--- a/examples/plan.md
+++ b/examples/plan.md
@@ -1,1607 +1,1611 @@
-# Incident Response Plan for {{COMPANY_NAME}}
-
-Author: {{AUTHOR_NAME}}, {{AUTHOR_EMAIL}}
-
-Revision {{REVISION_NUMBER}}, Released {{RELEASE_DATE}}
-
-This incident response plan is based on the concise, directive, specific, flexible, and free plan available on Counteractive Security's [Github](https://github.com/counteractive/incident-response-plan-template) and discussed at [www.counteractive.net](https://www.counteractive.net/posts/an-ir-plan-you-will-use/)
-
-It was last reviewed on {{REVIEW_DATE}}. It was last tested on {{TEST_DATE}}.
-
-`TODO: Customize this plan template for your organization using instructions at https://github.com/counteractive/incident-response-plan-template. For incident response services, or help customizing, implementing, or testing your plan, contact us at contact@counteractive.net or at (888) 925-5765.`
-
-# Assess
-
-1. **Stay calm and professional.**
-1. Gather pertinent information, _e.g._, alarms, events, data, assumptions, intuitions (**observe**).
-1. Consider impact categories, below (**orient**), and determine if there is a possible incident (**decide**):
-1. Initiate a response if there is an incident (**act**). If in doubt, initiate a response. The incident commander and response team can adjust upon investigation and review.
-
-## Assess Functional Impact
-
-What is the direct or likely impact on your mission? (_e.g._, business operations, employees, customers, users)
-
-* Mission/business degradation or failure: **incident!**
-* None: assess information impact.
-
-## Assess Information Impact
-
-What is the direct or likely impact on your information/data, particularly anything sensitive? (_e.g._, PII, proprietary, financial, or healthcare data)
-
-* Information accessed, taken, changed, or deleted: **incident!**
-* None: handle via non-incident channels (_e.g._, support ticket).
-
-**Every team member is empowered to start this process.** If you see something, say something.
-
-`TODO: Customize categories/severities as necessary. This simple example (incident vs. no incident) is based on impact categories in NIST SP 800-61r2.`
-
-# Initiate Response
-
-## Name the Incident
-
-Create an [simple two-word phrase](http://creativityforyou.com/combomaker.html) to refer to the incident---a codename---to use for the incident file and channel(s). `TODO: Customize incident naming procedure.`
-
-## Assemble the Response Team
-
-1. Page the on-duty/on-call Incident Commander. `TODO: Add Incident Commander call list or procedure`
-1. **Do not** discuss the incident outside the response team unless cleared by the Incident Commander
-1. Launch and/or join the response chat at {{RESPONSE_CHAT}}. `TODO: Add response chat launch procedure.`
-1. Launch and/or join the response call at {{RESPONSE_PHONE}} and/or {{RESPONSE_VTC}}. `TODO: Add response call launch procedure.`
-1. Prefer voice call, chat, and secure file exchange over any other methods.
-1. **Do not** use primary email if possible. If email is necessary, use sparingly or use {{ALTERNATE_EMAIL}}. Encrypt emails when any participant is outside the {{ORGANIZATION_DOMAIN}} domain. `TODO: Add alternative email details and procedure, e.g., on-demand Office 365 or GSuite`
-1. **Do not** use SMS/text to communicate about the incident, unless to tell someone to move to a more secure channel.
-1. Invite on-duty/on-call responders to the response call and response chat.
- * Invite the security team. `TODO: Add security team contact list or procedure.`
- * Invite a SME for affected teams and systems. `TODO: Add team SME contact list or procedure.`
- * Invite executive stakeholders and legal counsel at earliest opportunity, but prioritize operational responders. `TODO: Add executive stakeholder contact list or procedure.`
-1. _OPTIONAL:_ Establish an in-person collaboration room ("war room") for complex or severe incidents. `TODO: Add collaboration room procedure.`
-
-### Reference: Response Team Structure
-
-* Command Team
- * [Incident Commander](#role-incident-commander-ic)
- * [Deputy Incident Commander](#role-deputy-incident-commander-deputy)
- * [Scribe](#role-scribe)
-* Liaison Team
- * Internal [Liaison](#role-liaison)
- * External Liaison
-* Operations Team
- * [Subject Matter Experts](#role-subject-matter-expert-sme) (SMEs) for Systems
- * SMEs for Teams/Business Units
- * SMEs for Executive Functions (_e.g._, Legal, HR, Finance)
-
-`TODO: Modify role structure as necessary.`
-
-### Reference: Response Team Contact Information
-
-Response Team Role | Contact Information
----------------------------- | ---------------------------
-Incident Commander pager | {{INCIDENT_COMMANDER_PAGER_NUMBER}}
-Incident Commander pager url | {{INCIDENT_COMMANDER_PAGER_URL}}
-Incident Commander roster | {{INCIDENT_COMMANDER_ROSTER}}
-Security team roster | {{SECURITY_TEAM_ROSTER}}
-Team SME roster | {{TEAM_SME_ROSTER}}
-Executive roster | {{EXECUTIVE_ROSTER}}
-
-`TODO: Customize response team contact information. Include contact procedures in rosters, which can be static or dynamic.`
-
-## Establish Battle Rhythm
-
-### Conduct Initial Response Call
-
-1. Conduct initial call using the [initial response call structure](#reference-initial-response-call-structure)
-1. Follow instructions from the Incident Commander. If the on-duty/on-call Incident Commander does not join the call **within {{INCIDENT_COMMANDER_RESPONSE_SLA}}** and you are a trained incident commander, take command of the call.
-1. Follow the [instructions for your role](#roles).
-1. Follow the call and chat, and comment as appropriate. If you are not a SME, filter input through the SME for your team if possible.
-1. **Keep the call and chat active throughout the incident for event-driven communication.**
-1. Schedule updates **every {{UPDATE_FREQUENCY}}** on the active bridge.
-
-#### Reference: Initial Response Call Structure
-
-* INCIDENT COMMANDER (IC): My name is [NAME], I am the Incident Commander. I have designated [NAME] as Deputy, and [NAME] as Scribe. Who is on the call?
-* SCRIBE: [Takes attendance]
-* IC: [If missing key personnel] Deputy, please page [MISSING PERSONNEL].
-* IC: [Asks questions to understand situation, symptoms, scope, vector, impact, and timeline from the incident reporter, applicable SMEs for systems and business units]
-* SMEs: [Brief answers to IC's questions]
-* IC:[If this is an incident]:
- * At this time, the incident summary is as follows: [reiterates summary]. The Investigation team will be led by [NAME], the Remediation team will be led by [NAME], and the Communication team will be led by [NAME]. They will coordinate team membership and report to me. SMEs, please report to your appropriate team leader.
- * What investigation, remediation, or communication steps have already been taken? [this should be a short list, but needs to come out now]
- * This call and chat will remain up and available until incident closure, please use it for all incident related communications. Provide real-time status updates in the chat, if possible. Are there any questions or remaining inputs? [answers questions]
- * Team leaders, please proceed with your planned actions. We will reconvene at [UPDATE_TIME] to discuss the status. Thank you.
-* IC: [If this is not an incident]: At this time, these facts do not rise to the level of an incident. I will coordinate directly with the incident reporter for follow-on actions. Thank you for your time.
-
-#### Reference: Call Etiquette
-
-* Join both the call and chat.
-* Keep background noise to a minimum.
-* Keep your microphone muted until you have something to say.
-* Identify yourself when you join the call; State your name and role (_e.g._, "I am the SME for team x").
-* Speak up and speak clearly.
-* Be direct and factual.
-* Keep conversations/discussions short and to the point.
-* Bring any concerns to the Incident Commander (IC) on the call.
-* Respect time constraints given by the Incident Commander.
-* **Use clear terminology, and avoid acronyms or abbreviations. Clarity and accuracy is more important than brevity.**
-
-### Conduct Response Update
-
-* Conduct scheduled updates using the [update call structure](#reference-response-update-call-structure) every {{UPDATE_FREQUENCY}} on the active bridge. `TODO: Customize update frequency and scripts; recommend no more than twice daily.`
-* Adjust frequency as necessary.
-* Coordinate independent updates (_e.g._, executive, legal) as required, but as infrequently as practicable.
-
-#### Reference: Response Update Call Structure
-
-* INCIDENT COMMANDER (IC): Since our last scheduled update, the incident summary is as follows:
- * [Impact]
- * [Vector]
- * [Summary update]
- * [Timeline update]
-* IC: Investigation team, please provide a brief update
- * INVESTIGATION LEAD: [Investigative activities or "nothing to report"]
- * What is your recommended investigations plan?
- * What investigation actions need tasking or approval? [listen, gain consensus, task/approve]
-* IC: Remediation team, please provide a brief update
- * REMEDIATION LEAD: [Remediation activities or "nothing to report"]
- * What is your recommended remediation strategy? Strong objections? [listen, gain consensus, task/approve]
- * What remediation actions need tasking or approval?
-* IC: Communication team, please provide a brief update:
- * COMMUNICATIONS LEAD: [Communication activities or "nothing to report"]
- * What is your recommended communication strategy? Strong objections? [listen, gain consensus, task/approve]
- * What communication actions need tasking or approval?
-* IC: This call and chat will remain up and available until incident closure, please use it for all incident related communications. Provide real-time status updates in the chat, if possible. Are there any questions or remaining inputs? [answers questions]
-* IC: Team leaders, please proceed. We will reconvene in [] to discuss the status. Thank you.
-
-## Monitor Scope
-
-* Monitor the scope of the response to ensure it does not exceed the Incident Commander's span of control.
-* If an incident gets sufficiently complex, and there are sufficient responders, consider spinning off sub-teams.
-
-### Create Sub-Teams
-
-* In preparation for complex incidents, three sub-teams are pre-defined: Investigation, Remediation, and Communication, generally responsible for those response functions. `TODO: Customize sub-team structure if necessary.`
-* Create a call bridge and chat for each sub-team.
-* The Incident Commander will designate team leaders, who report to the IC, and team members, who report to their team leader. _Team leaders do not have to be trained as incident commanders, however some leadership experience is preferable._
-* The Incident Commander may adjust the purpose or name of the sub-teams as necessary.
-* If you wish to switch teams, ask your **current team leader**. **Do not** ask the Incident Commander, or the leader of the other team(s). Use the chain of command.
-
-### Split Incident
-
-If an incident turns out to be two or more distinct incidents:
-
-* Establish a new [incident file](#create-incident-file).
-* Track and coordinate investigation, remediation, and communication in the appropriate file.
-* Consider establishing sub-teams for each incident.
-* **Maintain one top-level Incident Commander**, to coordinate low-density, high-demand assets and maintain unity of command.
-
-# Investigate
-
-**[Investigate](#investigate), [remediate](#remediate), and [communicate](#communicate) in parallel, using separate teams, if possible.** The Incident Commander will coordinate these activities. Notify the Incident Commander if there are steps the team should consider.
-
-## Create Incident File
-
-1. Create a new incident file at {{INCIDENT_FILE_LOCATION}} using the [incident name](#name-the-incident). Use this file for secure storage of documentation, evidence, artifacts, _etc._
- * Provision secure digital storage.
- * Provision secure file exchange.
- * Obtain physical storage.
- * Share the incident file location on the call and chat.
- * `TODO: Customize and automate file location and procedure`
-1. Document the functional and information impact, if known (see [Assess](#assess)). `TODO: Customize impact categories, if necessary.`
-1. Document the vector, if known (_e.g.,_ web, email, removable media). `TODO: Customize vector list, if necessary.`
-1. Document the incident summary: a brief overview of the vector, impact, investigation, and remediation situation, if known.
-1. Document the incident timeline, including attacker activity and responder activity. `TODO: Add timelines of varying details, as necessary.`
-1. Document investigation, remediation, and communication steps. Document activities independently so they can be combined and reused, if possible.
-1. Track significant information such as:
- * **Evidence**, with time of collection, source, chain of custody, _etc._
- * **Affected systems**, with how and when system was identified, and summary of effect (_e.g._, has malware, data accessed).
- * **Files of interest**, such as malware or data files, with system and metadata.
- * **Accessed and taken data**, with filenames, metadata, and time of suspected exposure.
- * **Significant attacker activity**, such as logins and malware execution, with time of the event.
- * **Network-based indicators of compromise (IOCs)**, such as IP addresses and domains.
- * **Host-based IOCs**, such as filenames, hashes, and registry keys.
- * **Compromised accounts**, with scope of access and time of compromise.
-
-`TODO: Customize incident documentation procedure, including spreadsheets, databases, forms, systems, and templates, if necessary.`
-
-## Collect Initial Leads
-
-1. Interview incident reporter(s).
-1. Collect initial supporting data (_e.g._, alarms, events, data, assumptions, intuitions) in the incident file.
-1. Interview SME(s) with domain or system expertise, to understand technical detail, context, and risk.
-1. Interview SME(s) in affected business unit, to understand mission/business impact, context, and risk.
-1. Ensure leads are relevant, detailed, and actionable.
-
-### Reference: Response Resource List
-
-Resource | Location
-------------------------- | ------------------------------------
-Critical information list | {{CRITICAL_INFO_LIST_LOCATION}}
-Critical asset list | {{CRITICAL_ASSET_LIST_LOCATION}}
-Asset management database | {{ASSET_MGMT_DB_LOCATION}}
-Network map | {NETWORK_MAP_LOCATION{}}
-SIEM console | {{SIEM_CONSOLE_LOCATION}}
-Log aggregator | {{LOG_AGGREGATOR_CONSOLE}}
-
-`TODO: Complete critical information and asset lists ("crown jewels"). This is incredibly important to effective response.`
-
-`TODO: Customize response resource list`
-
-## Update Investigative Plan and Incident File
-
-1. Review and refine incident impact.
-1. Review and refine incident vector.
-1. Review and refine incident summary.
-1. Review and refine incident timeline with facts and inferences.
-1. Create hypotheses: what may have happened, and with what confidence.
-1. **Identify and prioritize key questions** (information gaps) to support or discredit hypotheses.
- * Use the MITRE ATT&CK matrix or similar framework to [develop questions](#reference-attacker-tactics-to-key-questions-matrix).
- * [ATT&CK for Enterprise](https://attack.mitre.org/wiki/Main_Page), including links to Windows, Mac, and Linux specifics.
- * [ATT&CK Mobile Profile](https://attack.mitre.org/mobile/index.php/Main_Page) for mobile devices.
- * Use interrogative words as inspiration:
- * **When?**: first compromise, first data loss, access to x data, access to y system, _etc._
- * **What?**: impact, vector, root cause, motivation, tools/exploits used, accounts/systems compromised, data targeted/lost, infrastructure, IOCs, _etc._
- * **Where?**: attacker location, affected business units, infrastructure, _etc._
- * **How?**: compromise (exploit), persistence, access, exfiltration, lateral movement, _etc._
- * **Why?**: targeted, timing, access x data, access y system, _etc._
- * **Who?**: attacker, affected users, affected customers, _etc._
-1. **Identify and prioritize witness devices and strategies** to answer key questions.
- * Consult network diagrams, asset management systems, and SME expertise
- * Check the [Response Resource List](#reference-response-resource-list))
-1. Refer to [incident playbooks](#playbooks) for key questions, witness devices, and strategies for investigating common or highly damaging threats.
-
-**The investigative plan is critical to an effective response; it drives all investigative actions. Use critical thinking, creativity, and sound judgment.**
-
-### Reference: Attacker Tactics to Key Questions Matrix
-
-Attacker Tactic | The way attackers ... | Possible Key Questions
--------------------- | ----------------------------- | -----------------------------------------
-Reconnaissance | ... learn about targets | How? Since when? Where? Which systems?
-Resource Development | ... build infrastructure | Where? Which systems?
-Initial Access | ... get in | How? Since when? Where? Which systems?
-Execution | ... run hostile code | What malware? What tools? Where? When?
-Persistence | ... stick around | How? Since when? Where? Which systems?
-Privilege Escalation | ... get higher level access | How? Where? What tools?
-Defense Evasion | ... dodge security | How? Where? Since when?
-Credential Access | ... get/create accounts | Which accounts? Since when? Why?
-Discovery | ... learn our network | How? Where? What do they know?
-Lateral Movement | ... move around | How? When? Which accounts?
-Collection | ... find and gather data | What data? Why? When? Where?
-Command and Control | ... control tools and systems | How? Where? Who? Why?
-Exfiltration | ... take data | What data? How? When? Where?
-Impact | ... break things | What systems or data? How? When? Where? How bad?
-
-See the [MITRE ATT&CK page](https://attack.mitre.org/) for more insight and ideas.
-
-## Create and Deploy Indicators of Compromise (IOCs)
-
-> Emphasize **dynamic and behavioral** indicators alongside static fingerprints.
-
-* Create IOCs based on [initial leads](#collect-initial-leads) and [analysis](#analyze-evidence).
-* Create IOCs using an open format supported by your tools (_e.g._, [STIX 2.0](https://oasis-open.github.io/cti-documentation/stix/intro)), if possible. `TODO: Customize IOC format as necessary.`
-* Use automation, if possible. `TODO: Add IOC deployment/revocation procedure.`
-* **Do not** deploy unrelated, un-curated "feeds" of IOCs; these can cause confusion and fatigue.
-* Consider all IOC types:
- * Network-based IOCs such as IP or MAC addresses, ports, email addresses, email content or metadata, URLs, domains, or PCAP patterns.
- * Host-based IOCs such as paths, file hashes, file content or metadata, registry keys, MUTEXes, autoruns, or user artifacts and permissions.
- * Cloud-based IOCs such as log patterns for [SaaS](https://en.wikipedia.org/wiki/Software_as_a_service) or [IaaS](https://en.wikipedia.org/wiki/Infrastructure_as_a_service) deployments
- * Behavioral IOCs (a.k.a., patterns, TTPs) such as process tree patterns, heuristics, deviation from baseline, and login patterns.
-* Correlate various IOC types, such as network and host-based indicators on the same systems(s).
-
-## Identify Systems of Interest
-
-1. Validate whether they are relevant.
-1. Categorize the reason(s) they are "of interest": has malware, accessed by compromised account, has sensitive data, etc. Treat these as "tags", there may be more than one category per system.
-1. Prioritize collection, analysis, and remediation based on investigative needs, business impact, _etc._
-
-## Collect Evidence
-
-* Prioritize based on the investigative plan
-* Collect live response data using {{LIVE_RESPONSE_TOOL}}. `TODO: Customize live response tools and procedure.`
-* Collect relevant logs from system(s) (if not part of live response), aggregator(s), SIEM(s), or device console(s). `TODO: Customize log collection tools and procedure.`
-* Collect memory image, if necessary and if not part of live response, using {{MEMORY_COLLECTION_TOOL}}. `TODO: Customize memory collection tools and procedure.`
-* Collect disk image, if necessary, using {{DISK_IMAGE_TOOL}}. `TODO: Customize disk image collection tool and procedure.`
-* Collect and store evidence in accordance with policy, and with proper chain of custody. `TODO: Customize evidence collection and chain of custody policy.`
-
-Consider collecting the following artifacts as evidence, either in real time (_e.g., via EDR or a SIEM) or on demand:
-
-### Example Useful Artifacts
-
-`TODO: Customize and prioritize useful artifacts.`
-
-* Running Processes
-* Running Services
-* Executable Hashes
-* Installed Applications
-* Local and Domain Users
-* Listening Ports and Associated Services
-* Domain Name System (DNS) Resolution Settings and Static Routes
-* Established and Recent Network Connections
-* Run Key and other AutoRun Persistence
-* Scheduled tasks and cron jobs
-* Artifacts of past execution (e.g., Prefetch and Shimcache)
-* Event logs
-* Group policy and WMI artifacts
-* Anti-virus detections
-* Binaries in temporary storage locations
-* Remote access credentials
-* Network connection telemetry (e.g., netflow, firewall permits)
-* DNS traffic and activity
-* Remote access activity including Remote Desktop Protocol (RDP), virtual private network (VPN), SSH, virtual network computing (VNC), and other remote access tools
-* Uniform Resource Identifier (URI) strings, user agent strings, and proxy enforcement actions
-* Web traffic (HTTP/HTTPS)
-
-## Analyze Evidence
-
-* Prioritize based on the investigative plan
-* Analyze and triage live response data
-* Analyze memory and disk images (_i.e._, conduct forensics)
-* Analyze malware
-* _OPTIONAL:_ Enrich with research and intelligence
-* Document new indicators of compromise (IOCs)
-* Update the case file
-
-### Example Useful Indicators
-
-`TODO: Customize and prioritize useful indicators.`
-
-* Unusual authentication behavior (_e.g._, frequency, systems, time of day, remote location)
-* Non-Standard formatted usernames
-* Unsigned binaries connecting to the network
-* Beaconing or significant data transfers
-* PowerShell command line requests with Base64-encoded commands
-* Excessive RAR, 7zip, or WinZip activity, especially with suspicious file names
-* Connections on previously unused ports.
-* Traffic patterns related to time, frequency, and byte count
-* Changes to routing tables, such as weighting, static entries, gateways, and peer relationships
-
-## Iterate Investigation
-
-[Update the investigative plan](#update-investigative-plan-and-incident-file) and repeat until closure.
-
-# Remediate
-
-**[Investigate](#investigate), [remediate](#remediate), and [communicate](#communicate) in parallel, using separate teams, if possible.** The Incident Commander will coordinate these activities. Notify the Incident Commander if there are steps the team should consider
-
-## Update Remediation Plan
-
-1. Review the incident file at {{INCIDENT_FILE_LOCATION}} using the [incident name](#name-the-incident)
-1. Review applicable [playbooks](#playbooks).
-1. Review the [Response Resource List](#reference-response-resource-list)).
-1. Consider which attacker tactics are in play in this incident. Use the MITRE [ATT&CK](https://attack.mitre.org/wiki/Main_Page) list (_i.e._, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Execution, Collection, Exfiltration, and Command and Control), or similar framework.
-1. Develop remediations for each tactic in play, as feasible given existing tools and resources. Consider remediations to [Protect](#protect), [Detect](#detect), [Contain](#contain), and [Eradicate](#eradicate) each attacker behavior.
-1. Prioritize based on [timing strategy](#choose-remediation-timing), impact, and urgency.
-1. Document in incident file.
-
-Use [information security (infosec) frameworks](https://www.nist.gov/cyberframework) as inspiration, but **do not use incident remediation as a substitute for an infosec program with an appropriate framework.** Use them to supplement one another.
-
-### Protect
-
-> "How can we stop tactic X from happening again, or reduce risk? How can we improve future protection?"
-
-Use the following as a starting point for protective remediation:
-
-* Patch applications.
-* Patch operating systems.
-* Update network and host IPS signatures.
-* Update endpoint protection/EDR/anti-virus signatures.
-* Reduce locations with critical data.
-* Reduce administrative or privileged accounts.
-* Enable multi-factor authentication.
-* Strengthen password requirements.
-* Block unused ports and protocols at segment and network boundaries, both inbound and outbound.
-* Whitelist network connections for critical servers and services.
-
-### Detect
-
-> "How can we detect this on new systems or in the future? How can we improve future detection and investigation?"
-
-Use the following as a starting point for detective remediation:
-
-* Enhance logging and retention for system logs, particularly critical systems.
-* Enhance logging for applications, including SaaS applications.
-* Enhance log aggregation.
-* Update network and host IDS signatures using IOCs.
-
-### Contain
-
-> "How can we stop this from spreading, or getting more severe? How can we improve future containment?"
-
-Use the following as a starting point for containment remediation:
-
-* Implement access lists (ACLs) at network segment boundaries
-* Implement blocks at the enterprise boundary, at multiple layers of the [OSI model](https://en.wikipedia.org/wiki/OSI_model).
-* Disable or remove compromised account access.
-* Block malicious IP addresses or networks.
-* Black hole or sinkhole malicious domains.
-* Update network and host IPS and anti-malware signatures using IOCs.
-* Remove critical or compromised systems from the network.
-* Contact providers for assistance (_e.g._, internet service providers, SaaS vendors)
-* Whitelist network connections for critical servers and services.
-* Kill or disable processes or services.
-* Block or remove access for external vendors and partners, especially privileged access.
-
-### Eradicate
-
-> "How can we eliminate this from our assets? How can we improve future eradication?"
-
-Use the following as a starting point for eradication remediation:
-
-* Rebuild or restore compromised systems and data from known-good state.
-* Reset account passwords.
-* Remove hostile accounts or credentials.
-* Delete or remove specific malware (difficult!).
-* Implement alternative vendors.
-* Activate and migrate to alternate locations, services, or servers.
-
-## Choose Remediation Timing
-
-Determine the timing strategy---when remediation actions will be taken---by engaging the Incident Commander, the system SMEs and owners, business unit SMEs and owners, and the executive team. Each strategy is appropriate under different circumstances:
-
-* Choose **immediate** remediation when it is more important to immediately stop attacker activities than to continue investigating. For example, ongoing financial loss, or ongoing mission failure, active data loss, or prevention of an imminent significant threat.
-* Choose **delayed** remediation when it is important to complete the investigation, or important not to alert the attacker. For example, long-term compromise by an advanced attacker, corporate espionage, or large-scale compromise of an an unknown number of systems.
-* Choose **combined** remediation when both immediate and delayed circumstances apply in the same incident. For example, immediate segmentation of a sensitive server or network to meet regulatory requirements while still investigating a long-term compromise.
-
-## Execute Remediation
-
-* Assess and explain risks of remediation actions to stakeholders. `TODO: Customize remediation risk approval procedure, if necessary.`
-* Immediately implement those remediation actions with little or no affect on the attacker (sometimes called "posturing actions"). For example, many of the [protection](#protect) and [detection](#detect) actions above are good candidates.
-* Schedule and task remediation actions according to the timing strategy.
-* Execute remediation actions in batches, as events, for maximum effectiveness and minimum risk.
-* Document execution status and time in the incident file, especially for temporary measures.
-
-## Iterate Remediation
-
-[Update the remediation plan](#update-remediation-plan) and repeat until closure.
-
-# Communicate
-
-**[Investigate](#investigate), [remediate](#remediate), and [communicate](#communicate) in parallel, using separate teams, if possible.** The Incident Commander will coordinate these activities. Notify the Incident Commander if there are steps the team should consider
-
-All communication must include the most accurate information available. Display integrity. Do not communicate speculation.
-
-## Communicate Internally
-
-### Notify and Update Stakeholders
-
-* Communicate with stakeholders as part of the initial and update calls, as well as via event-driven updates on the call and chat.
-* Coordinate independent updates (_e.g._, executive, legal) as required, but as infrequently as practicable, to keep the focus on investigation and remediation.
-* Focus on the best assessment of the vector, impact, summary, and highlights of the timeline including remediation steps. Do not speculate.
-
-### Notify and Update Organization
-
-* **Do not** notify or update non-response personnel until cleared by the Incident Commander, particularly if there is a risk of an insider threat.
-* Coordinate updates for teams or the entire organization with executives and business leadership.
-* Focus on the best assessment of the vector, impact, summary, and highlights of the timeline including remediation steps. Do not speculate.
-
-### Create Incident Report
-
-* Upon incident closure, capture information in the [incident file](#create-incident-file) for distribution using the format at {{INCIDENT_REPORT_TEMPLATE}}. **If the vector, impact, summary, timeline, and activity reports are complete, this can be fully automated.**
-* Distribute the incident report to the following: {{INCIDENT_REPORT_RECIPIENTS}}.
-* `TODO: Customize incident report creation and distribution, if necessary`
-
-## Communicate Externally
-
-### Notify Regulators
-
-* **Do not** notify or update non-response personnel until cleared by the Incident Commander.
-* Notify regulators (_e.g._, HIPAA/HITRUST, PCI DSS, SOX) if necessary, and in accordance with policy.
-* Coordinate requirements, format, and timeline with {COMPLIANCE_TEAM{}}.
-
-### Notify Customers
-
-* **Do not** notify or update non-response personnel until cleared by the Incident Commander.
-* Coordinate customer notifications with {{COMMUNICATIONS_TEAM}}.
-* Include the date in the title of any announcement, to avoid confusion.
-* **Do not** use platitudes such as "we take security very seriously". Focus on facts.
-* Be honest, accept responsibility, and present the facts, along with the plan to prevent similar incidents in future.
-* Be as detailed as possible with the timeline.
-* Be as detailed as possible in what information was compromised, and how it affects customers. If we were storing something we shouldn't have been, be honest about it. It'll come out later and it'll be much worse.
-* **Do not** discuss external parties that might have caused the compromise, unless they've already publicly disclosed, in which case link to their disclosure. Communicate with them independently (see [Notify Vendors](#notify-vendors-and-partners))
-* Release the external communication as soon as possible. Bad news does not get better with age.
-* If possible, contact customers' internal security teams before notifying the public.
-
-### Notify Vendors and Partners
-
-* **Do not** notify or update non-response personnel until cleared by the Incident Commander.
-* If possible, contact vendors' and partners' internal security teams before notifying the public.
-* Focus on the specific aspects of the incident that affect or implicate the vendor or partner.
-* Coordinate response efforts and share information if possible.
-
-### Notify Law Enforcement
-
-* **Do not** notify or update non-response personnel until cleared by the Incident Commander.
-* Coordinate with {{EXECUTIVE_TEAM}} and {{LEGAL_TEAM}} prior to interacting with law enforcement
-* Contact local law enforcement at {{LOCAL_LE_CONTACT}}.
-* Contact FBI at {{FBI_CONTACT}} or via the [Internet Crime Complaint Center (IC3)](https://www.ic3.gov).
-* Contact operators for any systems used in the attack, their systems may also have been compromised.
-
-### Contact External Response Support
-
-* Contact {{INCIDENT_RESPONSE_VENDOR}} to help in assessing risk, incident management, incident response, and post-incident support.
-* Contact {{PUBLIC_RELATIONS_VENDOR}} for help with PR and external communication.
-* Contact {{INSURANCE_VENDOR}} for help with cyber insurance.
-
-### Share Intelligence
-
-* Share IOCs with [Infragard](https://www.infragard.org/) if applicable.
-* Share IOCs with your servicing [ISAC](https://en.wikipedia.org/wiki/Information_Sharing_and_Analysis_Center) through {{ISAC_CONTACT}}, if applicable.
-
-# Recover
-
-`TODO: Customize recovery steps.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-**Recovery is typically governed by business units and system owners. Take recovery actions only in collaboration with relevant stakeholders.**
-
-1. Launch business continuity/disaster recovery plan(s): _e.g._, consider migration to alternate operating locations, fail-over sites, backup systems.
-1. Integrate security actions with organizational recovery efforts.
-
-# Playbooks
-
-The following playbooks capture common [investigation](#investigate), [remediation](#remediate), and [communication](#communicate) steps for particular types of incident.
-
-`TODO: Create additional playbooks for highly likely or highly damaging incident types.`
-
-## Playbook: Website Defacement
-
-**Investigate, remediate (contain, eradicate), and communicate in parallel!**
-
-Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
-
-### Investigate
-1. Immediately take the defaced server offline for further investigation
- * This is especially important if the defacement is insulting or triggering in any way. Remove this from the public eye as quickly as possible to avoid harm as well as to mitigate business impact.
- * The defacement message may also contain false information that could mislead users or put them at risk.
- * Taking the server offline will allow a deeper investigation of the defacement. This may be necessary as the hacker may have dove depper into the organization accessing application servers, databases, etc.
-2. Determine the system's source of vulnerability that was used by the attacker. Common exploits include:
- * SQL injection attakcs
- * This kind of attack occurs when an attacker interferes with an application's queries to the database. Therefore, this can lead to unauthorized access to private or sensitive data. Read more about SQL injection attacks [here](https://www.acunetix.com/websitesecurity/sql-injection/)
- * Remote File Inclusion (RFI) attacks
- * This kind of attack exploits an application's referencing function to upload malware from a remote URL. Read more about RFI attacks [here](https://www.acunetix.com/blog/articles/remote-file-inclusion-rfi/)
- * webshells
- * More about web shells and website defacement [here](https://www.wordfence.com/blog/2017/06/wso-shell/)
- * poor web application design
- * javascript hacks
- * PHP/ASP hacks
- * Here's more on [hacking with javascript](https://itnext.io/how-companies-are-hacked-via-malicious-javascript-code-12aa82560bdc)
- * other methods of detection include:
- * Checking the server logs
- * look through the web page's access log and error log for any suspicious or unfamiliar activity
- * of course, it is also a good idea to check the IDS or IPS firewall logs, if available
- * Checking files with static content
- * Scanning databases for malicious content
- * Checking links present in the page
-3. Collect any clues as to who the hacker is or what organization they are working for. Consider the following questions:
- * What did the defacement portray? Did it include an obvious message?
- * Did the defacement seem harmless or intentional? Could the hacker be a kid messing around or a professional group working with a motive?
- * Does it seem like your organization was targeted? Who may want to target your organization?
- * What did the hacker hope to accomplish?
- * Consult [here](https://www.geeksforgeeks.org/types-of-hackers/) to learn more about the types of hackers that may have attacked your webpage.
-4. Collect other important information from the page that has been defaced such as:
- * a screenshot of the defacement
- * the domain and IP address of the page
- * details of the web server
- * page's source code
- * analyze this carefully to identify the problem and ensure that it is on a server belonging to the company
- * name or any information on the attacker
-6. There are also tools available to aid in both detection and log analysis. A few are listed below:
- * Weblog Expert
- * Sawmill
- * Deep Log Analyzer
-
-
-`TODO: Expand investigation steps, including key questions and strategies, for website defacement.`
-
-### Remediate
-
-* **Plan remediation events** where these steps are launched together (or in coordinated fashion), with appropriate teams ready to respond to any disruption.
-* **Consider the timing and tradeoffs** of remediation actions: your response has consequences.
-
-#### Contain
-
-`TODO: Customize containment steps, tactical and strategic, for website defacement.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-1. Backup all data stored on the web server for forensic purposes.
-2. As previously mentioned, make sure to take the defaced page's server down temporarily while investigation occurs.
- * You should have an error page prepared for this situation that informs user and/or employees that maintenance is undereway and the page they sought will return shortly. You may even wish to have a backup website prepared where you may publish content while investigation and remediation are underway and have your temporary error page redirect users to this backup site.
- * Check your network architecture map. If the breach is another system on the network, take that down and investigate it.
-3. Once the source of the attack has been determined, apply the necessarily steps to ensure this will not happen again. This may include modifying code or editing access rights.
- * Reference the "Investigate" section for common sources of vulnerability.
- * If this is outside of your domain, simply ensure that you have given the appropriate personnel all the information on the attack that you have and allow experts to do their job.
-
-### Recover
-
-`TODO: Customize recovery steps for defacement`
-
-`TODO: Specify tools and procedures for each step, below`
-
-1. Remove the hacker's message and replace with original, legitimate content. If data was lost in the attack, reference backups and restore the original page as much as possible.
- * Check backups for indicators of compromise
- * Consider partial recovery and backup integrity testing
-2. Consider asking users to change their login credentials if the web server has user authentication.
-3. After implementing risk avoidance measures (as recommended below), restore your server showing the original page content.
-4. If necessary and/or applicable, prepare an apology/explanation of the attack that occurred for users or anyone who witnessed the defacement. Ensure that is it clear that the defacement content does not reflect your organization in any way.
-
-#### Risk Avoidance
-
-`TODO: Communicate with other employees to ensure that everyone understands and contributes to the following steps, where applicable`
-
-1. Use as few plug-ins as necessary. Hackers target websites that are vulnerable and have many sources of entry. You can limit these sources of entry by only using what you need and removing any unused or old plug ins and software. It is also important to update these as soon as possible.
-2. Closely monitor and mandate access to administrative content. Only allow individuals access to what they need access to. This will reduce the chance of human error leading to cyber attacks. There are more DIY methods of prevention mentioned in [this article](https://cirt.gy/index.php/node/116) (steps 6-12) and in resource #4 at the end of this playbook.
-3. Regularly check for malware on your site by scanning the source code. Look for scripts, iframes, or URLs that look unfamiliar and make sure to also scan URLs that do look familiar.
-4. There are many highly reputable automated website scanners that will not cost any of your time and will thoroughly scan your site for vulnerabilities regularly. Here is a [link to popular scanners](https://resources.infosecinstitute.com/14-popular-web-application-vulnerability-scanners/#gref).
-5. Defend against common points of exploitation such as SQL injections and XSS attacks. [This article](https://www.banffcyber.com/knowledge-base/articles/best-practices-address-issue-web-defacement/) includes best practices to defend these attacks.
-6. Install defacement detection programs so that if an attack were to occurr again, you would be prepared and respond quickly. Here is an [article](https://www.techradar.com/news/best-website-defacement-monitoring-service) that summarizes some of 2020's best monitoring services.
-7. Discuss with your employees the importance of keeping administrative access limited and confidential and inform them of these steps to avoid incidents including regular cybersecurity awareness training.
-
-#### Reference: Remediation Resources
-
-`TODO: Specify financial, personnel, and logistical resources to accomplish remediation`
-
-### Communicate
-
-`TODO: Customize communication steps for defacement`
-
-`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan`
-
-1. Escalate incident and communicate with leadership per procedure
-1. Document incident per procedure (and report if applicable)
-1. Communicate with internal and external legal counsel per procedure, including discussions of compliance, risk exposure, liability, law enforcement contact, _etc._
-1. Communicate with users (internal)
- 1. Communicate incident response updates per procedure
- 1. Communicate impact of incident **and** incident response actions (e.g., containment: "why is the file share down?")
- 1. Communicate requirements: "what should users do and not do?"
-1. Communicate with customers
- 1. Focus particularly on those whose data was affected
- 1. Generate required notifications based on applicable regulations (particularly those that may consider defacement a data breach or otherwise requires notifications) `TODO: Expand notification requirements and procedures for applicable regulations`
-1. Contact insurance provider(s)
- 1. Discuss what resources they can make available, what tools and vendors they support and will pay for, _etc._
- 1. Comply with reporting and claims requirements to protect eligibility
-1. Consider notifying and involving law enforcement. TODO: Link the following bullets to actual resources for your organization
- 1. [Local law enforcement](#TODO-link-to-actual-resource)
- 1. [State or regional law enforcement](#TODO-link-to-actual-resource)
- 1. [Federal or national law enforcement](#TODO-link-to-actual-resource)
-1. Communicate with security and IT vendors TODO: Link the following bullets to actual resources for your organization
- 1. Notify and collaborate with [managed providers](#TODO-link-to-actual-resource) per procedure
- 1. Notify and collaborate with [incident response consultants](#TODO-link-to-actual-resource) per procedure
-
-### Resources
-
-#### Reference: User Actions for Suspected Defacement Attack
-
-`TODO: Customize steps for users dealing with suspected defacement`
-
-1. Stay calm, take a deep breath.
-1. Disconnect your system from the network `TODO: include detailed steps with screenshots, a pre-installed tool or script to make this easy ("break in case of emergency"), consider hardware network cut-off switches`
-1. Take pictures of the page you see using your smartphone showing the things you noticed: the defacement message and any other changes to the usual site.
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. Every little bit helps! Document the following:
- 1. What did you notice?
- 1. When did it first occur, and how often since?
- 1. What data do you typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Contact the [help desk](#TODO-link-to-actual-resource) and be as helpful as possible.
-1. Be patient: allow the IT personnel get it under control, you may be protecting others from harm! **Thank you.**
-
-#### Reference: Help Desk Actions for Suspected Defacement Attack
-
-`TODO: Customize steps for help desk personnel dealing with suspected defacement`
-
-1. Stay calm, take a deep breath.
-1. Open a ticket to document the incident, per procedure. `TODO: Customize template with key questions (see below) and follow-on workflow`
-1. Use your best judgement on which steps to prioritize (i.e. if the defacement left harmful or triggerring content, prioritize taking down the server immediately).
-1. Ask the user to take pictures of their screen using their smartphone showing the things they noticed.
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. If this is a user report, ask detailed questions, including:
- 1. What did you notice?
- 1. When did it first occur, and how often since?
- 1. What data do you typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Ask follow-up questions as necessary. **You are an incident responder, we are counting on you.**
-1. Get detailed contact information from the user (home, office, mobile), if applicable.
-1. Record all information in the ticket, including hand-written and voice notes.
-1. Quarantine affected users and systems. `TODO: Customize containment steps, automate as much as possible`
-1. Contact the [security team](#TODO-link-to-actual-resource) and stand by to participate in the response as directed: investigation, remediation, communication, and recovery.
-
-#### Additional Information
-1. A helpful and detailed [paper](https://pdfs.semanticscholar.org/899e/2d629e06d920b9059edb21fcb52cdb33f783.pdf) on defacement detection
-2. 10 tools for [better website monitoring and security](https://geekflare.com/website-defacement-monitoring/)
-3. [2019 Website Threat Research Report](https://sucuri.net/reports/2019-hacked-website-report/) with helpful statistics
-4. [Article](https://www.imperva.com/learn/application-security/website-defacement-attack/) including DIYs and Best practices to prevent website defacement## Playbook: Identity and Access Compromise
-
-**Investigate, remediate (contain, eradicate), and communicate in parallel!**
-
-Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
-
-### Investigate
-
-`TODO: Expand investigation steps, including key questions and strategies, for identity and access compromise.`
-
-1. TODO
-
-### Remediate
-
-* **Plan remediation events** where these steps are launched together (or in coordinated fashion), with appropriate teams ready to respond to any disruption.
-* **Consider the timing and tradeoffs** of remediation actions: your response has consequences.
-
-#### Contain
-
-`TODO: Customize containment steps, tactical and strategic, for identity and access compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* TODO
-
-`TODO: Consider automating containment measures using orchestration tools.`
-
-#### Eradicate
-
-`TODO: Customize eradication steps, tactical and strategic, for identity and access compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* TODO
-
-#### Reference: Remediation Resources
-
-`TODO: Specify financial, personnel, and logistical resources to accomplish remediation.`
-
-### Communicate
-
-`TODO: Customize communication steps for identity and access compromise`
-
-`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan.`
-
-In addition to the general steps and guidance in the incident response plan:
-
-1. TODO
-
-### Recover
-
-`TODO: Customize recovery steps for identity and access compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-In addition to the general steps and guidance in the incident response plan:
-
-1. TODO
-
-### Resources
-
-#### Additional Information
-
-1. ["Title"](#TODO-url), Author Last Name (Date)
-
-## Playbook: Phishing
-
-**Investigate, remediate (contain, eradicate), and communicate in parallel!**
-
-Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
-
-### Investigate
-
-`TODO: Expand investigation steps, including key questions and strategies, for phishing.`
-
-1. **Scope the attack** Usually you will be notified that a potential phishing attack is underway, either by a user, customer, or partner.
- * Determine **total number of impacted users**
- * Understand **user actions** in response to the phishing email (_e.g._, did they download the attachment, visit the spoofed site, or give out any personal or business information such as credentials)
- * Find the potentially related activity. Check:
- * social media
- * any possibly suspicious emails
- * emails with links to external and unknown URLs
- * non-returnable or non-deliverable emails
- * any kind of notification of suspicious activity
-1. **Analyze the message** using a safe device (i.e., **do not** open messages on a device with access to sensitive data or credentials as the message may contain malware), determine: `TODO: Specify tools and procedure`
- * who received the message
- * who was targeted by the message (may be different than "successful" recipients)
- * email address of the sender
- * subject line
- * message body
- * attachments (**do not open attachments** except according to established procedures)
- * links, domains, and hostnames (**do not follow links** except according to established procedures)
- * email metadata including message headers (see below)
- * sender information from the 'from' field and the X-authenticated user header
- * all client and mail server IP addresses
- * note "quirks" or suspicious features
-1. **Analyze links and attachments** `TODO: Specify tools and procedure`
- * use passive collection such as nslookup and whois to find IP addresses and registration information
- * find related domains using OSINT (_e.g._, [reverse whois](https://www.whoxy.com/reverse-whois/)) on email addresses and other registration data
- * submit links, attachments, and/or hashes to [VirusTotal](https://www.virustotal.com/gui/)
- * submit links, attachments, and/or hashes to a malware sandbox such as [Cuckoo](https://cuckoosandbox.org/), [Hybrid Analysis](https://www.hybrid-analysis.com/), [Joe Sandbox](https://www.joesecurity.org/), or [VMray](https://www.vmray.com/).
-1. Categorize the type of attack. `TODO: Customize categories and create additional playbooks for common or high-impact phishing types`
-1. **Determine the severity.** Consider:
- * whether public or personal safety is at risk
- * whether personal data (or other sensitive data) is at risk
- * any evidence of who is behind the attack
- * number of affected assets
- * preliminary business impact
- * whether services are affected
- * whether you are able to control/record critical systems
-
-`TODO: Expand investigation steps, including key questions and strategies, for phishing.`
-
-### Remediate
-
-* **Plan remediation events** where these steps are launched together (or in coordinated fashion), with appropriate teams ready to respond to any disruption.
-* **Consider the timing and tradeoffs** of remediation actions: your response has consequences.
-
-#### Contain
-
-`TODO: Customize containment steps, tactical and strategic, for phishing.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* Contain affected accounts
- * change login credentials
- * reduce access to critical services, systems, or data until investigation is complete
- * reenforce multi-factor authentication (MFA)
-* Block activity based on discovered indicators of compromise, _e.g._:
- * block malicious domains using DNS, firewalls, or proxies
- * block messages with similar senders, message bodies, subjects, links, attachments, _etc._, using email gateway or service.
-* Implement forensic hold or retain forensic copies of messages
-* Purge related messages from other user inboxes, or otherwise make inaccessible
-* Contain broader compromise in accordance with general IR plan
-* Consider mobile device containment measures such as wiping via mobile device management (MDM). Balance against investigative/forensic impact.
-* Increase detection "alert level," with enhanced monitoring, particularly from related accounts, domains, or IP addresses.
-* Consider outside security assistance to support investigation and remediation
-* Confirm relevant software upgrades and anti-malware updates on assets.
-
-#### Reference: Remediation Resources
-
-`TODO: Specify financial, personnel, and logistical resources to accomplish remediation`
-
-### Communicate
-
-`TODO: Customize communication steps for phishing`
-
-`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan`
-
-1. Escalate incident and communicate with leadership per procedure
-1. Document incident per procedure (and [report](https://us-cert.cisa.gov/report-phishing))
-1. Communicate with internal and external legal counsel per procedure, including discussions of compliance, risk exposure, liability, law enforcement contact, _etc._
-1. Communicate with users (internal)
- 1. Communicate incident response updates per procedure
- 1. Communicate impact of incident **and** incident response actions (e.g., containment: "why is the file share down?")
- 1. Communicate requirements: "what should users do and not do?"
-1. Communicate with customers
- 1. Focus particularly on those whose data was affected
- 1. Generate required notifications based on applicable regulations (particularly those that may consider phishing a data breach or otherwise requires notifications) `TODO: Expand notification requirements and procedures for applicable regulations`
-1. Contact insurance provider(s)
- 1. Discuss what resources they can make available, what tools and vendors they support and will pay for, _etc._
- 1. Comply with reporting and claims requirements to protect eligibility
-1. Consider notifying and involving [law enforcement](https://www.usa.gov/stop-scams-frauds) TODO: Link the following bullets to actual resources for your organization
- 1. [Local law enforcement](#TODO-link-to-actual-resource)
- 1. [State or regional law enforcement](#TODO-link-to-actual-resource)
- 1. [Federal or national law enforcement](#TODO-link-to-actual-resource)
-1. Communicate with security and IT vendors TODO: Link the following bullets to actual resources for your organization
- 1. Notify and collaborate with [managed providers](#TODO-link-to-actual-resource) per procedure
- 1. Notify and collaborate with [incident response consultants](#TODO-link-to-actual-resource) per procedure
-
-### Recover
-
-`TODO: Customize recovery steps for phishing`
-
-`TODO: Specify tools and procedures for each step, below`
-
-1. Launch business continuity/disaster recovery plan(s) if compromise involved business outages: _e.g._, consider migration to alternate operating locations, fail-over sites, backup systems.
-1. Reinforce training programs regarding suspected phishing attacks. Key suspicious indicators may include:
- * misspellings in the message or subject
- * phony-seeming sender names, including mismatches between display name and email address
- * personal email addresses for official business (e.g., gmail or yahoo emails from business colleagues)
- * subject lines marked "[EXTERNAL]" on emails that look internal
- * [malicious or suspicious links](https://www.pcworld.com/article/248963/how-to-tell-if-a-link-is-safe-without-clicking-on-it.html)
- * receiving an email or attachment they were not expecting but from someone they know (contact sender before opening it)
- * reporting suspicious activity to IT or security
-1. Ensure that IT and security staff is up to date on recent phishing techniques.
-1. Determine if any controls have failed when falling victim to an attack and rectify them. Here is a [good source](https://www.proofpoint.com/us/security-awareness/post/14-things-do-after-phishing-attack) to consider following a phishing attack.
-
-### Resources
-
-#### Reference: User Actions for Suspected Phishing Attack
-
-`TODO: Customize steps for users dealing with suspected phishing`
-
-1. Stay calm, take a deep breath.
-1. Take pictures of your screen using your smartphone showing the things you noticed: the phishing message, the link if you opened it, the sender information.
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. Every little bit helps! Document the following:
- 1. What did you notice?
- 1. Why did you think it was a problem?
- 1. What were you doing at the time you detected it?
- 1. When did it first occur, and how often since?
- 1. Where were you when it happened, and on what network? (office/home/shop, wired/wireless, with/without VPN, _etc._)
- 1. What systems are you using? (operating system, hostname, _etc._)
- 1. What account were you using?
- 1. What data do you typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Contact the [help desk](#TODO-link-to-actual-resource) using the [phishing hotline](#TODO-link-to-actual-resource) or the [phishing report toolbar](#TODO-link-to-actual-resource) and be as helpful as possible.
-1. Be patient: the response may be disruptive, but you are protecting your team and the organization! **Thank you.**
-
-#### Reference: Help Desk Actions for Suspected Phishing Attack
-
-`TODO: Customize steps for help desk personnel dealing with suspected phishing`
-
-1. Stay calm, take a deep breath.
-1. Open a ticket to document the incident, per procedure. `TODO: Customize template with key questions (see below) and follow-on workflow`
-1. Ask the user to take pictures of their screen using their smartphone showing the things they noticed: the phishing message, the link if you opened it, the sender information, _etc._ If this is something you noticed directly, do the same yourself.
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. If this is a user report, ask detailed questions, including:
- 1. What did you notice?
- 1. Why did you think it was a problem?
- 1. What were you doing at the time you detected it?
- 1. When did it first occur, and how often since?
- 1. What networks are involved? (office/home/shop, wired/wireless, with/without VPN, _etc._)
- 1. What systems are involved? (operating system, hostname, _etc._)
- 1. What data is involved? (paths, file types, file shares, databases, software, _etc._)
- 1. What users and accounts are involved? (active directory, SaaS, SSO, service accounts, _etc._)
- 1. What data do the involved users typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Ask follow-up questions as necessary. **You are an incident responder, we are counting on you.**
-1. Get detailed contact information from the user (home, office, mobile), if applicable.
-1. Record all information in the ticket, including hand-written and voice notes.
-1. Quarantine affected users and systems. `TODO: Customize containment steps, automate as much as possible`
-1. Contact the [security team](#TODO-link-to-actual-resource) and stand by to participate in the response as directed: investigation, remediation, communication, and recovery.
-
-#### Additional Information
-
-1. [Anti-Phishing Attack resources](https://resources.infosecinstitute.com/category/enterprise/phishing/phishing-countermeasures/top-16-anti-phishing-resources/#gref)
-1. [Methods of Identifying a Phishing attack](https://www.securitymetrics.com/blog/7-ways-recognize-phishing-email)
-1. [Phishing Email Examples](https://www.phishing.org/phishing-examples)
-1. [Anti-Phishing best practices](https://resources.infosecinstitute.com/category/enterprise/phishing/phishing-countermeasures/anti-phishing-best-practices/#gref)
-## Playbook: Ransomware
-
-**Investigate, remediate (contain, eradicate), and communicate in parallel! Containment is critical in ransomware incidents, prioritize accordingly.**
-
-Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
-
-### Investigate
-
-`TODO: Expand investigation steps, including key questions and strategies, for ransomware.`
-
-1. **Determine the type** of ransomware (_i.e.,_ what is the family, variant, or flavor?)[[1]](#ransomware-playbook-ref-1)
- 1. Find any related messages. Check:
- * graphical user interfaces (GUIs) for the malware itself
- * text or html files, sometimes opened automatically after encryption
- * image files, often as wallpaper on infected systems
- * contact emails in encrypted file extensions
- * pop-ups after trying to open an encrypted file
- * voice messages
- 1. Analyze the messages looking for clues to the ransomware type:
- * ransomware name
- * language, structure, phrases, artwork
- * contact email
- * format of the user id
- * ransom demand specifics (_e.g._, digital currency, gift cards)
- * payment address in case of digital currency
- * support chat or support page
- 1. Analyze affected and/or new files. Check:
- * file renaming scheme of encrypted files including extension (_e.g._, `.crypt`, `.cry`, `.locked`) and base name
- * file corruption vs encryption
- * targeted file types and locations
- * owning user/group of affected files
- * icon for encrypted files
- * file markers
- * existence of file listings, key files or other data files
- 1. Analyze affected software or system types. Some ransomware variants only affect certain tools (_e.g._, [databases](https://www.bleepingcomputer.com/news/security/mongodb-apocalypse-professional-ransomware-group-gets-involved-infections-reach-28k-servers/)) or platforms (_e.g._, [NAS products](https://forum.synology.com/enu/viewtopic.php?f=3&t=88716))
- 1. Upload indicators to automated categorization services like [Crypto Sheriff](https://www.nomoreransom.org/crypto-sheriff.php), [ID Ransomware](https://id-ransomware.malwarehunterteam.com/), or similar.
-1. **Determine the scope:**
- 1. Which systems are affected? `TODO: Specify tool(s) and procedure`
- * Scan for concrete indicators of compromise (IOCs) such as files/hashes, processes, network connections, etc. Use [endpoint protection/EDR](#TODO-link-to-actual-resource), [endpoint telemetry](#TODO-link-to-actual-resource), [system logs](#TODO-link-to-actual-resource), etc.
- * Check similar systems for infection (_e.g._, similar users, groups, data, tools, department,configuration, patch status): check [IAM tools](#TODO-link-to-actual-resource), [permissions management tools](#TODO-link-to-actual-resource), [directory services](#TODO-link-to-actual-resource), _etc._
- * Find external command and control (C2), if present, and find other systems connecting to it: check [firewall or IDS logs](#TODO-link-to-actual-resource), [system logs/EDR](#TODO-link-to-actual-resource), [DNS logs](#TODO-link-to-actual-resource), [netflow or router logs](#TODO-link-to-actual-resource), _etc._
- 1. What data is affected? (_e.g._, file types, department or group, affected software) `TODO: Specify tool(s) and procedure`
- * Find anomalous changes to file metadata such as mass changes to creation or modification times. Check [file metadata search tools](#TODO-link-to-actual-resource)
- * Find changes to normally-stable or critical data files. Check [file integrity monitoring](#TODO-link-to-actual-resource) tools
-1. **Assess the impact** to prioritize and motivate resources
- 1. Assess functional impact: impact to business or mission.
- * How much money is lost or at risk?
- * How many (and which) missions are degraded or at risk?
- 1. Assess information impact: impact to confidentiality, integrity, and availability of data.
- * How critical is the data to the business/mission?
- * How sensitive is the data? (_e.g._, trade secrets)
- * What is the regulatory status of data (_e.g._, PII, PHI)
-1. **Find the infection vector.** Check the tactics captured in the [Initial Access tactic](https://attack.mitre.org/tactics/TA0001/) of MITRE ATT&CK[[4]](#ransomware-playbook-ref-4). Common specifics and data sources include:
- * email attachment: check [email logs](#TODO-link-to-actual-resource), [email security appliances and services](#TODO-link-to-actual-resource), [e-discovery tools](#TODO-link-to-actual-resource), _etc._
- * insecure remote desktop protocol (RDP): check [vulnerability scanning results](#TODO-link-to-actual-resource), [firewall configurations](#TODO-link-to-actual-resource), _etc._
- * self-propagation (worm or virus) (check [host telemetry/EDR](#TODO-link-to-actual-resource), [system logs](#TODO-link-to-actual-resource), [forensic analysis](#TODO-link-to-actual-resource), _etc._)
- * infection via removable drives (worm or virus)
- * delivered by other malware or attacker tool: expand investigation to include additional attacker tools or malware
-
-### Remediate
-
-* **Plan remediation events** where these steps are launched together (or in coordinated fashion), with appropriate teams ready to respond to any disruption.
-* **Consider the timing and tradeoffs** of remediation actions: your response has consequences.
-
-#### Contain
-
-`TODO: Customize containment steps, tactical and strategic, for ransomware.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-**In ransomware situations, containment is critical. Inform containment measures with facts from the investigation. Prioritize quarantines and other containment measures higher than during a typical response.**
-
-Quarantines (logical, physical, or both) prevent spread _from_ infected systems and prevent spread _to_ critical systems and data. Quarantines should be comprehensive: include cloud/SaaS access, single-sign-on, system access such as to ERP or other business tools, _etc._
-
-* Quarantine infected systems
-* Quarantine affected users and groups.
-* Quarantine file shares (not just known-infected shares; protect uninfected shares too)
-* Quarantine shared databases (not just known-infected servers; protect uninfected databases too)
-* Quarantine backups, if not already secured
-* Block command and control domains and addresses
-* Remove vector emails from inboxes
-* Confirm endpoint protection (AV, NGAV, EDR, _etc._) is up-to-date and enabled on all systems.
-* Confirm patches are deployed on all systems (prioritizing targeted systems, OSes, software, _etc._).
-* Deploy custom signatures to endpoint protection and network security tools based on discovered IOCs
-
-`TODO: Consider automating containment measures using orchestration tools.`
-
-#### Eradicate
-
-`TODO: Customize eradication steps, tactical and strategic, for ransomware.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* Rebuild infected systems from known-good media
-* Restore from known-clean backups
-* Confirm endpoint protection (AV, NGAV, EDR, _etc._) is up-to-date and enabled on all systems.
-* Confirm patches are deployed on all systems (prioritizing targeted systems, OSes, software, _etc._).
-* Deploy custom signatures to endpoint protection and network security tools based on discovered IOCs
-* **Watch for re-infection:** consider increased priority for alarms/alerts related to this incident.
-
-#### Reference: Remediation Resources
-
-`TODO: Specify financial, personnel, and logistical resources to accomplish remediation.`
-
-### Communicate
-
-`TODO: Customize communication steps for ransomware`
-
-`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan.`
-
-1. Escalate incident and communicate with leadership per procedure
-1. Document incident per procedure
-1. Communicate with internal and external legal counsel per procedure, including discussions of compliance, risk exposure, liability, law enforcement contact, _etc._
-1. Communicate with users (internal)
- 1. Communicate incident response updates per procedure
- 1. Communicate impact of incident **and** incident response actions (e.g., containment: "why is the file share down?"), which can be more intrusive/disruptive during ransomware incidents
- 1. Communicate requirements: "what should users do and not do?" See "Reference: User Actions for Suspected Ransomware," below
-1. Communicate with customers
- 1. Focus particularly on those whose data was affected
- 1. Generate required notifications based on applicable regulations (particularly those that may consider ransomware a data breach or otherwise requires notifications (_e.g._, [HHS/HIPAA](https://www.hhs.gov/sites/default/files/RansomwareFactSheet.pdf))) `TODO: Expand notification requirements and procedures for applicable regulations`
-1. Contact insurance provider(s)
- 1. Discuss what resources they can make available, what tools and vendors they support and will pay for, _etc._
- 1. Comply with reporting and claims requirements to protect eligibility
-1. Communicate with regulators, including a discussion of what resources they can make available (not just boilerplate notification: many can actively assist)
-1. Consider notifying and involving [law enforcement](https://www.nomoreransom.org/en/report-a-crime.html)
- 1. [Local law enforcement](#TODO-link-to-actual-resource)
- 1. [State or regional law enforcement](#TODO-link-to-actual-resource)
- 1. [Federal or national law enforcement](#TODO-link-to-actual-resource)
-1. Communicate with security and IT vendors
- 1. Notify and collaborate with [managed providers](#TODO-link-to-actual-resource) per procedure
- 1. Notify and collaborate with [incident response consultants](#TODO-link-to-actual-resource) per procedure
-
-### Recover
-
-`TODO: Customize recovery steps for ransomware.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-> **We do not recommend paying the ransom:** it does not guarantee a solution to the problem. It can go wrong (_e.g._, bugs could make data unrecoverable even with the key). Also, paying proves ransomware works and could increase attacks against you or other groups.[[2, paraphrased]](#ransomware-playbook-ref-2)
-
-1. Launch business continuity/disaster recovery plan(s): _e.g._, consider migration to alternate operating locations, fail-over sites, backup systems.
-1. Recover data from known-clean backups to known-clean, patched, monitored systems (post-eradication), in accordance with our [well-tested backup strategy](#TODO-link-to-actual-resource).
- * Check backups for indicators of compromise
- * Consider partial recovery and backup integrity testing
-1. Find and try known decryptors for the variant(s) discovered using resources like the No More Ransom! Project's [Decryption Tools page](https://www.nomoreransom.org/en/decryption-tools.html).
-1. Consider paying the ransom for irrecoverable critical assets/data, in accordance with policy `TODO: Expand and socialize this decision matrix`
- * Consider ramifications with appropriate stakeholders
- * Understand finance implications and budget
- * Understand legal, regulatory, and insurance implications
- * Understand mechanisms (_e.g._, technologies, platforms, intermediate vendors/go-betweens)
-
-### Resources
-
-#### Reference: User Actions for Suspected Ransomware
-
-`TODO: Customize steps for users dealing with suspected ransomware`
-
-1. Stay calm, take a deep breath.
-1. Disconnect your system from the network `TODO: include detailed steps with screenshots, a pre-installed tool or script to make this easy ("break in case of emergency"), consider hardware network cut-off switches`
-1. Take pictures of your screen using your smartphone showing the things you noticed: ransom messages, encrypted files, system error messages, _etc._
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. Every little bit helps! Document the following:
- 1. What did you notice?
- 1. Why did you think it was a problem?
- 1. What were you doing at the time you detected it?
- 1. When did it first occur, and how often since?
- 1. Where were you when it happened, and on what network? (office/home/shop, wired/wireless, with/without VPN, _etc._)
- 1. What systems are you using? (operating system, hostname, _etc._)
- 1. What account were you using?
- 1. What data do you typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Contact the [help desk](#TODO-link-to-actual-resource) and be as helpful as possible
-1. Be patient: the response may be disruptive, but you are protecting your team and the organization! **Thank you.**
-
-#### Reference: Help Desk Actions for Suspected Ransomware
-
-`TODO: Customize steps for help desk personnel dealing with suspected ransomware`
-
-1. Stay calm, take a deep breath.
-1. Open a ticket to document the incident, per procedure `TODO: Customize template with key questions (see below) and follow-on workflow`
-1. Ask the user to take pictures of their screen using their smartphone showing the things they noticed: ransom messages, encrypted files, system error messages, _etc._ If this is something you noticed directly, do the same yourself.
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. If this is a user report, ask detailed questions, including:
- 1. What did you notice?
- 1. Why did you think it was a problem?
- 1. What were you doing at the time you detected it?
- 1. When did it first occur, and how often since?
- 1. What networks are involved? (office/home/shop, wired/wireless, with/without VPN, _etc._)
- 1. What systems are involved? (operating system, hostname, _etc._)
- 1. What data is involved? (paths, file types, file shares, databases, software, _etc._)
- 1. What users and accounts are involved? (active directory, SaaS, SSO, service accounts, _etc._)
- 1. What data do the involved users typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Ask follow-up questions as necessary. **You are an incident responder, we are counting on you.**
-1. Get detailed contact information from the user (home, office, mobile), if applicable
-1. Record all information in the ticket, including hand-written and voice notes
-1. Quarantine affected users and systems `TODO: Customize containment steps, automate as much as possible`
-1. Contact the [security team](#TODO-link-to-actual-resource) and stand by to participate in the response as directed: investigation, remediation, communication, and recovery
-
-#### Additional Information
-
-1. ["Ransomware Identification for the Judicious Analyst"](https://www.gdatasoftware.com/blog/2019/06/31666-ransomware-identification-for-the-judicious-analyst), Hahn (12 Jun 2019)
-1. [No More Ransom!](https://www.nomoreransom.org) Project, including their [Crypto Sheriff](https://www.nomoreransom.org/crypto-sheriff.php?lang=en) service and their [Q&A](https://www.nomoreransom.org/en/ransomware-qa.html)
-1. [ID Ransomware](https://id-ransomware.malwarehunterteam.com/) service
-1. [MITRE ATT&CK Matrix](https://attack.mitre.org), including the [Initial Access](https://attack.mitre.org/tactics/TA0001/) and [Impact](https://attack.mitre.org/tactics/TA0040/) tactics
-
-## Playbook: Supply Chain Compromise
-
-**Investigate, remediate (contain, eradicate), and communicate in parallel!**
-
-Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
-
-### Investigate
-
-`TODO: Expand investigation steps, including key questions and strategies, for supply chain compromise.`
-
-1. TODO
-
-### Remediate
-
-* **Plan remediation events** where these steps are launched together (or in coordinated fashion), with appropriate teams ready to respond to any disruption.
-* **Consider the timing and tradeoffs** of remediation actions: your response has consequences.
-
-#### Contain
-
-`TODO: Customize containment steps, tactical and strategic, for supply chain compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* TODO
-
-`TODO: Consider automating containment measures using orchestration tools.`
-
-#### Eradicate
-
-`TODO: Customize eradication steps, tactical and strategic, for supply chain compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* TODO
-
-#### Reference: Remediation Resources
-
-`TODO: Specify financial, personnel, and logistical resources to accomplish remediation.`
-
-### Communicate
-
-`TODO: Customize communication steps for supply chain compromise`
-
-`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan.`
-
-In addition to the general steps and guidance in the incident response plan:
-
-1. TODO
-
-### Recover
-
-`TODO: Customize recovery steps for supply chain compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-In addition to the general steps and guidance in the incident response plan:
-
-1. TODO
-
-### Resources
-
-#### Additional Information
-
-1. ["Title"](#TODO-url), Author Last Name (Date)
-
-# Roles
-
-The following are the descriptions, duties, and training for each of the defined roles in an incident response.
-
-`TODO: Customize roles, descriptions, duties, and training, if necessary.`
-
-## Structure of Roles
-
-* Command Team
- * [Incident Commander](#role-incident-commander-ic)
- * [Deputy Incident Commander](#role-deputy-incident-commander-deputy)
- * [Scribe](#role-scribe)
-* Liaison Team
- * Internal [Liaison](#role-liaison)
- * External Liaison
-* Operations Team
- * [Subject Matter Experts](#role-subject-matter-expert-sme) (SMEs) for Systems
- * SMEs for Teams/Business Units
- * SMEs for Executive Functions (_e.g._, Legal, HR, Finance)
-During larger complex incidents, the role structure may be adjusted to account for the creation of sub-teams. Read about how we handle [complex incidents](/before/complex_incidents.md) for more information.
-
-This is a **flexible structure**: every role will not be filled by a different person for every incident. For example, in a small incident the Deputy might act as the Scribe and Internal Liaison. The structure is flexible and scales based on the incident.
-
-## Wartime vs. Peacetime
-
-On incident response calls ("wartime"), a different organizational structure overrides normal operations ("peacetime"):
-
-* The Incident Commander is in charge. No matter their rank during peacetime, they are now the highest ranked individual on the call, higher than the CEO.
-* Primary responders (folks acting as primary on-call for a team/service) are the highest ranked individuals for that service.
-* Decisions will be made by the IC after consideration of the information presented. Once that decision is made, it is final.
-* Riskier decisions can be made by the IC than would normally be considered during peacetime.
-* The IC may go against a consensus decision. If a poll is done, and 9/10 people agree but 1 disagrees. The IC may choose the disagreement option despite a majority vote. Even if you disagree, the IC's decision is final. During the call is not the time to argue with them.
-* The IC may use language or behave in a way you find rude. This is wartime, and they need to do whatever it takes to resolve the situation, so sometimes rudeness occurs. This is not personal, and something you should be prepared to experience if you've never been in a wartime situation before.
-* You may be asked to leave the call by the IC, or you may even be forcibly kicked off a call. It is at the IC's discretion to do this if they feel you are not providing useful input. Again, this is not personal and you should remember that wartime is different than peacetime.
-
-## Role: All Participants
-
-### Description
-
-All participants in an incident response have the responsibility to help resolve the incident according to the incident response plan, under the authority of the Incident Commander.
-
-### Duties
-
-#### Exhibit Call Etiquette
-
-* Join both the call and chat.
-* Keep background noise to a minimum.
-* Keep your microphone muted until you have something to say.
-* Identify yourself when you join the call; State your name and role (_e.g._, "I am the SME for team x").
-* Speak up and speak clearly.
-* Be direct and factual.
-* Keep conversations/discussions short and to the point.
-* Bring any concerns to the Incident Commander (IC) on the call.
-* Respect time constraints given by the Incident Commander.
-* If you join only one channel (call or chat), do not actively participate, as it causes disjoined communication.
-* **Use clear terminology, and avoid acronyms or abbreviations. Clarity and accuracy is more important than brevity.**
-
-##### Reference: Common Voice Procedure
-
-Standard radio [voice procedure](https://en.wikipedia.org/wiki/Voice_procedure#Words_in_voice_procedure) **is not required**, however you may hear certain terms (or need to use them yourself). Common phrases include:
-
-* **Ack/Rog:** "I have received and understood"
-* **Say Again:** "Repeat your last message"
-* **Standby:** "Please wait a moment for the next response"
-* **Wilco:** "Will comply"
-
-**Do not** invent new abbreviations; favor being explicit over implicit.
-
-#### Follow the Incident Commander
-
-The Incident Commander (IC) is the leader of the incident response process.
-
-* Follow instructions from the incident commander.
-* Do not perform any actions unless the incident commander has told you to do so.
-* The commander will typically poll for strong objections before tasking a large action. Raise objections if you have them.
-* Once the commander has made a decision, follow that decision (even if you disagreed).
-* Answer any questions the commander asks you in a clear and concise way. Answering "I don't know" is acceptable. Do not guess.
-* The commander may ask you to investigate something and get back to them in X minutes. Be ready with an answer within that time. Asking for more time is acceptable, but provide the commander an estimate.
-
-### Training
-
-Read and understand the incident response plan, including the roles and playbooks.
-
-## Role: Incident Commander (IC)
-
-### Description
-
-The Incident Commander (IC) acts as the single source of truth of what is currently happening and what is going to happen during an major incident. The IC is the highest ranking individual on any incident call, regardless of their day-to-day rank. They are the decision maker during an incident; they delegate tasks and listen to subject matter experts to resolve the incident. Their decisions made as commander are final.
-
-Your job as an IC is to evaluate the situation, provide clear guidance and coordination, recruiting others to gather context/details. **Do not perform any investigation or remediation:** delegate these tasks.
-
-### Duties
-
-Resolve the incident as quickly and as safely as possible using the incident response plan as a framework: lead the team to investigate, remediate, communicate. Use the Deputy to assist you, and delegate to relevant liaisons and experts (SMEs) at your discretion.
-
-1. Help prepare for incidents,
- * Setup communications channels for incidents.
- * Funnel people to these communications channels when there is a major incident.
- * Train team members on how to communicate during incidents and train other Incident Commanders.
-1. Drive incidents to resolution,
- * Get everyone on the same communication channel.
- * Collect information from team members for their services/area of ownership status.
- * Collect proposed repair actions, then recommend repair actions to be taken.
- * Delegate all repair actions, the Incident Commander is NOT a resolver.
- * Be the single authority on system status
-1. Facilitate calls and meetings,
- * Gain consensus (Poll During a Decision)
- * Provide status updates
- * Reduce scope (dismiss attendees when possible)
- * Spin off sub-teams
- * Transfer command when necessary
- * Sign off calls
- * Maintain order
- * Get straight answers
- * Handle executive swoop such as
- * Overriding the Incident Commander
- * Anti-motivation
- * Information requests
- * Questioning severity
- * Handle disruptive or belligerent responders
-1. Post Mortem,
- * Creating the initial template right after the incident so people can put in their thoughts while fresh.
- * Assigning the post-mortem after the event is over, this can be done after the call.
- * Work with Team Leads/Managers on scheduling preventive actions.
-
-The Incident Commander uses some additional call procedures and lingo:
-
-* Always announce when you join the call if you are the on-call IC.
-* **Do not** let discussions get out of hand. Keep conversations short.
-* Note objections from others, but your call is final.
-* If anyone is being actively disruptive to your call, kick them off.
-* Announce the end of the call.
-* After an incident, communicate with other training Incident Commanders on any debrief actions you feel are necessary.
-
-**Use clear terminology, and avoid acronyms or abbreviations. Clarity and accuracy is more important than brevity.**
-
-### Training
-
-* Read the incident response plan, including all roles and playbooks.
-* Participate in an incident response exercise.
-* Shadow a current incident commander without actively participating, keeping your questions until the end.
-* Reverse shadow a current incident commander. Respond to incidents with the current IC there to take over if necessary.
-* _OPTIONAL:_ facilitation training
-* _OPTIONAL:_ Refer to [Incident Responders as Facilitators (and Therapists)](#FIX) and the [PagerDuty Incident Commander training](https://response.pagerduty.com/training/incident_commander/) for more ideas and discussion.
-
-#### Prerequisites
-
-There is no seniority or business-unit prerequisites to become an Incident Commander, it is a role open to anyone with the training and ability. Before you can be an Incident Commander, it is expected that you meet the following criteria:
-
-* Excellent verbal and written **communication skills**.
-* **High-level knowledge** of business infrastructure and functions.
-* Excellent critical thinking, judgment, and decision-making.
-* Flexibility and ability to **listen to expert feedback**, modifying plans as necessary.
-* **Participated in at least two incident responses**.
-* Gravitas, ability to **take command**, and **willingness to kick people off a call** to remove distractions, even if it's the CEO.
-
-Deep technical knowledge is not required! Incident Commanders do not require deep technical knowledge of our systems. Your job as Incident Commander is to coordinate the response, not make technical changes. Don’t think you can’t be an Incident Commander just because you’re not in the engineering department.
-
-#### Graduation
-
-Upon completion of training, add yourself to the Incident Commander roster.
-
-## Role: Deputy Incident Commander (Deputy)
-
-### Description
-
-A Deputy Incident Commander (Deputy) is a direct support role for the Incident Commander (IC). The Deputy enables the IC to focus on the problem at hand, rather than worrying about documenting steps or monitoring timers. The deputy supports the IC and keeps them focused on the incident. As a Deputy, you will be expected to take over command from the IC if they request it.
-
-### Duties
-
-1. Bring up issues to the Incident Commander that may otherwise not be addressed (keeping an eye on timers that have been started, circling back around to missed items from a roll call, etc).
-1. Be a "hot standby" Incident Commander, should the primary need to either transition to a SME, or otherwise have to step away from the IC role.
-1. Manage the incident call, and be prepared to remove people from the call if instructed by the Incident Commander.
-1. Monitor the status of the incident, and notify the IC if/when the incident escalates in severity level.
-1. Monitor timers:
- * track how long the incident has been running
- * notify the IC every X minutes so they can take actions (_e.g._, "IC, be advised the incident is now at the 10 minute mark.")
-1. Monitor task deadlines (e.g., "IC, be advised the timer for [TEAM]'s investigation is up.")
-
-### Training
-
-* Read and understand the incident response plan, including the roles and playbooks.
-
-#### Prerequisites
-
-* Be trained as an [Incident Commander](#role-incident-commander-ic).
-
-## Role: Scribe
-
-### Description
-
-A Scribe documents the timeline of an incident as it progresses, and makes sure all important decisions and data are captured for later review. The Scribe should focus on the incident file, as well as follow-up items for later action.
-
-### Duties
-
-1. Ensure the incident call is being recorded.
-1. Note in chat and in the file timelines: important data, events, and actions, as they happen. Specifically:
- * Key actions as they are taken
- * Status reports when one is provided by the IC
- * Any key call-outs either during the call or at the ending review
-1. Update the chat with who the IC is, who the Deputy is, and that you're the scribe (if not already done).
-
-Scribing is more art than science. The objective is to keep an accurate record of important events that occurred, Use your judgement and experience. But here are some general things you most definitely want to capture as scribe.
-
-* The result of any polling decisions.
-* Any followup items that are called out as "We should do this..", "Why didn't this?..", etc.
-
-### Training
-
-Read and understand the incident response plan, including the roles and playbooks.
-
-#### Prerequisites
-
-* Excellent verbal and written **communication skills**.
-* Anyone can act as a scribe during an incident, and are chosen by the Incident Commander at the start of the call.
-* Typically the Deputy will act as the Scribe
-
-#### Training Process
-
-* Read the incident response plan, including all roles and playbooks.
-* _OPTIONAL:_ Parallel the actions of a scribe during an incident or exercise, and seek feedback from the actual Scribe and Incident Commander.
-
-## Role: Subject Matter Expert (SME)
-
-### Description
-
-A Subject Matter Expert (SME) is a domain expert or designated owner of a team, component, or service (an "area"). You are there to support the incident commander in identifying the cause of the incident, suggesting and evaluation investigation, remediation, and communication actions, and following through on them as tasked.
-
-### Duties
-
-1. Diagnose common problems within your area of expertise.
-1. Rapidly fix issues found during an incident.
-1. Concise communication:
- * Condition: What is the current state of your area? Is it healthy or not?
- * Actions: What actions need to be taken if your area is not in a healthy state?
- * Needs: What support do you need need to perform an action?
-1. Participate in the investigation, remediation, and/or communication phases of the response.
-1. Announce all suggestions to the incident commander, it is their decision on how to proceed, do not follow any actions unless told to do so.
-
-If you are on-call for any team, you may be paged for an incident and will be expected to respond as a subject matter expert (SME) for your team, component, or service. Anyone who is considered a "domain expert" can act as a SME for an incident. Typically the team's primary on-call will act as the SME for that team.
-
-#### Prepare for On-Call Period
-
-1. Be prepared, by having already familiarized yourself with our incident response policies and procedures.
-1. Make sure you have set up your alerting methods in accordance with our on-call procedure.
-1. Check you can join the incident call. You may need to install a browser plugin.
-1. Be aware of your upcoming on-call time and arrange swaps around travel, vacations, appointments, etc.
-1. If you are an Incident Commander, make sure you are not on-call for your team at the same time as being on-call as Incident Commander.
-
-#### During On-Call Period
-
-1. Have your laptop and Internet with you at all times during your on-call period (office, home, a MiFi, a phone with a tethering plan, etc).
-1. If you have important appointments, you need to get someone else on your team to cover that time slot in advance.
-1. When you receive an alert for an incident, you are expected to join the incident call and chat as quickly as possible (within minutes).
-1. You will be asked questions or given actions by the Incident Commander. Answer questions concisely, and follow all actions given (even if you disagree with them).
-1. If you're not sure about something, bring in other SMEs from your team that can help. **Never hesitate to escalate**, if necessary.
-1. Do not blame. This incident response process is completely blameless: blaming is counter productive and distracts from the problem at hand. After-action review will identify places we can all improve.
-
-### Training
-
-* Read and understand the incident response plan, including the roles and playbooks.
-
-## Role: Liaison
-
-### Description
-
-Liaisons interact with other teams or stakeholders, outside the incident response team. These often include:
-
-* External Liaison: responsible for interacting with customers, either directly, or via public communication.
-* Internal Liaison: responsible for interacting with internal stakeholders. Whether it's notifying an internal team of the incident, or mobilizing additional responders within the organization.
-
-### Duties
-
-#### External or Customer Liaison
-
-1. Post any publicly facing messages regarding the incident (Twitter, etc).
-1. Notify the IC of any customers or media coverage reporting affects of the incident.
-1. Provide customers with the external message from the post-mortem once it is completed.
-1. Contact or interact with external stakeholders such as vendors, partners, law enforcement, _etc._
-1. **Do not** feel responsible for creating every message: work with the Incident Commander and other stakeholders.
-1. As appropriate, keep customers informed during an incident.
-1. Act as a voice for our customers to the Incident Commander, as this is useful for IC decision making.
-1. Gaining message approval after you have crafted the public message: copy the message into chat and wait for verbal/written confirmation from the IC before proceeding.
-
-##### Tips for Public Messages
-
-* Prepare a default message in advance that can be used for the initial update if the scope of the issue is unknown.
-* Be honest. Do not lie or guess.
-* Describe our progress in resolving the incident.
- * _"We are aware of an incident..."_
- * _"We are investigating delayed notifications..."_
- * _"A fix has been applied and is currently being deployed..."_
- * _"The issue has been resolved..."_
-* Be clear about how the incident is affecting customers. This is the primary piece of information customers will care about.
-* Provide workarounds customers can use until the incident is resolved.
-* Don't estimate resolution times.
-* Provide the appropriate level of detail.
-
-#### Internal Liaison
-
-1. Page SME's or other on-call personnel as instructed by the Incident Commander.
-1. Notify or mobilize other teams within the organization (e.g. Finance, Legal, Marketing), as instructed by the Incident Commander.
-1. Track and anticipate SMEs on the call.
-1. Interact with stakeholders and provide status updates as necessary.
-1. Interact with internal stakeholders to answer their questions, to keep the primary call distraction free.
-1. Provide regular status updates to the executive team, giving an executive summary of the current status.
-
-### Training
-
-Read and understand the incident response plan, including the roles and playbooks.
-
-#### Prerequisites
-
-* Excellent verbal and written **communication skills**.
-* _OPTIONAL:_ Customer support training.
-* _OPTIONAL:_ Corporate communication or marketing training.
-
-# Conduct an After Action Review (AAR)
-
-1. Schedule an After Action Review (AAR) meeting within {{AAR_SLA}} and invite the attendees listed at {{AAR_ATTENDEES}}. Always include the following:
- * The incident commander.
- * Service owners involved in the incident.
- * Key engineer(s)/responders involved in the incident.
-1. Designate an AAR owner who will investigate the incident in advance of the meeting to prepare, looking into the incident process itself including reviewing notes and reports.
-
-## Conduct the AAR Meeting
-
-Document answers to the following key questions:
-
-1. **What happened?** Create a timeline, supported with data or other artifacts. **Avoid blame. Find facts.**
-1. **What was supposed to happen?**
- * Detail deviations from process, procedure, or best practice, including SME assessments.
- * Identify ways the incident could have been detected sooner, or responded to more effectively
-1. **What were the root causes?** Find root cause to things that happened and to things that should have happened.
-1. **How can we improve?** Capture action items _with assignees and due dates_. Consider:
- * Stop: what should we stop doing?
- * Start: what should we start doing?
- * Continue: what should we keep doing?
-
-## Communicate AAR Status and Results
-
-The AAR owner, in coordination with the Internal Liaison, will communicate the status of the AAR (see below)
-
-### Status Descriptions
-
-| Status | Description |
-|-|-|
-| **Draft** | AAR investigation is still ongoing |
-| **In Review** | AAR investigation has been completed, and is ready to be reviewed during the AAR meeting. |
-| **Reviewed** | AAR meeting is over and the content has been reviewed and agreed upon.
If there are additional "External Messages", the communications team will take action to prepare. |
-| **Closed** | No further actions are needed on the AAR (outstanding issues are tracked in tickets).
If no "External Messages", skip straight to this once the meeting is over.
If there are additional "External Messages", communications team will update AAR Closed once sent. |
-
-Communicate the results of the AAR internally and finalize the AAR documentation.
-
-# About
-
-This template was developed by the team at [Counteractive Security](https://www.counteractive.net), to help all organizations get a good start on a concise, directive, specific, flexible, and free incident response plan. Build a [plan you will actually use](https://www.counteractive.net/posts/an-ir-plan-you-will-use/) to respond effectively, minimize cost and impact, and get back to business as soon as possible.
-
-## License
-
-This template is provided under the Apache License, version 2.0. You can view the source code for this plan at https://github.com/counteractive.
-
-## Instructions
-
-Customize this plan template for your own organization. Instructions are available in the project's [README](https://github.com/counteractive). For professional assistance with incident response, or with customizing, implementing, or testing your plan, please contact us by [email](mailto:support@counteractive.net) or [phone](tel:+18889255765).
-
-## References and Additional Reading
-
-* [NIST Computer Security Incident Handling Guide](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) (NIST)
-* [CERT Societe Generale Incident Response Methodologies](https://github.com/certsocietegenerale/IRM/tree/master/EN)
-* [NIST Cybersecurity Framework](https://www.nist.gov/cyberframework)
-* [Incident Handler's Handbook](https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901) (SANS)
-* [Responding to IT Security Incidents](https://technet.microsoft.com/en-us/library/cc700825.aspx) (Microsoft)
-* [Defining Incident Management Processes for CSIRTs: A Work in Progress](http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=7153) (CMU)
-* [Creating and Managing Computer Security Incident Handling Teams (CSIRTS)](https://www.first.org/conference/2008/papers/killcrece-georgia-slides.pdf) (CERT)
-* [Incident Management for Operations](http://shop.oreilly.com/product/0636920036159.do) (Rob Schnepp, Ron Vidal, Chris Hawley)
-* [_Incident Response & Computer Forensics, Third Edition_](http://a.co/cUkFzMh) (Jason Luttgens. Matthew Pepe. Kevin Mandia)
-* [_Incident Response_](http://shop.oreilly.com/product/9780596001308.do) (Kenneth R. van Wyk, Richard Forno)
-* [The Checklist Manifesto](http://atulgawande.com/book/the-checklist-manifesto/) (Atul Gawande)
-* [The Field Guide to Understanding Human Error](https://www.amazon.com/Field-Guide-Understanding-Human-Error/dp/0754648265) (Sidney Dekker)
-* [Normal Accidents: Living with High-Risk Technologies](https://www.amazon.com/Normal-Accidents-Living-High-Risk-Technologies/dp/0691004129) (Charles Perrow)
-* [Site Reliability Engineering](https://landing.google.com/sre/book.html) (Google)
-* [Debriefing Facilitation Guide](http://extfiles.etsy.com/DebriefingFacilitationGuide.pdf) (Etsy)
-* [Every Minute Counts: Leading Heroku's Incident Response](https://www.heavybit.com/library/video/every-minute-counts-coordinating-herokus-incident-response/) (Blake Gentry)
-* [Three Analytical Traps in Accident Investigation](https://www.youtube.com/watch?v=TqaFT-0cY7U) (Dr. Johan Bergström)
-* [US National Incident Management System (NIMS)](https://www.fema.gov/national-incident-management-system) (FEMA)
-* [Informed's NIMS Incident Command System Field Guide](https://www.amazon.com/gp/product/1284038408) (Michael J. Ward)
-* [Advanced PostMortem Fu and Human Error 101 (Velocity 2011)](http://www.slideshare.net/jallspaw/advanced-postmortem-fu-and-human-error-101-velocity-2011)
-* [Blame. Language. Sharing.](http://fractio.nl/2015/10/30/blame-language-sharing/)
-
+# Plan de respuesta a incidentes para {{COMPANY_NAME}}
+
+Autor: {{AUTHOR_NAME}}, {{AUTHOR_EMAIL}}
+
+Revisión {{REVISION_NUMBER}}, Publicado {{RELEASE_DATE}}
+
+Este plan de respuesta a incidentes está basado en el plan conciso, directivo, específico, flexible y gratuito disponible en [Github](https://github.com/counteractive/incident-response-plan-template) de Counteractive Security y discutido en [www.counteractive.net](https://www.counteractive.net/posts/an-ir-plan-you-will-use/)
+
+Fue revisado por última vez el {{REVIEW_DATE}}. Fue probado por última vez en {{TEST_DATE}}.
+
+`TODO: Personalice esta plantilla de plan para su organización utilizando las instrucciones en https://github.com/counteractive/incident-response-plan-template. Para obtener servicios de respuesta a incidentes, o ayuda para personalizar, implementar o probar su plan, póngase en contacto con nosotros en contact@counteractive.net o en el (888) 925-5765.`
+
+# Evaluar
+
+1. **Mantenga la calma y la profesionalidad.**
+1. Reúna la información pertinente, _e._, alarmas, eventos, datos, suposiciones, intuiciones (**observe**).
+1. Considerar las categorías de impacto, a continuación (**orientar**), y determinar si hay un posible incidente (**decidir**):
+1. 2. Iniciar una respuesta si hay un incidente (**actuar**). En caso de duda, inicie una respuesta. El comandante del incidente y el equipo de respuesta pueden ajustarse tras la investigación y la revisión.
+
+## Evaluar el impacto funcional
+
+¿Cuál es el impacto directo o probable en su misión? (_e._, operaciones comerciales, empleados, clientes, usuarios)
+
+* Degradación o fracaso de la misión/empresa: **incidente!**
+* Ninguno: evalúe el impacto de la información.
+
+## Evaluar el impacto de la información
+
+¿Cuál es el impacto directo o probable en su información/datos, especialmente en los sensibles? (_p. ej., información personal, datos de propiedad, financieros o sanitarios)
+
+* Información a la que se ha accedido, tomado, cambiado o borrado: **incidente!**
+* Ninguno: gestión a través de canales no relacionados con incidentes (por ejemplo, un ticket de soporte).
+
+**Cada miembro del equipo está facultado para iniciar este proceso.** Si ves algo, di algo.
+
+`TODO: Personalizar las categorías/severidades según sea necesario. Este sencillo ejemplo (incidente vs. no incidente) se basa en las categorías de impacto del NIST SP 800-61r2.`
+
+# Iniciar la respuesta
+
+
+## Nombre del incidente
+
+Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.html) para referirse al incidente -un nombre en clave- para utilizarlo en el archivo de incidentes y en los canales. ##Todo: Personalizar el procedimiento de nomenclatura de incidentes.
+
+## Reunir el equipo de respuesta
+
+1. Llame al Comandante de Incidentes de turno/de guardia. `TODO: Añadir lista o procedimiento de llamada del Comandante de Incidentes`.
+1. *No hable del incidente fuera del equipo de respuesta, a menos que el Comandante del Incidente lo autorice.
+1. Inicie y/o únase al chat de respuesta en {{RESPONSE_CHAT}}. ToDo: Añadir el procedimiento de lanzamiento del chat de respuesta.
+1. Inicie y/o únase a la llamada de respuesta en {{RESPONSE_PHONE}} y/o {{RESPONSE_VTC}}. Tarea: Añadir el procedimiento de lanzamiento de la llamada de respuesta.
+1. Prefiera la llamada de voz, el chat y el intercambio seguro de archivos sobre cualquier otro método.
+1. No utilizar el correo electrónico primario si es posible. Si el correo electrónico es necesario, utilícelo con moderación o use {{ALTERNATE_EMAIL}}. Encripte los correos electrónicos cuando cualquier participante esté fuera del dominio {{ORGANIZATION_DOMAIN}}. `TODO: Añadir detalles y procedimiento de correo electrónico alternativo, por ejemplo, Office 365 o GSuite bajo demanda`.
+1. No usar SMS/texto para comunicar el incidente, a menos que sea para decirle a alguien que se mueva a un canal más seguro.
+1. Invite al personal de guardia a la llamada de respuesta y al chat de respuesta.
+ * Invite al equipo de seguridad. `TODO: Añadir lista de contactos del equipo de seguridad o procedimiento.`
+ * Invitar a una PYME de los equipos y sistemas afectados. Invitar a una PYME de los equipos y sistemas afectados.
+ * Invitar a las partes interesadas ejecutivas y a los asesores jurídicos lo antes posible, pero dar prioridad a los responsables operativos. Obligación: añadir una lista de contactos de las partes interesadas ejecutivas o un procedimiento.
+1. OPCIONAL: Establecer una sala de colaboración en persona ("sala de guerra") para incidentes complejos o graves. OBJETIVO: Añadir un procedimiento de sala de colaboración.
+
+### Referencia: Estructura del equipo de respuesta
+
+* Equipo de Mando
+ * [Comandante del Incidente](#role-incident-commander-ic)
+ * [Comandante Adjunto de Incidentes](#role-deputy-incident-commander-deputy)
+ * [Escribano](#role-scribe)
+* Equipo de enlace
+ * Enlace interno (#role-liaison)
+ * Enlace externo
+* Equipo de operaciones
+ * Expertos en la materia](#role-subject-matter-expert-sme) (PYMES) para sistemas
+ * PYMES para equipos/unidades de negocio
+ * PYMES para Funciones Ejecutivas (por ejemplo, Legal, RRHH, Finanzas)
+
+`TODO: Modificar la estructura de roles según sea necesario.
+
+### Referencia: Información de contacto del equipo de respuesta
+
+Rol del equipo de respuesta | Información de contacto
+---------------------------- | ---------------------------
+Localizador del comandante del incidente | {{INCIDENT_COMMANDER_PAGER_NUMBER}}
+Url del Comandante de Incidentes | {{INCIDENT_COMMANDER_PAGER_URL}}
+Lista de comandantes de incidentes | {{INCIDENT_COMMANDER_ROSTER}}
+Lista del equipo de seguridad | {{SECURITY_TEAM_ROSTER}}
+Lista del equipo SME | {{TEAM_SME_ROSTER}}
+Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
+
+`TODO: Personalizar la información de contacto del equipo de respuesta. Incluya los procedimientos de contacto en las listas, que pueden ser estáticas o dinámicas.
+
+## Establecer el ritmo de la batalla
+
+### Realizar la llamada de respuesta inicial
+
+1. Realice la llamada inicial utilizando la [estructura de llamada de respuesta inicial] (#referencia-estructura-de-llamada-de-respuesta-inicial)
+1. Siga las instrucciones del Comandante del Incidente. Si el Comandante de Incidentes de turno/de guardia no se une a la llamada dentro de {{INCIDENT_COMMANDER_RESPONSE_SLA}} y usted es un comandante de incidentes capacitado, tome el mando de la llamada.
+1. Siga las [instrucciones para su función](#roles).
+1. Siga la llamada y el chat, y comente según corresponda. Si no es un SME, filtre las aportaciones a través del SME de su equipo si es posible.
+1. *Mantenga la llamada y el chat activos durante todo el incidente para una comunicación basada en eventos.
+1. Programe actualizaciones *cada {{UPDATE_FREQUENCY}} en el puente activo.
+
+#### Referencia: Estructura de la llamada de respuesta inicial
+
+*COMANDANTE DEL INCIDENTE (IC): Mi nombre es [NOMBRE], soy el Comandante del Incidente. He designado a [NOMBRE] como adjunto y a [NOMBRE] como escribiente. ¿Quién está en la llamada?
+* SCRIBE: [Toma asistencia]
+* IC: [Si falta personal clave] Diputado, por favor llame a [PERSONAL FALTANTE].
+* IC: [Hace preguntas para entender la situación, los síntomas, el alcance, el vector, el impacto y el calendario del informador del incidente, los SME aplicables para los sistemas y las unidades de negocio].
+* PYMES: [Respuestas breves a las preguntas del CI].
+* IC: [Si se trata de un incidente]:
+ * En este momento, el resumen del incidente es el siguiente: [reitera el resumen]. El equipo de investigación estará dirigido por [NOMBRE], el equipo de reparación estará dirigido por [NOMBRE] y el equipo de comunicación estará dirigido por [NOMBRE]. Ellos coordinarán la composición del equipo y me informarán. Los miembros del equipo, por favor, informen a su jefe de equipo correspondiente.
+ * ¿Qué medidas de investigación, corrección o comunicación se han tomado ya? [esta debería ser una lista corta, pero tiene que salir ahora]
+ * Esta llamada y el chat permanecerán activos y disponibles hasta el cierre del incidente, por favor, utilícelos para todas las comunicaciones relacionadas con el incidente. Proporcione actualizaciones de estado en tiempo real en el chat, si es posible.
+ * ¿Hay alguna pregunta o aportación restante? [responde a las preguntas]
+ * Líderes de equipo, por favor procedan con sus acciones planeadas. Nos reuniremos de nuevo en [UPDATE_TIME] para discutir el estado. Gracias.
+ * IC: [Si esto no es un incidente]: En este momento, estos hechos no alcanzan el nivel de un incidente. Me coordinaré directamente con el informador del incidente para las acciones de seguimiento. Gracias por su tiempo.
+
+#### Reference: Call Etiquette
+
+* Join both the call and chat.
+* Keep background noise to a minimum.
+* Keep your microphone muted until you have something to say.
+* Identify yourself when you join the call; State your name and role (_e.g._, "I am the SME for team x").
+* Speak up and speak clearly.
+* Be direct and factual.
+* Keep conversations/discussions short and to the point.
+* Bring any concerns to the Incident Commander (IC) on the call.
+* Respect time constraints given by the Incident Commander.
+* **Use clear terminology, and avoid acronyms or abbreviations. Clarity and accuracy is more important than brevity.**
+
+### Conduct Response Update
+
+* Conduct scheduled updates using the [update call structure](#reference-response-update-call-structure) every {{UPDATE_FREQUENCY}} on the active bridge. `TODO: Customize update frequency and scripts; recommend no more than twice daily.`
+* Adjust frequency as necessary.
+* Coordinate independent updates (_e.g._, executive, legal) as required, but as infrequently as practicable.
+
+#### Referencia: Estructura de la llamada de actualización de la respuesta
+
+* COMANDANTE DEL INCIDENTE (IC): Desde nuestra última actualización programada, el resumen del incidente es el siguiente:
+ * [Impacto]
+ * [Vector]
+ * [Actualización del resumen]
+ * [Actualización de la línea de tiempo]
+* IC: Equipo de investigación, por favor proporcione una breve actualización
+ * LÍDER DE LA INVESTIGACIÓN: [Actividades de investigación o "nada que informar"]
+ * ¿Cuál es su plan de investigación recomendado?
+ * ¿Qué acciones de investigación necesitan ser asignadas o aprobadas? [escuchar, obtener consenso, encargar/aprobar]
+* IC: Equipo de remediación, por favor proporcione una breve actualización
+ * Líder de remediación: [Actividades de remediación o "nada que informar"]
+ * ¿Cuál es su estrategia de corrección recomendada? ¿Objeciones fuertes? [escuchar, obtener el consenso, asignar/aprobar]
+ * ¿Qué acciones de corrección necesitan ser asignadas o aprobadas?
+* IC: Equipo de comunicación, por favor, ofrezca una breve actualización:
+ * COMMUNICATIONS LEAD: [Actividades de comunicación o "nada que informar"]
+ * ¿Cuál es su estrategia de comunicación recomendada? ¿Objeciones fuertes? [escuchar, obtener consenso, encargar/aprobar]
+ * ¿Qué acciones de comunicación necesitan ser asignadas o aprobadas?
+* IC: Esta llamada y el chat permanecerán activos y disponibles hasta el cierre del incidente, por favor, utilícelos para todas las comunicaciones relacionadas con el incidente. Si es posible, proporcione actualizaciones del estado en tiempo real en el chat. ¿Hay alguna pregunta o aportación restante? [responde a las preguntas]
+* IC: Líderes de equipo, por favor procedan. Nos reuniremos de nuevo en [] para discutir el estado. Gracias.
+
+## Supervisar el alcance
+
+* Supervisar el alcance de la respuesta para asegurarse de que no excede el ámbito de control del comandante del incidente.
+* Si un incidente es lo suficientemente complejo y hay suficientes intervinientes, considere la posibilidad de crear subequipos.
+
+### Crear Sub-Equipos
+
+* En la preparación de incidentes complejos, se predefinen tres subequipos: Investigación, Remediación y Comunicación, generalmente responsables de esas funciones de respuesta. `TODO: Personalizar la estructura de los subequipos si es necesario.
+* Crear un puente de llamadas y un chat para cada subequipo.
+* El Comandante del Incidente designará a los líderes de los equipos, que dependen del CI, y a los miembros de los equipos, que dependen de su líder. Los líderes de equipo no tienen que estar formados como comandantes de incidentes, pero es preferible que tengan alguna experiencia de liderazgo.
+* El Comandante del Incidente puede ajustar el propósito o el nombre de los subequipos según sea necesario.
+* Si desea cambiar de equipo, pregunte a su **líder de equipo actual**. **No** pregunte al Comandante de Incidentes, o al líder del otro(s) equipo(s). Utilice la cadena de mando.
+
+### Incidente dividido
+
+Si un incidente resulta ser dos o más incidentes distintos:
+
+* Establecer un nuevo [archivo de incidentes](#crear-archivo-de-incidentes).
+* Haga un seguimiento y coordine la investigación, la reparación y la comunicación en el archivo correspondiente.
+* Considere la posibilidad de establecer subequipos para cada incidente.
+* **Mantener un comandante de incidentes de alto nivel**, para coordinar los activos de baja densidad y alta demanda y mantener la unidad de mando.
+
+**Investigar
+
+**[Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible.** El Comandante del Incidente coordinará estas actividades. Notifique al Comandante del Incidente si hay pasos que el equipo debe considerar.
+
+## Crear el archivo del incidente
+
+1. Cree un nuevo archivo de incidentes en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente] (#nombredelincidente). Utilice este archivo para el almacenamiento seguro de documentación, pruebas, artefactos, _etc._.
+ * Proporcionar un almacenamiento digital seguro.
+ * Proporcionar un intercambio de archivos seguro.
+ * Obtener almacenamiento físico.
+ * Compartir la ubicación del archivo del incidente en la llamada y el chat.
+ * `TODO: Personalizar y automatizar la ubicación del archivo y el procedimiento`.
+1. Documente el impacto funcional y de la información, si se conoce (véase [Assess](#assess)). `TODO: Personalizar las categorías de impacto, si es necesario.`
+1. 2. Documentar el vector, si se conoce (_p. ej., _ web, correo electrónico, medios extraíbles). Tarea: Personalizar la lista de vectores, si es necesario.
+1. Documente el resumen del incidente: un breve resumen del vector, el impacto, la investigación y la situación de la reparación, si se conoce.
+1. Documente la línea de tiempo del incidente, incluyendo la actividad del atacante y la actividad de la respuesta. Tarea: Añadir líneas de tiempo con diferentes detalles, según sea necesario.
+1. Documente los pasos de investigación, reparación y comunicación. Documente las actividades de forma independiente para que puedan combinarse y reutilizarse, si es posible.
+1. Registre la información significativa, como:
+ **Pruebas**, con la hora de recogida, la fuente, la cadena de custodia, _etc._.
+ * **Sistemas afectados**, con el modo y el momento en que se identificó el sistema, y el resumen del efecto (_e._, tiene malware, datos a los que se ha accedido).
+ * **Archivos de interés**, como el malware o los archivos de datos, con el sistema y los metadatos.
+ * **Datos accedidos y tomados**, con nombres de archivos, metadatos y hora de presunta exposición.
+ * **Actividad significativa de los atacantes**, como inicios de sesión y ejecución de malware, con la hora del evento.
+ * Indicadores de compromiso (IOC) basados en la red, como direcciones IP y dominios.
+ * Indicadores de compromiso basados en el host**, como nombres de archivos, hashes y claves de registro.
+ * Cuentas comprometidas**, con el alcance del acceso y la hora del compromiso.
+
+Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator
+
+`TODO: Personalizar el procedimiento de documentación de incidentes, incluyendo hojas de cálculo, bases de datos, formularios, sistemas y plantillas, si es necesario.`
+
+## Recoger las pistas iniciales
+
+1. Entrevistar a los informadores del incidente.
+1. 2. Recoger los datos de apoyo iniciales (_e._, alarmas, eventos, datos, suposiciones, intuiciones) en el archivo del incidente.
+1. Entrevistar a la(s) PYME con experiencia en el dominio o el sistema, para comprender los detalles técnicos, el contexto y el riesgo.
+1. Entrevistar a la(s) PYME de la unidad de negocio afectada, para comprender el impacto de la misión/negocio, el contexto y el riesgo.
+1. Asegúrese de que las pistas son relevantes, detalladas y procesables.
+
+### Referencia: Lista de recursos de respuesta
+
+Recurso | Ubicación
+------------------------- | ------------------------------------
+Lista de información crítica | {{CRITICAL_INFO_LIST_LOCATION}}
+Lista de activos críticos | {{CRITICAL_ASSET_LIST_LOCATION}}
+Base de datos de gestión de activos | {{ASSET_MGMT_DB_LOCATION}}
+Mapa de red | {{NETWORK_MAP_LOCATION{}}
+Consola SIEM | {{SIEM_CONSOLE_LOCATION}}
+Agregador de registros | {{LOG_AGGREGATOR_CONSOLE}}
+
+`TODO: Completar la información crítica y las listas de activos ("joyas de la corona"). Esto es increíblemente importante para una respuesta eficaz.
+
+`TODO: Personalizar la lista de recursos de respuesta`.
+
+## Actualizar el plan de investigación y el archivo de incidentes
+
+1. Revisar y afinar el impacto del incidente.
+1. Revisar y refinar el vector del incidente.
+1. Revisar y perfeccionar el resumen del incidente.
+1. Revisar y perfeccionar la línea de tiempo del incidente con hechos e inferencias.
+1. Crear hipótesis: qué puede haber ocurrido y con qué seguridad.
+1. **Identificar y priorizar las preguntas clave** (lagunas de información) para apoyar o desacreditar las hipótesis.
+ * Utilizar la matriz ATT&CK de MITRE o un marco similar para [desarrollar preguntas](#referencia-tácticas-de-atacantes-a-preguntas-clave-matriz).
+ * [ATT&CK for Enterprise](https://attack.mitre.org/wiki/Main_Page), incluyendo enlaces a los específicos de Windows, Mac y Linux.
+ * [ATT&CK Mobile Profile](https://attack.mitre.org/mobile/index.php/Main_Page) para dispositivos móviles.
+ * Utilizar palabras interrogativas como inspiración:
+ * ¿Cuándo?: primer compromiso, primera pérdida de datos, acceso a x datos, acceso a y sistema, etc.
+ * ¿Qué?: impacto, vector, causa de origen, motivación, herramientas/explotaciones utilizadas, cuentas/sistemas comprometidos, datos atacados/perdidos, infraestructura, COIs, etc.?
+ * ¿Dónde?: ubicación del atacante, unidades de negocio afectadas, infraestructura, etc.?
+ * ¿Cómo?: compromiso (explotación), persistencia, acceso, exfiltración, movimiento lateral, etc.?
+ * ¿Por qué?: objetivo, momento, acceso a x datos, acceso a y sistema, etc.
+ * ¿Quién?: atacante, usuarios afectados, clientes afectados, etc.?
+1. **Identificar y priorizar los dispositivos y estrategias testigo** para responder a las preguntas clave.
+ * Consultar los diagramas de la red, los sistemas de gestión de activos y la experiencia de las PYMES
+ * Consultar la [Lista de recursos de respuesta](#reference-response-resource-list))
+1. Consulte los [libros de jugadas de incidentes](#librosdejugadas) para conocer las preguntas clave, los dispositivos testigos y las estrategias para investigar las amenazas comunes o muy dañinas.
+
+**El plan de investigación es fundamental para una respuesta eficaz; impulsa todas las acciones de investigación. Utilice el pensamiento crítico, la creatividad y el buen juicio.
+
+### Referencia: Táctica del atacante a la matriz de preguntas clave
+
+Táctica del atacante | La forma en que los atacantes ... | Posibles preguntas clave
+-------------------- | ----------------------------- | -----------------------------------------
+Reconocimiento: ... aprender sobre los objetivos: ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
+Desarrollo de recursos: construir infraestructuras. ¿Qué sistemas?
+Acceso inicial: ... entrar... ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
+Ejecución... ejecutar código hostil... ¿Qué malware? ¿Qué herramientas? ¿Dónde? ¿Cuándo?
+¿Persistencia? ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
+Escalada de Privilegios | ... obtener acceso de mayor nivel | ¿Cómo? ¿Dónde? ¿Qué herramientas?
+Evasión de la defensa | ... esquivar la seguridad | ¿Cómo? ¿Dónde? ¿Desde cuándo?
+Acceso a credenciales | ... obtener/crear cuentas | ¿Qué cuentas? ¿Desde cuándo? ¿Por qué?
+Descubrimiento: ... aprender nuestra red: ¿Cómo? ¿Dónde? ¿Qué saben?
+Movimiento lateral | ... moverse | ¿Cómo? ¿Cuándo? ¿Qué cuentas?
+Recogida | ... encontrar y reunir datos | ¿Qué datos? ¿Por qué? ¿Cuándo? ¿Dónde?
+Mando y control | ... herramientas y sistemas de control | ¿Cómo? ¿Dónde? ¿Quién? ¿Por qué?
+Exfiltración: ... tomar datos. ¿Qué datos? ¿Cómo? ¿Cuándo? ¿Dónde?
+Impacto... romper cosas. ¿Qué sistemas o datos? ¿Cómo? ¿Cuándo? ¿Dónde? ¿Cómo de malo?
+
+Consulte la página [MITRE ATT&CK](https://attack.mitre.org/) para obtener más información e ideas.
+
+## Crear y desplegar indicadores de compromiso (IOC)
+
+> Haga hincapié en los indicadores **dinámicos y de comportamiento** junto con las huellas digitales estáticas.
+
+* Crear IOCs basados en [pistas iniciales](#recopilar-pistas-iniciales) y [análisis](#analizar-evidencias).
+* Cree IOCs usando un formato abierto soportado por sus herramientas (_e._, [STIX 2.0](https://oasis-open.github.io/cti-documentation/stix/intro)), si es posible. `TODO: Personalizar el formato de los COIs según sea necesario.`
+* Utilice la automatización, si es posible. TODO: Añadir un procedimiento de despliegue/revocación de COIs.
+* No desplegar "feeds" de COIs no relacionados y no curados, ya que pueden causar confusión y fatiga.
+* Considerar todos los tipos de COI:
+ * IOC basados en la red, como direcciones IP o MAC, puertos, direcciones de correo electrónico, contenido o metadatos del correo electrónico, URLs, dominios o patrones PCAP.
+ * IOC basados en el host, como rutas, hashes de archivos, contenido o metadatos de archivos, claves de registro, MUTEXes, autoejecuciones o artefactos y permisos de usuarios.
+ * COIs basados en la nube, como patrones de registro para despliegues [SaaS](https://en.wikipedia.org/wiki/Software_as_a_service) o [IaaS](https://en.wikipedia.org/wiki/Infrastructure_as_a_service)
+ * IOCs de comportamiento (también conocidos como patrones, TTPs) tales como patrones de árbol de procesos, heurística, desviación de la línea base y patrones de inicio de sesión.
+* Correlacionar varios tipos de IOC, como indicadores basados en la red y en el host en los mismos sistemas.
+
+## Identificar los sistemas de interés
+
+1. Validar si son relevantes.
+1. Categorizar la(s) razón(es) por la(s) que son "de interés": tiene malware, acceso por cuenta comprometida, tiene datos sensibles, etc. Trátelas como "etiquetas", puede haber más de una categoría por sistema.
+1. Prioriza la recogida, el análisis y la reparación en función de las necesidades de la investigación, el impacto en el negocio, etc.
+
+#Recogida de pruebas
+
+* Priorizar en base al plan de investigación
+* Recoger datos de respuesta en vivo utilizando {{LIVE_RESPONSE_TOOL}}. `TODO: Personalizar las herramientas y el procedimiento de respuesta en vivo.`
+* Recoger los registros relevantes de los sistemas (si no forman parte de la respuesta en vivo), agregadores, SIEM o consolas de dispositivos. Tarea: Personalizar las herramientas y el procedimiento de recopilación de registros.
+* Recoger la imagen de la memoria, si es necesario y si no forma parte de la respuesta en vivo, utilizando {{MEMORY_COLLECTION_TOOL}}. Hacer: personalizar las herramientas y el procedimiento de recogida de memoria.
+* Recoger la imagen del disco, si es necesario, utilizando {{DISK_IMAGE_TOOL}}. ToDo: Personalizar la herramienta y el procedimiento de recogida de imágenes de disco.
+* Recoger y almacenar las pruebas de acuerdo con la política, y con la cadena de custodia adecuada. To do: Personalizar la política de recogida de pruebas y la cadena de custodia.
+
+Considere la posibilidad de recopilar los siguientes artefactos como evidencia, ya sea en tiempo real (_por ejemplo, a través de EDR o un SIEM) o bajo demanda:
+
+### Ejemplo de artefactos útiles
+
+`TODO: Personalizar y priorizar los artefactos útiles.
+
+* Procesos en ejecución
+* Servicios en ejecución
+* Hashes ejecutables
+* Aplicaciones instaladas
+* Usuarios locales y de dominio
+* Puertos de escucha y servicios asociados
+* Configuración de resolución del sistema de nombres de dominio (DNS) y rutas estáticas
+* Conexiones de red establecidas y recientes
+* Clave de ejecución y otra persistencia de la ejecución automática
+* Tareas programadas y trabajos cron
+* Artefactos de ejecuciones anteriores (por ejemplo, Prefetch y Shimcache)
+* Registros de eventos
+* Política de grupo y artefactos WMI
+* Detecciones antivirus
+* Binarios en ubicaciones de almacenamiento temporal
+* Credenciales de acceso remoto
+* Telemetría de conexiones de red (por ejemplo, netflow, permisos de cortafuegos)
+* Tráfico y actividad de DNS
+* Actividad de acceso remoto, incluido el Protocolo de Escritorio Remoto (RDP), la red privada virtual (VPN), SSH, la informática de red virtual (VNC) y otras herramientas de acceso remoto
+* Cadenas de identificadores de recursos uniformes (URI), cadenas de agentes de usuario y acciones de aplicación de proxies
+* Tráfico web (HTTP/HTTPS)
+
+## Analizar las pruebas
+
+* Priorizar basándose en el plan de investigación
+* Analizar y clasificar los datos de respuesta en vivo
+* Analizar la memoria y las imágenes de disco (_i._, realizar análisis forenses)
+* Analizar el malware
+* _OPCIONAL:_ Enriquecer con investigación e inteligencia
+* Documentar nuevos indicadores de compromiso (IOC)
+* Actualizar el archivo del caso
+
+### Ejemplo de indicadores útiles
+
+`TODO: Personalizar y priorizar los indicadores útiles.`
+
+* Comportamiento inusual de autenticación (_e._, frecuencia, sistemas, hora del día, ubicación remota)
+* Nombres de usuario con formato no estándar
+* Binarios no firmados que se conectan a la red
+* Balizamiento o transferencias de datos significativas
+* Solicitudes de línea de comandos PowerShell con comandos codificados en Base64
+* Actividad excesiva de RAR, 7zip o WinZip, especialmente con nombres de archivo sospechosos
+* Conexiones en puertos no utilizados previamente.
+* Patrones de tráfico relacionados con el tiempo, la frecuencia y el recuento de bytes
+* Cambios en las tablas de enrutamiento, como la ponderación, las entradas estáticas, las pasarelas y las relaciones entre pares
+
+## Iterar la investigación
+
+[Actualizar el plan de investigación](#actualizar-plan-de-investigación-y-archivo-de-incidentes) y repetir hasta el cierre.
+
+# Remediar
+
+**Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible.** El comandante del incidente coordinará estas actividades. Notifique al Comandante del Incidente si hay pasos que el equipo debe considerar
+
+## Actualizar el plan de remediación
+
+1. Revisar el archivo del incidente en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente](#nombredelincidente)
+1. 2. Revisar los [playbooks](#playbooks) aplicables.
+1. Revise la [lista de recursos de respuesta](#lalistaderecursosdereferencia)).
+1. Considere qué tácticas del atacante están en juego en este incidente. Utilice la lista de MITRE [ATT&CK](https://attack.mitre.org/wiki/Main_Page) (_i._, Persistencia, Escalada de Privilegios, Evasión de la Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Ejecución, Recolección, Exfiltración y Mando y Control), o un marco similar.
+1. Desarrollar remedios para cada táctica en juego, en la medida en que sea factible teniendo en cuenta las herramientas y los recursos existentes. Considere remedios para [Proteger](#protect), [Detectar](#detect), [Contener](#contain), y [Erradicar](#eradicate) cada comportamiento del atacante.
+1. Priorizar en base a la [estrategia de tiempo](#elegir-tiempo-de-remediación), el impacto y la urgencia.
+1. Documentar en el archivo de incidentes.
+
+Utilice los [marcos de seguridad de la información (infosec)](https://www.nist.gov/cyberframework) como inspiración, pero **no utilice la reparación de incidentes como sustituto de un programa de infosec con un marco adecuado.** Utilícelos para complementarse.
+
+### Proteger
+
+> "¿Cómo podemos evitar que la táctica X se repita o reducir el riesgo? ¿Cómo podemos mejorar la protección futura?"
+
+Utilice lo siguiente como punto de partida para la corrección de la protección:
+
+* Parchear las aplicaciones.
+* Parchee los sistemas operativos.
+* Actualice las firmas de IPS de la red y del host.
+* Actualizar las firmas de protección de puntos finales/EDR/antivirus.
+* Reducir las ubicaciones con datos críticos.
+* Reducir las cuentas administrativas o privilegiadas.
+* Habilitar la autenticación multifactor.
+* Reforzar los requisitos de las contraseñas.
+* Bloquear los puertos y protocolos no utilizados en los límites del segmento y de la red, tanto entrantes como salientes.
+* Poner en lista blanca las conexiones de red para los servidores y servicios críticos.
+
+### Detectar
+
+> "¿Cómo podemos detectar esto en los nuevos sistemas o en el futuro? ¿Cómo podemos mejorar la detección e investigación en el futuro?"
+
+Utilice lo siguiente como punto de partida para la corrección de detecciones:
+
+* Mejorar el registro y la retención de los registros del sistema, especialmente en los sistemas críticos.
+* Mejorar el registro de las aplicaciones, incluidas las aplicaciones SaaS.
+* Mejorar la agregación de registros.
+* Actualice las firmas de IDS de la red y del host utilizando los IOC.
+
+### Contener
+
+> "¿Cómo podemos evitar que esto se extienda o se agrave? ¿Cómo podemos mejorar la contención en el futuro?"
+
+Utilice lo siguiente como punto de partida para la corrección de la contención:
+
+* Implementar listas de acceso (ACL) en los límites de los segmentos de la red.
+* Implementar bloqueos en el límite de la empresa, en múltiples capas del [modelo OSI](https://en.wikipedia.org/wiki/OSI_model).
+* Desactivar o eliminar el acceso de las cuentas comprometidas.
+* Bloquear direcciones IP o redes maliciosas.
+* Bloquee los dominios maliciosos.
+* Actualizar las firmas de IPS y antimalware de la red y el host mediante COI.
+* Retirar de la red los sistemas críticos o comprometidos.
+* Póngase en contacto con los proveedores para obtener ayuda (por ejemplo, proveedores de servicios de Internet, proveedores de SaaS).
+* Poner en lista blanca las conexiones de red para los servidores y servicios críticos.
+* Matar o deshabilitar procesos o servicios.
+* Bloquear o eliminar el acceso de proveedores y socios externos, especialmente el acceso privilegiado.
+
+### Eliminar
+
+> "¿Cómo podemos eliminar esto de nuestros activos? ¿Cómo podemos mejorar la erradicación en el futuro?"
+
+Utilice lo siguiente como punto de partida para la remediación de la erradicación:
+
+* Reconstruir o restaurar los sistemas y datos comprometidos a partir de un estado bueno conocido.
+* Restablecer las contraseñas de las cuentas.
+* Eliminar cuentas o credenciales hostiles.
+* Borrar o eliminar malware específico (¡difícil!).
+* Implementar proveedores alternativos.
+* Activar y migrar a ubicaciones, servicios o servidores alternativos.
+
+## Elegir el momento de la remediación
+
+Determine la estrategia de tiempo -cuando se tomarán las acciones de remediación- involucrando al Comandante de Incidentes, a los PYMES y propietarios del sistema, a los PYMES y propietarios de la unidad de negocio, y al equipo ejecutivo. Cada estrategia es apropiada en diferentes circunstancias:
+
+* Elija la reparación **inmediata** cuando sea más importante detener inmediatamente las actividades del atacante que seguir investigando. Por ejemplo, una pérdida financiera en curso, o un fracaso de la misión en curso, una pérdida de datos activa, o la prevención de una amenaza significativa inminente.
+* Elija una reparación **retrasada** cuando sea importante completar la investigación o no alertar al atacante. Por ejemplo, el compromiso a largo plazo de un atacante avanzado, el espionaje corporativo o el compromiso a gran escala de un número desconocido de sistemas.
+* Elija la remediación **combinada** cuando las circunstancias inmediatas y retardadas se apliquen en el mismo incidente. Por ejemplo, la segmentación inmediata de un servidor o red sensible para cumplir con los requisitos reglamentarios mientras se investiga un compromiso a largo plazo.
+
+## Ejecutar la remediación
+
+* Evaluar y explicar los riesgos de las acciones de remediación a las partes interesadas. `TODO: Personalizar el procedimiento de aprobación de los riesgos de la remediación, si es necesario.`
+* Implementar inmediatamente aquellas acciones de remediación que afecten poco o nada al atacante (a veces llamadas "acciones de postura"). Por ejemplo, muchas de las acciones de [protección](#protect) y [detección](#detect) anteriores son buenas candidatas.
+* Programar y asignar acciones de remediación de acuerdo con la estrategia de tiempo.
+* Ejecute las acciones de corrección en lotes, como eventos, para lograr la máxima eficacia y el mínimo riesgo.
+* Documentar el estado de ejecución y el tiempo en el archivo de incidentes, especialmente para las medidas temporales.
+
+## Iterar la remediación
+
+[Actualice el plan de remediación](#update-remediation-plan) y repita hasta el cierre.
+
+#Comunicar
+
+**Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible. Notifique al Comandante del Incidente si hay pasos que el equipo debe considerar
+
+Toda comunicación debe incluir la información más precisa disponible. Muestre integridad. No comunique especulaciones.
+
+## Comunicar internamente
+
+### Notificar y actualizar a las partes interesadas
+
+* Comuníquese con las partes interesadas como parte de las llamadas iniciales y de actualización, así como a través de actualizaciones impulsadas por eventos en la llamada y el chat.
+* Coordinar las actualizaciones independientes (_e._, ejecutivas, legales) según sea necesario, pero con la menor frecuencia posible, para mantener el foco en la investigación y la reparación.
+* Concéntrese en la mejor evaluación del vector, el impacto, el resumen y los aspectos más destacados de la línea de tiempo, incluidos los pasos de remediación. No especule.
+
+### Notificar y actualizar la organización
+
+* No notifique ni ponga al día al personal que no ha respondido hasta que el Comandante del Incidente lo autorice, especialmente si existe riesgo de amenaza interna.
+* Coordine las actualizaciones de los equipos o de toda la organización con los ejecutivos y la dirección de la empresa.
+* Concéntrese en la mejor evaluación del vector, el impacto, el resumen y los aspectos más destacados de la línea de tiempo, incluidos los pasos de remediación. No especule.
+
+### Crear Informe de Incidentes
+
+* Tras el cierre del incidente, capture la información en el [archivo del incidente](#create-incident-file) para su distribución utilizando el formato en {{INCIDENT_REPORT_TEMPLATE}}. **Si los informes de vector, impacto, resumen, línea de tiempo y actividad están completos, esto puede ser totalmente automatizado.**
+* Distribuir el informe de incidentes a lo siguiente: {{INCIDENT_REPORT_RECIPIENTS}}.
+* `TODO: Personalizar la creación y distribución del informe de incidentes, si es necesario`.
+
+## Comunicar externamente
+
+### Notificar a los reguladores
+
+* **No** notifique o actualice al personal que no responde hasta que el Comandante del Incidente lo autorice.
+* Notificar a los organismos reguladores (por ejemplo, HIPAA/HITRUST, PCI DSS, SOX) si es necesario, y de acuerdo con la política.
+* Coordinar los requisitos, el formato y el calendario con el {COMPLIANCE_TEAM{}}.
+
+### Notificar a los clientes
+
+* **No** notifique ni ponga al día al personal que no responde hasta que el Comandante del Incidente lo autorice.
+* Coordinar las notificaciones a los clientes con {{COMMUNICATIONS_TEAM}}.
+* Incluya la fecha en el título de cualquier anuncio, para evitar confusiones.
+* No utilice tópicos como "nos tomamos la seguridad muy en serio". Céntrese en los hechos.
+* Sea honesto, acepte la responsabilidad y presente los hechos, junto con el plan para prevenir incidentes similares en el futuro.
+* Sea lo más detallado posible con la línea de tiempo.
+* Sea lo más detallado posible en cuanto a la información que se vio comprometida y cómo afecta a los clientes. Si estábamos almacenando algo que no debíamos, sé honesto al respecto. Saldrá a la luz más tarde y será mucho peor.
+* No hablemos de las partes externas que podrían haber causado el problema, a menos que ya lo hayan hecho público, en cuyo caso enlazaremos con su información. Comunícate con ellos de forma independiente (ver [Notificar a los proveedores](#notificar-a-vendedores-y-socios))
+* Publique la comunicación externa lo antes posible. Las malas noticias no mejoran con el tiempo.
+* Si es posible, contacte con los equipos de seguridad internos de los clientes antes de notificar al público.
+
+### Notificar a los proveedores y socios
+
+* **No** notifique ni ponga al día al personal que no responde hasta que el Comandante del Incidente lo autorice.
+* Si es posible, póngase en contacto con los equipos de seguridad internos de los proveedores y socios antes de notificar al público.
+* Céntrese en los aspectos específicos del incidente que afectan o implican al proveedor o socio.
+* Coordine los esfuerzos de respuesta y comparta la información si es posible.
+
+### Notificar a las fuerzas de seguridad
+
+* **No** notifique o ponga al día al personal que no ha respondido hasta que el Comandante del Incidente lo autorice.
+* Coordinar con {{EXECUTIVE_TEAM}} y {{LEGAL_TEAM}} antes de interactuar con las fuerzas del orden.
+* Póngase en contacto con las fuerzas del orden locales en {{LOCAL_LE_CONTACT}}.
+* Póngase en contacto con el FBI en {{FBI_CONTACT}} o a través del [Internet Crime Complaint Center (IC3)](https://www.ic3.gov).
+* Póngase en contacto con los operadores de cualquier sistema utilizado en el ataque, sus sistemas también pueden haber sido comprometidos.
+
+### Contact External Response Support
+
+* Contacte con {{INCIDENT_RESPONSE_VENDOR}} para que le ayude a evaluar el riesgo, la gestión del incidente, la respuesta al mismo y el apoyo posterior al incidente.
+* Póngase en contacto con {{PUBLIC_RELATIONS_VENDOR}} para que le ayude con las relaciones públicas y la comunicación externa.
+* Contacte con {{INSURANCE_VENDOR}} para que le ayude con el ciberseguro.
+
+### Compartir Inteligencia
+
+* Comparta los IOC con [Infragard](https://www.infragard.org/) si procede.
+* Comparta los IOC con su [ISAC](https://en.wikipedia.org/wiki/Information_Sharing_and_Analysis_Center) de servicio a través de {{ISAC_CONTACT}}, si procede.
+
+# `Recuperación
+
+`TODO: Personalizar los pasos de recuperación.`
+
+`TODO: Especificar las herramientas y procedimientos para cada paso, a continuación.`
+
+**La recuperación suele estar dirigida por las unidades de negocio y los propietarios de los sistemas. Tomar acciones de recuperación sólo en colaboración con las partes interesadas pertinentes.**
+
+1. Poner en marcha planes de continuidad de la actividad/recuperación de desastres: Por ejemplo, considerar la migración a ubicaciones operativas alternativas, sitios de conmutación por error, sistemas de respaldo.
+1. Integrar las acciones de seguridad con los esfuerzos de recuperación de la organización.
+
+# Cuadernos de juego
+
+Los siguientes libros de juego recogen los pasos comunes de [investigación](#investigación), [reparación](#remediación) y [comunicación](#comunicación) para determinados tipos de incidentes.
+
+Tarea: Crear libros de juego adicionales para tipos de incidentes muy probables o muy perjudiciales.
+
+## Playbook: Desaparición de sitios web
+
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+
+Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este playbook no es puramente secuencial. Utilice su mejor criterio.
+
+### Investigar
+1. Desconecta inmediatamente el servidor defectuoso para investigarlo más a fondo.
+ * Esto es especialmente importante si la desfiguración es insultante o provocadora de alguna manera. Elimine esto de la vista del público tan pronto como sea posible para evitar daños, así como para mitigar el impacto del negocio.
+ * El mensaje de desfiguración también puede contener información falsa que podría confundir a los usuarios o ponerlos en peligro.
+ * Desconectar el servidor permitirá una investigación más profunda de la desfiguración. Esto puede ser necesario, ya que el hacker puede haberse adentrado en la organización accediendo a servidores de aplicaciones, bases de datos, etc.
+2. Determine el origen de la vulnerabilidad del sistema que ha utilizado el atacante. Los exploits más comunes son:
+ * Ataques de inyección SQL
+ * Este tipo de ataque se produce cuando un atacante interfiere en las consultas de una aplicación a la base de datos. Por lo tanto, esto puede conducir a un acceso no autorizado a datos privados o sensibles. Lea más sobre los ataques de inyección SQL [aquí](https://www.acunetix.com/websitesecurity/sql-injection/)
+ * Ataques de inclusión remota de archivos (RFI)
+ * Este tipo de ataque aprovecha la función de referencia de una aplicación para cargar malware desde una URL remota. Más información sobre los ataques RFI [aquí](https://www.acunetix.com/blog/articles/remote-file-inclusion-rfi/)
+ * webshells
+ * Más información sobre web shells y defacement de sitios web [aquí](https://www.wordfence.com/blog/2017/06/wso-shell/)
+ * mal diseño de aplicaciones web
+ * hacks de javascript
+ * hacks de PHP/ASP
+ * Aquí hay más sobre [hacking con javascript](https://itnext.io/how-companies-are-hacked-via-malicious-javascript-code-12aa82560bdc)
+ * otros métodos de detección incluyen:
+ * Comprobar los registros del servidor
+ * buscar en el registro de acceso y en el registro de errores de la página web cualquier actividad sospechosa o desconocida
+ * por supuesto, también es una buena idea comprobar los registros del firewall IDS o IPS, si están disponibles
+ * Comprobar los archivos con contenido estático
+ * Escanear las bases de datos en busca de contenido malicioso
+ * Comprobación de los enlaces presentes en la página
+3. Recoger cualquier pista sobre quién es el hacker o para qué organización trabaja. Considere las siguientes preguntas:
+ * ¿Qué representa la desfiguración? ¿Incluía un mensaje obvio?
+ * ¿Parece la desfiguración inofensiva o intencionada? ¿Podría ser el hacker un niño jugando o un grupo profesional que trabaja con un motivo?
+ * ¿Parece que su organización es el objetivo? ¿Quién podría querer atacar a su organización?
+ * ¿Qué esperaba conseguir el hacker?
+ * Consulta [aquí](https://www.geeksforgeeks.org/types-of-hackers/) para saber más sobre los tipos de hackers que pueden haber atacado tu página web.
+4. Recoge otra información importante de la página que ha sido desfigurada, como por ejemplo
+ * una captura de pantalla de la desfiguración
+ * el dominio y la dirección IP de la página
+ * detalles del servidor web
+ * el código fuente de la página
+ * analizarlo cuidadosamente para identificar el problema y asegurarse de que se encuentra en un servidor de la empresa
+ * nombre o cualquier información sobre el atacante
+6. También existen herramientas que ayudan a la detección y al análisis de los registros. A continuación se enumeran algunas de ellas:
+ * Weblog Expert
+ * Sawmill
+ * Deep Log Analyzer
+
+
+Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para la desfiguración de sitios web.
+
+### Remediar
+
+* **Planifique eventos de remediación** en los que estos pasos se lancen juntos (o de forma coordinada), con los equipos apropiados listos para responder a cualquier interrupción.
+**Considere el momento y las compensaciones** de las acciones de reparación: su respuesta tiene consecuencias.
+
+#### Contención
+
+Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para la desfiguración de sitios web.
+
+Tarea: Especificar las herramientas y los procedimientos para cada paso, a continuación.
+
+1. Haga una copia de seguridad de todos los datos almacenados en el servidor web con fines forenses.
+2. Como se ha mencionado anteriormente, asegúrese de que el servidor de la página desfigurada está temporalmente fuera de servicio mientras se lleva a cabo la investigación.
+ * Debería tener una página de error preparada para esta situación que informe al usuario y/o a los empleados de que el mantenimiento está en marcha y que la página que buscaban volverá en breve. Incluso podría tener preparada una página web de respaldo en la que pueda publicar contenido mientras se lleva a cabo la investigación y la reparación, y hacer que su página de error temporal redirija a los usuarios a este sitio de respaldo.
+ * Compruebe su mapa de arquitectura de red. Si la brecha es otro sistema de la red, descárguelo e investíguelo.
+3. Una vez que se haya determinado el origen del ataque, aplique los pasos necesarios para garantizar que esto no vuelva a suceder. Esto puede incluir la modificación del código o la edición de los derechos de acceso.
+ * Consulte la sección "Investigar" para conocer las fuentes comunes de vulnerabilidad.
+ * Si esto está fuera de su dominio, simplemente asegúrese de que ha dado al personal apropiado toda la información que tiene sobre el ataque y permita que los expertos hagan su trabajo.
+
+### Recuperación
+
+`TODO: Personalizar los pasos de recuperación para el defacement`.
+
+`TODO: Especifique las herramientas y procedimientos para cada paso, a continuación`.
+
+1. Elimine el mensaje del hacker y reemplácelo con el contenido original y legítimo. Si se han perdido datos en el ataque, consulte las copias de seguridad y restaure la página original en la medida de lo posible.
+ * Compruebe las copias de seguridad en busca de indicadores de compromiso
+ * Considere la recuperación parcial y la prueba de integridad de las copias de seguridad
+2. Considere pedir a los usuarios que cambien sus credenciales de acceso si el servidor web tiene autenticación de usuario.
+3. Después de aplicar las medidas para evitar riesgos (como se recomienda a continuación), restaure su servidor mostrando el contenido original de la página.
+4. Si es necesario y/o aplicable, prepare una disculpa/explicación del ataque ocurrido para los usuarios o cualquier persona que haya presenciado la desfiguración. Asegúrese de que queda claro que el contenido desfigurado no refleja a su organización de ninguna manera.
+
+#### Evitar riesgos
+
+`TODO: Comuníquese con otros empleados para asegurarse de que todos entienden y contribuyen a los siguientes pasos, cuando sea aplicable`.
+
+1. Utilice el menor número de plug-ins posible. Los piratas informáticos tienen como objetivo los sitios web que son vulnerables y tienen muchas fuentes de entrada. Puedes limitar estas fuentes de entrada utilizando sólo lo que necesites y eliminando los plug-ins y el software que no utilices o sean antiguos. También es importante actualizarlos lo antes posible.
+2. Controle de cerca y ordene el acceso a los contenidos administrativos. Permita que las personas accedan sólo a lo que necesitan. Esto reducirá la posibilidad de que un error humano provoque un ciberataque. Hay más métodos de prevención DIY mencionados en [este artículo](https://cirt.gy/index.php/node/116) (pasos 6-12) y en el recurso #4 al final de este playbook.
+3. Comprueba regularmente si hay malware en tu sitio web escaneando el código fuente. Busca scripts, iframes o URLs que te parezcan desconocidos y asegúrate de escanear también las URLs que sí te resulten familiares.
+4. Hay muchos escáneres automáticos de sitios web de gran reputación que no le costarán nada de su tiempo y escanearán a fondo su sitio en busca de vulnerabilidades con regularidad. Aquí hay un [enlace a escáneres populares](https://resources.infosecinstitute.com/14-popular-web-application-vulnerability-scanners/#gref).
+5. Defiéndase contra los puntos comunes de explotación, como las inyecciones SQL y los ataques XSS. [Este artículo](https://www.banffcyber.com/knowledge-base/articles/best-practices-address-issue-web-defacement/) incluye las mejores prácticas para defender estos ataques.
+6. Instala programas de detección de desfiguración para que, si volviera a producirse un ataque, estés preparado y respondas rápidamente. Aquí hay un [artículo](https://www.techradar.com/news/best-website-defacement-monitoring-service) que resume algunos de los mejores servicios de monitoreo de 2020.
+7. Habla con tus empleados de la importancia de mantener el acceso administrativo limitado y confidencial e infórmales de estos pasos para evitar incidentes, incluyendo la formación periódica de concienciación sobre ciberseguridad.
+
+#### Referencia: Recursos de remediación
+
+`TODO: especificar los recursos financieros, de personal y logísticos para llevar a cabo la reparación`.
+
+### Comunicar
+
+TODO: Personalizar los pasos de comunicación para la desfiguración
+
+TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general`.
+
+1. 1. Elevar el incidente y comunicarlo a la dirección según el procedimiento
+1. 2. Documentar el incidente según el procedimiento (e informar si procede)
+1. Comunicarse con los asesores jurídicos internos y externos según el procedimiento, incluyendo discusiones sobre el cumplimiento, la exposición al riesgo, la responsabilidad, el contacto con las fuerzas del orden, _etc._.
+1. Comunicarse con los usuarios (internos)
+ 1. Comunicar las actualizaciones de la respuesta a incidentes según el procedimiento
+ 1. Comunicar el impacto del incidente **y** las acciones de respuesta al incidente (por ejemplo, contención: "¿por qué está caído el archivo compartido?")
+ 1. Comunicar los requisitos: "¿qué deben hacer y no hacer los usuarios?"
+1. Comunicar a los clientes
+ 1. Centrarse especialmente en aquellos cuyos datos se vieron afectados
+ 1. Generar las notificaciones requeridas en base a las regulaciones aplicables (particularmente aquellas que puedan considerar la desfiguración como una violación de datos o que requieran notificaciones de otro tipo) `TODO: Ampliar los requisitos y procedimientos de notificación para las regulaciones aplicables`.
+1. Contactar con los proveedores de seguros
+ 1. Discutir qué recursos pueden poner a disposición, qué herramientas y proveedores apoyan y pagarán, _etc._.
+ 1. Cumplir con los requisitos de presentación de informes y reclamaciones para proteger la elegibilidad
+1. Considerar la posibilidad de notificar e implicar a las fuerzas del orden. TODO: Vincule las siguientes viñetas con los recursos reales de su organización
+ 1. [Aplicación de la ley local](#TODO-link-to-actual-resource)
+ 1. 1. [Aplicación de la ley a nivel estatal o regional](#TODO-link-to-actual-resource)
+ 1. 1. [Fuerzas de seguridad federales o nacionales](#TODO-link-to-actual-resource)
+1. Comuníquese con los proveedores de seguridad y de TI TODO: Vincule las siguientes viñetas con los recursos reales de su organización
+ 1. Notifique y colabore con [proveedores gestionados](#TODO-link-to-actual-resource) según el procedimiento
+ 1. 2. Notificar y colaborar con [consultores de respuesta a incidentes](#TODO-link-to-actual-resource) por procedimiento
+
+### Recursos
+
+#### Referencia: Acciones del usuario ante un presunto ataque de desfiguración
+
+`TODO: Personalizar los pasos de los usuarios ante una sospecha de defacement`.
+
+1. Mantenga la calma y respire profundamente.
+1. 2. Desconecte su sistema de la red `TODO: incluya pasos detallados con capturas de pantalla, una herramienta preinstalada o un script para facilitar esta tarea ("romper en caso de emergencia"), considere los interruptores de corte de red por hardware`.
+1. Haz fotos de la página que veas con tu smartphone mostrando las cosas que has notado: el mensaje de desfiguración y cualquier otro cambio en el sitio habitual.
+1. 2. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. Todo ayuda. Documenta lo siguiente:
+ 1. ¿Qué has notado?
+ 1. ¿Cuándo ocurrió por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿A qué datos suele acceder?
+ 1. ¿Con quién más se ha puesto en contacto en relación con este incidente y qué le ha dicho?
+1. Ponte en contacto con el [servicio de asistencia](#TODO-enlace-al-recurso) y sé lo más servicial posible.
+1. Ten paciencia: deja que el personal informático lo controle, ¡puedes estar protegiendo a otros de un daño! **Gracias.**
+
+#### Referencia: Acciones del Help Desk ante un presunto ataque de defacement
+
+`TODO: Personalizar los pasos para el personal del servicio de asistencia ante una sospecha de defacement`.
+
+1. Mantenga la calma y respire profundamente.
+1. Abra un ticket para documentar el incidente, según el procedimiento. Tarea: Personalizar la plantilla con las preguntas clave (véase más abajo) y el flujo de trabajo posterior.
+1. Utiliza tu mejor criterio para decidir qué pasos priorizar (por ejemplo, si la desfiguración dejó contenido dañino o desencadenante, prioriza la retirada del servidor inmediatamente).
+1. Pídele al usuario que tome fotos de su pantalla con su teléfono inteligente mostrando las cosas que notó.
+1. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. 2. Si se trata de un informe de usuario, haga preguntas detalladas, incluyendo
+ 1. ¿Qué has notado?
+ 1. ¿Cuándo ocurrió por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿A qué datos suele acceder?
+ 1. ¿Con quién más se ha puesto en contacto en relación con este incidente y qué le ha dicho?
+1. Haga las preguntas de seguimiento que sean necesarias. **Usted es una persona que responde al incidente, contamos con usted.**
+1. Obtenga información de contacto detallada del usuario (domicilio, oficina, móvil), si procede.
+1. Registre toda la información en el ticket, incluyendo las notas manuscritas y de voz.
+1. Ponga en cuarentena a los usuarios y sistemas afectados. `TODO: Personalizar los pasos de contención, automatizar todo lo posible`.
+1. Póngase en contacto con el [equipo de seguridad] (#TODO-link-to-actual-resource) y prepárese para participar en la respuesta según las indicaciones: investigación, reparación, comunicación y recuperación.
+
+#### Información adicional
+1. A helpful and detailed [paper](https://pdfs.semanticscholar.org/899e/2d629e06d920b9059edb21fcb52cdb33f783.pdf) on defacement detection
+2. 10 tools for [better website monitoring and security](https://geekflare.com/website-defacement-monitoring/)
+3. [2019 Website Threat Research Report](https://sucuri.net/reports/2019-hacked-website-report/) with helpful statistics
+4. [Article](https://www.imperva.com/learn/application-security/website-defacement-attack/) including DIYs and Best practices to prevent website defacement## Playbook: Identity and Access Compromise
+
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+
+Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este playbook no es puramente secuencial. Utilice su mejor criterio.
+
+### Investigar
+
+Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el compromiso de la identidad y el acceso.
+
+1. TODO
+
+### Remediar
+
+* **Planificar eventos de remediación** en los que estos pasos se lancen juntos (o de forma coordinada), con los equipos apropiados listos para responder a cualquier interrupción.
+* **Considere el tiempo y las compensaciones** de las acciones de remediación: su respuesta tiene consecuencias.
+
+#### Contención
+
+Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para el compromiso de la identidad y el acceso.
+
+TODO: Especificar las herramientas y procedimientos para cada paso, a continuación.
+
+*TODO
+
+`TODO: Considerar la automatización de las medidas de contención utilizando herramientas de orquestación.`
+
+#### Erradicar
+
+TODO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el compromiso de la identidad y el acceso.
+
+TODO: Especificar herramientas y procedimientos para cada paso, a continuación.
+
+* `TODO
+
+#### Referencia: Remediation Resources
+
+`TODO: Specify financial, personnel, and logistical resources to accomplish remediation.`
+
+### Communicate
+
+`TODO: Customize communication steps for identity and access compromise`
+
+`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan.`
+
+In addition to the general steps and guidance in the incident response plan:
+
+1. TODO
+
+### Recover
+
+`TODO: Customize recovery steps for identity and access compromise.`
+
+`TODO: Specify tools and procedures for each step, below.`
+
+In addition to the general steps and guidance in the incident response plan:
+
+1. TODO
+
+### Resources
+
+#### Additional Information
+
+1. ["Title"](#TODO-url), Author Last Name (Date)
+
+## Playbook: Phishing
+
+**Investigate, remediate (contain, eradicate), and communicate in parallel!**
+
+Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Utilice su mejor criterio.
+
+### Investigar
+
+Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el phishing.
+
+1. **Ampliar el ataque** Normalmente se le notificará que se está produciendo un posible ataque de phishing, ya sea por parte de un usuario, cliente o socio.
+ * Determinar el número total de usuarios afectados.
+ * Comprender las acciones de los usuarios en respuesta al correo electrónico de phishing (por ejemplo, si descargaron el archivo adjunto, visitaron el sitio falso o proporcionaron información personal o comercial, como credenciales).
+ * Encontrar la actividad potencialmente relacionada. Compruebe:
+ * las redes sociales
+ * cualquier correo electrónico posiblemente sospechoso
+ * correos electrónicos con enlaces a URLs externas y desconocidas
+ * correos electrónicos no retornables o no entregables
+ * cualquier tipo de notificación de actividad sospechosa
+1. **Analizar el mensaje** utilizando un dispositivo seguro (es decir, **no** abrir los mensajes en un dispositivo con acceso a datos sensibles o credenciales ya que el mensaje puede contener malware), determinar: `TODO: especificar las herramientas y el procedimiento`.
+ * quién ha recibido el mensaje
+ * quién era el objetivo del mensaje (puede ser diferente de los destinatarios "exitosos")
+ * la dirección de correo electrónico del remitente
+ * línea de asunto
+ * cuerpo del mensaje
+ * los archivos adjuntos (**no abra los archivos adjuntos** salvo según los procedimientos establecidos)
+ * enlaces, dominios y nombres de host (**no siga los enlaces** excepto según los procedimientos establecidos)
+ * Metadatos del correo electrónico, incluidas las cabeceras de los mensajes (véase más adelante).
+ * información del remitente en el campo "de" y en la cabecera de usuario autenticado X
+ * todas las direcciones IP del cliente y del servidor de correo
+ * anotar las "rarezas" o características sospechosas
+1. **Analizar los enlaces y los archivos adjuntos** `TODO: especificar las herramientas y el procedimiento`.
+ * Utilizar la recopilación pasiva, como nslookup y whois, para encontrar direcciones IP e información de registro.
+ * encontrar dominios relacionados utilizando OSINT (_e._, [reverse whois](https://www.whoxy.com/reverse-whois/)) en direcciones de correo electrónico y otros datos de registro
+ * enviar enlaces, archivos adjuntos y/o hashes a [VirusTotal](https://www.virustotal.com/gui/)
+ * enviar enlaces, archivos adjuntos y/o hashes a un sandbox de malware como [Cuckoo](https://cuckoosandbox.org/), [Hybrid Analysis](https://www.hybrid-analysis.com/), [Joe Sandbox](https://www.joesecurity.org/), o [VMray](https://www.vmray.com/).
+1. Categorice el tipo de ataque. `TODO: Personalizar las categorías y crear libros de jugadas adicionales para tipos de phishing comunes o de alto impacto`.
+1. **Determine la gravedad:
+ * si la seguridad pública o personal está en riesgo
+ * si los datos personales (u otros datos sensibles) están en riesgo
+ * si hay pruebas de quién está detrás del ataque
+ * número de activos afectados
+ * el impacto preliminar en el negocio
+ * si los servicios se ven afectados
+ * si se pueden controlar/registrar los sistemas críticos
+
+`TODO: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el phishing.`
+
+### Remediar
+
+* **Planifique eventos de remediación** en los que estos pasos se lancen juntos (o de forma coordinada), con los equipos apropiados listos para responder a cualquier interrupción.
+**Considere el momento y las compensaciones** de las acciones de reparación: su respuesta tiene consecuencias.
+
+#### Contención
+
+Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para el phishing.
+
+ToDo: Especifique las herramientas y los procedimientos para cada paso, a continuación.
+
+* Contener las cuentas afectadas
+ * cambiar las credenciales de acceso
+ * reducir el acceso a los servicios, sistemas o datos críticos hasta que se complete la investigación
+ * Reforzar la autenticación multifactor (MFA)
+* Bloquear la actividad en función de los indicadores de compromiso descubiertos, _e.g._:
+ * bloquear dominios maliciosos mediante DNS, cortafuegos o proxies
+ * Bloquear los mensajes con remitentes, cuerpos de mensajes, asuntos, enlaces, archivos adjuntos similares, etc., utilizando un servicio o una pasarela de correo electrónico.
+* Implementar la retención forense o conservar copias forenses de los mensajes
+* Purgar los mensajes relacionados de las bandejas de entrada de otros usuarios, o hacerlos inaccesibles de otro modo.
+* Contener el compromiso más amplio de acuerdo con el plan general de IR
+* Considerar medidas de contención de los dispositivos móviles, como el borrado a través de la gestión de dispositivos móviles (MDM). Equilibrio con el impacto de la investigación/forense.
+* Aumentar el "nivel de alerta" de la detección, con una mayor supervisión, en particular de las cuentas, dominios o direcciones IP relacionadas.
+* Considerar la posibilidad de contar con asistencia externa en materia de seguridad para apoyar la investigación y la reparación.
+* Confirmar las actualizaciones de software y antimalware pertinentes en los activos.
+
+#### Referencia: Recursos de remediación
+
+`TODO: Especifique los recursos financieros, de personal y logísticos para llevar a cabo la reparación`.
+
+### Comunicar
+
+TODO: Personalizar los pasos de comunicación para la suplantación de identidad.
+
+TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general`.
+
+1. 1. Elevar el incidente y comunicarlo a la dirección según el procedimiento
+1. Documente el incidente según el procedimiento (y [informe](https://us-cert.cisa.gov/report-phishing))
+1. 2. Comunicarse con los asesores jurídicos internos y externos según el procedimiento, incluyendo discusiones sobre el cumplimiento, la exposición al riesgo, la responsabilidad, el contacto con las fuerzas del orden, _etc._.
+1. Comunicarse con los usuarios (internos)
+ 1. Comunicar las actualizaciones de la respuesta a incidentes según el procedimiento
+ 1. Comunicar el impacto del incidente **y** las acciones de respuesta al incidente (por ejemplo, contención: "¿por qué está caído el archivo compartido?")
+ 1. Comunicar los requisitos: "¿qué deben hacer y no hacer los usuarios?"
+1. Comunicar a los clientes
+ 1. Centrarse especialmente en aquellos cuyos datos se vieron afectados
+ 1. Genere las notificaciones requeridas en función de la normativa aplicable (en particular, las que puedan considerar el phishing como una violación de datos o que requieran notificaciones de otro tipo) `TODO: Ampliar los requisitos y procedimientos de notificación para la normativa aplicable`.
+1. Contacte con el/los proveedor/es de seguros
+ 1. Discutir qué recursos pueden poner a disposición, qué herramientas y proveedores apoyan y pagarán, _etc._.
+ 1. Cumplir con los requisitos de presentación de informes y reclamaciones para proteger la elegibilidad
+1. Considere la posibilidad de notificar e implicar a [las fuerzas de seguridad](https://www.usa.gov/stop-scams-frauds) TODO: Vincule las siguientes viñetas con los recursos reales de su organización
+ 1. 1. [Aplicación de la ley local](#TODO-link-to-actual-resource)
+ 1. 1. [Aplicación de la ley a nivel estatal o regional](#TODO-link-to-actual-resource)
+ 1. 1. [Fuerzas de seguridad federales o nacionales](#TODO-link-to-actual-resource)
+1. Comuníquese con los proveedores de seguridad y de TI TODO: Vincule las siguientes viñetas con los recursos reales de su organización
+ 1. Notifique y colabore con [proveedores gestionados](#TODO-link-to-actual-resource) según el procedimiento
+ 1. Notifique y colabore con [consultores de respuesta a incidentes](#TODO-link-to-actual-resource) por procedimiento
+
+### Recuperación
+
+`TODO: Personalizar los pasos de recuperación para el phishing`.
+
+`TODO: Especifique las herramientas y los procedimientos para cada paso, a continuación`.
+
+1. Poner en marcha un plan de continuidad de negocio/recuperación de desastres si el compromiso implica interrupciones de negocio: Por ejemplo, considerar la migración a ubicaciones operativas alternativas, sitios de conmutación por error, sistemas de copia de seguridad.
+1. Reforzar los programas de formación sobre los ataques de phishing sospechosos. Los principales indicadores de sospecha pueden ser:
+ * errores ortográficos en el mensaje o en el asunto
+ * Nombres de remitentes que parezcan de teléfono, incluida la falta de coincidencia entre el nombre y la dirección de correo electrónico.
+ * Direcciones de correo electrónico personales para asuntos oficiales (por ejemplo, correos electrónicos de gmail o yahoo de colegas de trabajo).
+ * líneas de asunto marcadas con "[EXTERNO]" en correos electrónicos que parecen internos
+ * [enlaces maliciosos o sospechosos](https://www.pcworld.com/article/248963/how-to-tell-if-a-link-is-safe-without-clicking-on-it.html)
+ * Recibir un correo electrónico o un archivo adjunto que no se esperaba pero que proviene de alguien conocido (contactar con el remitente antes de abrirlo).
+ * Informar de actividades sospechosas al departamento de TI o de seguridad.
+1. Asegúrate de que el personal de TI y de seguridad está al día de las técnicas de phishing más recientes.
+1. Determine si ha fallado algún control al ser víctima de un ataque y rectifíquelo. He aquí una [buena fuente](https://www.proofpoint.com/us/security-awareness/post/14-things-do-after-phishing-attack) a tener en cuenta tras un ataque de phishing.
+
+### Recursos
+
+#### Referencia: Acciones del usuario ante la sospecha de un ataque de phishing
+
+`TODO: Personalizar los pasos para los usuarios ante una sospecha de phishing`.
+
+1. Mantenga la calma y respire profundamente.
+1. 2. Haz fotos de tu pantalla con tu smartphone mostrando las cosas que has notado: el mensaje de phishing, el enlace si lo has abierto, la información del remitente.
+1. 2. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. Todo ayuda. Documenta lo siguiente:
+ 1. ¿Qué has notado?
+ 1. ¿Por qué pensaste que era un problema?
+ 1. ¿Qué estabas haciendo en el momento en que lo detectaste?
+ 1. ¿Cuándo se produjo por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿Dónde estaba cuando ocurrió y en qué red? (oficina/casa/tienda, con cable/inalámbrica, con/sin VPN, _etc._)
+ 1. ¿Qué sistemas está utilizando? (sistema operativo, nombre de host, _etc._)
+ 1. ¿Qué cuenta utilizas?
+ 1. ¿A qué datos suele acceder?
+ 1. ¿Con quién más te has puesto en contacto sobre este incidente y qué les has dicho?
+1. Ponte en contacto con el [servicio de ayuda](#TODO-link-to-actual-resource) utilizando la [línea directa de phishing](#TODO-link-to-actual-resource) o la [barra de herramientas de informe de phishing](#TODO-link-to-actual-resource) y sé lo más servicial posible.
+1. Ten paciencia: la respuesta puede ser perturbadora, pero estás protegiendo a tu equipo y a la organización. **Gracias.**
+
+#### Referencia: Acciones del servicio de asistencia ante un presunto ataque de phishing
+
+`TODO: Personalizar los pasos para el personal del servicio de asistencia ante una sospecha de phishing`.
+
+1. Mantenga la calma y respire profundamente.
+1. Abra un ticket para documentar el incidente, según el procedimiento. Tarea: Personalizar la plantilla con las preguntas clave (véase más abajo) y el flujo de trabajo posterior.
+1. Pídale al usuario que tome fotos de su pantalla usando su smartphone mostrando las cosas que notó: el mensaje de phishing, el enlace si lo abrió, la información del remitente, _etc._ Si es algo que notó directamente, haga lo mismo usted.
+1. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. 2. Si se trata de un informe de usuario, haz preguntas detalladas, incluyendo
+ 1. ¿Qué has notado?
+ 1. ¿Por qué pensaste que era un problema?
+ 1. ¿Qué estabas haciendo en el momento en que lo detectaste?
+ 1. ¿Cuándo se produjo por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿De qué redes se trata? (oficina/casa/tienda, cableada/inalámbrica, con/sin VPN, _etc._)
+ 1. 2. ¿De qué sistemas se trata? (sistema operativo, nombre de host, _etc._)
+ 1. 2. ¿De qué datos se trata? (rutas, tipos de archivos, archivos compartidos, bases de datos, software, _etc._)
+ 1. ¿Qué usuarios y cuentas están implicados? (directorio activo, SaaS, SSO, cuentas de servicio, _etc._)
+ 1. ¿A qué datos suelen acceder los usuarios implicados?
+ 1. ¿Con quién más has contactado acerca de este incidente y qué les has dicho?
+1. Haz las preguntas de seguimiento que sean necesarias. **Usted es el encargado de responder al incidente, contamos con usted.**
+1. Obtenga información de contacto detallada del usuario (domicilio, oficina, móvil), si procede.
+1. Registre toda la información en el ticket, incluyendo las notas manuscritas y de voz.
+1. Ponga en cuarentena a los usuarios y sistemas afectados. `TODO: Personalizar los pasos de contención, automatizar todo lo posible`.
+1. Póngase en contacto con el [equipo de seguridad] (#TODO-link-to-actual-resource) y prepárese para participar en la respuesta según las indicaciones: investigación, reparación, comunicación y recuperación.
+
+#### Información adicional
+
+1. [Anti-Phishing Attack resources](https://resources.infosecinstitute.com/category/enterprise/phishing/phishing-countermeasures/top-16-anti-phishing-resources/#gref)
+1. [Methods of Identifying a Phishing attack](https://www.securitymetrics.com/blog/7-ways-recognize-phishing-email)
+1. [Phishing Email Examples](https://www.phishing.org/phishing-examples)
+1. [Anti-Phishing best practices](https://resources.infosecinstitute.com/category/enterprise/phishing/phishing-countermeasures/anti-phishing-best-practices/#gref)
+## Playbook: Ransomware
+
+**Investigate, remediate (contain, eradicate), and communicate in parallel! Containment is critical in ransomware incidents, prioritize accordingly.**
+
+Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
+
+### Investigate
+
+`TODO: Expand investigation steps, including key questions and strategies, for ransomware.`
+
+1. **Determine the type** of ransomware (_i.e.,_ what is the family, variant, or flavor?)[[1]](#ransomware-playbook-ref-1)
+ 1. Find any related messages. Check:
+ * graphical user interfaces (GUIs) for the malware itself
+ * text or html files, sometimes opened automatically after encryption
+ * image files, often as wallpaper on infected systems
+ * contact emails in encrypted file extensions
+ * pop-ups after trying to open an encrypted file
+ * voice messages
+ 1. Analyze the messages looking for clues to the ransomware type:
+ * ransomware name
+ * language, structure, phrases, artwork
+ * contact email
+ * formato de la identificación del usuario
+ * especificaciones de la demanda de rescate (_e._, moneda digital, tarjetas de regalo)
+ * dirección de pago en caso de moneda digital
+ * chat de soporte o página de soporte
+ 1. Analice los archivos afectados y/o nuevos. Compruebe:
+ * el esquema de cambio de nombre de los archivos encriptados, incluyendo la extensión (_e.g._, `.cry`, `.cry`, `.locked`) y el nombre base
+ * corrupción de archivos frente a encriptación
+ * Tipos de archivos y ubicaciones objetivo
+ * usuario/grupo propietario de los archivos afectados
+ * Icono de los archivos encriptados
+ * marcadores de archivos
+ * existencia de listados de archivos, archivos clave u otros archivos de datos
+ 1. Analice los tipos de software o sistemas afectados. Algunas variantes de ransomware sólo afectan a determinadas herramientas (_e._, [bases de datos](https://www.bleepingcomputer.com/news/security/mongodb-apocalypse-professional-ransomware-group-gets-involved-infections-reach-28k-servers/)) o plataformas (_e._, [productos NAS](https://forum.synology.com/enu/viewtopic.php?f=3&t=88716))
+ 1. Suba los indicadores a servicios de categorización automatizados como [Crypto Sheriff](https://www.nomoreransom.org/crypto-sheriff.php), [ID Ransomware](https://id-ransomware.malwarehunterteam.com/), o similares.
+1. **Determinar el alcance:**
+ 1. ¿Qué sistemas están afectados? `TODO: Especificar la(s) herramienta(s) y el procedimiento`.
+ * Escanear en busca de indicadores concretos de compromiso (IOCs) como archivos/hashes, procesos, conexiones de red, etc. Utilice [protección de puntos finales/EDR](#TODO-link-to-actual-resource), [telemetría de puntos finales](#TODO-link-to-actual-resource), [registros del sistema](#TODO-link-to-actual-resource), etc.
+ * Compruebe si hay sistemas similares infectados (_por ejemplo, usuarios, grupos, datos, herramientas, departamento, configuración, estado de los parches): compruebe [herramientas IAM](#TODO-link-to-actual-resource), [herramientas de gestión de permisos](#TODO-link-to-actual-resource), [servicios de directorio](#TODO-link-to-actual-resource), _etc._.
+ * Encuentra el comando y control externo (C2), si está presente, y encuentra otros sistemas que se conectan a él: comprueba [registros del cortafuegos o IDS](#TODO-enlace-al-recurso-real), [registros del sistema/EDR](#TODO-enlace-al-recurso-real), [registros del DNS](#TODO-enlace-al-recurso-real), [registros del netflow o del router](#TODO-enlace-al-recurso-real), _etc._.
+ 1. ¿Qué datos se ven afectados? (_e._, tipos de archivos, departamento o grupo, software afectado) `TODO: Especifique la(s) herramienta(s) y el procedimiento`.
+ * Buscar cambios anómalos en los metadatos de los archivos, como cambios masivos en las horas de creación o modificación. Comprobar [herramientas de búsqueda de metadatos de archivos](#TODO-link-to-actual-resource)
+ * Encontrar cambios en archivos de datos normalmente estables o críticos. Compruebe las herramientas de [supervisión de la integridad de los archivos](#TODO-link-to-actual-resource)
+1. **Assess the impact** to prioritize and motivate resources
+ 1. Assess functional impact: impact to business or mission.
+ * How much money is lost or at risk?
+ * How many (and which) missions are degraded or at risk?
+ 1. Assess information impact: impact to confidentiality, integrity, and availability of data.
+ * How critical is the data to the business/mission?
+ * How sensitive is the data? (_e.g._, trade secrets)
+ * What is the regulatory status of data (_e.g._, PII, PHI)
+1. **Find the infection vector.** Check the tactics captured in the [Initial Access tactic](https://attack.mitre.org/tactics/TA0001/) of MITRE ATT&CK[[4]](#ransomware-playbook-ref-4). Common specifics and data sources include:
+ * email attachment: check [email logs](#TODO-link-to-actual-resource), [email security appliances and services](#TODO-link-to-actual-resource), [e-discovery tools](#TODO-link-to-actual-resource), _etc._
+ * insecure remote desktop protocol (RDP): check [vulnerability scanning results](#TODO-link-to-actual-resource), [firewall configurations](#TODO-link-to-actual-resource), _etc._
+ * self-propagation (worm or virus) (check [host telemetry/EDR](#TODO-link-to-actual-resource), [system logs](#TODO-link-to-actual-resource), [forensic analysis](#TODO-link-to-actual-resource), _etc._)
+ * infección a través de unidades extraíbles (gusano o virus)
+ * entregado por otro malware o herramienta de ataque: ampliar la investigación para incluir herramientas de ataque o malware adicionales
+
+### Remediar
+
+* **Planificar eventos de remediación** en los que estos pasos se pongan en marcha juntos (o de forma coordinada), con los equipos adecuados listos para responder a cualquier interrupción.
+* **Considere el momento y las compensaciones** de las acciones de remediación: su respuesta tiene consecuencias.
+
+#### Contención
+
+Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para el ransomware.
+
+ToDo: Especificar las herramientas y los procedimientos para cada paso, a continuación.
+
+**En situaciones de ransomware, la contención es fundamental. Informar de las medidas de contención con los datos de la investigación. Dé mayor prioridad a las cuarentenas y otras medidas de contención que durante una respuesta típica.**
+
+Las cuarentenas (lógicas, físicas o ambas) impiden la propagación _desde_ los sistemas infectados y evitan la propagación _hacia_ los sistemas y datos críticos. Las cuarentenas deben ser exhaustivas: incluir el acceso a la nube/SaaS, el inicio de sesión único, el acceso a sistemas como el ERP u otras herramientas empresariales, _etc._.
+
+* Poner en cuarentena los sistemas infectados
+* Poner en cuarentena a los usuarios y grupos afectados.
+* Ponga en cuarentena los archivos compartidos (no sólo los conocidos; proteja también los no infectados).
+* Ponga en cuarentena las bases de datos compartidas (no sólo los servidores infectados conocidos; proteja también las bases de datos no infectadas)
+* Ponga en cuarentena las copias de seguridad, si no están ya protegidas
+* Bloquee los dominios y direcciones de comando y control
+* Elimine los correos electrónicos vectoriales de las bandejas de entrada.
+* Confirme que la protección de los puntos finales (AV, NGAV, EDR, etc.) está actualizada y activada en todos los sistemas.
+* Confirmar que los parches se han desplegado en todos los sistemas (dando prioridad a los sistemas, sistemas operativos, software, etc.).
+* Despliegue de firmas personalizadas en las herramientas de protección de puntos finales y de seguridad de la red basadas en los COI descubiertos.
+
+`TODO: Considerar la posibilidad de automatizar las medidas de contención mediante herramientas de orquestación.`
+
+#### Erradicar
+
+Tarea: Personalizar los pasos de erradicación, tácticos y estratégicos, para el ransomware.
+
+ToDo: Especifique las herramientas y los procedimientos para cada paso, a continuación.
+
+* Reconstruir los sistemas infectados a partir de soportes conocidos y buenos.
+* Restaurar a partir de copias de seguridad conocidas y limpias.
+* Confirmar que la protección de los puntos finales (AV, NGAV, EDR, etc.) está actualizada y activada en todos los sistemas.
+* Confirmar que los parches se despliegan en todos los sistemas (dando prioridad a los sistemas, SO, software, etc.).
+* Despliegue de firmas personalizadas en las herramientas de protección de puntos finales y de seguridad de la red, basándose en los IOC descubiertos.
+* **Vigilar la reinfección:** considerar el aumento de la prioridad de las alarmas/alertas relacionadas con este incidente.
+
+#### Referencia: Recursos de remediación
+
+`TODO: Especifique los recursos financieros, de personal y logísticos para llevar a cabo la reparación.
+
+### Comunicar
+
+ToDo: Personalice los pasos de comunicación para el ransomware.
+
+Tarea: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general.
+
+1. 1. Elevar el incidente y comunicarlo a la dirección según el procedimiento
+1. 2. Documentar el incidente según el procedimiento
+1. Comunicarse con los asesores jurídicos internos y externos según el procedimiento, incluyendo discusiones sobre el cumplimiento, la exposición al riesgo, la responsabilidad, el contacto con las fuerzas del orden, _etc._.
+1. Comunicarse con los usuarios (internos)
+ 1. Comunicar las actualizaciones de la respuesta a incidentes según el procedimiento
+ 1. Comunicar el impacto del incidente **y** las acciones de respuesta a incidentes (por ejemplo, contención: "¿por qué está caído el archivo compartido?"), que pueden ser más intrusivas/perturbadoras durante los incidentes de ransomware
+ 1. Comunicar los requisitos: "¿qué deben hacer y no hacer los usuarios?". Véase "Referencia: Acciones del usuario en caso de sospecha de ransomware", a continuación
+1. Comunicar a los clientes
+ 1. Concéntrese especialmente en aquellos cuyos datos se vieron afectados
+ 1. Genere las notificaciones requeridas en base a las regulaciones aplicables (particularmente aquellas que puedan considerar el ransomware como una violación de datos o que de alguna manera requieran notificaciones (_e.g._, [HHS/HIPAA](https://www.hhs.gov/sites/default/files/RansomwareFactSheet.pdf)) `TODO: Ampliar los requisitos y procedimientos de notificación para las normativas aplicables`.
+1. Contactar con el/los proveedor/es de seguros
+ 1. Discutir qué recursos pueden poner a disposición, qué herramientas y proveedores apoyan y pagarán, _etc._.
+ 1. Cumplir con los requisitos de presentación de informes y reclamaciones para proteger la elegibilidad
+1. Comunicarse con los reguladores, incluyendo una discusión sobre los recursos que pueden poner a su disposición (no sólo una notificación de tipo repetitivo: muchos pueden ayudar activamente)
+1. Considerar la posibilidad de notificar e implicar a [las fuerzas del orden](https://www.nomoreransom.org/en/report-a-crime.html)
+ 1. [Aplicación de la ley local](#TODO-link-to-actual-resource)
+ 1. 1. [Fuerzas de seguridad estatales o regionales](#TODO-link-to-actual-resource)
+ 1. 1. [Fuerzas de seguridad federales o nacionales](#TODO-link-to-actual-resource)
+1. Comunicarse con los proveedores de seguridad y de TI
+ 1. Notificar y colaborar con [proveedores gestionados](#TODO-link-to-actual-resource) según el procedimiento
+ 1. Notificar y colaborar con [consultores de respuesta a incidentes](#TODO-link-to-actual-resource) por procedimiento
+
+### Recuperación
+
+`TODO: Personalizar los pasos de recuperación para el ransomware.
+
+`TODO: Specify tools and procedures for each step, below.`
+
+> **We do not recommend paying the ransom:** it does not guarantee a solution to the problem. It can go wrong (_e.g._, bugs could make data unrecoverable even with the key). Also, paying proves ransomware works and could increase attacks against you or other groups.[[2, paraphrased]](#ransomware-playbook-ref-2)
+
+1. Launch business continuity/disaster recovery plan(s): _e.g._, consider migration to alternate operating locations, fail-over sites, backup systems.
+1. Recover data from known-clean backups to known-clean, patched, monitored systems (post-eradication), in accordance with our [well-tested backup strategy](#TODO-link-to-actual-resource).
+ * Check backups for indicators of compromise
+ * Consider partial recovery and backup integrity testing
+1. Find and try known decryptors for the variant(s) discovered using resources like the No More Ransom! Project's [Decryption Tools page](https://www.nomoreransom.org/en/decryption-tools.html).
+1. Considere la posibilidad de pagar el rescate por los activos/datos críticos irrecuperables, de acuerdo con la política `TODO: Ampliar y socializar esta matriz de decisión`.
+ * Considerar las ramificaciones con las partes interesadas apropiadas
+ * Comprender las implicaciones financieras y el presupuesto
+ * Comprender las implicaciones legales, reglamentarias y de seguros
+ * Comprender los mecanismos (por ejemplo, tecnologías, plataformas, proveedores intermedios/intermediarios)
+
+### Recursos
+
+#### Referencia: Acciones de los usuarios ante la sospecha de ransomware
+
+`TODO: Personalizar los pasos para los usuarios ante la sospecha de ransomware`.
+
+1. Mantenga la calma y respire profundamente.
+1. Desconecte su sistema de la red `TODO: incluya pasos detallados con capturas de pantalla, una herramienta preinstalada o un script para facilitar esta tarea ("romper en caso de emergencia"), considere los interruptores de corte de red por hardware`.
+1. Haz fotos de tu pantalla con tu smartphone mostrando las cosas que has notado: mensajes de rescate, archivos encriptados, mensajes de error del sistema, _etc._.
+1. 2. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. Todo ayuda. Documenta lo siguiente:
+ 1. ¿Qué has notado?
+ 1. ¿Por qué pensaste que era un problema?
+ 1. ¿Qué estabas haciendo en el momento en que lo detectaste?
+ 1. ¿Cuándo se produjo por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿Dónde estaba cuando ocurrió y en qué red? (oficina/casa/tienda, con cable/inalámbrica, con/sin VPN, _etc._)
+ 1. ¿Qué sistemas está utilizando? (sistema operativo, nombre de host, _etc._)
+ 1. ¿Qué cuenta utilizas?
+ 1. ¿A qué datos suele acceder?
+ 1. ¿Con quién más te has puesto en contacto sobre este incidente y qué les has dicho?
+1. Ponte en contacto con el [servicio de ayuda](#TODO-enlace-al-recurso) y sé lo más servicial posible
+1. Ten paciencia: la respuesta puede ser perturbadora, pero estás protegiendo a tu equipo y a la organización. **Gracias.**
+
+#### Referencia: Acciones del servicio de asistencia para un presunto ransomware
+
+`TODO: Personalizar los pasos para el personal de la mesa de ayuda ante la sospecha de ransomware`.
+
+1. Mantenga la calma y respire profundamente.
+1. Abra un ticket para documentar el incidente, según el procedimiento `TODO: Personalizar la plantilla con las preguntas clave (ver más abajo) y el flujo de trabajo de seguimiento`.
+1. Pídale al usuario que tome fotos de su pantalla usando su smartphone mostrando las cosas que notó: mensajes de rescate, archivos encriptados, mensajes de error del sistema, _etc._ Si esto es algo que notó directamente, haga lo mismo usted.
+1. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. 2. Si se trata de un informe de usuario, haz preguntas detalladas, incluyendo
+ 1. ¿Qué has notado?
+ 1. ¿Por qué pensaste que era un problema?
+ 1. ¿Qué estabas haciendo en el momento en que lo detectaste?
+ 1. ¿Cuándo se produjo por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿De qué redes se trata? (oficina/casa/tienda, cableada/inalámbrica, con/sin VPN, _etc._)
+ 1. 2. ¿De qué sistemas se trata? (sistema operativo, nombre de host, _etc._)
+ 1. 2. ¿De qué datos se trata? (rutas, tipos de archivos, archivos compartidos, bases de datos, software, _etc._)
+ 1. ¿Qué usuarios y cuentas están implicados? (directorio activo, SaaS, SSO, cuentas de servicio, _etc._)
+ 1. ¿A qué datos suelen acceder los usuarios implicados?
+ 1. ¿Con quién más has contactado acerca de este incidente y qué les has dicho?
+1. Haz las preguntas de seguimiento que sean necesarias. **Usted es el encargado de responder al incidente, contamos con usted.**
+1. Obtenga información de contacto detallada del usuario (domicilio, oficina, móvil), si procede
+1. Registre toda la información en el ticket, incluyendo notas manuscritas y de voz
+1. Poner en cuarentena a los usuarios y sistemas afectados `TODO: Personalizar los pasos de contención, automatizar todo lo posible`.
+1. Póngase en contacto con el [equipo de seguridad] (#TODO-link-to-actual-resource) y prepárese para participar en la respuesta según las indicaciones: investigación, remediación, comunicación y recuperación
+
+#### Información adicional
+
+1. ["Ransomware Identification for the Judicious Analyst"](https://www.gdatasoftware.com/blog/2019/06/31666-ransomware-identification-for-the-judicious-analyst), Hahn (12 Jun 2019)
+1. [No More Ransom!](https://www.nomoreransom.org) Project, including their [Crypto Sheriff](https://www.nomoreransom.org/crypto-sheriff.php?lang=en) service and their [Q&A](https://www.nomoreransom.org/en/ransomware-qa.html)
+1. [ID Ransomware](https://id-ransomware.malwarehunterteam.com/) service
+1. [MITRE ATT&CK Matrix](https://attack.mitre.org), including the [Initial Access](https://attack.mitre.org/tactics/TA0001/) and [Impact](https://attack.mitre.org/tactics/TA0040/) tactics
+
+## Playbook: Compromiso de la cadena de suministro
+
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+
+Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este playbook no es puramente secuencial. Utilice su mejor criterio.
+
+### Investigar
+
+Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el compromiso de la cadena de suministro.
+
+1. TODO
+
+### Remediar
+
+* **Planificar eventos de remediación** en los que estos pasos se pongan en marcha juntos (o de forma coordinada), con los equipos adecuados listos para responder a cualquier interrupción.
+* **Considere el momento y las compensaciones** de las acciones de remediación: su respuesta tiene consecuencias.
+
+#### Contención
+
+Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para el compromiso de la cadena de suministro.
+
+TODO: Especifique las herramientas y los procedimientos para cada paso, a continuación.
+
+*TODO
+
+`TODO: Considerar la posibilidad de automatizar las medidas de contención mediante herramientas de orquestación.`
+
+#### Erradicar
+
+TODO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el compromiso de la cadena de suministro.
+
+TODO: Especificar las herramientas y los procedimientos para cada paso, a continuación.
+
+* `TODO
+
+#### Referencia: Recursos de remediación
+
+`TODO: Especifique los recursos financieros, de personal y logísticos para llevar a cabo la remediación.`
+
+### Comunicar
+
+`TODO: Personalizar los pasos de comunicación para el compromiso de la cadena de suministro`.
+
+###Todo: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general.
+
+Además de los pasos y orientaciones generales del plan de respuesta a incidentes:
+
+1. TODO
+
+### Recuperación
+
+TODO: Personalizar los pasos de recuperación para el compromiso de la cadena de suministro.
+
+TODO: Especificar las herramientas y procedimientos para cada paso, a continuación.
+
+Además de los pasos generales y la orientación en el plan de respuesta a incidentes:
+
+1. TODO
+
+### Recursos
+
+#### Información adicional
+
+1. ["Title"](#TODO-url), Author Last Name (Date)
+
+# Roles
+
+A continuación se presentan las descripciones, los deberes y la formación para cada uno de los roles definidos en la respuesta a un incidente.
+
+#Hacer: Personalizar los roles, las descripciones, las funciones y la formación, si es necesario.
+
+## Estructura de los roles
+
+* Equipo de mando
+ * [Comandante de Incidentes](#role-incident-commander-ic)
+ * [Comandante Adjunto de Incidentes](#role-deputy-incident-commander-deputy)
+ * [Escribano](#role-scribe)
+* Equipo de enlace
+ * Enlace interno (#role-liaison)
+ * Enlace externo
+* Equipo de operaciones
+ * Expertos en la materia](#role-subject-matter-expert-sme) (PYMES) para sistemas
+ * PYMES para equipos/unidades de negocio
+ * PYMES para las funciones ejecutivas (_e._, Legal, RRHH, Finanzas)
+En el caso de incidentes complejos de mayor envergadura, la estructura de roles puede ajustarse para tener en cuenta la creación de subequipos. Para más información, lea cómo gestionamos los [incidentes complejos] (/before/complex_incidents.md).
+
+Esta es una **estructura flexible**: cada rol no será ocupado por una persona diferente para cada incidente. Por ejemplo, en un incidente pequeño, el adjunto podría actuar como escribiente y enlace interno. La estructura es flexible y se adapta al incidente.
+
+## Tiempos de guerra vs. Tiempos de paz
+
+En las llamadas de respuesta a incidentes ("tiempos de guerra"), una estructura organizativa diferente anula las operaciones normales ("tiempos de paz"):
+
+* El comandante del incidente está al mando. Independientemente de su rango en tiempos de paz, ahora es la persona de mayor rango en la llamada, superior al director general.
+* Los primeros intervinientes (las personas que actúan como primeros intervinientes de un equipo/servicio) son las personas de mayor rango de ese servicio.
+* Las decisiones serán tomadas por el CI tras considerar la información presentada. Una vez tomada la decisión, es definitiva.
+* El CI puede tomar decisiones más arriesgadas que las que normalmente se considerarían en tiempos de paz.
+* El CI puede ir en contra de una decisión consensuada. Si se hace una encuesta, y 9/10 personas están de acuerdo pero 1 está en desacuerdo. El CI puede elegir la opción del desacuerdo a pesar del voto de la mayoría. Aunque no esté de acuerdo, la decisión del CI es definitiva. Durante la convocatoria no es el momento de discutir con ellos.
+* El CI puede utilizar un lenguaje o comportarse de una manera que usted considere grosera. Estamos en tiempos de guerra, y tienen que hacer lo que sea necesario para resolver la situación, por lo que a veces se producen groserías. Esto no es personal, y es algo que debes estar preparado para experimentar si nunca has estado en una situación de guerra.
+* Es posible que el CI te pida que abandones la llamada, o incluso que te eche a la fuerza de una llamada. Esto queda a discreción del CI si considera que no estás aportando nada útil. De nuevo, esto no es personal y debes recordar que los tiempos de guerra son diferentes a los tiempos de paz.
+
+## Papel: Todos los participantes
+
+### Descripción
+
+Todos los participantes en la respuesta a un incidente tienen la responsabilidad de ayudar a resolver el incidente de acuerdo con el plan de respuesta a incidentes, bajo la autoridad del Comandante de Incidentes.
+
+### Deberes
+
+#### Exhibir la etiqueta de la llamada
+
+* Participar tanto en la llamada como en el chat.
+* Mantenga el ruido de fondo al mínimo.
+* Mantenga el micrófono silenciado hasta que tenga algo que decir.
+* Identifíquese cuando entre en la llamada; diga su nombre y su función (por ejemplo, "Soy el SME del equipo x").
+* Habla con claridad.
+* Sea directo y objetivo.
+* Mantenga conversaciones/discusiones cortas y al grano.
+* Comunicar cualquier preocupación al Comandante de Incidentes (CI) en la llamada.
+* Respetar las limitaciones de tiempo dadas por el Comandante del Incidente.
+* Si te unes a un solo canal (llamada o chat), no participes activamente, ya que provoca una comunicación inconexa.
+* **Utilizar una terminología clara, y evitar acrónimos o abreviaturas. La claridad y la precisión son más importantes que la brevedad.
+
+##### Referencia: Procedimiento común de voz
+
+El [procedimiento de voz] estándar de la radio (https://en.wikipedia.org/wiki/Voice_procedure#Words_in_voice_procedure) **no es obligatorio**, sin embargo es posible que escuche ciertos términos (o que tenga que utilizarlos usted mismo). Las frases comunes incluyen:
+
+* **Ack/Rog:** "He recibido y entendido"
+* **Diga otra vez:** "Repita su último mensaje"
+**Standby:** "Por favor, espere un momento para la siguiente respuesta"
+* **Wilco:** "Cumplirá"
+
+**No** invente nuevas abreviaturas; favorezca ser explícito sobre lo implícito.
+
+#### Seguir al Comandante del Incidente
+
+El comandante del incidente (IC) es el líder del proceso de respuesta al incidente.
+
+* Siga las instrucciones del comandante del incidente.
+* No realice ninguna acción a menos que el comandante del incidente se lo indique.
+* El comandante normalmente sondeará si hay objeciones fuertes antes de asignar una acción importante. Plantee objeciones si las tiene.
+* Una vez que el comandante haya tomado una decisión, sígala (incluso si no está de acuerdo).
+* Responde a cualquier pregunta que te haga el comandante de forma clara y concisa. Responder "no sé" es aceptable. No adivine.
+* El comandante puede pedirte que investigues algo y que le contestes en X minutos. Esté preparado con una respuesta dentro de ese tiempo. Pedir más tiempo es aceptable, pero proporciona al comandante una estimación.
+
+### Formación
+
+Lee y entiende el plan de respuesta a incidentes, incluyendo los roles y los libros de jugadas.
+
+## Rol: Jefe de Incidentes (IC)
+
+### Descripción
+
+El Comandante de Incidentes (IC) actúa como la única fuente de verdad de lo que está ocurriendo y lo que va a ocurrir durante un incidente importante. El CI es la persona de mayor rango en cualquier llamada de incidente, independientemente de su rango diario. Es quien toma las decisiones durante un incidente; delega tareas y escucha a los expertos en la materia para resolver el incidente. Sus decisiones como comandante son definitivas.
+
+Su trabajo como CI es evaluar la situación, proporcionar una orientación y coordinación claras, reclutando a otros para reunir el contexto/detalles. **No realice ninguna investigación o remediación:** delegue estas tareas.
+
+### Deberes
+
+Resolver el incidente de la forma más rápida y segura posible utilizando el plan de respuesta a incidentes como marco: dirigir el equipo para investigar, remediar y comunicar. Utiliza al adjunto para que te ayude, y delega en los enlaces y expertos pertinentes (PYMES) según tu criterio.
+
+1. Ayude a preparar los incidentes,
+ * Establezca canales de comunicación para los incidentes.
+ * Dirigir a las personas a estos canales de comunicación cuando se produzca un incidente importante.
+ * Formar a los miembros del equipo sobre cómo comunicarse durante los incidentes y formar a otros Comandantes de Incidentes.
+1. Llevar los incidentes a la resolución,
+ * Conseguir que todo el mundo esté en el mismo canal de comunicación.
+ * Recoger información de los miembros del equipo sobre el estado de sus servicios/área de propiedad.
+ * Recoger las acciones de reparación propuestas, y luego recomendar las acciones de reparación a realizar.
+ * Delegar todas las acciones de reparación, el Comandante de Incidentes NO es un solucionador.
+ * Ser la única autoridad sobre el estado del sistema.
+1. Facilitar las llamadas y reuniones,
+ * Conseguir el consenso (sondear durante una decisión)
+ * Proporcionar actualizaciones de estado
+ * Reducir el alcance (despedir a los asistentes cuando sea posible)
+ * Separar los sub-equipos
+ * Transferir el mando cuando sea necesario
+ * Firmar las convocatorias
+ * Mantener el orden
+ * Obtener respuestas directas
+ * Manejar la acción ejecutiva, como por ejemplo
+ * Anular al Comandante de Incidentes
+ * Anti-motivación
+ * Solicitudes de información
+ * Cuestionar la gravedad
+ * Manejar respondedores disruptivos o beligerantes
+1. Post Mortem,
+ * Crear la plantilla inicial justo después del incidente para que la gente pueda poner sus pensamientos mientras está fresca.
+ * Asignar la autopsia después de que el evento haya terminado, esto se puede hacer después de la llamada.
+ * Trabajar con los Jefes de Equipo/Gestores en la programación de acciones preventivas.
+
+El Comandante de Incidentes utiliza algunos procedimientos y jerga de llamada adicionales:
+
+* Anuncie siempre cuando se incorpore a la llamada si es el CI de guardia.
+* No deje que las discusiones se vayan de las manos. Mantenga las conversaciones breves.
+* Tome nota de las objeciones de los demás, pero su llamada es definitiva.
+* Si alguien interrumpe activamente la llamada, échalo.
+* Anuncia el final de la llamada.
+* Después de un incidente, comuníquese con otros Comandantes de Incidentes en formación sobre cualquier acción de informe que considere necesaria.
+
+**Utilice una terminología clara y evite los acrónimos o las abreviaturas. La claridad y la precisión son más importantes que la brevedad.**
+
+### Formación
+
+* Leer el plan de respuesta a incidentes, incluyendo todos los roles y libros de juego.
+* Participar en un ejercicio de respuesta a incidentes.
+* Siga a un comandante de incidentes actual sin participar activamente, manteniendo sus preguntas hasta el final.
+* Seguir de cerca a un comandante de incidentes actual. Responder a incidentes con el actual CI para tomar el relevo si es necesario.
+* _OPCIONAL:_ formación de facilitación
+* _OPCIONAL:_ Consulte [El personal de respuesta a incidentes como facilitador (y terapeuta)](#FIX) y el [Entrenamiento del Comandante de Incidentes de PagerDuty](https://response.pagerduty.com/training/incident_commander/) para obtener más ideas y discusiones.
+
+#### Requisitos previos
+
+No hay requisitos previos de antigüedad o de unidad de negocio para convertirse en Comandante de Incidentes, es un papel abierto a cualquier persona con la formación y la capacidad. Para poder ser Comandante de Incidentes, se espera que cumpla los siguientes criterios:
+
+* Excelente capacidad de **comunicación verbal y escrita**.
+* **Conocimiento de alto nivel** de la infraestructura y las funciones empresariales.
+* Excelente pensamiento crítico, juicio y toma de decisiones.
+* Flexibilidad y capacidad para **escuchar las opiniones de los expertos**, modificando los planes en caso necesario.
+* Participación en al menos dos respuestas a incidentes.
+* Gravedad, capacidad para "tomar el mando" y "voluntad de expulsar a la gente de una llamada" para eliminar las distracciones, incluso si se trata del director general.
+
+No se requieren conocimientos técnicos profundos. Los Comandantes de Incidentes no requieren un profundo conocimiento técnico de nuestros sistemas. Su trabajo como Comandante de Incidentes es coordinar la respuesta, no hacer cambios técnicos. No pienses que no puedes ser un Comandante de Incidentes sólo porque no estás en el departamento de ingeniería.
+
+#### Graduación
+
+Una vez completada la formación, añádase a la lista de Comandantes de Incidentes.
+
+## Rol: Jefe Adjunto de Incidentes (Adjunto)
+
+### Descripción
+
+Un Comandante Adjunto de Incidentes (Deputy) es una función de apoyo directo al Comandante de Incidentes (IC). El adjunto permite al CI centrarse en el problema que tiene entre manos, en lugar de preocuparse por documentar los pasos o controlar los temporizadores. El adjunto apoya al CI y lo mantiene centrado en el incidente. Como adjunto, se espera que asuma el mando del CI si éste lo solicita.
+
+### Funciones
+
+1. Plantear al Comandante de Incidentes cuestiones que, de otro modo, podrían no abordarse (vigilar los temporizadores que se han puesto en marcha, dar vueltas a los elementos que se han perdido al pasar lista, etc.).
+1. 1. Ser un Comandante de Incidentes "de reserva", en caso de que el comandante principal tenga que hacer la transición a un SME, o tenga que alejarse de la función de CI.
+1. 1. Gestionar la llamada del incidente y estar preparado para retirar a las personas de la llamada si así lo indica el Comandante del Incidente.
+1. Supervisar el estado del incidente y notificar al CI si el nivel de gravedad del incidente aumenta.
+1. Supervise los temporizadores:
+ * controlar el tiempo que ha durado el incidente
+ * Notificar al CI cada X minutos para que pueda tomar medidas (por ejemplo, "CI, el incidente está ahora en la marca de 10 minutos").
+1. Supervisar los plazos de las tareas (p. ej., "CI, avisa de que el temporizador de la investigación de [EQUIPO] se ha agotado").
+
+### Formación
+
+* Leer y comprender el plan de respuesta a incidentes, incluyendo los roles y los libros de jugadas.
+
+#### Requisitos previos
+
+* Estar entrenado como [Comandante de Incidentes](#role-incident-commander-ic).
+
+## Rol: Escribano
+
+### Descripción
+
+Un escriba documenta la línea de tiempo de un incidente a medida que progresa, y se asegura de que todas las decisiones y datos importantes sean capturados para su posterior revisión. El escriba debe centrarse en el archivo del incidente, así como en los elementos de seguimiento para una acción posterior.
+
+### Funciones
+
+1. Asegurarse de que la llamada del incidente se está grabando.
+1. 2. Anotar en el chat y en la línea de tiempo del expediente: los datos, eventos y acciones importantes, a medida que se producen. Específicamente:
+ * Acciones clave a medida que se llevan a cabo
+ * Informes de estado cuando el CI los proporcione
+ * Cualquier llamada clave durante la llamada o en la revisión final
+1. Actualice el chat indicando quién es el CI, quién es el adjunto y que usted es el escribiente (si no lo ha hecho ya).
+
+Escribir es más un arte que una ciencia. El objetivo es mantener un registro preciso de los eventos importantes que ocurrieron, Usa tu juicio y experiencia. Pero aquí hay algunas cosas generales que definitivamente querrás capturar como escribiente.
+
+* El resultado de cualquier decisión de la votación.
+### Cualquier elemento de seguimiento que se llame como "Deberíamos hacer esto..", "¿Por qué no se hizo esto?", etc.
+
+### Formación
+
+Lea y comprenda el plan de respuesta a incidentes, incluyendo los roles y los libros de jugadas.
+
+#### Requisitos previos
+
+* Excelentes habilidades de **comunicación verbal y escrita**.
+* Cualquiera puede actuar como escribiente durante un incidente, y son elegidos por el Comandante de Incidentes al inicio de la llamada.
+* Normalmente, el ayudante actuará como escribiente.
+
+#### Proceso de formación
+
+* Lea el plan de respuesta a incidentes, incluyendo todos los roles y libros de jugadas.
+* _OPCIONAL:_ Paralizar las acciones de un escriba durante un incidente o ejercicio, y buscar la opinión del escriba real y del Comandante de Incidentes.
+
+## Rol: Experto en la materia (SME)
+
+### Descripción
+
+Un experto en la materia (SME) es un experto en el dominio o propietario designado de un equipo, componente o servicio (un "área"). Está ahí para apoyar al comandante de incidentes en la identificación de la causa del incidente, sugiriendo y evaluando las acciones de investigación, remediación y comunicación, y realizando el seguimiento de las mismas según se le encomiende.
+
+### Funciones
+
+1. Diagnosticar problemas comunes dentro de su área de experiencia.
+1. 2. Solucionar rápidamente los problemas detectados durante un incidente.
+1. Comunicación concisa:
+ * Estado: ¿Cuál es el estado actual de la zona? ¿Es saludable o no?
+ * Acciones: ¿Qué medidas hay que tomar si su zona no se encuentra en un estado saludable?
+ * Necesidades: ¿Qué apoyo necesita para realizar una acción?
+1. Participar en las fases de investigación, remediación y/o comunicación de la respuesta.
+1. Anuncie todas las sugerencias al comandante del incidente, es su decisión cómo proceder, no siga ninguna acción a menos que se le indique.
+
+Si está de guardia para cualquier equipo, puede ser llamado para un incidente y se espera que responda como experto en la materia (SME) para su equipo, componente o servicio. Cualquiera que se considere un "experto en la materia" puede actuar como SME para un incidente. Por lo general, el principal de guardia del equipo actuará como SME para ese equipo.
+
+#### Prepárese para el período de guardia
+
+1. Esté preparado, habiéndose familiarizado ya con nuestras políticas y procedimientos de respuesta a incidentes.
+1. Asegúrese de haber configurado sus métodos de alerta de acuerdo con nuestro procedimiento de guardia.
+1. Compruebe que puede unirse a la llamada de incidentes. Es posible que tenga que instalar un plugin para el navegador.
+1. Tenga en cuenta su próximo tiempo de guardia y organice los cambios en función de los viajes, las vacaciones, las citas, etc.
+1. Si es comandante de incidentes, asegúrese de no estar de guardia para su equipo al mismo tiempo que está de guardia como comandante de incidentes.
+
+#### Durante el período de guardia
+
+1. Tenga su ordenador portátil e Internet con usted en todo momento durante su período de guardia (oficina, casa, un MiFi, un teléfono con un plan de anclaje, etc.).
+1. Si tienes citas importantes, debes conseguir que otra persona de tu equipo cubra esa franja horaria con antelación.
+1. Cuando recibas una alerta de incidente, se espera que te unas a la llamada de incidente y chatees lo antes posible (en cuestión de minutos).
+1. El Comandante del Incidente le hará preguntas o le dará acciones. Responda a las preguntas de forma concisa y siga todas las acciones indicadas (incluso si no está de acuerdo con ellas).
+1. Si no está seguro de algo, traiga a otras personas de su equipo que puedan ayudarle. **Nunca dudes en escalar**, si es necesario.
+1. No culpes. Este proceso de respuesta a incidentes no tiene ninguna culpa: culpar es contraproducente y distrae del problema en cuestión. La revisión posterior a la acción identificará los puntos en los que todos podemos mejorar.
+
+### Formación
+
+## Leer y comprender el plan de respuesta a incidentes, incluyendo los roles y los libros de jugadas.
+
+## Rol: Enlace
+
+### Descripción
+
+Los enlaces interactúan con otros equipos o partes interesadas, fuera del equipo de respuesta a incidentes. Estos suelen incluir:
+
+* Enlace externo: responsable de interactuar con los clientes, ya sea directamente, o a través de la comunicación pública.
+* Enlace interno: responsable de interactuar con las partes interesadas internas. Ya sea notificando el incidente a un equipo interno, o movilizando a personal de respuesta adicional dentro de la organización.
+
+### Funciones
+
+#### Enlace externo o con el cliente
+
+1. Publicar cualquier mensaje de cara al público en relación con el incidente (Twitter, etc.).
+1. 2. Notificar al CI cualquier cliente o cobertura de los medios de comunicación que informen de los efectos del incidente.
+1. Proporcionar a los clientes el mensaje externo de la autopsia una vez que se haya completado.
+1. Ponerse en contacto o interactuar con las partes interesadas externas, como proveedores, socios, fuerzas de seguridad, _etc._.
+1. **No** te sientas responsable de crear todos los mensajes: trabaja con el comandante del incidente y con otras partes interesadas.
+1. Según proceda, mantenga a los clientes informados durante un incidente.
+1. Actuar como voz de nuestros clientes ante el Comandante de Incidentes, ya que esto es útil para la toma de decisiones del CI.
+1. Obtener la aprobación del mensaje después de haber elaborado el mensaje público: copie el mensaje en el chat y espere la confirmación verbal/escrita del CI antes de continuar.
+
+##### Consejos para los mensajes públicos
+
+* Prepare un mensaje por defecto de antemano que pueda utilizarse para la actualización inicial si se desconoce el alcance del asunto.
+* Sea honesto. No mienta ni adivine.
+* Describa nuestro progreso en la resolución del incidente.
+ * _"Somos conscientes de un incidente..."_
+ * _"Estamos investigando las notificaciones retrasadas..."_
+ * _"Se ha aplicado una solución y se está desplegando..."_
+ * _"El problema se ha resuelto..."_
+* Sea claro sobre cómo afecta la incidencia a los clientes. Esta es la información principal que les interesa a los clientes.
+* Proporcione soluciones que los clientes puedan utilizar hasta que se resuelva la incidencia.
+* No estime los tiempos de resolución.
+* Proporcione el nivel de detalle adecuado.
+
+#### Enlace interno
+
+1. Llame a los SME u otro personal de guardia según las instrucciones del Comandante del Incidente.
+1. Notifique o movilice a otros equipos de la organización (por ejemplo, Finanzas, Legal, Marketing), según las instrucciones del Comandante del Incidente.
+1. Seguir y anticiparse a las PYMES en la llamada.
+1. 2. Interactuar con las partes interesadas y proporcionar actualizaciones de estado según sea necesario.
+1. Interactuar con las partes interesadas internas para responder a sus preguntas, para mantener la llamada principal libre de distracciones.
+1. Proporcionar actualizaciones periódicas de la situación al equipo ejecutivo, ofreciendo un resumen ejecutivo de la situación actual.
+
+### Formación
+
+Leer y comprender el plan de respuesta a incidentes, incluidos los roles y los libros de jugadas.
+
+#### Requisitos previos
+
+* Excelentes habilidades de **comunicación verbal y escrita**.
+* _OPCIONAL:_ Formación en atención al cliente.
+* _OPCIONAL:_ Formación en comunicación corporativa o marketing.
+
+# Llevar a cabo una revisión posterior a la acción (AAR)
+
+1. Programe una reunión de revisión posterior a la acción (AAR) dentro de {{AAR_SLA}} e invite a los asistentes que figuran en {{AAR_ATTENDEES}}. Incluya siempre a los siguientes:
+ * El comandante del incidente.
+ * Los propietarios de los servicios implicados en el incidente.
+ * Ingeniero(s)/responsable(s) clave involucrados en el incidente.
+1. Designe a un propietario del AAR que investigue el incidente antes de la reunión para prepararlo, estudiando el proceso del incidente en sí, incluida la revisión de notas e informes.
+
+## 2. Llevar a cabo la reunión AAR
+
+Documente las respuestas a las siguientes preguntas clave:
+
+1. **Crear una línea de tiempo, apoyada con datos u otros artefactos. **Evitar la culpa. Encuentra los hechos.**
+1. **¿Qué se suponía que iba a ocurrir?**
+ * Detallar las desviaciones del proceso, procedimiento o mejor práctica, incluyendo las evaluaciones de las PYMES.
+ * Identificar las formas en que el incidente podría haberse detectado antes, o haber respondido con mayor eficacia.
+1. **¿Qué causas fundamentales se han producido?
+1. **¿Cómo podemos mejorar? ** Capturar los elementos de acción _con asignados y fechas de vencimiento_. Considerar:
+ * Detener: ¿qué deberíamos dejar de hacer?
+ * Empezar: ¿qué deberíamos empezar a hacer?
+ * Continuar: ¿qué debemos seguir haciendo?
+
+## Communicate AAR Status and Results
+
+The AAR owner, in coordination with the Internal Liaison, will communicate the status of the AAR (see below)
+
+### Status Descriptions
+
+| Status | Description |
+|-|-|
+| **Draft** | AAR investigation is still ongoing |
+| **In Review** | AAR investigation has been completed, and is ready to be reviewed during the AAR meeting. |
+| **Reviewed** | AAR meeting is over and the content has been reviewed and agreed upon.
If there are additional "External Messages", the communications team will take action to prepare. |
+| **Closed** | No further actions are needed on the AAR (outstanding issues are tracked in tickets).
If no "External Messages", skip straight to this once the meeting is over.
If there are additional "External Messages", communications team will update AAR Closed once sent. |
+
+Communicate the results of the AAR internally and finalize the AAR documentation.
+
+# About
+
+This template was developed by the team at [Counteractive Security](https://www.counteractive.net), to help all organizations get a good start on a concise, directive, specific, flexible, and free incident response plan. Build a [plan you will actually use](https://www.counteractive.net/posts/an-ir-plan-you-will-use/) to respond effectively, minimize cost and impact, and get back to business as soon as possible.
+
+## Licencia
+
+Esta plantilla se proporciona bajo la Licencia Apache, versión 2.0. Puede ver el código fuente de este plan en https://github.com/counteractive.
+
+## Instrucciones
+
+Personalice esta plantilla de plan para su propia organización. Las instrucciones están disponibles en el [README] del proyecto (https://github.com/counteractive). Para obtener asistencia profesional con la respuesta a incidentes, o con la personalización, implementación o prueba de su plan, póngase en contacto con nosotros por [correo electrónico](mailto:support@counteractive.net) o [teléfono](tel:+18889255765).
+
+## Referencias y lecturas adicionales
+
+* [NIST Computer Security Incident Handling Guide](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) (NIST)
+* [CERT Societe Generale Incident Response Methodologies](https://github.com/certsocietegenerale/IRM/tree/master/EN)
+* [NIST Cybersecurity Framework](https://www.nist.gov/cyberframework)
+* [Incident Handler's Handbook](https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901) (SANS)
+* [Responding to IT Security Incidents](https://technet.microsoft.com/en-us/library/cc700825.aspx) (Microsoft)
+* [Defining Incident Management Processes for CSIRTs: A Work in Progress](http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=7153) (CMU)
+* [Creating and Managing Computer Security Incident Handling Teams (CSIRTS)](https://www.first.org/conference/2008/papers/killcrece-georgia-slides.pdf) (CERT)
+* [Incident Management for Operations](http://shop.oreilly.com/product/0636920036159.do) (Rob Schnepp, Ron Vidal, Chris Hawley)
+* [_Incident Response & Computer Forensics, Third Edition_](http://a.co/cUkFzMh) (Jason Luttgens. Matthew Pepe. Kevin Mandia)
+* [_Incident Response_](http://shop.oreilly.com/product/9780596001308.do) (Kenneth R. van Wyk, Richard Forno)
+* [The Checklist Manifesto](http://atulgawande.com/book/the-checklist-manifesto/) (Atul Gawande)
+* [The Field Guide to Understanding Human Error](https://www.amazon.com/Field-Guide-Understanding-Human-Error/dp/0754648265) (Sidney Dekker)
+* [Normal Accidents: Living with High-Risk Technologies](https://www.amazon.com/Normal-Accidents-Living-High-Risk-Technologies/dp/0691004129) (Charles Perrow)
+* [Site Reliability Engineering](https://landing.google.com/sre/book.html) (Google)
+* [Debriefing Facilitation Guide](http://extfiles.etsy.com/DebriefingFacilitationGuide.pdf) (Etsy)
+* [Every Minute Counts: Leading Heroku's Incident Response](https://www.heavybit.com/library/video/every-minute-counts-coordinating-herokus-incident-response/) (Blake Gentry)
+* [Three Analytical Traps in Accident Investigation](https://www.youtube.com/watch?v=TqaFT-0cY7U) (Dr. Johan Bergström)
+* [US National Incident Management System (NIMS)](https://www.fema.gov/national-incident-management-system) (FEMA)
+* [Informed's NIMS Incident Command System Field Guide](https://www.amazon.com/gp/product/1284038408) (Michael J. Ward)
+* [Advanced PostMortem Fu and Human Error 101 (Velocity 2011)](http://www.slideshare.net/jallspaw/advanced-postmortem-fu-and-human-error-101-velocity-2011)
+* [Blame. Language. Sharing.](http://fractio.nl/2015/10/30/blame-language-sharing/)
+
From cec62389e0014df194d4f2205d9b5ad7857def36 Mon Sep 17 00:00:00 2001
From: alejandrosanchezman
<94168011+alejandrosanchezman@users.noreply.github.com>
Date: Tue, 10 May 2022 09:26:49 +0200
Subject: [PATCH 014/199] Add files via upload
---
examples/plan.md | 42 +++++++++++++++++++++---------------------
1 file changed, 21 insertions(+), 21 deletions(-)
diff --git a/examples/plan.md b/examples/plan.md
index 904b0a2..95e5d04 100644
--- a/examples/plan.md
+++ b/examples/plan.md
@@ -252,7 +252,7 @@ Agregador de registros | {{LOG_AGGREGATOR_CONSOLE}}
* Consultar la [Lista de recursos de respuesta](#reference-response-resource-list))
1. Consulte los [libros de jugadas de incidentes](#librosdejugadas) para conocer las preguntas clave, los dispositivos testigos y las estrategias para investigar las amenazas comunes o muy dañinas.
-**El plan de investigación es fundamental para una respuesta eficaz; impulsa todas las acciones de investigación. Utilice el pensamiento crítico, la creatividad y el buen juicio.
+**El plan de investigación es fundamental para una respuesta eficaz; impulsa todas las acciones de investigación. Utilice el pensamiento crítico, la creatividad y el buen juicio.**
### Referencia: Táctica del atacante a la matriz de preguntas clave
@@ -296,7 +296,7 @@ Consulte la página [MITRE ATT&CK](https://attack.mitre.org/) para obtener más
1. Categorizar la(s) razón(es) por la(s) que son "de interés": tiene malware, acceso por cuenta comprometida, tiene datos sensibles, etc. Trátelas como "etiquetas", puede haber más de una categoría por sistema.
1. Prioriza la recogida, el análisis y la reparación en función de las necesidades de la investigación, el impacto en el negocio, etc.
-#Recogida de pruebas
+# Recogida de pruebas
* Priorizar en base al plan de investigación
* Recoger datos de respuesta en vivo utilizando {{LIVE_RESPONSE_TOOL}}. `TODO: Personalizar las herramientas y el procedimiento de respuesta en vivo.`
@@ -309,7 +309,7 @@ Considere la posibilidad de recopilar los siguientes artefactos como evidencia,
### Ejemplo de artefactos útiles
-`TODO: Personalizar y priorizar los artefactos útiles.
+`TODO: Personalizar y priorizar los artefactos útiles.`
* Procesos en ejecución
* Servicios en ejecución
@@ -458,7 +458,7 @@ Determine la estrategia de tiempo -cuando se tomarán las acciones de remediaci
#Comunicar
-**Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible. Notifique al Comandante del Incidente si hay pasos que el equipo debe considerar
+**Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible. Notifique al Comandante del Incidente si hay pasos que el equipo debe considerar**
Toda comunicación debe incluir la información más precisa disponible. Muestre integridad. No comunique especulaciones.
@@ -529,7 +529,7 @@ Toda comunicación debe incluir la información más precisa disponible. Muestr
* Comparta los IOC con [Infragard](https://www.infragard.org/) si procede.
* Comparta los IOC con su [ISAC](https://en.wikipedia.org/wiki/Information_Sharing_and_Analysis_Center) de servicio a través de {{ISAC_CONTACT}}, si procede.
-# `Recuperación
+# Recuperación
`TODO: Personalizar los pasos de recuperación.`
@@ -548,7 +548,7 @@ Tarea: Crear libros de juego adicionales para tipos de incidentes muy probables
## Playbook: Desaparición de sitios web
-**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo.**
Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este playbook no es puramente secuencial. Utilice su mejor criterio.
@@ -646,9 +646,9 @@ Tarea: Especificar las herramientas y los procedimientos para cada paso, a conti
### Comunicar
-TODO: Personalizar los pasos de comunicación para la desfiguración
+`TODO: Personalizar los pasos de comunicación para la desfiguración`
-TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general`.
+`TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general`.
1. 1. Elevar el incidente y comunicarlo a la dirección según el procedimiento
1. 2. Documentar el incidente según el procedimiento (e informar si procede)
@@ -713,7 +713,7 @@ TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe
3. [2019 Website Threat Research Report](https://sucuri.net/reports/2019-hacked-website-report/) with helpful statistics
4. [Article](https://www.imperva.com/learn/application-security/website-defacement-attack/) including DIYs and Best practices to prevent website defacement## Playbook: Identity and Access Compromise
-**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo.**
Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este playbook no es puramente secuencial. Utilice su mejor criterio.
@@ -732,19 +732,19 @@ Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrat
Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para el compromiso de la identidad y el acceso.
-TODO: Especificar las herramientas y procedimientos para cada paso, a continuación.
+`TODO: Especificar las herramientas y procedimientos para cada paso, a continuación.`
-*TODO
+* TODO
`TODO: Considerar la automatización de las medidas de contención utilizando herramientas de orquestación.`
#### Erradicar
-TODO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el compromiso de la identidad y el acceso.
+`TODO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el compromiso de la identidad y el acceso.`
-TODO: Especificar herramientas y procedimientos para cada paso, a continuación.
+`TODO: Especificar herramientas y procedimientos para cada paso, a continuación.`
-* `TODO
+* TODO
#### Referencia: Remediation Resources
@@ -813,7 +813,7 @@ Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrat
* enviar enlaces, archivos adjuntos y/o hashes a [VirusTotal](https://www.virustotal.com/gui/)
* enviar enlaces, archivos adjuntos y/o hashes a un sandbox de malware como [Cuckoo](https://cuckoosandbox.org/), [Hybrid Analysis](https://www.hybrid-analysis.com/), [Joe Sandbox](https://www.joesecurity.org/), o [VMray](https://www.vmray.com/).
1. Categorice el tipo de ataque. `TODO: Personalizar las categorías y crear libros de jugadas adicionales para tipos de phishing comunes o de alto impacto`.
-1. **Determine la gravedad:
+1. **Determine la gravedad:**
* si la seguridad pública o personal está en riesgo
* si los datos personales (u otros datos sensibles) están en riesgo
* si hay pruebas de quién está detrás del ataque
@@ -833,7 +833,7 @@ Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrat
Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para el phishing.
-ToDo: Especifique las herramientas y los procedimientos para cada paso, a continuación.
+`ToDo: Especifique las herramientas y los procedimientos para cada paso, a continuación.`
* Contener las cuentas afectadas
* cambiar las credenciales de acceso
@@ -856,9 +856,9 @@ ToDo: Especifique las herramientas y los procedimientos para cada paso, a contin
### Comunicar
-TODO: Personalizar los pasos de comunicación para la suplantación de identidad.
+`TODO: Personalizar los pasos de comunicación para la suplantación de identidad.`
-TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general`.
+`TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general`.
1. 1. Elevar el incidente y comunicarlo a la dirección según el procedimiento
1. Documente el incidente según el procedimiento (y [informe](https://us-cert.cisa.gov/report-phishing))
@@ -1041,7 +1041,7 @@ Las cuarentenas (lógicas, físicas o ambas) impiden la propagación _desde_ los
Tarea: Personalizar los pasos de erradicación, tácticos y estratégicos, para el ransomware.
-ToDo: Especifique las herramientas y los procedimientos para cada paso, a continuación.
+`ToDo: Especifique las herramientas y los procedimientos para cada paso, a continuación.`
* Reconstruir los sistemas infectados a partir de soportes conocidos y buenos.
* Restaurar a partir de copias de seguridad conocidas y limpias.
@@ -1552,8 +1552,8 @@ Documente las respuestas a las siguientes preguntas clave:
1. **¿Qué se suponía que iba a ocurrir?**
* Detallar las desviaciones del proceso, procedimiento o mejor práctica, incluyendo las evaluaciones de las PYMES.
* Identificar las formas en que el incidente podría haberse detectado antes, o haber respondido con mayor eficacia.
-1. **¿Qué causas fundamentales se han producido?
-1. **¿Cómo podemos mejorar? ** Capturar los elementos de acción _con asignados y fechas de vencimiento_. Considerar:
+1. **¿Qué causas fundamentales se han producido?**
+1. **¿Cómo podemos mejorar?** Capturar los elementos de acción _con asignados y fechas de vencimiento_. Considerar:
* Detener: ¿qué deberíamos dejar de hacer?
* Empezar: ¿qué deberíamos empezar a hacer?
* Continuar: ¿qué debemos seguir haciendo?
From 42e3263069b5c0c9115bb2ba118e0c1953b7b109 Mon Sep 17 00:00:00 2001
From: gdomram487 <94167966+gdomram487@users.noreply.github.com>
Date: Tue, 10 May 2022 09:27:49 +0200
Subject: [PATCH 015/199] Add files via upload
---
playbooks/playbook-supply-chain.md | 130 ++++++++++++++---------------
1 file changed, 65 insertions(+), 65 deletions(-)
diff --git a/playbooks/playbook-supply-chain.md b/playbooks/playbook-supply-chain.md
index 4a1a0de..72894d6 100644
--- a/playbooks/playbook-supply-chain.md
+++ b/playbooks/playbook-supply-chain.md
@@ -1,65 +1,65 @@
-## Playbook: Supply Chain Compromise
-
-**Investigate, remediate (contain, eradicate), and communicate in parallel!**
-
-Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
-
-### Investigate
-
-`TODO: Expand investigation steps, including key questions and strategies, for supply chain compromise.`
-
-1. TODO
-
-### Remediate
-
-* **Plan remediation events** where these steps are launched together (or in coordinated fashion), with appropriate teams ready to respond to any disruption.
-* **Consider the timing and tradeoffs** of remediation actions: your response has consequences.
-
-#### Contain
-
-`TODO: Customize containment steps, tactical and strategic, for supply chain compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* TODO
-
-`TODO: Consider automating containment measures using orchestration tools.`
-
-#### Eradicate
-
-`TODO: Customize eradication steps, tactical and strategic, for supply chain compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* TODO
-
-#### Reference: Remediation Resources
-
-`TODO: Specify financial, personnel, and logistical resources to accomplish remediation.`
-
-### Communicate
-
-`TODO: Customize communication steps for supply chain compromise`
-
-`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan.`
-
-In addition to the general steps and guidance in the incident response plan:
-
-1. TODO
-
-### Recover
-
-`TODO: Customize recovery steps for supply chain compromise.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-In addition to the general steps and guidance in the incident response plan:
-
-1. TODO
-
-### Resources
-
-#### Additional Information
-
-1. ["Title"](#TODO-url), Author Last Name (Date)
-
+## Playbook: Compromiso de la cadena de suministro
+
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+
+Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este libro de jugadas no es puramente secuencial. Utilice su mejor criterio.
+
+### Investigar
+
+Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el compromiso de la cadena de suministro.
+
+1. TODO
+
+### Remediar
+
+* **Planificar eventos de remediación** en los que estos pasos se pongan en marcha juntos (o de forma coordinada), con los equipos adecuados listos para responder a cualquier interrupción.
+* **Considere el momento y las compensaciones** de las acciones de remediación: su respuesta tiene consecuencias.
+
+#### Contención
+
+Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para el compromiso de la cadena de suministro.
+
+TODO: Especifique las herramientas y los procedimientos para cada paso, a continuación.
+
+*TODO
+
+`TODO: Considerar la posibilidad de automatizar las medidas de contención mediante herramientas de orquestación.`
+
+#### Erradicar
+
+TODO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el compromiso de la cadena de suministro.
+
+TODO: Especificar las herramientas y los procedimientos para cada paso, a continuación.
+
+* TODO
+
+#### Referencia: Recursos de remediación
+
+`TODO: Especificar los recursos financieros, de personal y logísticos para llevar a cabo la remediación.`
+
+### Comunicar
+
+`TODO: Personalizar los pasos de la comunicación para el compromiso de la cadena de suministro`
+
+`TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o consulte el plan general.`
+
+Además de los pasos y orientaciones generales del plan de respuesta a incidentes:
+
+1. TODO
+
+### Recuperación
+
+`TODO: Personalizar los pasos de recuperación para el compromiso de la cadena de suministro.`
+
+`TODO: Especifique las herramientas y procedimientos para cada paso, a continuación.`
+
+Además de los pasos y orientaciones generales del plan de respuesta a incidentes:
+
+1. TODO
+
+### Recursos
+
+#### Información adicional
+
+1. ["Title"](#TODO-url), Author Last Name (Date)
+
From b6b16467521a6c8e46cd7f83a44390320793f063 Mon Sep 17 00:00:00 2001
From: =?UTF-8?q?Ismael=20Gonz=C3=A1lez?=
<94535885+iglezb@users.noreply.github.com>
Date: Tue, 10 May 2022 09:28:15 +0200
Subject: [PATCH 016/199] =?UTF-8?q?Traducci=C3=B3n=20del=20rol=202?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
roles/role-2-deputy.md | 51 +++++++++++++++++++++---------------------
1 file changed, 26 insertions(+), 25 deletions(-)
diff --git a/roles/role-2-deputy.md b/roles/role-2-deputy.md
index 6b06c82..9fbc657 100644
--- a/roles/role-2-deputy.md
+++ b/roles/role-2-deputy.md
@@ -1,25 +1,26 @@
-## Role: Deputy Incident Commander (Deputy)
-
-### Description
-
-A Deputy Incident Commander (Deputy) is a direct support role for the Incident Commander (IC). The Deputy enables the IC to focus on the problem at hand, rather than worrying about documenting steps or monitoring timers. The deputy supports the IC and keeps them focused on the incident. As a Deputy, you will be expected to take over command from the IC if they request it.
-
-### Duties
-
-1. Bring up issues to the Incident Commander that may otherwise not be addressed (keeping an eye on timers that have been started, circling back around to missed items from a roll call, etc).
-1. Be a "hot standby" Incident Commander, should the primary need to either transition to a SME, or otherwise have to step away from the IC role.
-1. Manage the incident call, and be prepared to remove people from the call if instructed by the Incident Commander.
-1. Monitor the status of the incident, and notify the IC if/when the incident escalates in severity level.
-1. Monitor timers:
- * track how long the incident has been running
- * notify the IC every X minutes so they can take actions (_e.g._, "IC, be advised the incident is now at the 10 minute mark.")
-1. Monitor task deadlines (e.g., "IC, be advised the timer for [TEAM]'s investigation is up.")
-
-### Training
-
-* Read and understand the incident response plan, including the roles and playbooks.
-
-#### Prerequisites
-
-* Be trained as an [Incident Commander](#role-incident-commander-ic).
-
+## Rol: Delegado del Comandante de Incidentes (Subdelegado)
+
+### Descripción
+
+Un Subdelegado de Incidentes (Subdelegado es un papel de apoyo directo al Jefe de Incidentes (JI). El subdelegado permite que el JII se centre en el problema que tiene entre manos, en lugar de preocuparse por documentar los pasos o controlar los temporizadores. El Subdelegado apoya al JI y lo mantiene centrado en el incidente. Como Subdelegado, se espera que asuma el mando del JI si éste lo solicita.
+
+### Funciones
+
+1. 1. Plantear al Jefe de Incidentes cuestiones que, de otro modo, no se abordarían (vigilar los temporizadores que se han puesto en marcha, dar vueltas a los elementos que se han perdido en una toma de lista, etc.).
+1. 1. Ser un Jefe de Incidentes "de reserva", en caso de que el jefe principal tenga que hacer la transición a un SME, o tenga que alejarse de la función de JI.
+1. 1. Gestionar la llamada del incidente y estar preparado para retirar a las personas de la llamada si así lo indica el Jefe del Incidente.
+1. Supervisar el estado del incidente y notificar al JI si el nivel de gravedad del incidente aumenta.
+1. Supervise los temporizadores:
+ * controlar el tiempo que ha durado el incidente
+ * Notificar al JI cada X minutos para que pueda tomar medidas (por ejemplo, "JI, el incidente está ahora en la marca de 10 minutos").
+1. Supervisar los plazos de las tareas (p. ej., "JI, avisa de que el temporizador de la investigación de [TEAM] se ha agotado").
+
+### Formación
+
+* Leer y comprender el plan de respuesta a incidentes, incluyendo los roles y los libros de jugadas.
+
+#### Requisitos previos
+
+* Estar entrenado como [Jefe de Incidentes](#role-incident-commander-ic).
+
+Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator
\ No newline at end of file
From d5844a7f9d45c697d20ac768ad33d0cdf17cb1fb Mon Sep 17 00:00:00 2001
From: alejandrosanchezman
<94168011+alejandrosanchezman@users.noreply.github.com>
Date: Tue, 10 May 2022 09:28:22 +0200
Subject: [PATCH 017/199] Add files via upload
---
examples/plan.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/examples/plan.md b/examples/plan.md
index 95e5d04..d781c18 100644
--- a/examples/plan.md
+++ b/examples/plan.md
@@ -71,7 +71,7 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
* PYMES para equipos/unidades de negocio
* PYMES para Funciones Ejecutivas (por ejemplo, Legal, RRHH, Finanzas)
-`TODO: Modificar la estructura de roles según sea necesario.
+`TODO: Modificar la estructura de roles según sea necesario.`
### Referencia: Información de contacto del equipo de respuesta
From 48acd6ec68fc26a26facb0b6ed1482f965f48475 Mon Sep 17 00:00:00 2001
From: =?UTF-8?q?Ismael=20Gonz=C3=A1lez?=
<94535885+iglezb@users.noreply.github.com>
Date: Tue, 10 May 2022 09:28:41 +0200
Subject: [PATCH 018/199] Add files via upload
---
playbooks/playbook-ransomware.md | 380 ++++++++++++++-----------------
1 file changed, 176 insertions(+), 204 deletions(-)
diff --git a/playbooks/playbook-ransomware.md b/playbooks/playbook-ransomware.md
index 8c640e1..45c7d38 100644
--- a/playbooks/playbook-ransomware.md
+++ b/playbooks/playbook-ransomware.md
@@ -1,204 +1,176 @@
-## Playbook: Ransomware
-
-**Investigate, remediate (contain, eradicate), and communicate in parallel! Containment is critical in ransomware incidents, prioritize accordingly.**
-
-Assign steps to individuals or teams to work concurrently, when possible; this playbook is not purely sequential. Use your best judgment.
-
-### Investigate
-
-`TODO: Expand investigation steps, including key questions and strategies, for ransomware.`
-
-1. **Determine the type** of ransomware (_i.e.,_ what is the family, variant, or flavor?)[[1]](#ransomware-playbook-ref-1)
- 1. Find any related messages. Check:
- * graphical user interfaces (GUIs) for the malware itself
- * text or html files, sometimes opened automatically after encryption
- * image files, often as wallpaper on infected systems
- * contact emails in encrypted file extensions
- * pop-ups after trying to open an encrypted file
- * voice messages
- 1. Analyze the messages looking for clues to the ransomware type:
- * ransomware name
- * language, structure, phrases, artwork
- * contact email
- * format of the user id
- * ransom demand specifics (_e.g._, digital currency, gift cards)
- * payment address in case of digital currency
- * support chat or support page
- 1. Analyze affected and/or new files. Check:
- * file renaming scheme of encrypted files including extension (_e.g._, `.crypt`, `.cry`, `.locked`) and base name
- * file corruption vs encryption
- * targeted file types and locations
- * owning user/group of affected files
- * icon for encrypted files
- * file markers
- * existence of file listings, key files or other data files
- 1. Analyze affected software or system types. Some ransomware variants only affect certain tools (_e.g._, [databases](https://www.bleepingcomputer.com/news/security/mongodb-apocalypse-professional-ransomware-group-gets-involved-infections-reach-28k-servers/)) or platforms (_e.g._, [NAS products](https://forum.synology.com/enu/viewtopic.php?f=3&t=88716))
- 1. Upload indicators to automated categorization services like [Crypto Sheriff](https://www.nomoreransom.org/crypto-sheriff.php), [ID Ransomware](https://id-ransomware.malwarehunterteam.com/), or similar.
-1. **Determine the scope:**
- 1. Which systems are affected? `TODO: Specify tool(s) and procedure`
- * Scan for concrete indicators of compromise (IOCs) such as files/hashes, processes, network connections, etc. Use [endpoint protection/EDR](#TODO-link-to-actual-resource), [endpoint telemetry](#TODO-link-to-actual-resource), [system logs](#TODO-link-to-actual-resource), etc.
- * Check similar systems for infection (_e.g._, similar users, groups, data, tools, department,configuration, patch status): check [IAM tools](#TODO-link-to-actual-resource), [permissions management tools](#TODO-link-to-actual-resource), [directory services](#TODO-link-to-actual-resource), _etc._
- * Find external command and control (C2), if present, and find other systems connecting to it: check [firewall or IDS logs](#TODO-link-to-actual-resource), [system logs/EDR](#TODO-link-to-actual-resource), [DNS logs](#TODO-link-to-actual-resource), [netflow or router logs](#TODO-link-to-actual-resource), _etc._
- 1. What data is affected? (_e.g._, file types, department or group, affected software) `TODO: Specify tool(s) and procedure`
- * Find anomalous changes to file metadata such as mass changes to creation or modification times. Check [file metadata search tools](#TODO-link-to-actual-resource)
- * Find changes to normally-stable or critical data files. Check [file integrity monitoring](#TODO-link-to-actual-resource) tools
-1. **Assess the impact** to prioritize and motivate resources
- 1. Assess functional impact: impact to business or mission.
- * How much money is lost or at risk?
- * How many (and which) missions are degraded or at risk?
- 1. Assess information impact: impact to confidentiality, integrity, and availability of data.
- * How critical is the data to the business/mission?
- * How sensitive is the data? (_e.g._, trade secrets)
- * What is the regulatory status of data (_e.g._, PII, PHI)
-1. **Find the infection vector.** Check the tactics captured in the [Initial Access tactic](https://attack.mitre.org/tactics/TA0001/) of MITRE ATT&CK[[4]](#ransomware-playbook-ref-4). Common specifics and data sources include:
- * email attachment: check [email logs](#TODO-link-to-actual-resource), [email security appliances and services](#TODO-link-to-actual-resource), [e-discovery tools](#TODO-link-to-actual-resource), _etc._
- * insecure remote desktop protocol (RDP): check [vulnerability scanning results](#TODO-link-to-actual-resource), [firewall configurations](#TODO-link-to-actual-resource), _etc._
- * self-propagation (worm or virus) (check [host telemetry/EDR](#TODO-link-to-actual-resource), [system logs](#TODO-link-to-actual-resource), [forensic analysis](#TODO-link-to-actual-resource), _etc._)
- * infection via removable drives (worm or virus)
- * delivered by other malware or attacker tool: expand investigation to include additional attacker tools or malware
-
-### Remediate
-
-* **Plan remediation events** where these steps are launched together (or in coordinated fashion), with appropriate teams ready to respond to any disruption.
-* **Consider the timing and tradeoffs** of remediation actions: your response has consequences.
-
-#### Contain
-
-`TODO: Customize containment steps, tactical and strategic, for ransomware.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-**In ransomware situations, containment is critical. Inform containment measures with facts from the investigation. Prioritize quarantines and other containment measures higher than during a typical response.**
-
-Quarantines (logical, physical, or both) prevent spread _from_ infected systems and prevent spread _to_ critical systems and data. Quarantines should be comprehensive: include cloud/SaaS access, single-sign-on, system access such as to ERP or other business tools, _etc._
-
-* Quarantine infected systems
-* Quarantine affected users and groups.
-* Quarantine file shares (not just known-infected shares; protect uninfected shares too)
-* Quarantine shared databases (not just known-infected servers; protect uninfected databases too)
-* Quarantine backups, if not already secured
-* Block command and control domains and addresses
-* Remove vector emails from inboxes
-* Confirm endpoint protection (AV, NGAV, EDR, _etc._) is up-to-date and enabled on all systems.
-* Confirm patches are deployed on all systems (prioritizing targeted systems, OSes, software, _etc._).
-* Deploy custom signatures to endpoint protection and network security tools based on discovered IOCs
-
-`TODO: Consider automating containment measures using orchestration tools.`
-
-#### Eradicate
-
-`TODO: Customize eradication steps, tactical and strategic, for ransomware.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-* Rebuild infected systems from known-good media
-* Restore from known-clean backups
-* Confirm endpoint protection (AV, NGAV, EDR, _etc._) is up-to-date and enabled on all systems.
-* Confirm patches are deployed on all systems (prioritizing targeted systems, OSes, software, _etc._).
-* Deploy custom signatures to endpoint protection and network security tools based on discovered IOCs
-* **Watch for re-infection:** consider increased priority for alarms/alerts related to this incident.
-
-#### Reference: Remediation Resources
-
-`TODO: Specify financial, personnel, and logistical resources to accomplish remediation.`
-
-### Communicate
-
-`TODO: Customize communication steps for ransomware`
-
-`TODO: Specify tools and procedures (including who must be involved) for each step, below, or refer to overall plan.`
-
-1. Escalate incident and communicate with leadership per procedure
-1. Document incident per procedure
-1. Communicate with internal and external legal counsel per procedure, including discussions of compliance, risk exposure, liability, law enforcement contact, _etc._
-1. Communicate with users (internal)
- 1. Communicate incident response updates per procedure
- 1. Communicate impact of incident **and** incident response actions (e.g., containment: "why is the file share down?"), which can be more intrusive/disruptive during ransomware incidents
- 1. Communicate requirements: "what should users do and not do?" See "Reference: User Actions for Suspected Ransomware," below
-1. Communicate with customers
- 1. Focus particularly on those whose data was affected
- 1. Generate required notifications based on applicable regulations (particularly those that may consider ransomware a data breach or otherwise requires notifications (_e.g._, [HHS/HIPAA](https://www.hhs.gov/sites/default/files/RansomwareFactSheet.pdf))) `TODO: Expand notification requirements and procedures for applicable regulations`
-1. Contact insurance provider(s)
- 1. Discuss what resources they can make available, what tools and vendors they support and will pay for, _etc._
- 1. Comply with reporting and claims requirements to protect eligibility
-1. Communicate with regulators, including a discussion of what resources they can make available (not just boilerplate notification: many can actively assist)
-1. Consider notifying and involving [law enforcement](https://www.nomoreransom.org/en/report-a-crime.html)
- 1. [Local law enforcement](#TODO-link-to-actual-resource)
- 1. [State or regional law enforcement](#TODO-link-to-actual-resource)
- 1. [Federal or national law enforcement](#TODO-link-to-actual-resource)
-1. Communicate with security and IT vendors
- 1. Notify and collaborate with [managed providers](#TODO-link-to-actual-resource) per procedure
- 1. Notify and collaborate with [incident response consultants](#TODO-link-to-actual-resource) per procedure
-
-### Recover
-
-`TODO: Customize recovery steps for ransomware.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-> **We do not recommend paying the ransom:** it does not guarantee a solution to the problem. It can go wrong (_e.g._, bugs could make data unrecoverable even with the key). Also, paying proves ransomware works and could increase attacks against you or other groups.[[2, paraphrased]](#ransomware-playbook-ref-2)
-
-1. Launch business continuity/disaster recovery plan(s): _e.g._, consider migration to alternate operating locations, fail-over sites, backup systems.
-1. Recover data from known-clean backups to known-clean, patched, monitored systems (post-eradication), in accordance with our [well-tested backup strategy](#TODO-link-to-actual-resource).
- * Check backups for indicators of compromise
- * Consider partial recovery and backup integrity testing
-1. Find and try known decryptors for the variant(s) discovered using resources like the No More Ransom! Project's [Decryption Tools page](https://www.nomoreransom.org/en/decryption-tools.html).
-1. Consider paying the ransom for irrecoverable critical assets/data, in accordance with policy `TODO: Expand and socialize this decision matrix`
- * Consider ramifications with appropriate stakeholders
- * Understand finance implications and budget
- * Understand legal, regulatory, and insurance implications
- * Understand mechanisms (_e.g._, technologies, platforms, intermediate vendors/go-betweens)
-
-### Resources
-
-#### Reference: User Actions for Suspected Ransomware
-
-`TODO: Customize steps for users dealing with suspected ransomware`
-
-1. Stay calm, take a deep breath.
-1. Disconnect your system from the network `TODO: include detailed steps with screenshots, a pre-installed tool or script to make this easy ("break in case of emergency"), consider hardware network cut-off switches`
-1. Take pictures of your screen using your smartphone showing the things you noticed: ransom messages, encrypted files, system error messages, _etc._
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. Every little bit helps! Document the following:
- 1. What did you notice?
- 1. Why did you think it was a problem?
- 1. What were you doing at the time you detected it?
- 1. When did it first occur, and how often since?
- 1. Where were you when it happened, and on what network? (office/home/shop, wired/wireless, with/without VPN, _etc._)
- 1. What systems are you using? (operating system, hostname, _etc._)
- 1. What account were you using?
- 1. What data do you typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Contact the [help desk](#TODO-link-to-actual-resource) and be as helpful as possible
-1. Be patient: the response may be disruptive, but you are protecting your team and the organization! **Thank you.**
-
-#### Reference: Help Desk Actions for Suspected Ransomware
-
-`TODO: Customize steps for help desk personnel dealing with suspected ransomware`
-
-1. Stay calm, take a deep breath.
-1. Open a ticket to document the incident, per procedure `TODO: Customize template with key questions (see below) and follow-on workflow`
-1. Ask the user to take pictures of their screen using their smartphone showing the things they noticed: ransom messages, encrypted files, system error messages, _etc._ If this is something you noticed directly, do the same yourself.
-1. Take notes about the problem(s) using the voice memo app on your smartphone or pen-and-paper. If this is a user report, ask detailed questions, including:
- 1. What did you notice?
- 1. Why did you think it was a problem?
- 1. What were you doing at the time you detected it?
- 1. When did it first occur, and how often since?
- 1. What networks are involved? (office/home/shop, wired/wireless, with/without VPN, _etc._)
- 1. What systems are involved? (operating system, hostname, _etc._)
- 1. What data is involved? (paths, file types, file shares, databases, software, _etc._)
- 1. What users and accounts are involved? (active directory, SaaS, SSO, service accounts, _etc._)
- 1. What data do the involved users typically access?
- 1. Who else have you contacted about this incident, and what did you tell them?
-1. Ask follow-up questions as necessary. **You are an incident responder, we are counting on you.**
-1. Get detailed contact information from the user (home, office, mobile), if applicable
-1. Record all information in the ticket, including hand-written and voice notes
-1. Quarantine affected users and systems `TODO: Customize containment steps, automate as much as possible`
-1. Contact the [security team](#TODO-link-to-actual-resource) and stand by to participate in the response as directed: investigation, remediation, communication, and recovery
-
-#### Additional Information
-
-1. ["Ransomware Identification for the Judicious Analyst"](https://www.gdatasoftware.com/blog/2019/06/31666-ransomware-identification-for-the-judicious-analyst), Hahn (12 Jun 2019)
-1. [No More Ransom!](https://www.nomoreransom.org) Project, including their [Crypto Sheriff](https://www.nomoreransom.org/crypto-sheriff.php?lang=en) service and their [Q&A](https://www.nomoreransom.org/en/ransomware-qa.html)
-1. [ID Ransomware](https://id-ransomware.malwarehunterteam.com/) service
-1. [MITRE ATT&CK Matrix](https://attack.mitre.org), including the [Initial Access](https://attack.mitre.org/tactics/TA0001/) and [Impact](https://attack.mitre.org/tactics/TA0040/) tactics
-
+## Playbook: Ransomware
+
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo. La contención es fundamental en los incidentes de ransomware, priorice en consecuencia.**
+
+Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este libro de jugadas no es puramente secuencial. Utilice su mejor criterio.
+
+### Investigación
+
+`OBJETIVO: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el ransomware.`
+
+1. **Determinar el tipo** de ransomware (_es decir, _ ¿cuál es la familia, la variante o el tipo?)[[1]](#ransomware-playbook-ref-1)
+ 1. Encuentre cualquier mensaje relacionado. Compruebe:
+ * las interfaces gráficas de usuario (GUI) del propio malware
+ * archivos de texto o html, que a veces se abren automáticamente tras el cifrado
+ * image files, often as wallpaper on infected systems
+ * contact emails in encrypted file extensions
+ * pop-ups after trying to open an encrypted file
+ * voice messages
+ 1. Analice los mensajes en busca de pistas sobre el tipo de ransomware:
+ * nombre del ransomware
+ * lenguaje, estructura, frases, material gráfico
+ * correo electrónico de contacto
+ * formato de la identificación del usuario
+ * especificaciones de la demanda de rescate (_e._, moneda digital, tarjetas de regalo)
+ * dirección de pago en caso de moneda digital
+ * chat de soporte o página de soporte
+ 1. Analice los archivos afectados y/o nuevos. Compruebe:
+ * el esquema de cambio de nombre de los archivos encriptados, incluyendo la extensión (_e.g._, `.cry`, `.cry`, `.locked`) y el nombre base
+ * corrupción de archivos frente a encriptación
+ * Tipos de archivos y ubicaciones objetivo
+ * usuario/grupo propietario de los archivos afectados
+ * Icono de los archivos encriptados
+ * marcadores de archivos
+ * existencia de listados de archivos, archivos clave u otros archivos de datos
+
+ 1. Analice los tipos de software o sistemas afectados. Algunas variantes de ransomware sólo afectan a determinadas herramientas (_e.g._, [databases](https://www.bleepingcomputer.com/news/security/mongodb-apocalypse-professional-ransomware-group-gets-involved-infections-reach-28k-servers/)) or platforms (_e.g._, [NAS products](https://forum.synology.com/enu/viewtopic.php?f=3&t=88716))
+ 1. Subir los indicadores a servicios de categorización automatizados como [Crypto Sheriff](https://www.nomoreransom.org/crypto-sheriff.php), [ID Ransomware](https://id-ransomware.malwarehunterteam.com/), o similar.
+1. **Determinar el alcance:**
+ 1. ¿Qué sistemas están afectados? `TODO: Especificar herramientas y procedimientos`
+ * Busque indicadores de compromiso (IOC), como archivos/hashes, procesos, conexiones de red, etc. Utilice [endpoint protection/EDR](#TODO-link-to-actual-resource), [endpoint telemetry](#TODO-link-to-actual-resource), [system logs](#TODO-link-to-actual-resource), etc.
+ * Comprobar la infección de sistemas similares (_por ejemplo, usuarios, grupos, datos, herramientas, departamento, configuración, estado de los parches): comprobar [IAM tools](#TODO-link-to-actual-resource), [permissions management tools](#TODO-link-to-actual-resource), [directory services](#TODO-link-to-actual-resource), _etc._
+ * Find external command and control (C2), if present, and find other systems connecting to it: check [firewall or IDS logs](#TODO-link-to-actual-resource), [system logs/EDR](#TODO-link-to-actual-resource), [DNS logs](#TODO-link-to-actual-resource), [netflow or router logs](#TODO-link-to-actual-resource), _etc._
+ 1. ¿Qué datos están afectados? (_e._, tipos de archivo, departamento o grupo, software afectado) `TODO: Especifique la(s) herramienta(s) y el procedimiento`.
+ * Buscar cambios anómalos en los metadatos de los archivos, como cambios masivos en las horas de creación o modificación. Comprobar [herramientas de búsqueda de metadatos de archivos](#TODO-link-to-actual-resource)
+ * Buscar cambios en archivos de datos normalmente estables o críticos. Comprobar [supervisión de la integridad de los archivos](#TODO-link-to-actual-resource) tools
+1. **Evaluar el impacto** para priorizar y motivar los recursos
+ 1. Evaluar el impacto funcional: impacto en la empresa o en la misión.
+ * ¿Cuánto dinero se pierde o está en riesgo?
+ * ¿Cuántas (y cuáles) misiones se degradan o están en riesgo?
+ 1. Evaluar el impacto en la información: impacto en la confidencialidad, integridad y disponibilidad de los datos.
+ * ¿Qué importancia tienen los datos para la empresa/misión?
+ * ¿Cuán sensibles son los datos? (_p. ej., secretos comerciales)
+ * ¿Cuál es la situación reglamentaria de los datos (por ejemplo, PII, PHI)?
+
+1. **Encuentra el vector de infección.** Comprueba las tácticas capturadas en la [Initial Access tactic](https://attack.mitre.org/tactics/TA0001/) of MITRE ATT&CK[[4]](#ransomware-playbook-ref-4). Los datos más comunes y las fuentes de datos son:
+ * archivo adjunto de correo electrónico: comprobar [email logs](#TODO-link-to-actual-resource), [email security appliances and services](#TODO-link-to-actual-resource), [e-discovery tools](#TODO-link-to-actual-resource), _etc._
+ * insecure remote desktop protocol (RDP): check [vulnerability scanning results](#TODO-link-to-actual-resource), [firewall configurations](#TODO-link-to-actual-resource), _etc._
+ * auto-propagación (worm or virus) (check [host telemetry/EDR](#TODO-link-to-actual-resource), [system logs](#TODO-link-to-actual-resource), [forensic analysis](#TODO-link-to-actual-resource), _etc._)
+ *
+
+### Remediate
+
+**Planificar eventos de remediación** en los que estos pasos se lancen juntos (o de forma coordinada), con los equipos apropiados listos para responder a cualquier interrupción.
+**Considere el momento y las compensaciones** de las acciones de reparación: su respuesta tiene consecuencias.
+
+#### Contención
+
+`OBJETIVO: Personalizar los pasos de contención, tácticos y estratégicos, para el ransomware.`
+
+`OBJETIVO: especificar las herramientas y los procedimientos para cada paso, a continuación.`
+
+**En situaciones de ransomware, la contención es fundamental. Informar de las medidas de contención con los datos de la investigación. Dé mayor prioridad a las cuarentenas y otras medidas de contención que durante una respuesta típica.**
+
+Las cuarentenas (lógicas, físicas o ambas) impiden la propagación _desde_ los sistemas infectados y evitan la propagación _hacia_ los sistemas y datos críticos. Las cuarentenas deben ser exhaustivas: incluir el acceso a la nube/SaaS, el inicio de sesión único, el acceso a sistemas como el ERP u otras herramientas empresariales, _etc._.
+
+* Poner en cuarentena los sistemas infectados
+* Poner en cuarentena a los usuarios y grupos afectados.
+* Ponga en cuarentena los archivos compartidos (no sólo los conocidos; proteja también los no infectados).
+* Ponga en cuarentena las bases de datos compartidas (no sólo los servidores infectados conocidos; proteja también las bases de datos no infectadas)
+* Ponga en cuarentena las copias de seguridad, si no están ya protegidas
+* Bloquee los dominios y direcciones de comando y control
+* Elimine los correos electrónicos vectoriales de las bandejas de entrada.
+* Confirme que la protección de los puntos finales (AV, NGAV, EDR, etc.) está actualizada y activada en todos los sistemas.
+* Confirmar que los parches se despliegan en todos los sistemas (priorizando los sistemas, SOs, software, _etc._).
+* Despliegue de firmas personalizadas en las herramientas de protección de puntos finales y de seguridad de la red, basándose en los COI descubiertos.
+
+`OBJETIVO: Considerar la posibilidad de automatizar las medidas de contención mediante herramientas de orquestación.`
+
+#### Erradicar
+
+`OBJETIVO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el ransomware.`
+
+`OBJETIVO: Especificar las herramientas y los procedimientos para cada paso, a continuación.`
+
+* Reconstruir los sistemas infectados a partir de soportes conocidos como buenos.
+* Restaurar a partir de copias de seguridad conocidas y limpias.
+* Confirmar que la protección de los puntos finales (AV, NGAV, EDR, etc.) está actualizada y activada en todos los sistemas.
+* Confirmar que los parches se despliegan en todos los sistemas (dando prioridad a los sistemas, SO, software, etc.).
+* Despliegue de firmas personalizadas en las herramientas de protección de puntos finales y de seguridad de la red, basándose en los IOC descubiertos.
+* **Vigilar la reinfección:** considerar el aumento de la prioridad de las alarmas/alertas relacionadas con este incidente.
+
+#### Referencia: Recursos de remediación
+
+`OBJETIVO: Especifique los recursos financieros, de personal y logísticos para llevar a cabo la reparación.`
+
+### Comunicar
+
+`OBJETIVO: Personalizar los pasos de comunicación para el ransomware.`
+
+`OBJETIVO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general.`
+
+> **No recomendamos pagar el rescate:** no garantiza la solución del problema. Puede salir mal (_e._, los errores podrían hacer que los datos sean irrecuperables incluso con la clave). Además, pagar demuestra que el ransomware funciona y podría aumentar los ataques contra ti o contra otros grupos.[[2, paraphrased]](#ransomware-playbook-ref-2)
+
+1. Poner en marcha un plan de continuidad de la actividad/recuperación de desastres: Por ejemplo, considerar la migración a ubicaciones operativas alternativas, sitios de conmutación por error, sistemas de respaldo.
+1. Recuperar los datos de las copias de seguridad ya limpias en sistemas ya limpios, parcheados y monitorizados (post-erradicación), de acuerdo con nuestra [well-tested backup strategy](#TODO-link-to-actual-resource).
+ *Comprobar las copias de seguridad en busca de indicadores de peligro
+ * Considerar la recuperación parcial y las pruebas de integridad de las copias de seguridad
+1. ¡Encuentre y pruebe desencriptadores conocidos para la(s) variante(s) descubierta(s) utilizando recursos como el proyecto No More Ransom! Project's [Decryption Tools page](https://www.nomoreransom.org/en/decryption-tools.html).
+1. Considerar el pago del rescate por los activos/datos críticos irrecuperables, de acuerdo con la política `OBJETIVO: Ampliar y socializar esta matriz de decisión`.
+ * Considerar las ramificaciones con las partes interesadas apropiadas
+ * Comprender las implicaciones financieras y el presupuesto
+ * Comprender las implicaciones legales, reglamentarias y de seguros
+ * Comprender los mecanismos (por ejemplo, tecnologías, plataformas, proveedores intermedios/intermediarios)
+
+### Recursos
+
+#### Referencia: Acciones de los usuarios ante la sospecha de ransomware
+
+`OBJETIVO: Personalizar los pasos para los usuarios ante la sospecha de ransomware`.
+
+1. Mantenga la calma y respire profundamente.
+1. Desconecte su sistema de la red `OBJETIVO: incluya pasos detallados con capturas de pantalla, una herramienta preinstalada o un script para facilitar esta tarea ("romper en caso de emergencia"), considere los interruptores de corte de red por hardware`.
+1. Haz fotos de tu pantalla con tu smartphone mostrando las cosas que has notado: mensajes de rescate, archivos encriptados, mensajes de error del sistema, _etc._.
+1. 2. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. Todo ayuda. Documenta lo siguiente:
+ 1. ¿Qué has notado?
+ 1. ¿Por qué pensaste que era un problema?
+ 1. ¿Qué estabas haciendo en el momento en que lo detectaste?
+ 1. ¿Cuándo se produjo por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿Dónde estaba cuando ocurrió y en qué red? (oficina/casa/tienda, con cable/inalámbrica, con/sin VPN, _etc._)
+ 1. ¿Qué sistemas está utilizando? (sistema operativo, nombre de host, _etc._)
+ 1. ¿Qué cuenta utilizas?
+ 1. ¿A qué datos suele acceder?
+ 1. ¿Con quién más se ha puesto en contacto en relación con este incidente y qué le ha dicho?
+1. Contacta al [help desk](#TODO-link-to-actual-resource) y ser lo más útil posible
+1. Tenga paciencia: la respuesta puede ser perturbadora, pero está protegiendo a su equipo y a la organización. **Gracias.**
+
+#### Referencia: Acciones del servicio de asistencia técnica ante la sospecha de ransomware
+
+`OBJETIVO: Personalizar los pasos para el personal de la mesa de ayuda ante la sospecha de ransomware`.
+
+1. Mantenga la calma y respire profundamente.
+1. Abra un ticket para documentar el incidente, según el procedimiento `TODO: Personalizar la plantilla con las preguntas clave (ver abajo) y el flujo de trabajo de seguimiento`.
+1. 2. Pida al usuario que tome fotos de su pantalla usando su smartphone mostrando las cosas que ha notado: mensajes de rescate, archivos encriptados, mensajes de error del sistema, _etc._ Si es algo que ha notado directamente, haga lo mismo usted.
+1. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. 2. Si se trata de un informe de usuario, haz preguntas detalladas, incluyendo
+ 1. ¿Qué ha notado?
+ 1. ¿Por qué pensaste que era un problema?
+ 1. ¿Qué estabas haciendo en el momento en que lo detectaste?
+ 1. ¿Cuándo se produjo por primera vez, y con qué frecuencia desde entonces?
+ 1. ¿De qué redes se trata? (oficina/casa/tienda, cableada/inalámbrica, con/sin VPN, _etc._)
+ 1. 2. ¿De qué sistemas se trata? (sistema operativo, nombre de host, _etc._)
+ 1. 2. ¿De qué datos se trata? (rutas, tipos de archivos, archivos compartidos, bases de datos, software, _etc._)
+ 1. ¿Qué usuarios y cuentas están implicados? (directorio activo, SaaS, SSO, cuentas de servicio, _etc._)
+ 1. ¿A qué datos suelen acceder los usuarios implicados?
+ 1. ¿Con quién más has contactado acerca de este incidente y qué les has dicho?
+1. Haz las preguntas de seguimiento que sean necesarias. **Usted es el encargado de responder al incidente, contamos con usted.**
+1. Obtenga información de contacto detallada del usuario (domicilio, oficina, móvil), si procede
+1. Registre toda la información en el ticket, incluyendo notas manuscritas y de voz
+1. Poner en cuarentena a los usuarios y sistemas afectados `OBJETIVO: Personalizar los pasos de contención, automatizar todo lo posible`.
+1. Póngase en contacto con el [equipo de seguridad](#TODO-link-to-actual-resource) y estar preparados para participar en la respuesta según las indicaciones: investigación, reparación, comunicación y recuperación
+
+#### Información adicional
+
+1. ["Ransomware Identification for the Judicious Analyst"](https://www.gdatasoftware.com/blog/2019/06/31666-ransomware-identification-for-the-judicious-analyst), Hahn (12 Jun 2019)
+1. [No More Ransom!](https://www.nomoreransom.org) Project, including their [Crypto Sheriff](https://www.nomoreransom.org/crypto-sheriff.php?lang=en) service and their [Q&A](https://www.nomoreransom.org/en/ransomware-qa.html)
+1. [ID Ransomware](https://id-ransomware.malwarehunterteam.com/) service
+1. [MITRE ATT&CK Matrix](https://attack.mitre.org), including the [Initial Access](https://attack.mitre.org/tactics/TA0001/) and [Impact](https://attack.mitre.org/tactics/TA0040/) tactics
From 9261ae74356bc0f424930ba4563a8823b90b2b02 Mon Sep 17 00:00:00 2001
From: gdomram487 <94167966+gdomram487@users.noreply.github.com>
Date: Tue, 10 May 2022 09:28:46 +0200
Subject: [PATCH 019/199] Add files via upload
---
reference/glossary.md | 25 ++++++++++++-------------
1 file changed, 12 insertions(+), 13 deletions(-)
diff --git a/reference/glossary.md b/reference/glossary.md
index f2323de..cc7afe1 100644
--- a/reference/glossary.md
+++ b/reference/glossary.md
@@ -1,13 +1,12 @@
-# Glossary
-
-1. **Incident Commander / IC:** The incident commander is the person responsible for bringing any major incident to resolution. They are the highest ranking individual on any major incident call, regardless of their day-to-day rank. Their decisions made as commander are final.
-1. **Deputy:** Typically the backup IC. The deputy's job is to support the IC during the call, providing them with any help they need.
-1. **Scribe:** The scribe's job is to keep a log of all activities performed during the call in a written chat log on Slack.
-1. **Resolver:** A person on the incident call who is able to help resolve issues within a particular system. Also referred to as an SME (see below).
-1. **SME:** "Subject Matter Expert", someone who is an expert in a particular service or subject who can provide information to the IC, and perform resolution actions for a particular system.
-1. **Command Staff:** The Command Staff consists of the Incident Commander, Deputy, and Scribe.
-1. **CAN Report:** CAN stands for "Conditions" "Actions" "Needs", if an IC asks you for a CAN report, you should provide the current state of your service (condition), what actions need to be taken to return it to a healthy state (actions), and what support you need in order to perform the actions (needs).
-1. **Span of Control:** Refers to the number of direct reports you have. For example, if the IC has 10 people as direct reports on a call, they have a large span of control. We aim to make the span of control as minimal as we can while still being productive.
-1. **Grenade Thrower:** Someone who joins the call at a late time in the game, and provides information that completely derails the current thinking. They then leave almost immediately.
-1. **Executive Swoop:** When an executive comes on the call and drops some sort of bombshell. A version of grenade throwing.
-
+# Glosario
+
+1. **El jefe de incidentes es la persona responsable de resolver cualquier incidente grave. Es la persona de mayor rango en cualquier llamada de incidente mayor, independientemente de su rango diario. Sus decisiones como comandante son definitivas.
+1. **El adjunto:** Normalmente es el CI de apoyo. El trabajo del ayudante es apoyar al CI durante la llamada, proporcionándole cualquier ayuda que necesite.
+1. **Escriba:** El trabajo del escriba es mantener un registro de todas las actividades realizadas durante la llamada en un registro de chat escrito en Slack.
+1. **Resolver:** Una persona en la llamada de incidentes que es capaz de ayudar a resolver problemas dentro de un sistema particular. También se le conoce como PYME (ver más abajo).
+1. **SME:** "Subject Matter Expert", alguien que es un experto en un servicio o tema particular que puede proporcionar información al CI, y realizar acciones de resolución para un sistema en particular.
+1. **Personal de mando: El personal de mando está formado por el comandante del incidente, el ayudante y el escriba.
+1. **Informe CAN:** CAN significa "Condiciones" "Acciones" "Necesidades", si un CI le pide un informe CAN, debe proporcionar el estado actual de su servicio (condición), qué acciones hay que tomar para devolverlo a un estado saludable (acciones), y qué apoyo necesita para realizar las acciones (necesidades).
+1. **Espacio de control:** Se refiere al número de informes directos que tiene. Por ejemplo, si el CI tiene 10 personas como informes directos en una convocatoria, tiene un gran rango de control. Nuestro objetivo es que el rango de control sea el mínimo posible sin dejar de ser productivo.
+1. **Alguien que se une a la llamada en un momento tardío del juego, y proporciona información que desbarata completamente el pensamiento actual. A continuación, se marchan casi inmediatamente.
+1. **Cuando un ejecutivo entra en la convocatoria y suelta algún tipo de bomba. Una versión del lanzamiento de granadas.
From aa8d641f84bd837c0a5659e49317e041084d9b14 Mon Sep 17 00:00:00 2001
From: gdomram487 <94167966+gdomram487@users.noreply.github.com>
Date: Tue, 10 May 2022 09:29:26 +0200
Subject: [PATCH 020/199] Add files via upload
---
roles/role-3-scribe.md | 70 +++++++++++++++++++++---------------------
1 file changed, 35 insertions(+), 35 deletions(-)
diff --git a/roles/role-3-scribe.md b/roles/role-3-scribe.md
index fa7d25b..087e57d 100644
--- a/roles/role-3-scribe.md
+++ b/roles/role-3-scribe.md
@@ -1,35 +1,35 @@
-## Role: Scribe
-
-### Description
-
-A Scribe documents the timeline of an incident as it progresses, and makes sure all important decisions and data are captured for later review. The Scribe should focus on the incident file, as well as follow-up items for later action.
-
-### Duties
-
-1. Ensure the incident call is being recorded.
-1. Note in chat and in the file timelines: important data, events, and actions, as they happen. Specifically:
- * Key actions as they are taken
- * Status reports when one is provided by the IC
- * Any key call-outs either during the call or at the ending review
-1. Update the chat with who the IC is, who the Deputy is, and that you're the scribe (if not already done).
-
-Scribing is more art than science. The objective is to keep an accurate record of important events that occurred, Use your judgement and experience. But here are some general things you most definitely want to capture as scribe.
-
-* The result of any polling decisions.
-* Any followup items that are called out as "We should do this..", "Why didn't this?..", etc.
-
-### Training
-
-Read and understand the incident response plan, including the roles and playbooks.
-
-#### Prerequisites
-
-* Excellent verbal and written **communication skills**.
-* Anyone can act as a scribe during an incident, and are chosen by the Incident Commander at the start of the call.
-* Typically the Deputy will act as the Scribe
-
-#### Training Process
-
-* Read the incident response plan, including all roles and playbooks.
-* _OPTIONAL:_ Parallel the actions of a scribe during an incident or exercise, and seek feedback from the actual Scribe and Incident Commander.
-
+## Rol: Escriba
+
+### Descripción
+
+Un escriba documenta la línea de tiempo de un incidente a medida que avanza, y se asegura de que todas las decisiones y datos importantes se capturen para su posterior revisión. El escriba debe centrarse en el archivo del incidente, así como en los elementos de seguimiento para una acción posterior.
+
+### Funciones
+
+1. Asegurarse de que la llamada del incidente se está grabando.
+1. 2. Anotar en el chat y en la línea de tiempo del expediente: los datos, eventos y acciones importantes, a medida que se producen. Específicamente:
+ * Acciones clave a medida que se llevan a cabo
+ * Informes de estado cuando el CI los proporcione
+ * Cualquier llamada clave durante la llamada o en la revisión final
+1. Actualice el chat indicando quién es el CI, quién es el adjunto y que usted es el escribiente (si no lo ha hecho ya).
+
+Escribir es más un arte que una ciencia. El objetivo es mantener un registro preciso de los eventos importantes que ocurrieron, Usa tu juicio y experiencia. Pero aquí hay algunas cosas generales que definitivamente querrás capturar como escribiente.
+
+* El resultado de cualquier decisión de la votación.
+### Cualquier elemento de seguimiento que se llame "Deberíamos hacer esto..", "¿Por qué no se hizo esto?", etc.
+
+### Formación
+
+Lea y comprenda el plan de respuesta a incidentes, incluyendo los roles y los libros de jugadas.
+
+#### Requisitos previos
+
+* Excelentes habilidades de **comunicación verbal y escrita**.
+* Cualquiera puede actuar como escribiente durante un incidente, y son elegidos por el Comandante de Incidentes al inicio de la llamada.
+* Normalmente, el ayudante actuará como escribiente.
+
+#### Proceso de formación
+
+* Lea el plan de respuesta a incidentes, incluyendo todos los roles y libros de jugadas.
+* _OPCIONAL:_ Paralizar las acciones de un escriba durante un incidente o ejercicio, y buscar la opinión del escriba real y del jefe de Incidentes.
+
From b1357d53767308897e72f5a7520c79d265e8490d Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 09:42:56 +0200
Subject: [PATCH 021/199] =?UTF-8?q?Modificaci=C3=B3n=20menor?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
roles/index.md | 4 ++--
1 file changed, 2 insertions(+), 2 deletions(-)
diff --git a/roles/index.md b/roles/index.md
index 0cbc7da..09a8b48 100644
--- a/roles/index.md
+++ b/roles/index.md
@@ -7,8 +7,8 @@ A continuación se presentan las descripciones, los deberes y la formación para
## Estrcutura de los roles
* Equipo de Mando
- * [Comandante de Incidente](#role-incident-commander-ic)
- * [Comandante-Adjunto de Incidente](#role-deputy-incident-commander-deputy)
+ * [Jefe de Incidente](#role-incident-commander-ic)
+ * [Jefe-Adjunto de Incidente](#role-deputy-incident-commander-deputy)
* [Escribano o Escribiente](#role-scribe)
* Equipo de enlace
* Enlace Interno [Enlace](#role-liaison)
From 3cfcd2c9f91a9571092715514dd428f6c44e3d5d Mon Sep 17 00:00:00 2001
From: alejandrosanchezman
<94168011+alejandrosanchezman@users.noreply.github.com>
Date: Tue, 10 May 2022 09:45:18 +0200
Subject: [PATCH 022/199] Add files via upload
---
roles/role-1-commander.md | 6 +++---
1 file changed, 3 insertions(+), 3 deletions(-)
diff --git a/roles/role-1-commander.md b/roles/role-1-commander.md
index ab0e9ce..98e3542 100644
--- a/roles/role-1-commander.md
+++ b/roles/role-1-commander.md
@@ -1,9 +1,9 @@
-## Rol: Jefe de incidente
+## Rol: Incident commander
### Descripcion
-El jefe de incidente (JI) actua como la unica fuente de lo que realmente esta ocurriendo y va a ocurrir durante un incidente grave. El JI es el individuo con mayor ranking en cualquier llamada de incidente, sin importar el rango en el dia a dia. Ellos son los que toman decisiones durante un incidente; delegan tareas y prestan atencion a expertos en la materia que estan tratando para resolver el incidente. Las decisiones tomadas por el el jefe de incidente son las decisivas.
+El Incident commander(JI) actua como la unica fuente de lo que realmente esta ocurriendo y va a ocurrir durante un incidente grave. El JI es el individuo con mayor ranking en cualquier llamada de incidente, sin importar el rango en el dia a dia. Ellos son los que toman decisiones durante un incidente; delegan tareas y prestan atencion a expertos en la materia que estan tratando para resolver el incidente. Las decisiones tomadas por el el Incident commander las decisivas.
-Tu trabajo como jefe de incidente es evaluar la situacion, proveer un guiado claro y cordinado, contratar otros trabajadores para recolectar contexto/detalles.**No realizar investigaciones o remedios** delega estos trabajos.
+Tu trabajo como Incident commander evaluar la situacion, proveer un guiado claro y cordinado, contratar otros trabajadores para recolectar contexto/detalles.**No realizar investigaciones o remedios** delega estos trabajos.
### Deberes
From bbc1c2328555eebc3043d55cb91b628413c6d83b Mon Sep 17 00:00:00 2001
From: alejandrosanchezman
<94168011+alejandrosanchezman@users.noreply.github.com>
Date: Tue, 10 May 2022 09:45:35 +0200
Subject: [PATCH 023/199] Add files via upload
From a01225b38fad5e72fda327f2b404673fffa409d6 Mon Sep 17 00:00:00 2001
From: Jose Manuel Arrieta Soto
Date: Tue, 10 May 2022 10:09:39 +0200
Subject: [PATCH 024/199] Subida during.md
---
during.md | 1075 ++++++++++++++++++++++++++---------------------------
1 file changed, 537 insertions(+), 538 deletions(-)
diff --git a/during.md b/during.md
index 26bc84a..4411702 100644
--- a/during.md
+++ b/during.md
@@ -1,538 +1,537 @@
-# Incident Response Plan for {{COMPANY_NAME}}
-
-Author: {{AUTHOR_NAME}}, {{AUTHOR_EMAIL}}
-
-Revision {{REVISION_NUMBER}}, Released {{RELEASE_DATE}}
-
-This incident response plan is based on the concise, directive, specific, flexible, and free plan available on Counteractive Security's [Github](https://github.com/counteractive/incident-response-plan-template) and discussed at [www.counteractive.net](https://www.counteractive.net/posts/an-ir-plan-you-will-use/)
-
-It was last reviewed on {{REVIEW_DATE}}. It was last tested on {{TEST_DATE}}.
-
-`TODO: Customize this plan template for your organization using instructions at https://github.com/counteractive/incident-response-plan-template. For incident response services, or help customizing, implementing, or testing your plan, contact us at contact@counteractive.net or at (888) 925-5765.`
-
-# Assess
-
-1. **Stay calm and professional.**
-1. Gather pertinent information, _e.g._, alarms, events, data, assumptions, intuitions (**observe**).
-1. Consider impact categories, below (**orient**), and determine if there is a possible incident (**decide**):
-1. Initiate a response if there is an incident (**act**). If in doubt, initiate a response. The incident commander and response team can adjust upon investigation and review.
-
-## Assess Functional Impact
-
-What is the direct or likely impact on your mission? (_e.g._, business operations, employees, customers, users)
-
-* Mission/business degradation or failure: **incident!**
-* None: assess information impact.
-
-## Assess Information Impact
-
-What is the direct or likely impact on your information/data, particularly anything sensitive? (_e.g._, PII, proprietary, financial, or healthcare data)
-
-* Information accessed, taken, changed, or deleted: **incident!**
-* None: handle via non-incident channels (_e.g._, support ticket).
-
-**Every team member is empowered to start this process.** If you see something, say something.
-
-`TODO: Customize categories/severities as necessary. This simple example (incident vs. no incident) is based on impact categories in NIST SP 800-61r2.`
-
-# Initiate Response
-
-## Name the Incident
-
-Create an [simple two-word phrase](http://creativityforyou.com/combomaker.html) to refer to the incident---a codename---to use for the incident file and channel(s). `TODO: Customize incident naming procedure.`
-
-## Assemble the Response Team
-
-1. Page the on-duty/on-call Incident Commander. `TODO: Add Incident Commander call list or procedure`
-1. **Do not** discuss the incident outside the response team unless cleared by the Incident Commander
-1. Launch and/or join the response chat at {{RESPONSE_CHAT}}. `TODO: Add response chat launch procedure.`
-1. Launch and/or join the response call at {{RESPONSE_PHONE}} and/or {{RESPONSE_VTC}}. `TODO: Add response call launch procedure.`
-1. Prefer voice call, chat, and secure file exchange over any other methods.
-1. **Do not** use primary email if possible. If email is necessary, use sparingly or use {{ALTERNATE_EMAIL}}. Encrypt emails when any participant is outside the {{ORGANIZATION_DOMAIN}} domain. `TODO: Add alternative email details and procedure, e.g., on-demand Office 365 or GSuite`
-1. **Do not** use SMS/text to communicate about the incident, unless to tell someone to move to a more secure channel.
-1. Invite on-duty/on-call responders to the response call and response chat.
- * Invite the security team. `TODO: Add security team contact list or procedure.`
- * Invite a SME for affected teams and systems. `TODO: Add team SME contact list or procedure.`
- * Invite executive stakeholders and legal counsel at earliest opportunity, but prioritize operational responders. `TODO: Add executive stakeholder contact list or procedure.`
-1. _OPTIONAL:_ Establish an in-person collaboration room ("war room") for complex or severe incidents. `TODO: Add collaboration room procedure.`
-
-### Reference: Response Team Structure
-
-* Command Team
- * [Incident Commander](#role-incident-commander-ic)
- * [Deputy Incident Commander](#role-deputy-incident-commander-deputy)
- * [Scribe](#role-scribe)
-* Liaison Team
- * Internal [Liaison](#role-liaison)
- * External Liaison
-* Operations Team
- * [Subject Matter Experts](#role-subject-matter-expert-sme) (SMEs) for Systems
- * SMEs for Teams/Business Units
- * SMEs for Executive Functions (_e.g._, Legal, HR, Finance)
-
-`TODO: Modify role structure as necessary.`
-
-### Reference: Response Team Contact Information
-
-Response Team Role | Contact Information
----------------------------- | ---------------------------
-Incident Commander pager | {{INCIDENT_COMMANDER_PAGER_NUMBER}}
-Incident Commander pager url | {{INCIDENT_COMMANDER_PAGER_URL}}
-Incident Commander roster | {{INCIDENT_COMMANDER_ROSTER}}
-Security team roster | {{SECURITY_TEAM_ROSTER}}
-Team SME roster | {{TEAM_SME_ROSTER}}
-Executive roster | {{EXECUTIVE_ROSTER}}
-
-`TODO: Customize response team contact information. Include contact procedures in rosters, which can be static or dynamic.`
-
-## Establish Battle Rhythm
-
-### Conduct Initial Response Call
-
-1. Conduct initial call using the [initial response call structure](#reference-initial-response-call-structure)
-1. Follow instructions from the Incident Commander. If the on-duty/on-call Incident Commander does not join the call **within {{INCIDENT_COMMANDER_RESPONSE_SLA}}** and you are a trained incident commander, take command of the call.
-1. Follow the [instructions for your role](#roles).
-1. Follow the call and chat, and comment as appropriate. If you are not a SME, filter input through the SME for your team if possible.
-1. **Keep the call and chat active throughout the incident for event-driven communication.**
-1. Schedule updates **every {{UPDATE_FREQUENCY}}** on the active bridge.
-
-#### Reference: Initial Response Call Structure
-
-* INCIDENT COMMANDER (IC): My name is [NAME], I am the Incident Commander. I have designated [NAME] as Deputy, and [NAME] as Scribe. Who is on the call?
-* SCRIBE: [Takes attendance]
-* IC: [If missing key personnel] Deputy, please page [MISSING PERSONNEL].
-* IC: [Asks questions to understand situation, symptoms, scope, vector, impact, and timeline from the incident reporter, applicable SMEs for systems and business units]
-* SMEs: [Brief answers to IC's questions]
-* IC:[If this is an incident]:
- * At this time, the incident summary is as follows: [reiterates summary]. The Investigation team will be led by [NAME], the Remediation team will be led by [NAME], and the Communication team will be led by [NAME]. They will coordinate team membership and report to me. SMEs, please report to your appropriate team leader.
- * What investigation, remediation, or communication steps have already been taken? [this should be a short list, but needs to come out now]
- * This call and chat will remain up and available until incident closure, please use it for all incident related communications. Provide real-time status updates in the chat, if possible. Are there any questions or remaining inputs? [answers questions]
- * Team leaders, please proceed with your planned actions. We will reconvene at [UPDATE_TIME] to discuss the status. Thank you.
-* IC: [If this is not an incident]: At this time, these facts do not rise to the level of an incident. I will coordinate directly with the incident reporter for follow-on actions. Thank you for your time.
-
-#### Reference: Call Etiquette
-
-* Join both the call and chat.
-* Keep background noise to a minimum.
-* Keep your microphone muted until you have something to say.
-* Identify yourself when you join the call; State your name and role (_e.g._, "I am the SME for team x").
-* Speak up and speak clearly.
-* Be direct and factual.
-* Keep conversations/discussions short and to the point.
-* Bring any concerns to the Incident Commander (IC) on the call.
-* Respect time constraints given by the Incident Commander.
-* **Use clear terminology, and avoid acronyms or abbreviations. Clarity and accuracy is more important than brevity.**
-
-### Conduct Response Update
-
-* Conduct scheduled updates using the [update call structure](#reference-response-update-call-structure) every {{UPDATE_FREQUENCY}} on the active bridge. `TODO: Customize update frequency and scripts; recommend no more than twice daily.`
-* Adjust frequency as necessary.
-* Coordinate independent updates (_e.g._, executive, legal) as required, but as infrequently as practicable.
-
-#### Reference: Response Update Call Structure
-
-* INCIDENT COMMANDER (IC): Since our last scheduled update, the incident summary is as follows:
- * [Impact]
- * [Vector]
- * [Summary update]
- * [Timeline update]
-* IC: Investigation team, please provide a brief update
- * INVESTIGATION LEAD: [Investigative activities or "nothing to report"]
- * What is your recommended investigations plan?
- * What investigation actions need tasking or approval? [listen, gain consensus, task/approve]
-* IC: Remediation team, please provide a brief update
- * REMEDIATION LEAD: [Remediation activities or "nothing to report"]
- * What is your recommended remediation strategy? Strong objections? [listen, gain consensus, task/approve]
- * What remediation actions need tasking or approval?
-* IC: Communication team, please provide a brief update:
- * COMMUNICATIONS LEAD: [Communication activities or "nothing to report"]
- * What is your recommended communication strategy? Strong objections? [listen, gain consensus, task/approve]
- * What communication actions need tasking or approval?
-* IC: This call and chat will remain up and available until incident closure, please use it for all incident related communications. Provide real-time status updates in the chat, if possible. Are there any questions or remaining inputs? [answers questions]
-* IC: Team leaders, please proceed. We will reconvene in [{{UPDATE_TIME}}] to discuss the status. Thank you.
-
-## Monitor Scope
-
-* Monitor the scope of the response to ensure it does not exceed the Incident Commander's span of control.
-* If an incident gets sufficiently complex, and there are sufficient responders, consider spinning off sub-teams.
-
-### Create Sub-Teams
-
-* In preparation for complex incidents, three sub-teams are pre-defined: Investigation, Remediation, and Communication, generally responsible for those response functions. `TODO: Customize sub-team structure if necessary.`
-* Create a call bridge and chat for each sub-team.
-* The Incident Commander will designate team leaders, who report to the IC, and team members, who report to their team leader. _Team leaders do not have to be trained as incident commanders, however some leadership experience is preferable._
-* The Incident Commander may adjust the purpose or name of the sub-teams as necessary.
-* If you wish to switch teams, ask your **current team leader**. **Do not** ask the Incident Commander, or the leader of the other team(s). Use the chain of command.
-
-### Split Incident
-
-If an incident turns out to be two or more distinct incidents:
-
-* Establish a new [incident file](#create-incident-file).
-* Track and coordinate investigation, remediation, and communication in the appropriate file.
-* Consider establishing sub-teams for each incident.
-* **Maintain one top-level Incident Commander**, to coordinate low-density, high-demand assets and maintain unity of command.
-
-# Investigate
-
-**[Investigate](#investigate), [remediate](#remediate), and [communicate](#communicate) in parallel, using separate teams, if possible.** The Incident Commander will coordinate these activities. Notify the Incident Commander if there are steps the team should consider.
-
-## Create Incident File
-
-1. Create a new incident file at {{INCIDENT_FILE_LOCATION}} using the [incident name](#name-the-incident). Use this file for secure storage of documentation, evidence, artifacts, _etc._
- * Provision secure digital storage.
- * Provision secure file exchange.
- * Obtain physical storage.
- * Share the incident file location on the call and chat.
- * `TODO: Customize and automate file location and procedure`
-1. Document the functional and information impact, if known (see [Assess](#assess)). `TODO: Customize impact categories, if necessary.`
-1. Document the vector, if known (_e.g.,_ web, email, removable media). `TODO: Customize vector list, if necessary.`
-1. Document the incident summary: a brief overview of the vector, impact, investigation, and remediation situation, if known.
-1. Document the incident timeline, including attacker activity and responder activity. `TODO: Add timelines of varying details, as necessary.`
-1. Document investigation, remediation, and communication steps. Document activities independently so they can be combined and reused, if possible.
-1. Track significant information such as:
- * **Evidence**, with time of collection, source, chain of custody, _etc._
- * **Affected systems**, with how and when system was identified, and summary of effect (_e.g._, has malware, data accessed).
- * **Files of interest**, such as malware or data files, with system and metadata.
- * **Accessed and taken data**, with filenames, metadata, and time of suspected exposure.
- * **Significant attacker activity**, such as logins and malware execution, with time of the event.
- * **Network-based indicators of compromise (IOCs)**, such as IP addresses and domains.
- * **Host-based IOCs**, such as filenames, hashes, and registry keys.
- * **Compromised accounts**, with scope of access and time of compromise.
-
-`TODO: Customize incident documentation procedure, including spreadsheets, databases, forms, systems, and templates, if necessary.`
-
-## Collect Initial Leads
-
-1. Interview incident reporter(s).
-1. Collect initial supporting data (_e.g._, alarms, events, data, assumptions, intuitions) in the incident file.
-1. Interview SME(s) with domain or system expertise, to understand technical detail, context, and risk.
-1. Interview SME(s) in affected business unit, to understand mission/business impact, context, and risk.
-1. Ensure leads are relevant, detailed, and actionable.
-
-### Reference: Response Resource List
-
-Resource | Location
-------------------------- | ------------------------------------
-Critical information list | {{CRITICAL_INFO_LIST_LOCATION}}
-Critical asset list | {{CRITICAL_ASSET_LIST_LOCATION}}
-Asset management database | {{ASSET_MGMT_DB_LOCATION}}
-Network map | {{NETWORK_MAP_LOCATION}}
-SIEM console | {{SIEM_CONSOLE_LOCATION}}
-Log aggregator | {{LOG_AGGREGATOR_CONSOLE}}
-
-`TODO: Complete critical information and asset lists ("crown jewels"). This is incredibly important to effective response.`
-
-`TODO: Customize response resource list`
-
-## Update Investigative Plan and Incident File
-
-1. Review and refine incident impact.
-1. Review and refine incident vector.
-1. Review and refine incident summary.
-1. Review and refine incident timeline with facts and inferences.
-1. Create hypotheses: what may have happened, and with what confidence.
-1. **Identify and prioritize key questions** (information gaps) to support or discredit hypotheses.
- * Use the MITRE ATT&CK matrix or similar framework to [develop questions](#reference-attacker-tactics-to-key-questions-matrix).
- * [ATT&CK for Enterprise](https://attack.mitre.org/wiki/Main_Page), including links to Windows, Mac, and Linux specifics.
- * [ATT&CK Mobile Profile](https://attack.mitre.org/mobile/index.php/Main_Page) for mobile devices.
- * Use interrogative words as inspiration:
- * **When?**: first compromise, first data loss, access to x data, access to y system, _etc._
- * **What?**: impact, vector, root cause, motivation, tools/exploits used, accounts/systems compromised, data targeted/lost, infrastructure, IOCs, _etc._
- * **Where?**: attacker location, affected business units, infrastructure, _etc._
- * **How?**: compromise (exploit), persistence, access, exfiltration, lateral movement, _etc._
- * **Why?**: targeted, timing, access x data, access y system, _etc._
- * **Who?**: attacker, affected users, affected customers, _etc._
-1. **Identify and prioritize witness devices and strategies** to answer key questions.
- * Consult network diagrams, asset management systems, and SME expertise
- * Check the [Response Resource List](#reference-response-resource-list))
-1. Refer to [incident playbooks](#playbooks) for key questions, witness devices, and strategies for investigating common or highly damaging threats.
-
-**The investigative plan is critical to an effective response; it drives all investigative actions. Use critical thinking, creativity, and sound judgment.**
-
-### Reference: Attacker Tactics to Key Questions Matrix
-
-Attacker Tactic | The way attackers ... | Possible Key Questions
--------------------- | ----------------------------- | -----------------------------------------
-Reconnaissance | ... learn about targets | How? Since when? Where? Which systems?
-Resource Development | ... build infrastructure | Where? Which systems?
-Initial Access | ... get in | How? Since when? Where? Which systems?
-Execution | ... run hostile code | What malware? What tools? Where? When?
-Persistence | ... stick around | How? Since when? Where? Which systems?
-Privilege Escalation | ... get higher level access | How? Where? What tools?
-Defense Evasion | ... dodge security | How? Where? Since when?
-Credential Access | ... get/create accounts | Which accounts? Since when? Why?
-Discovery | ... learn our network | How? Where? What do they know?
-Lateral Movement | ... move around | How? When? Which accounts?
-Collection | ... find and gather data | What data? Why? When? Where?
-Command and Control | ... control tools and systems | How? Where? Who? Why?
-Exfiltration | ... take data | What data? How? When? Where?
-Impact | ... break things | What systems or data? How? When? Where? How bad?
-
-See the [MITRE ATT&CK page](https://attack.mitre.org/) for more insight and ideas.
-
-## Create and Deploy Indicators of Compromise (IOCs)
-
-> Emphasize **dynamic and behavioral** indicators alongside static fingerprints.
-
-* Create IOCs based on [initial leads](#collect-initial-leads) and [analysis](#analyze-evidence).
-* Create IOCs using an open format supported by your tools (_e.g._, [STIX 2.0](https://oasis-open.github.io/cti-documentation/stix/intro)), if possible. `TODO: Customize IOC format as necessary.`
-* Use automation, if possible. `TODO: Add IOC deployment/revocation procedure.`
-* **Do not** deploy unrelated, un-curated "feeds" of IOCs; these can cause confusion and fatigue.
-* Consider all IOC types:
- * Network-based IOCs such as IP or MAC addresses, ports, email addresses, email content or metadata, URLs, domains, or PCAP patterns.
- * Host-based IOCs such as paths, file hashes, file content or metadata, registry keys, MUTEXes, autoruns, or user artifacts and permissions.
- * Cloud-based IOCs such as log patterns for [SaaS](https://en.wikipedia.org/wiki/Software_as_a_service) or [IaaS](https://en.wikipedia.org/wiki/Infrastructure_as_a_service) deployments
- * Behavioral IOCs (a.k.a., patterns, TTPs) such as process tree patterns, heuristics, deviation from baseline, and login patterns.
-* Correlate various IOC types, such as network and host-based indicators on the same systems(s).
-
-## Identify Systems of Interest
-
-1. Validate whether they are relevant.
-1. Categorize the reason(s) they are "of interest": has malware, accessed by compromised account, has sensitive data, etc. Treat these as "tags", there may be more than one category per system.
-1. Prioritize collection, analysis, and remediation based on investigative needs, business impact, _etc._
-
-## Collect Evidence
-
-* Prioritize based on the investigative plan
-* Collect live response data using {{LIVE_RESPONSE_TOOL}}. `TODO: Customize live response tools and procedure.`
-* Collect relevant logs from system(s) (if not part of live response), aggregator(s), SIEM(s), or device console(s). `TODO: Customize log collection tools and procedure.`
-* Collect memory image, if necessary and if not part of live response, using {{MEMORY_COLLECTION_TOOL}}. `TODO: Customize memory collection tools and procedure.`
-* Collect disk image, if necessary, using {{DISK_IMAGE_TOOL}}. `TODO: Customize disk image collection tool and procedure.`
-* Collect and store evidence in accordance with policy, and with proper chain of custody. `TODO: Customize evidence collection and chain of custody policy.`
-
-Consider collecting the following artifacts as evidence, either in real time (_e.g., via EDR or a SIEM) or on demand:
-
-### Example Useful Artifacts
-
-`TODO: Customize and prioritize useful artifacts.`
-
-* Running Processes
-* Running Services
-* Executable Hashes
-* Installed Applications
-* Local and Domain Users
-* Listening Ports and Associated Services
-* Domain Name System (DNS) Resolution Settings and Static Routes
-* Established and Recent Network Connections
-* Run Key and other AutoRun Persistence
-* Scheduled tasks and cron jobs
-* Artifacts of past execution (e.g., Prefetch and Shimcache)
-* Event logs
-* Group policy and WMI artifacts
-* Anti-virus detections
-* Binaries in temporary storage locations
-* Remote access credentials
-* Network connection telemetry (e.g., netflow, firewall permits)
-* DNS traffic and activity
-* Remote access activity including Remote Desktop Protocol (RDP), virtual private network (VPN), SSH, virtual network computing (VNC), and other remote access tools
-* Uniform Resource Identifier (URI) strings, user agent strings, and proxy enforcement actions
-* Web traffic (HTTP/HTTPS)
-
-## Analyze Evidence
-
-* Prioritize based on the investigative plan
-* Analyze and triage live response data
-* Analyze memory and disk images (_i.e._, conduct forensics)
-* Analyze malware
-* _OPTIONAL:_ Enrich with research and intelligence
-* Document new indicators of compromise (IOCs)
-* Update the case file
-
-### Example Useful Indicators
-
-`TODO: Customize and prioritize useful indicators.`
-
-* Unusual authentication behavior (_e.g._, frequency, systems, time of day, remote location)
-* Non-Standard formatted usernames
-* Unsigned binaries connecting to the network
-* Beaconing or significant data transfers
-* PowerShell command line requests with Base64-encoded commands
-* Excessive RAR, 7zip, or WinZip activity, especially with suspicious file names
-* Connections on previously unused ports.
-* Traffic patterns related to time, frequency, and byte count
-* Changes to routing tables, such as weighting, static entries, gateways, and peer relationships
-
-## Iterate Investigation
-
-[Update the investigative plan](#update-investigative-plan-and-incident-file) and repeat until closure.
-
-# Remediate
-
-**[Investigate](#investigate), [remediate](#remediate), and [communicate](#communicate) in parallel, using separate teams, if possible.** The Incident Commander will coordinate these activities. Notify the Incident Commander if there are steps the team should consider
-
-## Update Remediation Plan
-
-1. Review the incident file at {{INCIDENT_FILE_LOCATION}} using the [incident name](#name-the-incident)
-1. Review applicable [playbooks](#playbooks).
-1. Review the [Response Resource List](#reference-response-resource-list)).
-1. Consider which attacker tactics are in play in this incident. Use the MITRE [ATT&CK](https://attack.mitre.org/wiki/Main_Page) list (_i.e._, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Execution, Collection, Exfiltration, and Command and Control), or similar framework.
-1. Develop remediations for each tactic in play, as feasible given existing tools and resources. Consider remediations to [Protect](#protect), [Detect](#detect), [Contain](#contain), and [Eradicate](#eradicate) each attacker behavior.
-1. Prioritize based on [timing strategy](#choose-remediation-timing), impact, and urgency.
-1. Document in incident file.
-
-Use [information security (infosec) frameworks](https://www.nist.gov/cyberframework) as inspiration, but **do not use incident remediation as a substitute for an infosec program with an appropriate framework.** Use them to supplement one another.
-
-### Protect
-
-> "How can we stop tactic X from happening again, or reduce risk? How can we improve future protection?"
-
-Use the following as a starting point for protective remediation:
-
-* Patch applications.
-* Patch operating systems.
-* Update network and host IPS signatures.
-* Update endpoint protection/EDR/anti-virus signatures.
-* Reduce locations with critical data.
-* Reduce administrative or privileged accounts.
-* Enable multi-factor authentication.
-* Strengthen password requirements.
-* Block unused ports and protocols at segment and network boundaries, both inbound and outbound.
-* Whitelist network connections for critical servers and services.
-
-### Detect
-
-> "How can we detect this on new systems or in the future? How can we improve future detection and investigation?"
-
-Use the following as a starting point for detective remediation:
-
-* Enhance logging and retention for system logs, particularly critical systems.
-* Enhance logging for applications, including SaaS applications.
-* Enhance log aggregation.
-* Update network and host IDS signatures using IOCs.
-
-### Contain
-
-> "How can we stop this from spreading, or getting more severe? How can we improve future containment?"
-
-Use the following as a starting point for containment remediation:
-
-* Implement access lists (ACLs) at network segment boundaries
-* Implement blocks at the enterprise boundary, at multiple layers of the [OSI model](https://en.wikipedia.org/wiki/OSI_model).
-* Disable or remove compromised account access.
-* Block malicious IP addresses or networks.
-* Black hole or sinkhole malicious domains.
-* Update network and host IPS and anti-malware signatures using IOCs.
-* Remove critical or compromised systems from the network.
-* Contact providers for assistance (_e.g._, internet service providers, SaaS vendors)
-* Whitelist network connections for critical servers and services.
-* Kill or disable processes or services.
-* Block or remove access for external vendors and partners, especially privileged access.
-
-### Eradicate
-
-> "How can we eliminate this from our assets? How can we improve future eradication?"
-
-Use the following as a starting point for eradication remediation:
-
-* Rebuild or restore compromised systems and data from known-good state.
-* Reset account passwords.
-* Remove hostile accounts or credentials.
-* Delete or remove specific malware (difficult!).
-* Implement alternative vendors.
-* Activate and migrate to alternate locations, services, or servers.
-
-## Choose Remediation Timing
-
-Determine the timing strategy---when remediation actions will be taken---by engaging the Incident Commander, the system SMEs and owners, business unit SMEs and owners, and the executive team. Each strategy is appropriate under different circumstances:
-
-* Choose **immediate** remediation when it is more important to immediately stop attacker activities than to continue investigating. For example, ongoing financial loss, or ongoing mission failure, active data loss, or prevention of an imminent significant threat.
-* Choose **delayed** remediation when it is important to complete the investigation, or important not to alert the attacker. For example, long-term compromise by an advanced attacker, corporate espionage, or large-scale compromise of an an unknown number of systems.
-* Choose **combined** remediation when both immediate and delayed circumstances apply in the same incident. For example, immediate segmentation of a sensitive server or network to meet regulatory requirements while still investigating a long-term compromise.
-
-## Execute Remediation
-
-* Assess and explain risks of remediation actions to stakeholders. `TODO: Customize remediation risk approval procedure, if necessary.`
-* Immediately implement those remediation actions with little or no affect on the attacker (sometimes called "posturing actions"). For example, many of the [protection](#protect) and [detection](#detect) actions above are good candidates.
-* Schedule and task remediation actions according to the timing strategy.
-* Execute remediation actions in batches, as events, for maximum effectiveness and minimum risk.
-* Document execution status and time in the incident file, especially for temporary measures.
-
-## Iterate Remediation
-
-[Update the remediation plan](#update-remediation-plan) and repeat until closure.
-
-# Communicate
-
-**[Investigate](#investigate), [remediate](#remediate), and [communicate](#communicate) in parallel, using separate teams, if possible.** The Incident Commander will coordinate these activities. Notify the Incident Commander if there are steps the team should consider
-
-All communication must include the most accurate information available. Display integrity. Do not communicate speculation.
-
-## Communicate Internally
-
-### Notify and Update Stakeholders
-
-* Communicate with stakeholders as part of the initial and update calls, as well as via event-driven updates on the call and chat.
-* Coordinate independent updates (_e.g._, executive, legal) as required, but as infrequently as practicable, to keep the focus on investigation and remediation.
-* Focus on the best assessment of the vector, impact, summary, and highlights of the timeline including remediation steps. Do not speculate.
-
-### Notify and Update Organization
-
-* **Do not** notify or update non-response personnel until cleared by the Incident Commander, particularly if there is a risk of an insider threat.
-* Coordinate updates for teams or the entire organization with executives and business leadership.
-* Focus on the best assessment of the vector, impact, summary, and highlights of the timeline including remediation steps. Do not speculate.
-
-### Create Incident Report
-
-* Upon incident closure, capture information in the [incident file](#create-incident-file) for distribution using the format at {{INCIDENT_REPORT_TEMPLATE}}. **If the vector, impact, summary, timeline, and activity reports are complete, this can be fully automated.**
-* Distribute the incident report to the following: {{INCIDENT_REPORT_RECIPIENTS}}.
-* `TODO: Customize incident report creation and distribution, if necessary`
-
-## Communicate Externally
-
-### Notify Regulators
-
-* **Do not** notify or update non-response personnel until cleared by the Incident Commander.
-* Notify regulators (_e.g._, HIPAA/HITRUST, PCI DSS, SOX) if necessary, and in accordance with policy.
-* Coordinate requirements, format, and timeline with {{COMPLIANCE_TEAM}}.
-
-### Notify Customers
-
-* **Do not** notify or update non-response personnel until cleared by the Incident Commander.
-* Coordinate customer notifications with {{COMMUNICATIONS_TEAM}}.
-* Include the date in the title of any announcement, to avoid confusion.
-* **Do not** use platitudes such as "we take security very seriously". Focus on facts.
-* Be honest, accept responsibility, and present the facts, along with the plan to prevent similar incidents in future.
-* Be as detailed as possible with the timeline.
-* Be as detailed as possible in what information was compromised, and how it affects customers. If we were storing something we shouldn't have been, be honest about it. It'll come out later and it'll be much worse.
-* **Do not** discuss external parties that might have caused the compromise, unless they've already publicly disclosed, in which case link to their disclosure. Communicate with them independently (see [Notify Vendors](#notify-vendors-and-partners))
-* Release the external communication as soon as possible. Bad news does not get better with age.
-* If possible, contact customers' internal security teams before notifying the public.
-
-### Notify Vendors and Partners
-
-* **Do not** notify or update non-response personnel until cleared by the Incident Commander.
-* If possible, contact vendors' and partners' internal security teams before notifying the public.
-* Focus on the specific aspects of the incident that affect or implicate the vendor or partner.
-* Coordinate response efforts and share information if possible.
-
-### Notify Law Enforcement
-
-* **Do not** notify or update non-response personnel until cleared by the Incident Commander.
-* Coordinate with {{EXECUTIVE_TEAM}} and {{LEGAL_TEAM}} prior to interacting with law enforcement
-* Contact local law enforcement at {{LOCAL_LE_CONTACT}}.
-* Contact FBI at {{FBI_CONTACT}} or via the [Internet Crime Complaint Center (IC3)](https://www.ic3.gov).
-* Contact operators for any systems used in the attack, their systems may also have been compromised.
-
-### Contact External Response Support
-
-* Contact {{INCIDENT_RESPONSE_VENDOR}} to help in assessing risk, incident management, incident response, and post-incident support.
-* Contact {{PUBLIC_RELATIONS_VENDOR}} for help with PR and external communication.
-* Contact {{INSURANCE_VENDOR}} for help with cyber insurance.
-
-### Share Intelligence
-
-* Share IOCs with [Infragard](https://www.infragard.org/) if applicable.
-* Share IOCs with your servicing [ISAC](https://en.wikipedia.org/wiki/Information_Sharing_and_Analysis_Center) through {{ISAC_CONTACT}}, if applicable.
-
-# Recover
-
-`TODO: Customize recovery steps.`
-
-`TODO: Specify tools and procedures for each step, below.`
-
-**Recovery is typically governed by business units and system owners. Take recovery actions only in collaboration with relevant stakeholders.**
-
-1. Launch business continuity/disaster recovery plan(s): _e.g._, consider migration to alternate operating locations, fail-over sites, backup systems.
-1. Integrate security actions with organizational recovery efforts.
-
+# Plan de respuesta a incidentes para {{COMPANY_NAME}}
+
+Autor: {{AUTHOR_NAME}}, {{AUTHOR_EMAIL}}
+
+Revisión {{REVISION_NUMBER}}, Publicado {{RELEASE_DATE}}
+
+Este plan de respuesta a incidentes está basado en el plan conciso, directivo, específico, flexible y gratuito disponible en [Github](https://github.com/counteractive/incident-response-plan-template) de Counteractive Security y discutido en [www.counteractive.net](https://www.counteractive.net/posts/an-ir-plan-you-will-use/)
+
+Fue revisado por última vez el {{REVIEW_DATE}}. Fue probado por última vez en {{TEST_DATE}}.
+
+`TODO: Personalice esta plantilla de plan para su organización utilizando las instrucciones en https://github.com/counteractive/incident-response-plan-template. Para obtener servicios de respuesta a incidentes, o ayuda para personalizar, implementar o probar su plan, póngase en contacto con nosotros en contact@counteractive.net o en el (888) 925-5765.`
+
+# Evaluar
+
+1. **Mantenga la calma y la profesionalidad.**
+2. Reúna la información pertinente, _por ejemplo_, alarmas, eventos, datos, suposiciones, intuiciones (**observe**).
+3. Considerar las categorías de impacto, a continuación (**orientar**), y determinar si hay un posible incidente (**decidir**):
+4. Iniciar una respuesta si hay un incidente (**actuar**). En caso de duda, inicie una respuesta. El jefe del incidente y el equipo de respuesta pueden ajustarse tras la investigación y la revisión.
+
+## Evaluar el impacto funcional
+
+¿Cuál es el impacto directo o probable en su misión? (_por ejemplo_, operaciones comerciales, empleados, clientes, usuarios)
+
+* Degradación o fracaso de la misión/negocio: **incidente!**
+* Ninguno: evalúe el impacto de la información.
+
+## Evaluar el impacto de la información
+
+¿Cuál es el impacto directo o probable sobre su información/datos, en particular los sensibles? (_por ejemplo_, información personal, datos de propiedad, financieros o sanitarios)
+
+* Información a la que se ha accedido, tomado, cambiado o borrado: **incidente!**
+* Ninguno: gestión a través de canales no relacionados con incidentes (por ejemplo, un ticket de soporte).
+
+**Cada miembro del equipo está facultado para iniciar este proceso.** Si ves algo, di algo.
+
+`TODO: Personalizar las categorías/severidades según sea necesario. Este sencillo ejemplo (incidente vs. no incidente) se basa en las categorías de impacto del NIST SP 800-61r2.`
+
+#Iniciar la respuesta
+
+## Nombrar el incidente
+
+Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.html) para referirse al incidente -un nombre en clave- que se utilizará para el archivo y el canal del incidente. `Todo: Personalizar el procedimiento de nomenclatura de incidentes.`
+
+## Reunir el equipo de respuesta
+
+1. Llame al jefe de Incidentes de turno/de guardia. `TODO: Añadir lista o procedimiento de llamada del jefe de Incidentes`.
+2. **No** discuta el incidente fuera del equipo de respuesta a menos que el jefe del Incidente lo autorice
+3. Inicie y/o únase al chat de respuesta en {{RESPONSE_CHAT}}. `ToDo: Añadir el procedimiento de lanzamiento del chat de respuesta.`
+4. Iniciar y/o unirse a la llamada de respuesta en {{RESPONSE_PHONE}} y/o {{RESPONSE_VTC}}. `TODO: Añadir el procedimiento de lanzamiento de la llamada de respuesta.`
+5. Prefiera la llamada de voz, el chat y el intercambio seguro de archivos sobre cualquier otro método.
+6. **No** utilizar el correo electrónico principal si es posible. Si el correo electrónico es necesario, utilícelo con moderación o use {{ALTERNATE_EMAIL}}. Encripte los correos electrónicos cuando cualquier participante esté fuera del dominio {{ORGANIZATION_DOMAIN}}. `TODO: Añadir detalles y procedimiento de correo electrónico alternativo, por ejemplo, Office 365 o GSuite bajo demanda`.
+7. **No** usar SMS/texto para comunicar el incidente, a menos que sea para decirle a alguien que se mueva a un canal más seguro.
+8. Invite a los intervinientes de guardia/de guardia a la llamada de respuesta y al chat de respuesta.
+ * Invite al equipo de seguridad. `TODO: Añadir lista de contactos del equipo de seguridad o procedimiento.`
+ * Invitar a una PYME de los equipos y sistemas afectados. `TODO: Añadir la lista de contactos de la PYME del equipo o el procedimiento.`
+ * Invitar a las partes interesadas ejecutivas y a los asesores jurídicos lo antes posible, pero dar prioridad a los responsables operativos. `TODO: añadir una lista de contactos de las partes interesadas ejecutivas o un procedimiento.`
+9. OPCIONAL:_ Establecer una sala de colaboración en persona ("sala de guerra") para incidentes complejos o graves. `TODO: Añadir el procedimiento de la sala de colaboración.`
+
+### Referencia: Estructura del equipo de respuesta
+
+* Equipo de Mando
+ * [jefe del Incidente](#role-incident-commander-ic)
+ * [jefe Adjunto de Incidentes](#role-deputy-incident-commander-deputy)
+ * [Escribano](#role-scribe)
+* Equipo de enlace
+ * Enlace [interno](#role-liaison)
+ * Enlace externo
+* Equipo de operaciones
+ * [Expertos en la materia](#role-subject-matter-expert-sme) (PYMES) para sistemas
+ * PYMES para equipos/unidades de negocio
+ * PYMES para Funciones Ejecutivas (_por ejemplo_, Legal, RRHH, Finanzas)
+
+`TODO: Modificar la estructura de roles según sea necesario`.
+
+### Referencia: Información de contacto del equipo de respuesta
+
+Rol del equipo de respuesta | Información de contacto
+----------------------------------- | ---------------------------
+Localizador del jefe del incidente | {INCIDENT_COMMANDER_PAGER_NUMBER}}
+Url del jefe de Incidentes | {{INCIDENT_COMMANDER_PAGER_URL}}
+Lista del jefe de incidentes | {{INCIDENT_COMMANDER_ROSTER}}
+Lista del equipo de seguridad | {{SECURITY_TEAM_ROSTER}}
+Lista del equipo SME | {{TEAM_SME_ROSTER}}
+Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
+
+`TODO: Personalizar la información de contacto del equipo de respuesta. Incluya los procedimientos de contacto en las listas, que pueden ser estáticas o dinámicas.`
+
+## Establecer el ritmo de la batalla
+
+### Realizar la llamada de respuesta inicial
+
+1. Realice la llamada inicial utilizando la [estructura de llamada de respuesta inicial](#reference-initial-response-call-structure)
+2. Siga las instrucciones del Jefe del Incidente. Si el Jefe de Incidentes de turno/de guardia no se une a la llamada **dentro de {{INCIDENT_COMMANDER_RESPONSE_SLA}}** y usted es un Jefe de incidentes capacitado, tome el mando de la llamada.
+3. Siga las [instrucciones correspondientes a su función](#roles).
+4. Siga la llamada y el chat, y comente según corresponda. Si no es un SME, filtre las aportaciones a través del SME de su equipo si es posible.
+5. **Mantenga la llamada y el chat activos durante todo el incidente para una comunicación basada en eventos.**
+6. Programe actualizaciones **cada {{UPDATE_FREQUENCY}}** en el puente activo.
+
+#### Referencia: Estructura de la llamada de respuesta inicial
+
+*Jefe DEL INCIDENTE (IC): Mi nombre es [NOMBRE], soy el Jefe del Incidente. He designado a [NOMBRE] como adjunto y a [NOMBRE] como escribiente. ¿Quién está en la llamada?
+* SCRIBE: [Toma asistencia]
+* IC: [Si falta personal clave] Diputado, por favor llame a [PERSONAL FALTANTE].
+* IC: [Hace preguntas para comprender la situación, los síntomas, el alcance, el vector, el impacto y el calendario del informador del incidente, los SME aplicables para los sistemas y las unidades de negocio].
+* PYMES: [Responde brevemente a las preguntas del CI].
+* IC: [Si se trata de un incidente]:
+ * En este momento, el resumen del incidente es el siguiente: [reitera el resumen]. El equipo de investigación estará dirigido por [NOMBRE], el equipo de reparación estará dirigido por [NOMBRE] y el equipo de comunicación estará dirigido por [NOMBRE]. Ellos coordinarán la composición del equipo y me informarán. Los miembros del equipo, por favor, informen a su jefe de equipo correspondiente.
+ * ¿Qué medidas de investigación, corrección o comunicación se han tomado ya? [esta debería ser una lista corta, pero tiene que salir ahora]
+ * Esta llamada y el chat permanecerán activos y disponibles hasta el cierre del incidente, por favor, utilícelos para todas las comunicaciones relacionadas con el incidente. Proporcione actualizaciones de estado en tiempo real en el chat, si es posible. ¿Hay alguna pregunta o aportación restante? [responde a las preguntas]
+ * Líderes de equipo, por favor procedan con sus acciones planeadas. Nos reuniremos de nuevo en [UPDATE_TIME] para discutir el estado. Gracias.
+* IC: [Si esto no es un incidente]: En este momento, estos hechos no alcanzan el nivel de un incidente. Me coordinaré directamente con el informador del incidente para las acciones de seguimiento. Gracias por su tiempo.
+
+#### Referencia: Etiqueta de la llamada
+
+* Únase tanto a la llamada como al chat.
+* Mantenga el ruido de fondo al mínimo.
+* Mantenga su micrófono silenciado hasta que tenga algo que decir.
+* Identifícate cuando te unas a la llamada; di tu nombre y tu función (por ejemplo, "Soy el SME del equipo x").
+* Habla con claridad.
+* Sea directo y objetivo.
+* Mantenga conversaciones/discusiones cortas y al grano.
+* Comunicar cualquier preocupación al Jefe de Incidentes (CI) en la llamada.
+* Respetar las limitaciones de tiempo impuestas por el Jefe del Incidente.
+* **Utilizar una terminología clara y evitar acrónimos o abreviaturas. La claridad y la precisión son más importantes que la brevedad.
+
+### Realizar la actualización de la respuesta
+
+* Llevar a cabo actualizaciones programadas utilizando la [estructura de llamada de actualización](#reference-response-update-call-structure) cada {{UPDATE_FREQUENCY}} en el puente activo. `TODO: Personalizar la frecuencia de actualización y los scripts; se recomienda no más de dos veces al día.`
+* Ajustar la frecuencia según sea necesario.
+* Coordinar las actualizaciones independientes (_por ejemplo_, ejecutivas, legales) según sea necesario, pero con la menor frecuencia posible.
+
+#### Referencia: Estructura de la llamada de actualización de la respuesta
+
+* Jefe DEL INCIDENTE (IC): Desde la última actualización programada, el resumen del incidente es el siguiente:
+ * [Impacto]
+ * [Vector]
+ * [Actualización del resumen]
+ * [Actualización de la línea de tiempo]
+* IC: Equipo de investigación, por favor proporcione una breve actualización
+ * LÍDER DE LA INVESTIGACIÓN: [Actividades de investigación o "nada que informar"]
+ * ¿Cuál es su plan de investigación recomendado?
+ * ¿Qué acciones de investigación necesitan ser asignadas o aprobadas? [escuchar, obtener consenso, encargar/aprobar]
+* IC: Equipo de remediación, por favor proporcione una breve actualización
+ * Líder de remediación: [Actividades de remediación o "nada que informar"]
+ * ¿Cuál es su estrategia de corrección recomendada? ¿Objeciones fuertes? [escuchar, obtener el consenso, asignar/aprobar]
+ * ¿Qué acciones de corrección necesitan ser asignadas o aprobadas?
+* IC: Equipo de comunicación, por favor, proporcione una breve actualización:
+ * COMMUNICATIONS LEAD: [Actividades de comunicación o "nada que informar"]
+ * ¿Cuál es su estrategia de comunicación recomendada? ¿Objeciones fuertes? [escuchar, obtener consenso, encargar/aprobar]
+ * ¿Qué acciones de comunicación necesitan ser asignadas o aprobadas?
+* IC: Esta llamada y el chat permanecerán activos y disponibles hasta el cierre del incidente, por favor, utilícelos para todas las comunicaciones relacionadas con el incidente. Si es posible, proporcione actualizaciones del estado en tiempo real en el chat. ¿Hay alguna pregunta o aportación restante? [responde a las preguntas]
+* IC: Líderes de equipo, por favor procedan. Nos reuniremos de nuevo en [{{UPDATE_TIME}}] para discutir el estado. Gracias.
+
+## Supervisar el alcance
+
+* Supervisar el alcance de la respuesta para asegurarse de que no excede el ámbito de control del Jefe del incidente.
+* Si un incidente es lo suficientemente complejo y hay suficientes intervinientes, considere la posibilidad de crear subequipos.
+
+### Crear Sub-Equipos
+
+* En la preparación de incidentes complejos, se predefinen tres subequipos: Investigación, Remediación y Comunicación, generalmente responsables de esas funciones de respuesta. `TODO: Personalizar la estructura de los subequipos si es necesario.`
+* Crear un puente de llamadas y un chat para cada subequipo.
+* El Jefe del Incidente designará a los líderes de los equipos, que dependen del CI, y a los miembros de los equipos, que dependen de su líder. _Los líderes de equipo no tienen que estar formados como Jefes de incidentes, pero es preferible que tengan alguna experiencia de liderazgo._
+* El Jefe del Incidente puede ajustar el propósito o el nombre de los subequipos según sea necesario.
+* Si desea cambiar de equipo, pregunte a su **líder de equipo actual**. **No** pregunte al Jefe de Incidentes, o al líder del otro(s) equipo(s). Utilice la cadena de mando.
+
+### Incidente dividido
+
+Si un incidente resulta ser dos o más incidentes distintos:
+
+* Establezca un nuevo [archivo de incidentes](#create-incident-file).
+* Haga un seguimiento y coordine la investigación, la reparación y la comunicación en el archivo correspondiente.
+* Considere la posibilidad de establecer subequipos para cada incidente.
+* **Mantener un Jefe de incidentes de alto nivel**, para coordinar los activos de baja densidad y alta demanda y mantener la unidad de mando.
+
+# Investigar
+
+**[Investigar](#investigate), [remediar](#remediate) y [comunicar](#communicate) en paralelo, utilizando equipos separados, si es posible.** El Jefe del Incidente coordinará estas actividades. Notifique al Jefe del Incidente si hay pasos que el equipo debe considerar.
+
+## Crear el archivo del incidente
+
+1. Cree un nuevo archivo de incidentes en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente] (#name-the-incident). Utilice este archivo para el almacenamiento seguro de documentación, pruebas, artefactos, _etc._.
+ * Proporcionar un almacenamiento digital seguro.
+ * Proporcionar un intercambio de archivos seguro.
+ * Obtener almacenamiento físico.
+ * Compartir la ubicación del archivo del incidente en la llamada y el chat.
+ * `TODO: Personalizar y automatizar la ubicación del archivo y el procedimiento`.
+1. Documente el impacto funcional y de la información, si se conoce (véase [Assess](#assess)). `TODO: Personalizar las categorías de impacto, si es necesario.`
+2. Documentar el vector, si se conoce (_por ejemplo_ web, correo electrónico, medios extraíbles). Tarea: Personalizar la lista de vectores, si es necesario.
+3. Documente el resumen del incidente: un breve resumen del vector, el impacto, la investigación y la situación de la reparación, si se conoce.
+4. Documente la línea de tiempo del incidente, incluyendo la actividad del atacante y la actividad de la respuesta. `TODO: Añadir líneas de tiempo con diferentes detalles, según sea necesario.`
+5. Documente los pasos de investigación, reparación y comunicación. Documente las actividades de forma independiente para que puedan combinarse y reutilizarse, si es posible.
+6. Registre la información significativa, como:
+ **Pruebas**, con la hora de recogida, la fuente, la cadena de custodia, _etc._.
+ * **Sistemas afectados**, con el modo y el momento en que se identificó el sistema, y el resumen del efecto (_por ejemplo, tiene malware, datos a los que se ha accedido).
+ * **Archivos de interés**, como el malware o los archivos de datos, con el sistema y los metadatos.
+ * **Datos accedidos y tomados**, con nombres de archivos, metadatos y hora de presunta exposición.
+ * **Actividad significativa del atacante**, como inicios de sesión y ejecución de malware, con la hora del evento.
+ * **Indicadores de compromiso (IOC)** basados en la red, como direcciones IP y dominios.
+ * **Indicadores de compromiso basados en el host**, como nombres de archivos, hashes y claves de registro.
+ * **Cuentas comprometidas**, con el alcance del acceso y la hora del compromiso.
+
+`TODO: Personalizar el procedimiento de documentación del incidente, incluyendo hojas de cálculo, bases de datos, formularios, sistemas y plantillas, si es necesario.`
+
+## Recoger las pistas iniciales
+
+1. Entrevistar a los informadores del incidente.
+2. Recoger los datos de apoyo iniciales (_e._, alarmas, eventos, datos, suposiciones, intuiciones) en el archivo del incidente.
+3. Entrevistar a la(s) PYME con experiencia en el dominio o el sistema, para comprender los detalles técnicos, el contexto y el riesgo.
+4. Entrevistar a la(s) PYME de la unidad de negocio afectada, para comprender el impacto de la misión/negocio, el contexto y el riesgo.
+5. Asegúrese de que las pistas son relevantes, detalladas y procesables.
+
+### Referencia: Lista de recursos de respuesta
+
+Recurso | Ubicación
+----------------------------------- | ------------------------------------
+Lista de información crítica | {{CRITICAL_INFO_LIST_LOCATION}}
+Lista de activos críticos | {{CRITICAL_ASSET_LIST_LOCATION}}
+Base de datos de gestión de activos | {{ASSET_MGMT_DB_LOCATION}}
+Mapa de red | {{NETWORK_MAP_LOCATION}}
+Consola SIEM | {{SIEM_CONSOLE_LOCATION}}
+Agregador de registros | {{LOG_AGGREGATOR_CONSOLE}}
+
+`TODO: Completar la información crítica y las listas de activos ("joyas de la corona"). Esto es increíblemente importante para una respuesta eficaz.`
+
+`TODO: Personalizar la lista de recursos de respuesta`.
+
+## Actualizar el plan de investigación y el archivo del incidente
+
+1. Revisar y perfeccionar el impacto del incidente.
+2. Revisar y refinar el vector del incidente.
+3. Revisar y perfeccionar el resumen del incidente.
+4. Revisar y perfeccionar la línea de tiempo del incidente con hechos e inferencias.
+5. Crear hipótesis: qué puede haber ocurrido y con qué seguridad.
+6. **Identificar y priorizar las preguntas clave** (lagunas de información) para apoyar o desacreditar las hipótesis.
+ * Utilizar la matriz ATT&CK de MITRE o un marco similar para [desarrollar preguntas](#reference-attacker-tactics-to-key-questions-matrix).
+ * [ATT&CK for Enterprise](https://attack.mitre.org/wiki/Main_Page), incluyendo enlaces a los específicos de Windows, Mac y Linux.
+ * [ATT&CK Mobile Profile](https://attack.mitre.org/mobile/index.php/Main_Page) para dispositivos móviles.
+ * Utilizar palabras interrogativas como inspiración:
+ * **¿Cuándo?**: primer compromiso, primera pérdida de datos, acceso a x datos, acceso a y sistema, etc.
+ * **¿Qué?**: impacto, vector, causa de origen, motivación, herramientas/explotaciones utilizadas, cuentas/sistemas comprometidos, datos atacados/perdidos, infraestructura, COIs, etc.?
+ * **¿Dónde?**: ubicación del atacante, unidades de negocio afectadas, infraestructura, etc.?
+ * **¿Cómo?**: compromiso (explotación), persistencia, acceso, exfiltración, movimiento lateral, etc.?
+ * **¿Por qué?**: objetivo, momento, acceso a x datos, acceso a y sistema, etc.
+ * **¿Quién?**: atacante, usuarios afectados, clientes afectados, etc.?
+1. **Identificar y priorizar los dispositivos y estrategias testigo** para responder a las preguntas clave.
+ * Consultar los diagramas de la red, los sistemas de gestión de activos y la experiencia de las PYMES
+ * Consultar la [Lista de recursos de respuesta](#reference-response-resource-list))
+1. Consulte los [playbook de incidentes](#playbooks) para conocer las preguntas clave, los dispositivos testigos y las estrategias para investigar las amenazas comunes o muy dañinas.
+
+**El plan de investigación es fundamental para una respuesta eficaz; impulsa todas las acciones de investigación. Utilice el pensamiento crítico, la creatividad y el buen juicio.**
+
+### Referencia: Táctica del atacante a la matriz de preguntas clave
+
+Táctica del atacante | La forma en que los atacantes ... | Posibles preguntas clave
+----------------------- | ----------------------------------------- | -----------------------------------------
+Reconocimiento | ... aprender sobre los objetivos | ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
+Desarrollo de recursos | construir infraestructuras. | ¿Qué sistemas?
+Acceso inicial | ... entrar | ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
+Ejecución | ... ejecutar código hostil | ¿Qué malware? ¿Qué herramientas? ¿Dónde? ¿Cuándo?
+Persistencia | ... quédate por aquí | ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
+Escalada de Privilegios | ... obtener acceso de mayor nivel | ¿Cómo? ¿Dónde? ¿Qué herramientas?
+Evasión de la defensa | ... esquivar la seguridad | ¿Cómo? ¿Dónde? ¿Desde cuándo?
+Acceso a credenciales | ... obtener/crear cuentas | ¿Qué cuentas? ¿Desde cuándo? ¿Por qué?
+Descubrimiento | ... aprender nuestra red | ¿Cómo? ¿Dónde? ¿Qué saben?
+Movimiento lateral | ... moverse | ¿Cómo? ¿Cuándo? ¿Qué cuentas?
+Recogida | ... encontrar y reunir datos | ¿Qué datos? ¿Por qué? ¿Cuándo? ¿Dónde?
+Mando y control | ... herramientas y sistemas de control | ¿Cómo? ¿Dónde? ¿Quién? ¿Por qué?
+Exfiltración | ... tomar datos | ¿Qué datos? ¿Cómo? ¿Cuándo? ¿Dónde?
+Impacto |... romper cosas. | ¿Qué sistemas o datos? ¿Cómo? ¿Cuándo? ¿Dónde? ¿Cómo de malo?
+
+Consulte la página [MITRE ATT&CK](https://attack.mitre.org/) para obtener más información e ideas.
+
+## Crear y desplegar indicadores de compromiso (IOC)
+
+> Haga hincapié en los indicadores **dinámicos y de comportamiento** junto con las huellas digitales estáticas.
+
+* Crear IOCs basados en [pistas iniciales](#collect-initial-leads) y [análisis](#analyze-evidence).
+* Cree IOCs usando un formato abierto soportado por sus herramientas (_por ejemplo_, [STIX 2.0](https://oasis-open.github.io/cti-documentation/stix/intro)), si es posible. `TODO: Personalizar el formato de los COIs según sea necesario.`
+* Utilice la automatización, si es posible. `TODO: Añadir un procedimiento de despliegue/revocación de COIs.`
+* **No** desplegar "feeds" de COIs no relacionados y no curados, ya que pueden causar confusión y fatiga.
+* Considerar todos los tipos de COI:
+ * IOC basados en la red, como direcciones IP o MAC, puertos, direcciones de correo electrónico, contenido o metadatos del correo electrónico, URLs, dominios o patrones PCAP.
+ * IOC basados en el host, como rutas, hashes de archivos, contenido o metadatos de archivos, claves de registro, MUTEXes, autoejecuciones o artefactos y permisos de usuarios.
+ * COIs basados en la nube, como patrones de registro para despliegues [SaaS](https://en.wikipedia.org/wiki/Software_as_a_service) o [IaaS](https://en.wikipedia.org/wiki/Infrastructure_as_a_service)
+ * IOCs de comportamiento (a.ka., patrones, TTPs) tales como patrones de árbol de procesos, heurística, desviación de la línea base y patrones de inicio de sesión.
+* Correlacionar varios tipos de IOC, como indicadores basados en la red y en el host en los mismos sistemas.
+
+## Identificar los sistemas de interés
+
+1. Validar si son relevantes.
+2. Categorizar la(s) razón(es) por la(s) que son "de interés": tiene malware, acceso por cuenta comprometida, tiene datos sensibles, etc. Trátelas como "etiquetas", puede haber más de una categoría por sistema.
+3. Prioriza la recogida, el análisis y la reparación en función de las necesidades de la investigación, el impacto en el negocio, _etc_.
+
+## Recogida de pruebas
+
+* Priorizar en base al plan de investigación
+* Recoger datos de respuesta en vivo utilizando {{LIVE_RESPONSE_TOOL}}. `TODO: Personalizar las herramientas y el procedimiento de respuesta en vivo.`
+* Recoger los registros relevantes de los sistemas (si no forman parte de la respuesta en vivo), agregadores, SIEM o consolas de dispositivos. `TODO: Personalizar las herramientas y el procedimiento de recopilación de registros.`
+* Recoger la imagen de la memoria, si es necesario y si no forma parte de la respuesta en vivo, utilizando {{MEMORY_COLLECTION_TOOL}}. `TODO: Personalizar las herramientas y el procedimiento de recogida de memoria.`
+* Recoger la imagen del disco, si es necesario, utilizando {{DISK_IMAGE_TOOL}}. `TODO: Personalizar la herramienta y el procedimiento de recogida de imágenes de disco.`
+* Recoger y almacenar las pruebas de acuerdo con la política, y con la cadena de custodia adecuada. ToDo: Personalizar la política de recogida de pruebas y cadena de custodia.
+
+Considere la posibilidad de recopilar los siguientes artefactos como evidencia, ya sea en tiempo real (_por ejemplo_, a través de EDR o un SIEM) o bajo demanda:
+
+### Ejemplo de artefactos útiles
+
+`TODO: Personalizar y priorizar los artefactos útiles.`
+
+* Procesos en ejecución
+* Servicios en ejecución
+* Hashes ejecutables
+* Aplicaciones instaladas
+* Usuarios locales y de dominio
+* Puertos de escucha y servicios asociados
+* Configuración de resolución del sistema de nombres de dominio (DNS) y rutas estáticas
+* Conexiones de red establecidas y recientes
+* Clave de ejecución y otra persistencia de la ejecución automática
+* Tareas programadas y trabajos cron
+* Artefactos de ejecución pasada (por ejemplo, Prefetch y Shimcache)
+* Registros de eventos
+* Política de grupo y artefactos WMI
+* Detecciones antivirus
+* Binarios en ubicaciones de almacenamiento temporal
+* Credenciales de acceso remoto
+* Telemetría de conexiones de red (por ejemplo, netflow, permisos de cortafuegos)
+* Tráfico y actividad de DNS
+* Actividad de acceso remoto, incluido el Protocolo de Escritorio Remoto (RDP), la red privada virtual (VPN), SSH, la informática de red virtual (VNC) y otras herramientas de acceso remoto
+* Cadenas de identificadores de recursos uniformes (URI), cadenas de agentes de usuario y acciones de aplicación del proxy
+* Tráfico web (HTTP/HTTPS)
+
+## Analizar las pruebas
+
+* Priorizar basándose en el plan de investigación
+* Analizar y clasificar los datos de la respuesta en vivo
+* Analizar la memoria y las imágenes de disco (es decir, realizar análisis forenses)
+* Analizar el malware
+* _OPCIONAL:_ Enriquecer con investigación e inteligencia
+* Documentar nuevos indicadores de compromiso (IOCs)
+* Actualizar el archivo del caso
+
+### Ejemplo de indicadores útiles
+
+`TODO: Personalizar y priorizar los indicadores útiles.`
+
+* Comportamiento inusual de autenticación (_e._, frecuencia, sistemas, hora del día, ubicación remota)
+* Nombres de usuario con formato no estándar
+* Binarios no firmados que se conectan a la red
+* Balizamiento o transferencias de datos significativas
+* Solicitudes de línea de comandos PowerShell con comandos codificados en Base64
+* Actividad excesiva de RAR, 7zip o WinZip, especialmente con nombres de archivo sospechosos
+* Conexiones en puertos no utilizados previamente.
+* Patrones de tráfico relacionados con el tiempo, la frecuencia y el recuento de bytes
+* Cambios en las tablas de enrutamiento, como la ponderación, las entradas estáticas, las pasarelas y las relaciones entre pares.
+
+## Iterar la investigación
+
+[Actualizar el plan de investigación](#update-investigative-plan-and-incident-file) y repetir hasta el cierre.
+
+# Remediar
+
+**Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible.** El Jefe del incidente coordinará estas actividades. Notifique al Jefe del Incidente si hay pasos que el equipo debe considerar
+
+## Actualización del plan de remediación
+
+1. Revise el archivo del incidente en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente](#name-the-incident)
+1. 2. Revise los [playbook](#playbooks) aplicables.
+1. Revise la [lista de recursos de respuesta](#reference-response-resource-list)).
+1. Considere qué tácticas del atacante están en juego en este incidente. Utilice la lista de MITRE [ATT&CK](https://attack.mitre.org/wiki/Main_Page) (_i._, Persistencia, Escalada de Privilegios, Evasión de la Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Ejecución, Recolección, Exfiltración y Mando y Control), o un marco similar.
+1. Desarrollar remedios para cada táctica en juego, en la medida en que sea factible teniendo en cuenta las herramientas y los recursos existentes. Considere remedios para [Proteger](#protect), [Detectar](#detect), [Contener](#contain), y [Erradicar](#eradicate) cada comportamiento del atacante.
+1. Priorizar en base a la [estrategia de tiempo](#choose-remediation-timing), el impacto y la urgencia.
+1. Documentar en el archivo de incidentes.
+
+Utilice [marcos de seguridad de la información (infosec)](https://www.nist.gov/cyberframework) como inspiración, pero **no utilice la reparación de incidentes como sustituto de un programa de infosec con un marco apropiado.** Utilícelos para complementarse.
+
+### Protección
+
+> "¿Cómo podemos evitar que la táctica X se repita o reducir el riesgo? ¿Cómo podemos mejorar la protección futura?"
+
+Utilice lo siguiente como punto de partida para la corrección de la protección:
+
+* Parchear las aplicaciones.
+* Parchee los sistemas operativos.
+* Actualice las firmas de IPS de la red y del host.
+* Actualizar las firmas de protección de puntos finales/EDR/antivirus.
+* Reducir las ubicaciones con datos críticos.
+* Reducir las cuentas administrativas o privilegiadas.
+* Habilitar la autenticación multifactor.
+* Reforzar los requisitos de las contraseñas.
+* Bloquear los puertos y protocolos no utilizados en los límites del segmento y de la red, tanto entrantes como salientes.
+* Poner en lista blanca las conexiones de red para los servidores y servicios críticos.
+
+### Detección
+
+> "¿Cómo podemos detectar esto en los nuevos sistemas o en el futuro? ¿Cómo podemos mejorar la detección y la investigación en el futuro?"
+
+Utilice lo siguiente como punto de partida para la corrección de detecciones:
+
+* Mejorar el registro y la retención de los registros del sistema, en particular de los sistemas críticos.
+* Mejorar el registro de las aplicaciones, incluidas las aplicaciones SaaS.
+* Mejorar la agregación de registros.
+* Actualizar las firmas de IDS de la red y del host utilizando IOC.
+
+### Contención
+
+> "¿Cómo podemos evitar que esto se extienda o se agrave? ¿Cómo podemos mejorar la contención en el futuro?"
+
+Utilice lo siguiente como punto de partida para la corrección de la contención:
+
+* Implementar listas de acceso (ACL) en los límites de los segmentos de la red.
+* Implementar bloqueos en el límite de la empresa, en múltiples capas del [modelo OSI](https://en.wikipedia.org/wiki/OSI_model).
+* Desactivar o eliminar el acceso de las cuentas comprometidas.
+* Bloquear direcciones IP o redes maliciosas.
+* Bloquee los dominios maliciosos.
+* Actualizar las firmas de IPS y antimalware de la red y el host mediante COI.
+* Retirar de la red los sistemas críticos o comprometidos.
+* Póngase en contacto con los proveedores para obtener ayuda (por ejemplo, proveedores de servicios de Internet, proveedores de SaaS).
+* Poner en lista blanca las conexiones de red para los servidores y servicios críticos.
+* Matar o deshabilitar procesos o servicios.
+* Bloquear o eliminar el acceso de proveedores y socios externos, especialmente el acceso privilegiado.
+
+### Erradicar
+
+> "¿Cómo podemos eliminar esto de nuestros activos? ¿Cómo podemos mejorar la erradicación en el futuro?"
+
+Utilice lo siguiente como punto de partida para la remediación de la erradicación:
+
+* Reconstruir o restaurar los sistemas y datos comprometidos a partir de un estado bueno conocido.
+* Restablecer las contraseñas de las cuentas.
+* Eliminar cuentas o credenciales hostiles.
+* Borrar o eliminar malware específico (¡difícil!).
+* Implementar proveedores alternativos.
+* Activar y migrar a ubicaciones, servicios o servidores alternativos.
+
+## Elegir el momento de la reparación
+
+Determine la estrategia de plazos -cuando se llevarán a cabo las acciones de remediación- involucrando al Jefe de Incidentes, a los PYMES y propietarios del sistema, a los PYMES y propietarios de la unidad de negocio, y al equipo ejecutivo. Cada estrategia es apropiada en diferentes circunstancias:
+
+* Elija la reparación **inmediata** cuando sea más importante detener inmediatamente las actividades del atacante que seguir investigando. Por ejemplo, una pérdida financiera en curso, o un fracaso de la misión en curso, una pérdida de datos activa, o la prevención de una amenaza significativa inminente.
+* Elija una reparación **retrasada** cuando sea importante completar la investigación o no alertar al atacante. Por ejemplo, el compromiso a largo plazo de un atacante avanzado, el espionaje corporativo o el compromiso a gran escala de un número desconocido de sistemas.
+* Elija la remediación **combinada** cuando las circunstancias inmediatas y retardadas se apliquen en el mismo incidente. Por ejemplo, la segmentación inmediata de un servidor o red sensible para cumplir con los requisitos reglamentarios mientras se investiga un compromiso a largo plazo.
+
+## Ejecutar la remediación
+
+* Evaluar y explicar los riesgos de las acciones de remediación a las partes interesadas. `TODO: Personalizar el procedimiento de aprobación de los riesgos de la remediación, si es necesario.`
+* Implementar inmediatamente aquellas acciones de remediación que afecten poco o nada al atacante (a veces llamadas "acciones de postura"). Por ejemplo, muchas de las acciones de [protección](#protect) y [detección](#detect) anteriores son buenas candidatas.
+* Programar y asignar acciones de remediación de acuerdo con la estrategia de tiempo.
+* Ejecute las acciones de corrección en lotes, como eventos, para lograr la máxima eficacia y el mínimo riesgo.
+* Documentar el estado de ejecución y el tiempo en el archivo de incidentes, especialmente para las medidas temporales.
+
+## Iterar la remediación
+
+[Actualizar el plan de remediación](#update-remediation-plan) y repetir hasta el cierre.
+
+#Comunicar
+
+**Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible. Notifique al Jefe del Incidente si hay pasos que el equipo debe considerar
+
+Toda comunicación debe incluir la información más precisa disponible. Muestre integridad. No comunicar especulaciones.
+
+## Comunicación Interna
+
+### Notificar y actualizar a las partes interesadas
+
+* Comunicarse con las partes interesadas como parte de las llamadas iniciales y de actualización, así como a través de actualizaciones basadas en eventos en la llamada y el chat.
+* Coordinar las actualizaciones independientes (_e._, ejecutivas, legales) según sea necesario, pero con la menor frecuencia posible, para mantener el foco en la investigación y la reparación.
+* Concéntrese en la mejor evaluación del vector, el impacto, el resumen y los aspectos más destacados de la línea de tiempo, incluidos los pasos de remediación. No especule.
+
+### Notificar y actualizar la organización
+
+* **No** notifique o actualice al personal que no responde hasta que el Jefe del Incidente lo autorice, en particular si existe el riesgo de una amenaza interna.
+* Coordine las actualizaciones de los equipos o de toda la organización con los ejecutivos y la dirección de la empresa.
+* Concéntrese en la mejor evaluación del vector, el impacto, el resumen y los aspectos más destacados de la línea de tiempo, incluidos los pasos de remediación. No especule.
+
+### Crear Informe de Incidentes
+
+* Tras el cierre del incidente, capture la información en el [archivo del incidente](#create-incident-file) para su distribución utilizando el formato en {{INCIDENT_REPORT_TEMPLATE}}. **Si los informes de vector, impacto, resumen, línea de tiempo y actividad están completos, esto puede ser totalmente automatizado.**
+* Distribuir el informe de incidentes a lo siguiente: {{INCIDENT_REPORT_RECIPIENTS}}.
+* `TODO: Personalizar la creación y distribución del informe de incidentes, si es necesario`.
+
+## Comunicar al exterior
+
+### Notificar a los reguladores
+
+* **No** notifique ni ponga al día al personal que no ha respondido hasta que el Jefe del Incidente lo autorice.
+* Notificar a los organismos reguladores (por ejemplo, HIPAA/HITRUST, PCI DSS, SOX) si es necesario y de acuerdo con la política.
+* Coordinar los requisitos, el formato y los plazos con el {{COMPLIANCE_TEAM}}.
+
+### Notificar a los clientes
+
+* **No** notifique o actualice al personal que no responde hasta que el Jefe del Incidente lo autorice.
+* Coordine las notificaciones a los clientes con {{COMMUNICATIONS_TEAM}}.
+* Incluya la fecha en el título de cualquier anuncio, para evitar confusiones.
+* No utilice tópicos como "nos tomamos la seguridad muy en serio". Céntrese en los hechos.
+* Sea honesto, acepte la responsabilidad y presente los hechos, junto con el plan para prevenir incidentes similares en el futuro.
+* Sea lo más detallado posible con la línea de tiempo.
+* Sea lo más detallado posible en cuanto a la información que se vio comprometida y cómo afecta a los clientes. Si estábamos almacenando algo que no debíamos, sé honesto al respecto. Saldrá a la luz más tarde y será mucho peor.
+* No hablemos de las partes externas que podrían haber causado el problema, a menos que ya lo hayan hecho público, en cuyo caso enlazaremos con su información. Comunícate con ellos de forma independiente (ver [Notificar a los proveedores](#notify-vendors-and-partners))
+* Publique la comunicación externa lo antes posible. Las malas noticias no mejoran con el tiempo.
+* Si es posible, contacte con los equipos de seguridad internos de los clientes antes de notificar al público.
+
+### Notificar a los proveedores y socios
+
+* **No** notifique o actualice al personal que no responde hasta que el Jefe del Incidente lo autorice.
+* Si es posible, póngase en contacto con los equipos de seguridad internos de los proveedores y socios antes de notificar al público.
+* Céntrese en los aspectos específicos del incidente que afectan o implican al proveedor o socio.
+* Coordine los esfuerzos de respuesta y comparta la información si es posible.
+
+### Notificar a las Fuerzas de Seguridad
+
+* **No** notifique o actualice al personal que no responde hasta que el Jefe del Incidente lo autorice.
+* Coordinar con {{EXECUTIVE_TEAM}} y {{LEGAL_TEAM}} antes de interactuar con las fuerzas del orden.
+* Póngase en contacto con las fuerzas del orden locales en {{LOCAL_LE_CONTACT}}.
+* Póngase en contacto con el FBI en {{FBI_CONTACT}} o a través del [Internet Crime Complaint Center (IC3)](https://www.ic3.gov).
+* Póngase en contacto con los operadores de los sistemas utilizados en el ataque, sus sistemas también pueden haber sido comprometidos.
+
+### Contactar con el servicio de asistencia de respuesta externa
+
+* Póngase en contacto con {{INCIDENT_RESPONSE_VENDOR}} para que le ayude a evaluar el riesgo, la gestión de incidentes, la respuesta a los mismos y el apoyo posterior al incidente.
+* Póngase en contacto con {{PUBLIC_RELATIONS_VENDOR}} para que le ayude con las relaciones públicas y la comunicación externa.
+* Póngase en contacto con {{INSURANCE_VENDOR}} para obtener ayuda con el seguro cibernético.
+
+### Compartir Inteligencia
+
+* Comparta los IOCs con [Infragard](https://www.infragard.org/) si procede.
+* Comparta los IOCs con su [ISAC](https://en.wikipedia.org/wiki/Information_Sharing_and_Analysis_Center) de servicio a través de {{ISAC_CONTACT}}, si procede.
+
+# Recuperación
+
+`TODO: Personalizar los pasos de recuperación.`
+
+`TODO: Especificar las herramientas y procedimientos para cada paso, a continuación.`
+
+**La recuperación suele estar dirigida por las unidades de negocio y los propietarios de los sistemas. Tome medidas de recuperación sólo en colaboración con las partes interesadas pertinentes.**
+
+1. Poner en marcha un plan de continuidad de negocio/recuperación de desastres: Por ejemplo, considerar la migración a ubicaciones operativas alternativas, sitios de conmutación por error, sistemas de copia de seguridad.
+2. Integrar las acciones de seguridad con los esfuerzos de recuperación de la organización.
\ No newline at end of file
From bb529f229cb38d4168478136b646bc3c8c96a952 Mon Sep 17 00:00:00 2001
From: alejandrosanchezman
<94168011+alejandrosanchezman@users.noreply.github.com>
Date: Tue, 10 May 2022 10:14:15 +0200
Subject: [PATCH 025/199] Add files via upload
---
examples/plan.md | 10 +++++-----
1 file changed, 5 insertions(+), 5 deletions(-)
diff --git a/examples/plan.md b/examples/plan.md
index d781c18..94701d8 100644
--- a/examples/plan.md
+++ b/examples/plan.md
@@ -40,12 +40,13 @@ Fue revisado por última vez el {{REVIEW_DATE}}. Fue probado por última vez en
## Nombre del incidente
-Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.html) para referirse al incidente -un nombre en clave- para utilizarlo en el archivo de incidentes y en los canales. ##Todo: Personalizar el procedimiento de nomenclatura de incidentes.
+Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.html) para referirse al incidente -un nombre en clave- para utilizarlo en el archivo de incidentes y en los canales.
+## Todo: Personalizar el procedimiento de nomenclatura de incidentes.
## Reunir el equipo de respuesta
1. Llame al Comandante de Incidentes de turno/de guardia. `TODO: Añadir lista o procedimiento de llamada del Comandante de Incidentes`.
-1. *No hable del incidente fuera del equipo de respuesta, a menos que el Comandante del Incidente lo autorice.
+1. * No hable del incidente fuera del equipo de respuesta, a menos que el Comandante del Incidente lo autorice.
1. Inicie y/o únase al chat de respuesta en {{RESPONSE_CHAT}}. ToDo: Añadir el procedimiento de lanzamiento del chat de respuesta.
1. Inicie y/o únase a la llamada de respuesta en {{RESPONSE_PHONE}} y/o {{RESPONSE_VTC}}. Tarea: Añadir el procedimiento de lanzamiento de la llamada de respuesta.
1. Prefiera la llamada de voz, el chat y el intercambio seguro de archivos sobre cualquier otro método.
@@ -84,7 +85,7 @@ Lista del equipo de seguridad | {{SECURITY_TEAM_ROSTER}}
Lista del equipo SME | {{TEAM_SME_ROSTER}}
Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
-`TODO: Personalizar la información de contacto del equipo de respuesta. Incluya los procedimientos de contacto en las listas, que pueden ser estáticas o dinámicas.
+`TODO: Personalizar la información de contacto del equipo de respuesta. Incluya los procedimientos de contacto en las listas, que pueden ser estáticas o dinámicas.`
## Establecer el ritmo de la batalla
@@ -175,7 +176,7 @@ Si un incidente resulta ser dos o más incidentes distintos:
* Considere la posibilidad de establecer subequipos para cada incidente.
* **Mantener un comandante de incidentes de alto nivel**, para coordinar los activos de baja densidad y alta demanda y mantener la unidad de mando.
-**Investigar
+**Investigar**
**[Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible.** El Comandante del Incidente coordinará estas actividades. Notifique al Comandante del Incidente si hay pasos que el equipo debe considerar.
@@ -202,7 +203,6 @@ Si un incidente resulta ser dos o más incidentes distintos:
* Indicadores de compromiso basados en el host**, como nombres de archivos, hashes y claves de registro.
* Cuentas comprometidas**, con el alcance del acceso y la hora del compromiso.
-Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator
`TODO: Personalizar el procedimiento de documentación de incidentes, incluyendo hojas de cálculo, bases de datos, formularios, sistemas y plantillas, si es necesario.`
From 9a62a6e99b45fa0833aa543f70e00106764d25e7 Mon Sep 17 00:00:00 2001
From: alejandrosanchezman
<94168011+alejandrosanchezman@users.noreply.github.com>
Date: Tue, 10 May 2022 10:18:18 +0200
Subject: [PATCH 026/199] Add files via upload
---
examples/plan.md | 68 ++++++++++++++++++++++++------------------------
1 file changed, 34 insertions(+), 34 deletions(-)
diff --git a/examples/plan.md b/examples/plan.md
index 94701d8..c2ca8c0 100644
--- a/examples/plan.md
+++ b/examples/plan.md
@@ -15,7 +15,7 @@ Fue revisado por última vez el {{REVIEW_DATE}}. Fue probado por última vez en
1. **Mantenga la calma y la profesionalidad.**
1. Reúna la información pertinente, _e._, alarmas, eventos, datos, suposiciones, intuiciones (**observe**).
1. Considerar las categorías de impacto, a continuación (**orientar**), y determinar si hay un posible incidente (**decidir**):
-1. 2. Iniciar una respuesta si hay un incidente (**actuar**). En caso de duda, inicie una respuesta. El comandante del incidente y el equipo de respuesta pueden ajustarse tras la investigación y la revisión.
+1. 2. Iniciar una respuesta si hay un incidente (**actuar**). En caso de duda, inicie una respuesta. El Jefe de incidente y el equipo de respuesta pueden ajustarse tras la investigación y la revisión.
## Evaluar el impacto funcional
@@ -46,7 +46,7 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
## Reunir el equipo de respuesta
1. Llame al Comandante de Incidentes de turno/de guardia. `TODO: Añadir lista o procedimiento de llamada del Comandante de Incidentes`.
-1. * No hable del incidente fuera del equipo de respuesta, a menos que el Comandante del Incidente lo autorice.
+1. * No hable del incidente fuera del equipo de respuesta, a menos que el Jefe de incidente lo autorice.
1. Inicie y/o únase al chat de respuesta en {{RESPONSE_CHAT}}. ToDo: Añadir el procedimiento de lanzamiento del chat de respuesta.
1. Inicie y/o únase a la llamada de respuesta en {{RESPONSE_PHONE}} y/o {{RESPONSE_VTC}}. Tarea: Añadir el procedimiento de lanzamiento de la llamada de respuesta.
1. Prefiera la llamada de voz, el chat y el intercambio seguro de archivos sobre cualquier otro método.
@@ -61,7 +61,7 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
### Referencia: Estructura del equipo de respuesta
* Equipo de Mando
- * [Comandante del Incidente](#role-incident-commander-ic)
+ * [Jefe de incidente](#role-incident-commander-ic)
* [Comandante Adjunto de Incidentes](#role-deputy-incident-commander-deputy)
* [Escribano](#role-scribe)
* Equipo de enlace
@@ -78,7 +78,7 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
Rol del equipo de respuesta | Información de contacto
---------------------------- | ---------------------------
-Localizador del comandante del incidente | {{INCIDENT_COMMANDER_PAGER_NUMBER}}
+Localizador del Jefe de incidente | {{INCIDENT_COMMANDER_PAGER_NUMBER}}
Url del Comandante de Incidentes | {{INCIDENT_COMMANDER_PAGER_URL}}
Lista de comandantes de incidentes | {{INCIDENT_COMMANDER_ROSTER}}
Lista del equipo de seguridad | {{SECURITY_TEAM_ROSTER}}
@@ -92,7 +92,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
### Realizar la llamada de respuesta inicial
1. Realice la llamada inicial utilizando la [estructura de llamada de respuesta inicial] (#referencia-estructura-de-llamada-de-respuesta-inicial)
-1. Siga las instrucciones del Comandante del Incidente. Si el Comandante de Incidentes de turno/de guardia no se une a la llamada dentro de {{INCIDENT_COMMANDER_RESPONSE_SLA}} y usted es un comandante de incidentes capacitado, tome el mando de la llamada.
+1. Siga las instrucciones del Jefe de incidente. Si el Comandante de Incidentes de turno/de guardia no se une a la llamada dentro de {{INCIDENT_COMMANDER_RESPONSE_SLA}} y usted es un comandante de incidentes capacitado, tome el mando de la llamada.
1. Siga las [instrucciones para su función](#roles).
1. Siga la llamada y el chat, y comente según corresponda. Si no es un SME, filtre las aportaciones a través del SME de su equipo si es posible.
1. *Mantenga la llamada y el chat activos durante todo el incidente para una comunicación basada en eventos.
@@ -100,7 +100,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
#### Referencia: Estructura de la llamada de respuesta inicial
-*COMANDANTE DEL INCIDENTE (IC): Mi nombre es [NOMBRE], soy el Comandante del Incidente. He designado a [NOMBRE] como adjunto y a [NOMBRE] como escribiente. ¿Quién está en la llamada?
+* Jefe de incidente (IC): Mi nombre es [NOMBRE], soy el Jefe de incidente. He designado a [NOMBRE] como adjunto y a [NOMBRE] como escribiente. ¿Quién está en la llamada?
* SCRIBE: [Toma asistencia]
* IC: [Si falta personal clave] Diputado, por favor llame a [PERSONAL FALTANTE].
* IC: [Hace preguntas para entender la situación, los síntomas, el alcance, el vector, el impacto y el calendario del informador del incidente, los SME aplicables para los sistemas y las unidades de negocio].
@@ -122,8 +122,8 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
* Speak up and speak clearly.
* Be direct and factual.
* Keep conversations/discussions short and to the point.
-* Bring any concerns to the Incident Commander (IC) on the call.
-* Respect time constraints given by the Incident Commander.
+* Bring any concerns to the Jefe de incidente (IC) on the call.
+* Respect time constraints given by the Jefe de incidente.
* **Use clear terminology, and avoid acronyms or abbreviations. Clarity and accuracy is more important than brevity.**
### Conduct Response Update
@@ -134,7 +134,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
#### Referencia: Estructura de la llamada de actualización de la respuesta
-* COMANDANTE DEL INCIDENTE (IC): Desde nuestra última actualización programada, el resumen del incidente es el siguiente:
+* Jefe de incidente (IC): Desde nuestra última actualización programada, el resumen del incidente es el siguiente:
* [Impacto]
* [Vector]
* [Actualización del resumen]
@@ -156,15 +156,15 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
## Supervisar el alcance
-* Supervisar el alcance de la respuesta para asegurarse de que no excede el ámbito de control del comandante del incidente.
+* Supervisar el alcance de la respuesta para asegurarse de que no excede el ámbito de control del Jefe de incidente.
* Si un incidente es lo suficientemente complejo y hay suficientes intervinientes, considere la posibilidad de crear subequipos.
### Crear Sub-Equipos
* En la preparación de incidentes complejos, se predefinen tres subequipos: Investigación, Remediación y Comunicación, generalmente responsables de esas funciones de respuesta. `TODO: Personalizar la estructura de los subequipos si es necesario.
* Crear un puente de llamadas y un chat para cada subequipo.
-* El Comandante del Incidente designará a los líderes de los equipos, que dependen del CI, y a los miembros de los equipos, que dependen de su líder. Los líderes de equipo no tienen que estar formados como comandantes de incidentes, pero es preferible que tengan alguna experiencia de liderazgo.
-* El Comandante del Incidente puede ajustar el propósito o el nombre de los subequipos según sea necesario.
+* El Jefe de incidente designará a los líderes de los equipos, que dependen del CI, y a los miembros de los equipos, que dependen de su líder. Los líderes de equipo no tienen que estar formados como comandantes de incidentes, pero es preferible que tengan alguna experiencia de liderazgo.
+* El Jefe de incidente puede ajustar el propósito o el nombre de los subequipos según sea necesario.
* Si desea cambiar de equipo, pregunte a su **líder de equipo actual**. **No** pregunte al Comandante de Incidentes, o al líder del otro(s) equipo(s). Utilice la cadena de mando.
### Incidente dividido
@@ -178,7 +178,7 @@ Si un incidente resulta ser dos o más incidentes distintos:
**Investigar**
-**[Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible.** El Comandante del Incidente coordinará estas actividades. Notifique al Comandante del Incidente si hay pasos que el equipo debe considerar.
+**[Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible.** El Jefe de incidente coordinará estas actividades. Notifique al Jefe de incidente si hay pasos que el equipo debe considerar.
## Crear el archivo del incidente
@@ -225,7 +225,7 @@ Mapa de red | {{NETWORK_MAP_LOCATION{}}
Consola SIEM | {{SIEM_CONSOLE_LOCATION}}
Agregador de registros | {{LOG_AGGREGATOR_CONSOLE}}
-`TODO: Completar la información crítica y las listas de activos ("joyas de la corona"). Esto es increíblemente importante para una respuesta eficaz.
+`TODO: Completar la información crítica y las listas de activos ("joyas de la corona"). Esto es increíblemente importante para una respuesta eficaz.`
`TODO: Personalizar la lista de recursos de respuesta`.
@@ -363,7 +363,7 @@ Considere la posibilidad de recopilar los siguientes artefactos como evidencia,
# Remediar
-**Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible.** El comandante del incidente coordinará estas actividades. Notifique al Comandante del Incidente si hay pasos que el equipo debe considerar
+**Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible.** El Jefe de incidente coordinará estas actividades. Notifique al Jefe de incidente si hay pasos que el equipo debe considerar
## Actualizar el plan de remediación
@@ -458,7 +458,7 @@ Determine la estrategia de tiempo -cuando se tomarán las acciones de remediaci
#Comunicar
-**Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible. Notifique al Comandante del Incidente si hay pasos que el equipo debe considerar**
+**Investigar](#investigar), [remediar](#remediación) y [comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible. Notifique al Jefe de incidente si hay pasos que el equipo debe considerar**
Toda comunicación debe incluir la información más precisa disponible. Muestre integridad. No comunique especulaciones.
@@ -472,7 +472,7 @@ Toda comunicación debe incluir la información más precisa disponible. Muestr
### Notificar y actualizar la organización
-* No notifique ni ponga al día al personal que no ha respondido hasta que el Comandante del Incidente lo autorice, especialmente si existe riesgo de amenaza interna.
+* No notifique ni ponga al día al personal que no ha respondido hasta que el Jefe de incidente lo autorice, especialmente si existe riesgo de amenaza interna.
* Coordine las actualizaciones de los equipos o de toda la organización con los ejecutivos y la dirección de la empresa.
* Concéntrese en la mejor evaluación del vector, el impacto, el resumen y los aspectos más destacados de la línea de tiempo, incluidos los pasos de remediación. No especule.
@@ -486,13 +486,13 @@ Toda comunicación debe incluir la información más precisa disponible. Muestr
### Notificar a los reguladores
-* **No** notifique o actualice al personal que no responde hasta que el Comandante del Incidente lo autorice.
+* **No** notifique o actualice al personal que no responde hasta que el Jefe de incidente lo autorice.
* Notificar a los organismos reguladores (por ejemplo, HIPAA/HITRUST, PCI DSS, SOX) si es necesario, y de acuerdo con la política.
* Coordinar los requisitos, el formato y el calendario con el {COMPLIANCE_TEAM{}}.
### Notificar a los clientes
-* **No** notifique ni ponga al día al personal que no responde hasta que el Comandante del Incidente lo autorice.
+* **No** notifique ni ponga al día al personal que no responde hasta que el Jefe de incidente lo autorice.
* Coordinar las notificaciones a los clientes con {{COMMUNICATIONS_TEAM}}.
* Incluya la fecha en el título de cualquier anuncio, para evitar confusiones.
* No utilice tópicos como "nos tomamos la seguridad muy en serio". Céntrese en los hechos.
@@ -505,14 +505,14 @@ Toda comunicación debe incluir la información más precisa disponible. Muestr
### Notificar a los proveedores y socios
-* **No** notifique ni ponga al día al personal que no responde hasta que el Comandante del Incidente lo autorice.
+* **No** notifique ni ponga al día al personal que no responde hasta que el Jefe de incidente lo autorice.
* Si es posible, póngase en contacto con los equipos de seguridad internos de los proveedores y socios antes de notificar al público.
* Céntrese en los aspectos específicos del incidente que afectan o implican al proveedor o socio.
* Coordine los esfuerzos de respuesta y comparta la información si es posible.
### Notificar a las fuerzas de seguridad
-* **No** notifique o ponga al día al personal que no ha respondido hasta que el Comandante del Incidente lo autorice.
+* **No** notifique o ponga al día al personal que no ha respondido hasta que el Jefe de incidente lo autorice.
* Coordinar con {{EXECUTIVE_TEAM}} y {{LEGAL_TEAM}} antes de interactuar con las fuerzas del orden.
* Póngase en contacto con las fuerzas del orden locales en {{LOCAL_LE_CONTACT}}.
* Póngase en contacto con el FBI en {{FBI_CONTACT}} o a través del [Internet Crime Complaint Center (IC3)](https://www.ic3.gov).
@@ -1246,7 +1246,7 @@ Esta es una **estructura flexible**: cada rol no será ocupado por una persona d
En las llamadas de respuesta a incidentes ("tiempos de guerra"), una estructura organizativa diferente anula las operaciones normales ("tiempos de paz"):
-* El comandante del incidente está al mando. Independientemente de su rango en tiempos de paz, ahora es la persona de mayor rango en la llamada, superior al director general.
+* El Jefe de incidente está al mando. Independientemente de su rango en tiempos de paz, ahora es la persona de mayor rango en la llamada, superior al director general.
* Los primeros intervinientes (las personas que actúan como primeros intervinientes de un equipo/servicio) son las personas de mayor rango de ese servicio.
* Las decisiones serán tomadas por el CI tras considerar la información presentada. Una vez tomada la decisión, es definitiva.
* El CI puede tomar decisiones más arriesgadas que las que normalmente se considerarían en tiempos de paz.
@@ -1272,7 +1272,7 @@ Todos los participantes en la respuesta a un incidente tienen la responsabilidad
* Sea directo y objetivo.
* Mantenga conversaciones/discusiones cortas y al grano.
* Comunicar cualquier preocupación al Comandante de Incidentes (CI) en la llamada.
-* Respetar las limitaciones de tiempo dadas por el Comandante del Incidente.
+* Respetar las limitaciones de tiempo dadas por el Jefe de incidente.
* Si te unes a un solo canal (llamada o chat), no participes activamente, ya que provoca una comunicación inconexa.
* **Utilizar una terminología clara, y evitar acrónimos o abreviaturas. La claridad y la precisión son más importantes que la brevedad.
@@ -1287,12 +1287,12 @@ El [procedimiento de voz] estándar de la radio (https://en.wikipedia.org/wiki/V
**No** invente nuevas abreviaturas; favorezca ser explícito sobre lo implícito.
-#### Seguir al Comandante del Incidente
+#### Seguir al Jefe de incidente
-El comandante del incidente (IC) es el líder del proceso de respuesta al incidente.
+El Jefe de incidente (IC) es el líder del proceso de respuesta al incidente.
-* Siga las instrucciones del comandante del incidente.
-* No realice ninguna acción a menos que el comandante del incidente se lo indique.
+* Siga las instrucciones del Jefe de incidente.
+* No realice ninguna acción a menos que el Jefe de incidente se lo indique.
* El comandante normalmente sondeará si hay objeciones fuertes antes de asignar una acción importante. Plantee objeciones si las tiene.
* Una vez que el comandante haya tomado una decisión, sígala (incluso si no está de acuerdo).
* Responde a cualquier pregunta que te haga el comandante de forma clara y concisa. Responder "no sé" es aceptable. No adivine.
@@ -1391,7 +1391,7 @@ Un Comandante Adjunto de Incidentes (Deputy) es una función de apoyo directo al
1. Plantear al Comandante de Incidentes cuestiones que, de otro modo, podrían no abordarse (vigilar los temporizadores que se han puesto en marcha, dar vueltas a los elementos que se han perdido al pasar lista, etc.).
1. 1. Ser un Comandante de Incidentes "de reserva", en caso de que el comandante principal tenga que hacer la transición a un SME, o tenga que alejarse de la función de CI.
-1. 1. Gestionar la llamada del incidente y estar preparado para retirar a las personas de la llamada si así lo indica el Comandante del Incidente.
+1. 1. Gestionar la llamada del incidente y estar preparado para retirar a las personas de la llamada si así lo indica el Jefe de incidente.
1. Supervisar el estado del incidente y notificar al CI si el nivel de gravedad del incidente aumenta.
1. Supervise los temporizadores:
* controlar el tiempo que ha durado el incidente
@@ -1456,7 +1456,7 @@ Un experto en la materia (SME) es un experto en el dominio o propietario designa
* Acciones: ¿Qué medidas hay que tomar si su zona no se encuentra en un estado saludable?
* Necesidades: ¿Qué apoyo necesita para realizar una acción?
1. Participar en las fases de investigación, remediación y/o comunicación de la respuesta.
-1. Anuncie todas las sugerencias al comandante del incidente, es su decisión cómo proceder, no siga ninguna acción a menos que se le indique.
+1. Anuncie todas las sugerencias al Jefe de incidente, es su decisión cómo proceder, no siga ninguna acción a menos que se le indique.
Si está de guardia para cualquier equipo, puede ser llamado para un incidente y se espera que responda como experto en la materia (SME) para su equipo, componente o servicio. Cualquiera que se considere un "experto en la materia" puede actuar como SME para un incidente. Por lo general, el principal de guardia del equipo actuará como SME para ese equipo.
@@ -1473,7 +1473,7 @@ Si está de guardia para cualquier equipo, puede ser llamado para un incidente y
1. Tenga su ordenador portátil e Internet con usted en todo momento durante su período de guardia (oficina, casa, un MiFi, un teléfono con un plan de anclaje, etc.).
1. Si tienes citas importantes, debes conseguir que otra persona de tu equipo cubra esa franja horaria con antelación.
1. Cuando recibas una alerta de incidente, se espera que te unas a la llamada de incidente y chatees lo antes posible (en cuestión de minutos).
-1. El Comandante del Incidente le hará preguntas o le dará acciones. Responda a las preguntas de forma concisa y siga todas las acciones indicadas (incluso si no está de acuerdo con ellas).
+1. El Jefe de incidente le hará preguntas o le dará acciones. Responda a las preguntas de forma concisa y siga todas las acciones indicadas (incluso si no está de acuerdo con ellas).
1. Si no está seguro de algo, traiga a otras personas de su equipo que puedan ayudarle. **Nunca dudes en escalar**, si es necesario.
1. No culpes. Este proceso de respuesta a incidentes no tiene ninguna culpa: culpar es contraproducente y distrae del problema en cuestión. La revisión posterior a la acción identificará los puntos en los que todos podemos mejorar.
@@ -1498,7 +1498,7 @@ Los enlaces interactúan con otros equipos o partes interesadas, fuera del equip
1. 2. Notificar al CI cualquier cliente o cobertura de los medios de comunicación que informen de los efectos del incidente.
1. Proporcionar a los clientes el mensaje externo de la autopsia una vez que se haya completado.
1. Ponerse en contacto o interactuar con las partes interesadas externas, como proveedores, socios, fuerzas de seguridad, _etc._.
-1. **No** te sientas responsable de crear todos los mensajes: trabaja con el comandante del incidente y con otras partes interesadas.
+1. **No** te sientas responsable de crear todos los mensajes: trabaja con el Jefe de incidente y con otras partes interesadas.
1. Según proceda, mantenga a los clientes informados durante un incidente.
1. Actuar como voz de nuestros clientes ante el Comandante de Incidentes, ya que esto es útil para la toma de decisiones del CI.
1. Obtener la aprobación del mensaje después de haber elaborado el mensaje público: copie el mensaje en el chat y espere la confirmación verbal/escrita del CI antes de continuar.
@@ -1519,8 +1519,8 @@ Los enlaces interactúan con otros equipos o partes interesadas, fuera del equip
#### Enlace interno
-1. Llame a los SME u otro personal de guardia según las instrucciones del Comandante del Incidente.
-1. Notifique o movilice a otros equipos de la organización (por ejemplo, Finanzas, Legal, Marketing), según las instrucciones del Comandante del Incidente.
+1. Llame a los SME u otro personal de guardia según las instrucciones del Jefe de incidente.
+1. Notifique o movilice a otros equipos de la organización (por ejemplo, Finanzas, Legal, Marketing), según las instrucciones del Jefe de incidente.
1. Seguir y anticiparse a las PYMES en la llamada.
1. 2. Interactuar con las partes interesadas y proporcionar actualizaciones de estado según sea necesario.
1. Interactuar con las partes interesadas internas para responder a sus preguntas, para mantener la llamada principal libre de distracciones.
@@ -1539,7 +1539,7 @@ Leer y comprender el plan de respuesta a incidentes, incluidos los roles y los l
# Llevar a cabo una revisión posterior a la acción (AAR)
1. Programe una reunión de revisión posterior a la acción (AAR) dentro de {{AAR_SLA}} e invite a los asistentes que figuran en {{AAR_ATTENDEES}}. Incluya siempre a los siguientes:
- * El comandante del incidente.
+ * El Jefe de incidente.
* Los propietarios de los servicios implicados en el incidente.
* Ingeniero(s)/responsable(s) clave involucrados en el incidente.
1. Designe a un propietario del AAR que investigue el incidente antes de la reunión para prepararlo, estudiando el proceso del incidente en sí, incluida la revisión de notas e informes.
From 73285c8b6e98bbc2ec7af3ffe5058c9e2da44418 Mon Sep 17 00:00:00 2001
From: alejandrosanchezman
<94168011+alejandrosanchezman@users.noreply.github.com>
Date: Tue, 10 May 2022 10:18:37 +0200
Subject: [PATCH 027/199] Add files via upload
From 2344beb45e4a41cff30abfe52cdabe33e0722802 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 19:34:28 +0200
Subject: [PATCH 028/199] Update index.md
arreglado enlaces.
---
playbooks/index.md | 4 ++--
1 file changed, 2 insertions(+), 2 deletions(-)
diff --git a/playbooks/index.md b/playbooks/index.md
index 8d3ccb5..b577d8d 100644
--- a/playbooks/index.md
+++ b/playbooks/index.md
@@ -1,6 +1,6 @@
# Playbook
-Los siguientes libros de jugadas capturan los pasos comunes de [investigación](#investigación), [remediación](#remediación) y [comunicación](#comunicación) para determinados tipos de incidentes.
+Los siguientes playbooks capturan los pasos comunes de [investigación](#investigate), [remediación](#remediate) y [comunicación](#communicate) para determinados tipos de incidentes.
-Tarea: Crear libros de juego adicionales para tipos de incidentes muy probables o muy perjudiciales.
+`TODO: Crear libros de juego adicionales para tipos de incidentes muy probables o muy perjudiciales.`
From 24ed2c2dc29ca4427223c3e5f8af374c6e47ee4c Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 19:42:08 +0200
Subject: [PATCH 029/199] arreglado cambios menores
---
playbooks/playbook-defacement.md | 14 +++++++-------
1 file changed, 7 insertions(+), 7 deletions(-)
diff --git a/playbooks/playbook-defacement.md b/playbooks/playbook-defacement.md
index 77809c4..3cb4b81 100644
--- a/playbooks/playbook-defacement.md
+++ b/playbooks/playbook-defacement.md
@@ -1,7 +1,7 @@
## Playbook: Desaparición de sitios web
-**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo!**
Asigne los pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este libro de jugadas no es puramente secuencial. Utilice su mejor criterio.
### Investigar
@@ -57,9 +57,9 @@ Asigne los pasos a individuos o equipos para que trabajen simultáneamente, cuan
#### Contención
-Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para la desfiguración de sitios web.
+`TODO: Personalizar los pasos de contención, tácticos y estratégicos, para la desfiguración de sitios web.`
-Tarea: Especificar las herramientas y los procedimientos para cada paso, a continuación.
+`TODO: Especificar las herramientas y los procedimientos para cada paso, a continuación.`
1. Haga una copia de seguridad de todos los datos almacenados en el servidor web con fines forenses.
2. Como se ha mencionado anteriormente, asegúrese de que el servidor de la página desfigurada está temporalmente fuera de servicio mientras se lleva a cabo la investigación.
@@ -101,9 +101,9 @@ Tarea: Especificar las herramientas y los procedimientos para cada paso, a conti
### Comunicar
-TODO: Personalizar los pasos de comunicación para la desfiguración
+`TODO: Personalizar los pasos de comunicación para la desfiguración`
-TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general`.
+`TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general`
1. 1. Elevar el incidente y comunicarlo a la dirección según el procedimiento
1. 2. Documentar el incidente según el procedimiento (e informar si procede)
@@ -130,7 +130,7 @@ TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe
#### Referencia: Acciones del usuario ante un ataque de sospecha de defacement
-Tarea: Personalizar los pasos a seguir por los usuarios ante una sospecha de defacement
+`TODO: Personalizar los pasos a seguir por los usuarios ante una sospecha de defacement`
1. Mantenga la calma y respire profundamente.
1. 2. Desconecte su sistema de la red `TODO: incluya pasos detallados con capturas de pantalla, una herramienta preinstalada o un script para hacer esto fácil ("romper en caso de emergencia"), considere interruptores de corte de red por hardware`.
@@ -166,4 +166,4 @@ Tarea: Personalizar los pasos a seguir por los usuarios ante una sospecha de def
1. Un útil y detallado [paper](https://pdfs.semanticscholar.org/899e/2d629e06d920b9059edb21fcb52cdb33f783.pdf) sobre la detección de la desfiguraciónw
2. 10 herramientas para[better website monitoring and security](https://geekflare.com/website-defacement-monitoring/)
3. [2019 Website Threat Research Report](https://sucuri.net/reports/2019-hacked-website-report/) con estadísticas útiles
-4. [Article](https://www.imperva.com/learn/application-security/website-defacement-attack/) incluyendo bricolaje y mejores prácticas para evitar la desfiguración de sitios web
\ No newline at end of file
+4. [Article](https://www.imperva.com/learn/application-security/website-defacement-attack/) incluyendo bricolaje y mejores prácticas para evitar la desfiguración de sitios web
From 2583dfdf00cb503d2c52189b21c10323a07c9713 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 19:44:33 +0200
Subject: [PATCH 030/199] Update playbook-defacement.md
---
playbooks/playbook-defacement.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/playbooks/playbook-defacement.md b/playbooks/playbook-defacement.md
index 3cb4b81..256a725 100644
--- a/playbooks/playbook-defacement.md
+++ b/playbooks/playbook-defacement.md
@@ -148,7 +148,7 @@ Asigne los pasos a individuos o equipos para que trabajen simultáneamente, cuan
`TODO: Personalizar los pasos para el personal del servicio de asistencia ante una sospecha de defacement`.
1. Mantenga la calma y respire profundamente.
-1. Abra un ticket para documentar el incidente, según el procedimiento. Tarea: Personalizar la plantilla con las preguntas clave (véase más abajo) y el flujo de trabajo posterior.
+1. Abra un ticket para documentar el incidente, según el procedimiento. `TODO: Personalizar la plantilla con las preguntas clave (véase más abajo) y el flujo de trabajo posterior`
1. Utiliza tu mejor criterio para decidir qué pasos priorizar (por ejemplo, si la desfiguración dejó contenido dañino o desencadenante, prioriza la retirada del servidor inmediatamente).
1. Pídele al usuario que tome fotos de su pantalla con su teléfono inteligente mostrando las cosas que notó.
1. Toma notas sobre el problema o los problemas utilizando la aplicación de notas de voz de tu smartphone o con papel y lápiz. 2. Si se trata de un informe de usuario, haga preguntas detalladas, incluyendo
From 1999bf1e29ee4b3cf7387bfe63805129af152799 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 19:47:30 +0200
Subject: [PATCH 031/199] cambios menores
---
playbooks/playbook-identity-and-access.md | 16 ++++++++--------
1 file changed, 8 insertions(+), 8 deletions(-)
diff --git a/playbooks/playbook-identity-and-access.md b/playbooks/playbook-identity-and-access.md
index b8c3875..b4e3697 100644
--- a/playbooks/playbook-identity-and-access.md
+++ b/playbooks/playbook-identity-and-access.md
@@ -1,12 +1,12 @@
## Playbook: Compromiso de identidad y acceso
-**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo!.**
Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este libro de jugadas no es puramente secuencial. Utilice su mejor criterio.
### Investigar
-Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el compromiso de la identidad y el acceso.
+`TODO: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el compromiso de la identidad y el acceso.`
1. TODO
@@ -17,19 +17,19 @@ Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrat
#### Contención
-Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para el compromiso de la identidad y el acceso.
+`TODO: Personalizar los pasos de contención, tácticos y estratégicos, para el compromiso de la identidad y el acceso.`
-TODO: Especificar las herramientas y procedimientos para cada paso, a continuación.
+`TODO: Especificar las herramientas y procedimientos para cada paso, a continuación.`
-*TODO
+* TODO
`TODO: Considerar la automatización de las medidas de contención utilizando herramientas de orquestación.`
#### Erradicar
-TODO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el compromiso de la identidad y el acceso.
+`TODO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el compromiso de la identidad y el acceso.`
-TODO: Especificar herramientas y procedimientos para cada paso, a continuación.
+`TODO: Especificar herramientas y procedimientos para cada paso, a continuación.`
* TODO
@@ -39,7 +39,7 @@ TODO: Especificar herramientas y procedimientos para cada paso, a continuación.
### Comunicar
-TODO: Personalizar los pasos de comunicación para el compromiso de la identidad y el acceso.
+`TODO: Personalizar los pasos de comunicación para el compromiso de la identidad y el acceso.`
`TODO: Especifique las herramientas y los procedimientos (incluyendo quién debe participar) para cada paso, a continuación, o remítase al plan general.`
From 00ceb554219887a291a06a57cdce065b3bf258c3 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 19:50:50 +0200
Subject: [PATCH 032/199] Update playbook-phishing.md
---
playbooks/playbook-phishing.md | 4 ++--
1 file changed, 2 insertions(+), 2 deletions(-)
diff --git a/playbooks/playbook-phishing.md b/playbooks/playbook-phishing.md
index d89efa8..da287f5 100644
--- a/playbooks/playbook-phishing.md
+++ b/playbooks/playbook-phishing.md
@@ -1,6 +1,6 @@
## Playbook: Phishing
-**Investigar, reparar (contener, erradicar), y comunicar en paralelo!**
+**Investigar, remediar (contener, erradicar), y comunicar en paralelo!**
Asigna pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este playbook no es meramente secuencial. Utilice su mejor criterio.
@@ -49,7 +49,7 @@ Asigna pasos a individuos o equipos para que trabajen simultáneamente, cuando s
`TODO: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el phishing.`
-### Reparar
+### Remediar
* **Planificar eventos de reparación** en los que estos pasos se pongan en marcha juntos (o de forma coordinada), con los equipos adecuados listos para responder a cualquier interrupción.
* **Considere el momento y las compensaciones** de las acciones de reparación: su respuesta tiene consecuencias.
From c10a728c853bb5a8ae03ff2a64087f32628bf9c2 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 19:51:21 +0200
Subject: [PATCH 033/199] Update playbook-phishing.md
---
playbooks/playbook-phishing.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/playbooks/playbook-phishing.md b/playbooks/playbook-phishing.md
index da287f5..95405e2 100644
--- a/playbooks/playbook-phishing.md
+++ b/playbooks/playbook-phishing.md
@@ -51,7 +51,7 @@ Asigna pasos a individuos o equipos para que trabajen simultáneamente, cuando s
### Remediar
-* **Planificar eventos de reparación** en los que estos pasos se pongan en marcha juntos (o de forma coordinada), con los equipos adecuados listos para responder a cualquier interrupción.
+* **Planificar eventos de remediación** en los que estos pasos se pongan en marcha juntos (o de forma coordinada), con los equipos adecuados listos para responder a cualquier interrupción.
* **Considere el momento y las compensaciones** de las acciones de reparación: su respuesta tiene consecuencias.
#### Contener
From a956a03c7a816a8f14aef562deb30471b1ee78aa Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 19:54:30 +0200
Subject: [PATCH 034/199] Update playbook-supply-chain.md
---
playbooks/playbook-supply-chain.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/playbooks/playbook-supply-chain.md b/playbooks/playbook-supply-chain.md
index 72894d6..3a5970d 100644
--- a/playbooks/playbook-supply-chain.md
+++ b/playbooks/playbook-supply-chain.md
@@ -1,6 +1,6 @@
## Playbook: Compromiso de la cadena de suministro
-**Investigar, remediar (contener, erradicar) y comunicar en paralelo.
+**Investigar, remediar (contener, erradicar) y comunicar en paralelo!.**
Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este libro de jugadas no es puramente secuencial. Utilice su mejor criterio.
From de278ef29da8301bd4411a69bd518cb286875964 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 19:56:20 +0200
Subject: [PATCH 035/199] Update glossary.md
---
reference/glossary.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/reference/glossary.md b/reference/glossary.md
index cc7afe1..dcb61ea 100644
--- a/reference/glossary.md
+++ b/reference/glossary.md
@@ -1,6 +1,6 @@
# Glosario
-1. **El jefe de incidentes es la persona responsable de resolver cualquier incidente grave. Es la persona de mayor rango en cualquier llamada de incidente mayor, independientemente de su rango diario. Sus decisiones como comandante son definitivas.
+1. **El Incident Commander es la persona responsable de resolver cualquier incidente grave. Es la persona de mayor rango en cualquier llamada de incidente mayor, independientemente de su rango diario. Sus decisiones como comandante son definitivas.**
1. **El adjunto:** Normalmente es el CI de apoyo. El trabajo del ayudante es apoyar al CI durante la llamada, proporcionándole cualquier ayuda que necesite.
1. **Escriba:** El trabajo del escriba es mantener un registro de todas las actividades realizadas durante la llamada en un registro de chat escrito en Slack.
1. **Resolver:** Una persona en la llamada de incidentes que es capaz de ayudar a resolver problemas dentro de un sistema particular. También se le conoce como PYME (ver más abajo).
From 9402efccb64ed5c73d8481a416e10a9bd19cfb36 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 10 May 2022 19:58:03 +0200
Subject: [PATCH 036/199] cambio del incident commander
---
roles/index.md | 6 +++---
1 file changed, 3 insertions(+), 3 deletions(-)
diff --git a/roles/index.md b/roles/index.md
index 09a8b48..98e45f9 100644
--- a/roles/index.md
+++ b/roles/index.md
@@ -7,9 +7,9 @@ A continuación se presentan las descripciones, los deberes y la formación para
## Estrcutura de los roles
* Equipo de Mando
- * [Jefe de Incidente](#role-incident-commander-ic)
- * [Jefe-Adjunto de Incidente](#role-deputy-incident-commander-deputy)
- * [Escribano o Escribiente](#role-scribe)
+ * [Incident Commander](#role-incident-commander-ic)
+ * [Incident Commander-Adjunto](#role-deputy-incident-commander-deputy)
+ * [Escriba](#role-scribe)
* Equipo de enlace
* Enlace Interno [Enlace](#role-liaison)
* Enlace externo
From a5f2e5bba45d11bb12a27eed41edd7064af1b344 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:19:52 +0200
Subject: [PATCH 037/199] Update index.md
---
roles/index.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/roles/index.md b/roles/index.md
index 98e45f9..ae0ec03 100644
--- a/roles/index.md
+++ b/roles/index.md
@@ -4,7 +4,7 @@ A continuación se presentan las descripciones, los deberes y la formación para
`TODO: Personalizar los roles, las descripciones, las funciones y la formación, si es necesario.`
-## Estrcutura de los roles
+## Estructura de los roles
* Equipo de Mando
* [Incident Commander](#role-incident-commander-ic)
From 0f3a4f1192216f7ea14479e73c6ed38e4972e426 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:30:35 +0200
Subject: [PATCH 038/199] Incident commander
---
during.md | 58 +++++++++++++++++++++++++++----------------------------
1 file changed, 29 insertions(+), 29 deletions(-)
diff --git a/during.md b/during.md
index 4411702..def6315 100644
--- a/during.md
+++ b/during.md
@@ -15,7 +15,7 @@ Fue revisado por última vez el {{REVIEW_DATE}}. Fue probado por última vez en
1. **Mantenga la calma y la profesionalidad.**
2. Reúna la información pertinente, _por ejemplo_, alarmas, eventos, datos, suposiciones, intuiciones (**observe**).
3. Considerar las categorías de impacto, a continuación (**orientar**), y determinar si hay un posible incidente (**decidir**):
-4. Iniciar una respuesta si hay un incidente (**actuar**). En caso de duda, inicie una respuesta. El jefe del incidente y el equipo de respuesta pueden ajustarse tras la investigación y la revisión.
+4. Iniciar una respuesta si hay un incidente (**actuar**). En caso de duda, inicie una respuesta. El Incident Commander y el equipo de respuesta pueden ajustarse tras la investigación y la revisión.
## Evaluar el impacto funcional
@@ -43,8 +43,8 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
## Reunir el equipo de respuesta
-1. Llame al jefe de Incidentes de turno/de guardia. `TODO: Añadir lista o procedimiento de llamada del jefe de Incidentes`.
-2. **No** discuta el incidente fuera del equipo de respuesta a menos que el jefe del Incidente lo autorice
+1. Llame al Incident Commander de turno/de guardia. `TODO: Añadir lista o procedimiento de llamada del Incident Commander`.
+2. **No** discuta el incidente fuera del equipo de respuesta a menos que el Incident Commander lo autorice
3. Inicie y/o únase al chat de respuesta en {{RESPONSE_CHAT}}. `ToDo: Añadir el procedimiento de lanzamiento del chat de respuesta.`
4. Iniciar y/o unirse a la llamada de respuesta en {{RESPONSE_PHONE}} y/o {{RESPONSE_VTC}}. `TODO: Añadir el procedimiento de lanzamiento de la llamada de respuesta.`
5. Prefiera la llamada de voz, el chat y el intercambio seguro de archivos sobre cualquier otro método.
@@ -59,9 +59,9 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
### Referencia: Estructura del equipo de respuesta
* Equipo de Mando
- * [jefe del Incidente](#role-incident-commander-ic)
- * [jefe Adjunto de Incidentes](#role-deputy-incident-commander-deputy)
- * [Escribano](#role-scribe)
+ * [Incident Commander](#role-incident-commander-ic)
+ * [Incident Commander-Adjunto](#role-deputy-incident-commander-deputy)
+ * [Escriba](#role-scribe)
* Equipo de enlace
* Enlace [interno](#role-liaison)
* Enlace externo
@@ -76,9 +76,9 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
Rol del equipo de respuesta | Información de contacto
----------------------------------- | ---------------------------
-Localizador del jefe del incidente | {INCIDENT_COMMANDER_PAGER_NUMBER}}
-Url del jefe de Incidentes | {{INCIDENT_COMMANDER_PAGER_URL}}
-Lista del jefe de incidentes | {{INCIDENT_COMMANDER_ROSTER}}
+Localizador del Incident Commander | {INCIDENT_COMMANDER_PAGER_NUMBER}}
+Url del Incident Commander | {{INCIDENT_COMMANDER_PAGER_URL}}
+Lista del Incident Commander | {{INCIDENT_COMMANDER_ROSTER}}
Lista del equipo de seguridad | {{SECURITY_TEAM_ROSTER}}
Lista del equipo SME | {{TEAM_SME_ROSTER}}
Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
@@ -90,7 +90,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
### Realizar la llamada de respuesta inicial
1. Realice la llamada inicial utilizando la [estructura de llamada de respuesta inicial](#reference-initial-response-call-structure)
-2. Siga las instrucciones del Jefe del Incidente. Si el Jefe de Incidentes de turno/de guardia no se une a la llamada **dentro de {{INCIDENT_COMMANDER_RESPONSE_SLA}}** y usted es un Jefe de incidentes capacitado, tome el mando de la llamada.
+2. Siga las instrucciones del Incident Commander. Si el Incident Commander de turno/de guardia no se une a la llamada **dentro de {{INCIDENT_COMMANDER_RESPONSE_SLA}}** y usted es un Incident Commander capacitado, tome el mando de la llamada.
3. Siga las [instrucciones correspondientes a su función](#roles).
4. Siga la llamada y el chat, y comente según corresponda. Si no es un SME, filtre las aportaciones a través del SME de su equipo si es posible.
5. **Mantenga la llamada y el chat activos durante todo el incidente para una comunicación basada en eventos.**
@@ -98,7 +98,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
#### Referencia: Estructura de la llamada de respuesta inicial
-*Jefe DEL INCIDENTE (IC): Mi nombre es [NOMBRE], soy el Jefe del Incidente. He designado a [NOMBRE] como adjunto y a [NOMBRE] como escribiente. ¿Quién está en la llamada?
+*Incident Commander (IC): Mi nombre es [NOMBRE], soy el Incident Commander. He designado a [NOMBRE] como adjunto y a [NOMBRE] como escribiente. ¿Quién está en la llamada?
* SCRIBE: [Toma asistencia]
* IC: [Si falta personal clave] Diputado, por favor llame a [PERSONAL FALTANTE].
* IC: [Hace preguntas para comprender la situación, los síntomas, el alcance, el vector, el impacto y el calendario del informador del incidente, los SME aplicables para los sistemas y las unidades de negocio].
@@ -119,8 +119,8 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
* Habla con claridad.
* Sea directo y objetivo.
* Mantenga conversaciones/discusiones cortas y al grano.
-* Comunicar cualquier preocupación al Jefe de Incidentes (CI) en la llamada.
-* Respetar las limitaciones de tiempo impuestas por el Jefe del Incidente.
+* Comunicar cualquier preocupación al Incident Commander (CI) en la llamada.
+* Respetar las limitaciones de tiempo impuestas por el Incident Commander.
* **Utilizar una terminología clara y evitar acrónimos o abreviaturas. La claridad y la precisión son más importantes que la brevedad.
### Realizar la actualización de la respuesta
@@ -131,7 +131,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
#### Referencia: Estructura de la llamada de actualización de la respuesta
-* Jefe DEL INCIDENTE (IC): Desde la última actualización programada, el resumen del incidente es el siguiente:
+* Incident Commander (IC): Desde la última actualización programada, el resumen del incidente es el siguiente:
* [Impacto]
* [Vector]
* [Actualización del resumen]
@@ -153,16 +153,16 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
## Supervisar el alcance
-* Supervisar el alcance de la respuesta para asegurarse de que no excede el ámbito de control del Jefe del incidente.
+* Supervisar el alcance de la respuesta para asegurarse de que no excede el ámbito de control del Incident Commander.
* Si un incidente es lo suficientemente complejo y hay suficientes intervinientes, considere la posibilidad de crear subequipos.
### Crear Sub-Equipos
* En la preparación de incidentes complejos, se predefinen tres subequipos: Investigación, Remediación y Comunicación, generalmente responsables de esas funciones de respuesta. `TODO: Personalizar la estructura de los subequipos si es necesario.`
* Crear un puente de llamadas y un chat para cada subequipo.
-* El Jefe del Incidente designará a los líderes de los equipos, que dependen del CI, y a los miembros de los equipos, que dependen de su líder. _Los líderes de equipo no tienen que estar formados como Jefes de incidentes, pero es preferible que tengan alguna experiencia de liderazgo._
-* El Jefe del Incidente puede ajustar el propósito o el nombre de los subequipos según sea necesario.
-* Si desea cambiar de equipo, pregunte a su **líder de equipo actual**. **No** pregunte al Jefe de Incidentes, o al líder del otro(s) equipo(s). Utilice la cadena de mando.
+* El Incident Commander designará a los líderes de los equipos, que dependen del CI, y a los miembros de los equipos, que dependen de su líder. _Los líderes de equipo no tienen que estar formados como Incident Commanders, pero es preferible que tengan alguna experiencia de liderazgo._
+* El Incident Commander puede ajustar el propósito o el nombre de los subequipos según sea necesario.
+* Si desea cambiar de equipo, pregunte a su **líder de equipo actual**. **No** pregunte al Incident Commander, o al líder del otro(s) equipo(s). Utilice la cadena de mando.
### Incidente dividido
@@ -171,11 +171,11 @@ Si un incidente resulta ser dos o más incidentes distintos:
* Establezca un nuevo [archivo de incidentes](#create-incident-file).
* Haga un seguimiento y coordine la investigación, la reparación y la comunicación en el archivo correspondiente.
* Considere la posibilidad de establecer subequipos para cada incidente.
-* **Mantener un Jefe de incidentes de alto nivel**, para coordinar los activos de baja densidad y alta demanda y mantener la unidad de mando.
+* **Mantener un Incident Commander de alto nivel**, para coordinar los activos de baja densidad y alta demanda y mantener la unidad de mando.
# Investigar
-**[Investigar](#investigate), [remediar](#remediate) y [comunicar](#communicate) en paralelo, utilizando equipos separados, si es posible.** El Jefe del Incidente coordinará estas actividades. Notifique al Jefe del Incidente si hay pasos que el equipo debe considerar.
+**[Investigar](#investigate), [remediar](#remediate) y [comunicar](#communicate) en paralelo, utilizando equipos separados, si es posible.** El Incident Commander coordinará estas actividades. Notifique al Incident Commander si hay pasos que el equipo debe considerar.
## Crear el archivo del incidente
@@ -359,7 +359,7 @@ Considere la posibilidad de recopilar los siguientes artefactos como evidencia,
# Remediar
-**Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible.** El Jefe del incidente coordinará estas actividades. Notifique al Jefe del Incidente si hay pasos que el equipo debe considerar
+**Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible.** El Incident Commander coordinará estas actividades. Notifique al Incident Commander si hay pasos que el equipo debe considerar
## Actualización del plan de remediación
@@ -434,7 +434,7 @@ Utilice lo siguiente como punto de partida para la remediación de la erradicaci
## Elegir el momento de la reparación
-Determine la estrategia de plazos -cuando se llevarán a cabo las acciones de remediación- involucrando al Jefe de Incidentes, a los PYMES y propietarios del sistema, a los PYMES y propietarios de la unidad de negocio, y al equipo ejecutivo. Cada estrategia es apropiada en diferentes circunstancias:
+Determine la estrategia de plazos -cuando se llevarán a cabo las acciones de remediación- involucrando al Incident Commander, a los PYMES y propietarios del sistema, a los PYMES y propietarios de la unidad de negocio, y al equipo ejecutivo. Cada estrategia es apropiada en diferentes circunstancias:
* Elija la reparación **inmediata** cuando sea más importante detener inmediatamente las actividades del atacante que seguir investigando. Por ejemplo, una pérdida financiera en curso, o un fracaso de la misión en curso, una pérdida de datos activa, o la prevención de una amenaza significativa inminente.
* Elija una reparación **retrasada** cuando sea importante completar la investigación o no alertar al atacante. Por ejemplo, el compromiso a largo plazo de un atacante avanzado, el espionaje corporativo o el compromiso a gran escala de un número desconocido de sistemas.
@@ -454,7 +454,7 @@ Determine la estrategia de plazos -cuando se llevarán a cabo las acciones de re
#Comunicar
-**Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible. Notifique al Jefe del Incidente si hay pasos que el equipo debe considerar
+**Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible. Notifique al Incident Commander si hay pasos que el equipo debe considerar
Toda comunicación debe incluir la información más precisa disponible. Muestre integridad. No comunicar especulaciones.
@@ -468,7 +468,7 @@ Toda comunicación debe incluir la información más precisa disponible. Muestr
### Notificar y actualizar la organización
-* **No** notifique o actualice al personal que no responde hasta que el Jefe del Incidente lo autorice, en particular si existe el riesgo de una amenaza interna.
+* **No** notifique o actualice al personal que no responde hasta que el Incident Commander lo autorice, en particular si existe el riesgo de una amenaza interna.
* Coordine las actualizaciones de los equipos o de toda la organización con los ejecutivos y la dirección de la empresa.
* Concéntrese en la mejor evaluación del vector, el impacto, el resumen y los aspectos más destacados de la línea de tiempo, incluidos los pasos de remediación. No especule.
@@ -482,13 +482,13 @@ Toda comunicación debe incluir la información más precisa disponible. Muestr
### Notificar a los reguladores
-* **No** notifique ni ponga al día al personal que no ha respondido hasta que el Jefe del Incidente lo autorice.
+* **No** notifique ni ponga al día al personal que no ha respondido hasta que el Incident Commander lo autorice.
* Notificar a los organismos reguladores (por ejemplo, HIPAA/HITRUST, PCI DSS, SOX) si es necesario y de acuerdo con la política.
* Coordinar los requisitos, el formato y los plazos con el {{COMPLIANCE_TEAM}}.
### Notificar a los clientes
-* **No** notifique o actualice al personal que no responde hasta que el Jefe del Incidente lo autorice.
+* **No** notifique o actualice al personal que no responde hasta que el Incident Commander lo autorice.
* Coordine las notificaciones a los clientes con {{COMMUNICATIONS_TEAM}}.
* Incluya la fecha en el título de cualquier anuncio, para evitar confusiones.
* No utilice tópicos como "nos tomamos la seguridad muy en serio". Céntrese en los hechos.
@@ -501,14 +501,14 @@ Toda comunicación debe incluir la información más precisa disponible. Muestr
### Notificar a los proveedores y socios
-* **No** notifique o actualice al personal que no responde hasta que el Jefe del Incidente lo autorice.
+* **No** notifique o actualice al personal que no responde hasta que el Incident Commander lo autorice.
* Si es posible, póngase en contacto con los equipos de seguridad internos de los proveedores y socios antes de notificar al público.
* Céntrese en los aspectos específicos del incidente que afectan o implican al proveedor o socio.
* Coordine los esfuerzos de respuesta y comparta la información si es posible.
### Notificar a las Fuerzas de Seguridad
-* **No** notifique o actualice al personal que no responde hasta que el Jefe del Incidente lo autorice.
+* **No** notifique o actualice al personal que no responde hasta que el Incident Commander lo autorice.
* Coordinar con {{EXECUTIVE_TEAM}} y {{LEGAL_TEAM}} antes de interactuar con las fuerzas del orden.
* Póngase en contacto con las fuerzas del orden locales en {{LOCAL_LE_CONTACT}}.
* Póngase en contacto con el FBI en {{FBI_CONTACT}} o a través del [Internet Crime Complaint Center (IC3)](https://www.ic3.gov).
@@ -534,4 +534,4 @@ Toda comunicación debe incluir la información más precisa disponible. Muestr
**La recuperación suele estar dirigida por las unidades de negocio y los propietarios de los sistemas. Tome medidas de recuperación sólo en colaboración con las partes interesadas pertinentes.**
1. Poner en marcha un plan de continuidad de negocio/recuperación de desastres: Por ejemplo, considerar la migración a ubicaciones operativas alternativas, sitios de conmutación por error, sistemas de copia de seguridad.
-2. Integrar las acciones de seguridad con los esfuerzos de recuperación de la organización.
\ No newline at end of file
+2. Integrar las acciones de seguridad con los esfuerzos de recuperación de la organización.
From b27cf47b3dab42b0c909e1019191f9e289d8eab4 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:35:07 +0200
Subject: [PATCH 039/199] Update glossary.md
---
reference/glossary.md | 6 +++---
1 file changed, 3 insertions(+), 3 deletions(-)
diff --git a/reference/glossary.md b/reference/glossary.md
index dcb61ea..80c2261 100644
--- a/reference/glossary.md
+++ b/reference/glossary.md
@@ -5,8 +5,8 @@
1. **Escriba:** El trabajo del escriba es mantener un registro de todas las actividades realizadas durante la llamada en un registro de chat escrito en Slack.
1. **Resolver:** Una persona en la llamada de incidentes que es capaz de ayudar a resolver problemas dentro de un sistema particular. También se le conoce como PYME (ver más abajo).
1. **SME:** "Subject Matter Expert", alguien que es un experto en un servicio o tema particular que puede proporcionar información al CI, y realizar acciones de resolución para un sistema en particular.
-1. **Personal de mando: El personal de mando está formado por el comandante del incidente, el ayudante y el escriba.
+1. **Personal de mando:** El personal de mando está formado por el comandante del incidente, el ayudante y el escriba.
1. **Informe CAN:** CAN significa "Condiciones" "Acciones" "Necesidades", si un CI le pide un informe CAN, debe proporcionar el estado actual de su servicio (condición), qué acciones hay que tomar para devolverlo a un estado saludable (acciones), y qué apoyo necesita para realizar las acciones (necesidades).
1. **Espacio de control:** Se refiere al número de informes directos que tiene. Por ejemplo, si el CI tiene 10 personas como informes directos en una convocatoria, tiene un gran rango de control. Nuestro objetivo es que el rango de control sea el mínimo posible sin dejar de ser productivo.
-1. **Alguien que se une a la llamada en un momento tardío del juego, y proporciona información que desbarata completamente el pensamiento actual. A continuación, se marchan casi inmediatamente.
-1. **Cuando un ejecutivo entra en la convocatoria y suelta algún tipo de bomba. Una versión del lanzamiento de granadas.
+1. **Lanzagranadas:** Alguien que se une a la llamada en un momento tardío del juego, y proporciona información que desbarata completamente el pensamiento actual. A continuación, se marchan casi inmediatamente.
+1. **Golpe Ejecutivo:** Cuando un ejecutivo entra en la convocatoria y suelta algún tipo de bomba. Una versión del lanzamiento de granadas.
From bb9cee225f7e319e5343146e422fcc5945a81e7b Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:37:47 +0200
Subject: [PATCH 040/199] Incident commander
---
roles/role-1-commander.md | 22 +++++++++++-----------
1 file changed, 11 insertions(+), 11 deletions(-)
diff --git a/roles/role-1-commander.md b/roles/role-1-commander.md
index 98e3542..10fbfbd 100644
--- a/roles/role-1-commander.md
+++ b/roles/role-1-commander.md
@@ -1,7 +1,7 @@
## Rol: Incident commander
### Descripcion
-El Incident commander(JI) actua como la unica fuente de lo que realmente esta ocurriendo y va a ocurrir durante un incidente grave. El JI es el individuo con mayor ranking en cualquier llamada de incidente, sin importar el rango en el dia a dia. Ellos son los que toman decisiones durante un incidente; delegan tareas y prestan atencion a expertos en la materia que estan tratando para resolver el incidente. Las decisiones tomadas por el el Incident commander las decisivas.
+El Incident commander(IC) actua como la unica fuente de lo que realmente esta ocurriendo y va a ocurrir durante un incidente grave. El JI es el individuo con mayor ranking en cualquier llamada de incidente, sin importar el rango en el dia a dia. Ellos son los que toman decisiones durante un incidente; delegan tareas y prestan atencion a expertos en la materia que estan tratando para resolver el incidente. Las decisiones tomadas por el el Incident commander las decisivas.
Tu trabajo como Incident commander evaluar la situacion, proveer un guiado claro y cordinado, contratar otros trabajadores para recolectar contexto/detalles.**No realizar investigaciones o remedios** delega estos trabajos.
@@ -12,12 +12,12 @@ Resuelve el incidente lo mas rapido y seguro posible usando el plan de respuesta
1. Ayuda a preparos para incidentes,
* Establecer canales de comunicacion para incidentes.
* Redirige a las personas hacia estos canales de comunicacion cuando acurra algun incidente grave.
- * Entrena a miembros del equipo sobre como comunicarte durante incidentes y entrena a otros jefes de incidentes.
+ * Entrena a miembros del equipo sobre como comunicarte durante incidentes y entrena a otros Incident Commanders.
1. Dirige los incidentes hacia una solucion,
* Lleva a todos al mismo canal de comunicacion.
* Recolecta informacion de los miembros del equipo por sus servicios de estatus.
* Recolecta propuestas de reparacion de acciones, despues recomienda acciones de reparacion para que se lleven acabo.
- * Delega todas la acciones de reparacion, el jefe de incidentes no es un resolutor.
+ * Delega todas la acciones de reparacion, el Incident Commander no es un resolutor.
* Se la unica fuente de autoridad en el estado del sistema.
1. Facilita las llamadas y reuniones,
* Gana concenso (Realiza encuentas durante las llamadas)
@@ -29,7 +29,7 @@ Resuelve el incidente lo mas rapido y seguro posible usando el plan de respuesta
* Mantener el orden
* Obten respuestas directas
* Manejar las caidas de ejecutivos como
- * Anular al jefe de incidentes
+ * Anular al Incident Commander
* Desmotivación
* Peticion de informacion
* Cuestionar la severidad
@@ -39,14 +39,14 @@ Resuelve el incidente lo mas rapido y seguro posible usando el plan de respuesta
* Asignar el post-mortem despues de que el evento termine, esto puede darse despues de terminar la llamada.
* Trabaja con los manager o jefes de equipo para organizar acciones preventivas.
-El jefe de incidentes utiliza metodos y lenguajes adicionales:
+El Incident Commander utiliza metodos y lenguajes adicionales:
* Siempre anuncie cuando se una a la llamada si es el JI de guardia.
* **No** permita que las discusiones se salgan de control. Mantenga las conversaciones cortas.
* Tenga en cuenta las objeciones de los demás, pero tu decision es la definitiva.
* Si alguien está interrumpiendo activamente tu decision, expulsalo.
* Anuncia el final de la llamada.
-* Después de un incidente, comuníquese con otros jefes de incidentes sobre cualquier acción que considere necesaria.
+* Después de un incidente, comuníquese con otros Incident Commander sobre cualquier acción que considere necesaria.
**Utilice una terminología clara y evite las siglas o abreviaturas. La claridad y la precisión son más importantes que la brevedad.**
@@ -54,14 +54,14 @@ El jefe de incidentes utiliza metodos y lenguajes adicionales:
* Lea el plan de respuesta a incidentes, incluidos todos los roles y manuales.
* Participar en un ejercicio de respuesta a incidentes.
-* Seguir a un jefe de incidentes actual sin participar activamente, manteniendo sus preguntas hasta el final.
-* Tomar la iniciativa de un jefe de incidentes. Responda a incidentes con el JI actual allí para hacerse cargo si es necesario.
+* Seguir a un Incident Commander actual sin participar activamente, manteniendo sus preguntas hasta el final.
+* Tomar la iniciativa de un Incident Commander. Responda a incidentes con el JI actual allí para hacerse cargo si es necesario.
* _OPCIONAL:_ facilitar las practicas
* _OPCIONAL:_ recurre a [Incident Responders as Facilitators (and Therapists)](#FIX) y al [PagerDuty Incident Commander training](https://response.pagerduty.com/training/incident_commander/) para mas ideas y discussiones.
#### prerequisitos
-No hay requisitos previos de antigüedad o unidad de negocios para convertirse en jefe de Incidentes, es un rol abierto a cualquier persona con la capacitación y la capacidad. Antes de que pueda ser un jefe de incidentes, se espera que cumpla con los siguientes criterios:
+No hay requisitos previos de antigüedad o unidad de negocios para convertirse en Incident Commander, es un rol abierto a cualquier persona con la capacitación y la capacidad. Antes de que pueda ser un Incident Commander, se espera que cumpla con los siguientes criterios:
* Excelentes **habilidades de comunicación** verbal y escrita.
* **Conocimiento de alto nivel** de la infraestructura y las funciones comerciales.
@@ -70,8 +70,8 @@ No hay requisitos previos de antigüedad o unidad de negocios para convertirse e
* **Participó en al menos dos respuestas a incidentes**.
* Capacidad para **tomar el mando** y **disposición para expulsar a las personas de una llamada** para eliminar las distracciones, incluso si se trata del director ejecutivo.
-¡No se requieren conocimientos técnicos profundos! Los jefes de incidentes no requieren un conocimiento técnico profundo de nuestros sistemas. Su trabajo como jefe de incidentes es coordinar la respuesta, no realizar cambios técnicos. No crea que no puede ser un jefe de Incidentes solo porque no está en el departamento de ingeniería.
+¡No se requieren conocimientos técnicos profundos! Los Incident Commander no requieren un conocimiento técnico profundo de nuestros sistemas. Su trabajo como Incident Commander es coordinar la respuesta, no realizar cambios técnicos. No crea que no puede ser un Incident Commander solo porque no está en el departamento de ingeniería.
#### Graduación
-Al finalizar el entrenamiento, agréguese a la lista de jefes de incidentes.
+Al finalizar el entrenamiento, agréguese a la lista de Incident Commander.
From bdfdfcd97ea6e4a5141a074a25e6fc172e343ed0 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:38:17 +0200
Subject: [PATCH 041/199] Update role-1-commander.md
---
roles/role-1-commander.md | 4 ++--
1 file changed, 2 insertions(+), 2 deletions(-)
diff --git a/roles/role-1-commander.md b/roles/role-1-commander.md
index 10fbfbd..4fd7017 100644
--- a/roles/role-1-commander.md
+++ b/roles/role-1-commander.md
@@ -1,7 +1,7 @@
-## Rol: Incident commander
+## Rol: Incident Commander
### Descripcion
-El Incident commander(IC) actua como la unica fuente de lo que realmente esta ocurriendo y va a ocurrir durante un incidente grave. El JI es el individuo con mayor ranking en cualquier llamada de incidente, sin importar el rango en el dia a dia. Ellos son los que toman decisiones durante un incidente; delegan tareas y prestan atencion a expertos en la materia que estan tratando para resolver el incidente. Las decisiones tomadas por el el Incident commander las decisivas.
+El Incident Commander(IC) actua como la unica fuente de lo que realmente esta ocurriendo y va a ocurrir durante un incidente grave. El JI es el individuo con mayor ranking en cualquier llamada de incidente, sin importar el rango en el dia a dia. Ellos son los que toman decisiones durante un incidente; delegan tareas y prestan atencion a expertos en la materia que estan tratando para resolver el incidente. Las decisiones tomadas por el el Incident commander las decisivas.
Tu trabajo como Incident commander evaluar la situacion, proveer un guiado claro y cordinado, contratar otros trabajadores para recolectar contexto/detalles.**No realizar investigaciones o remedios** delega estos trabajos.
From 48d1da1a4bea8f277c5ea080f5a84772fbc770f6 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:39:25 +0200
Subject: [PATCH 042/199] Incident commander
---
roles/role-0-all-participants.md | 14 +++++++-------
1 file changed, 7 insertions(+), 7 deletions(-)
diff --git a/roles/role-0-all-participants.md b/roles/role-0-all-participants.md
index 6ccc577..b8b0891 100644
--- a/roles/role-0-all-participants.md
+++ b/roles/role-0-all-participants.md
@@ -2,7 +2,7 @@
### Descripción
-Todos los participantes en la respuesta a un incidente tienen la responsabilidad de ayudar a resolver el incidente de acuerdo con el plan de respuesta a incidentes, bajo la autoridad del Jefe de Incidentes.
+Todos los participantes en la respuesta a un incidente tienen la responsabilidad de ayudar a resolver el incidente de acuerdo con el plan de respuesta a incidentes, bajo la autoridad del Incident Commander.
### Deberes
@@ -15,8 +15,8 @@ Todos los participantes en la respuesta a un incidente tienen la responsabilidad
* Habla con claridad.
* Sea directo y objetivo.
* Mantenga las conversaciones/debates breves y al grano.
-* Comunicar cualquier preocupación al Jefe de Incidentes (IC) en la llamada.
-* Respetar las limitaciones de tiempo dadas por el Jefe del Incidente.
+* Comunicar cualquier preocupación al Incident Commander (IC) en la llamada.
+* Respetar las limitaciones de tiempo dadas por el Incident Commander.
* Si te unes a un solo canal (llamada o chat), no participes activamente, ya que provoca una comunicación inconexa.
* **Utilice una terminología clara y evite acrónimos o abreviaturas. La claridad y la precisión son más importantes que la brevedad.**
@@ -31,12 +31,12 @@ El [procedimiento de voz] estándar de la radio (https://en.wikipedia.org/wiki/V
**No** invente nuevas abreviaturas; favorezca ser explícito sobre lo implícito.
-#### Seguir al jefe del Incidente
+#### Seguir al Incident Commander
-El jefe del incidente (IC) es el líder del proceso de respuesta al incidente.
+El Incident Commander (IC) es el líder del proceso de respuesta al incidente.
-* Siga las instrucciones del jefe del incidente.
-* No realice ninguna acción a menos que el jefe del incidente se lo indique.
+* Siga las instrucciones del Incident Commander.
+* No realice ninguna acción a menos que el Incident Commander se lo indique.
* El jefe normalmente sondeará si hay objeciones fuertes antes de asignar una acción importante. Plantee sus objeciones si las tiene.
* Una vez que el jefe haya tomado una decisión, sígala (incluso si no está de acuerdo).
* Responde a cualquier pregunta que te haga el jefe de forma clara y concisa. Responder "no sé" es aceptable. No adivine.
From 3b66f4d3aa20e2de80bcfe9d44952c94f2bdb554 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:41:06 +0200
Subject: [PATCH 043/199] Incident commander
---
roles/role-2-deputy.md | 14 +++++++-------
1 file changed, 7 insertions(+), 7 deletions(-)
diff --git a/roles/role-2-deputy.md b/roles/role-2-deputy.md
index 9fbc657..e0c0896 100644
--- a/roles/role-2-deputy.md
+++ b/roles/role-2-deputy.md
@@ -1,14 +1,14 @@
-## Rol: Delegado del Comandante de Incidentes (Subdelegado)
+## Rol: Delegado del Incident Commander (Subdelegado)
### Descripción
-Un Subdelegado de Incidentes (Subdelegado es un papel de apoyo directo al Jefe de Incidentes (JI). El subdelegado permite que el JII se centre en el problema que tiene entre manos, en lugar de preocuparse por documentar los pasos o controlar los temporizadores. El Subdelegado apoya al JI y lo mantiene centrado en el incidente. Como Subdelegado, se espera que asuma el mando del JI si éste lo solicita.
+Un Subdelegado de Incidentes (Subdelegado es un papel de apoyo directo al Incident Commander (IC). El subdelegado permite que el JII se centre en el problema que tiene entre manos, en lugar de preocuparse por documentar los pasos o controlar los temporizadores. El Subdelegado apoya al IC y lo mantiene centrado en el incidente. Como Subdelegado, se espera que asuma el mando del IC si éste lo solicita.
### Funciones
-1. 1. Plantear al Jefe de Incidentes cuestiones que, de otro modo, no se abordarían (vigilar los temporizadores que se han puesto en marcha, dar vueltas a los elementos que se han perdido en una toma de lista, etc.).
-1. 1. Ser un Jefe de Incidentes "de reserva", en caso de que el jefe principal tenga que hacer la transición a un SME, o tenga que alejarse de la función de JI.
-1. 1. Gestionar la llamada del incidente y estar preparado para retirar a las personas de la llamada si así lo indica el Jefe del Incidente.
+1. 1. Plantear al Incident Commander cuestiones que, de otro modo, no se abordarían (vigilar los temporizadores que se han puesto en marcha, dar vueltas a los elementos que se han perdido en una toma de lista, etc.).
+1. 1. Ser un Incident Commander "de reserva", en caso de que el jefe principal tenga que hacer la transición a un SME, o tenga que alejarse de la función de JI.
+1. 1. Gestionar la llamada del incidente y estar preparado para retirar a las personas de la llamada si así lo indica el Incident Commander.
1. Supervisar el estado del incidente y notificar al JI si el nivel de gravedad del incidente aumenta.
1. Supervise los temporizadores:
* controlar el tiempo que ha durado el incidente
@@ -21,6 +21,6 @@ Un Subdelegado de Incidentes (Subdelegado es un papel de apoyo directo al Jefe d
#### Requisitos previos
-* Estar entrenado como [Jefe de Incidentes](#role-incident-commander-ic).
+* Estar entrenado como [Incident Commander](#role-incident-commander-ic).
-Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator
\ No newline at end of file
+Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator
From aea0427968fb67ebf2e0af8ffeaf0a5d7db2d4a5 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:41:32 +0200
Subject: [PATCH 044/199] incident commander
---
roles/role-3-scribe.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/roles/role-3-scribe.md b/roles/role-3-scribe.md
index 087e57d..5c3ca91 100644
--- a/roles/role-3-scribe.md
+++ b/roles/role-3-scribe.md
@@ -31,5 +31,5 @@ Lea y comprenda el plan de respuesta a incidentes, incluyendo los roles y los li
#### Proceso de formación
* Lea el plan de respuesta a incidentes, incluyendo todos los roles y libros de jugadas.
-* _OPCIONAL:_ Paralizar las acciones de un escriba durante un incidente o ejercicio, y buscar la opinión del escriba real y del jefe de Incidentes.
+* _OPCIONAL:_ Paralizar las acciones de un escriba durante un incidente o ejercicio, y buscar la opinión del escriba real y del Incident Commander.
From 37041608ac5fb3020347798846553a744c5cc07d Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:42:21 +0200
Subject: [PATCH 045/199] incident commander
---
roles/role-4-expert.md | 4 ++--
1 file changed, 2 insertions(+), 2 deletions(-)
diff --git a/roles/role-4-expert.md b/roles/role-4-expert.md
index e6c1130..40a33b9 100644
--- a/roles/role-4-expert.md
+++ b/roles/role-4-expert.md
@@ -2,7 +2,7 @@
### Descripción
-Un experto en la materia (SME) es un experto en el dominio o propietario designado de un equipo, componente o servicio (un "área"). Está ahí para apoyar al jefe de incidentes en la identificación de la causa del incidente, sugiriendo y evaluando las acciones de investigación, remediación y comunicación, y realizando el seguimiento de las mismas según se le encomiende.
+Un experto en la materia (SME) es un experto en el dominio o propietario designado de un equipo, componente o servicio (un "área"). Está ahí para apoyar al Incident Commander en la identificación de la causa del incidente, sugiriendo y evaluando las acciones de investigación, remediación y comunicación, y realizando el seguimiento de las mismas según se le encomiende.
### Funciones
@@ -31,7 +31,7 @@ Si está de guardia para cualquier equipo, puede ser llamado para un incidente y
1. Tenga su ordenador portátil e Internet con usted en todo momento durante su período de guardia (oficina, casa, un MiFi, un teléfono con un plan de conexión, etc).
1. Si tiene citas importantes, debe conseguir que otra persona de su equipo cubra esa franja horaria con antelación.
1. Cuando recibas una alerta de incidente, se espera que te unas a la llamada de incidente y chatees lo antes posible (en cuestión de minutos).
-1. El jefe de incidentes le hará preguntas o le dará acciones. Responde a las preguntas de forma concisa y sigue todas las acciones que se te den (incluso si no estás de acuerdo con ellas).
+1. El Incident Commander le hará preguntas o le dará acciones. Responde a las preguntas de forma concisa y sigue todas las acciones que se te den (incluso si no estás de acuerdo con ellas).
1. Si no estás seguro de algo, haz venir a otros miembros de tu equipo que puedan ayudarte. **Nunca dudes en escalar**, si es necesario.
1. No culpes. Este proceso de respuesta a incidentes no tiene ninguna culpa: culpar es contraproducente y distrae del problema en cuestión. La revisión posterior a la acción identificará los puntos en los que todos podemos mejorar.
From 8892efc3347868c18fdbed783f61097e090d26cf Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:43:03 +0200
Subject: [PATCH 046/199] incident commander
---
roles/role-5-liaison.md | 8 ++++----
1 file changed, 4 insertions(+), 4 deletions(-)
diff --git a/roles/role-5-liaison.md b/roles/role-5-liaison.md
index 5d61ccf..828258e 100644
--- a/roles/role-5-liaison.md
+++ b/roles/role-5-liaison.md
@@ -15,9 +15,9 @@ Los enlaces interactuan con otros equipos o partes interesadas fuera del equipo
1. Notificar al IC (Intelligence Customer) de cualquier cliente o cobertura de los medios de comunicación que informen de los efectos del incidente.
1. Proporcionar a los clientes el mensaje externo de la autopsia una vez que se haya completado.
1. Contactar o interactuar con las partes interesadas externas, como proveedores, socios, fuerzas de seguridad, _etc._
-1. **No** sentirse responsable de la creación de cada mensaje: trabajar con el Jefe del Incidente y otras partes interesadas.
+1. **No** sentirse responsable de la creación de cada mensaje: trabajar con el Incident Commander y otras partes interesadas.
1. Según proceda, mantener a los clientes informados durante un incidente.
-1. Actuar como voz de nuestros clientes ante el Jefe de Incidentes, ya que esto es útil para la toma de decisiones del IC.
+1. Actuar como voz de nuestros clientes ante el Incident Commander, ya que esto es útil para la toma de decisiones del IC.
1. Obtener la aprobación del mensaje después de haber elaborado el mensaje público: copiar el mensaje en el chat y esperar la confirmación verbal/escrita del IC antes de continuar.
##### Pistas para mensajes públicos
@@ -36,8 +36,8 @@ Los enlaces interactuan con otros equipos o partes interesadas fuera del equipo
#### Enlace interno
-1. Página PYMES u otro personal de guardia según las instrucciones del Jefe del Incidente.
-1. Notificar o movilizar a otros equipos de la organización (por ejemplo, Finanzas, Legal, Marketing), según las instrucciones del Jefe del Incidente.
+1. Página PYMES u otro personal de guardia según las instrucciones del Incident Commander.
+1. Notificar o movilizar a otros equipos de la organización (por ejemplo, Finanzas, Legal, Marketing), según las instrucciones del Incident Commander.
1. Seguir y anticiparse a las PYMES en la convocatoria.
1. Interactuar con las partes interesadas y proporcionar actualizaciones de estado cuando sea necesario.
1. Interactuar con las partes interesadas internas para responder a sus preguntas, para mantener la llamada principal libre de distracciones.
From ed42935f8796bbf336454ab75be0e757eeb370a4 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:44:33 +0200
Subject: [PATCH 047/199] incident commander
---
after.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/after.md b/after.md
index 14ae558..15d6eee 100644
--- a/after.md
+++ b/after.md
@@ -1,7 +1,7 @@
# Realizar una revisión posterior a la acción (Conduct an After Action Review, AAR)
1. Programe una reunión de revisión posterior a la acción (AAR) dentro de {{AAR_SLA}} e invite a los asistentes que figuran en {{AAR_ATTENDEES}}. Incluya siempre a los siguientes:
- * El jefe del incidente.
+ * El Incident Commander.
* Los propietarios de los servicios implicados en el incidente.
* Ingeniero(s)/responsable(s) clave(s) implicado(s) en el incidente.
1. Designe a un propietario del AAR que investigue el incidente antes de la reunión para prepararlo, estudiando el proceso del incidente en sí, incluyendo la revisión de notas e informes.
From a0a32fdfd9065059b0f28b76360eab0bdc9144f0 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 19:47:35 +0200
Subject: [PATCH 048/199] =?UTF-8?q?traducci=C3=B3n=20espa=C3=B1ol?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
pandoc.yml | 8 ++++----
1 file changed, 4 insertions(+), 4 deletions(-)
diff --git a/pandoc.yml b/pandoc.yml
index 73d1aa8..ffb19ba 100644
--- a/pandoc.yml
+++ b/pandoc.yml
@@ -1,10 +1,10 @@
---
-title: 'Incident Response Plan for {{COMPANY_NAME}}'
-author: 'Author: {{AUTHOR_NAME}}, {{AUTHOR_EMAIL}}'
-date: 'Revision {{REVISION_NUMBER}}, Released {{RELEASE_DATE}}'
+title: 'Plan de respuesta a incidentes para {{COMPANY_NAME}}'
+author: 'Autor: {{AUTHOR_NAME}}, {{AUTHOR_EMAIL}}'
+date: 'Revisión {{REVISION_NUMBER}}, Publicado {{RELEASE_DATE}}'
abstract: |
This incident response plan is based on the concise, directive, specific, flexible, and free plan available on Counteractive Security's [Github](https://github.com/counteractive/incident-response-plan-template) and discussed at [www.counteractive.net](https://www.counteractive.net/posts/an-ir-plan-you-will-use/)
- It was last reviewed on {{REVIEW_DATE}}. It was last tested on {{TEST_DATE}}.
+ Fue revisado por última vez el {{REVIEW_DATE}}. Fue probado por última vez en {{TEST_DATE}}.
# geometry: margin=1.5in
---
From ce31473ccc39d8aa0564c04a081ac8fa1a2c591f Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:16:59 +0200
Subject: [PATCH 049/199] arreglo para que se autogenere bien con info.yml
---
playbooks/playbook-identity-and-access.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/playbooks/playbook-identity-and-access.md b/playbooks/playbook-identity-and-access.md
index b4e3697..b5fd475 100644
--- a/playbooks/playbook-identity-and-access.md
+++ b/playbooks/playbook-identity-and-access.md
@@ -1,3 +1,4 @@
+
## Playbook: Compromiso de identidad y acceso
**Investigar, remediar (contener, erradicar) y comunicar en paralelo!.**
From c728ae80ded6726f2f2bfc6adc5f8a26958e75b1 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:17:15 +0200
Subject: [PATCH 050/199] arreglo para que se autogenere bien con info.yml
---
playbooks/playbook-phishing.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/playbooks/playbook-phishing.md b/playbooks/playbook-phishing.md
index 95405e2..aa53ffe 100644
--- a/playbooks/playbook-phishing.md
+++ b/playbooks/playbook-phishing.md
@@ -1,3 +1,4 @@
+
## Playbook: Phishing
**Investigar, remediar (contener, erradicar), y comunicar en paralelo!**
From fb96876054600252629bc6e0ae7507847a6d0414 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:17:29 +0200
Subject: [PATCH 051/199] arreglo para que se autogenere bien con info.yml
---
playbooks/playbook-ransomware.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/playbooks/playbook-ransomware.md b/playbooks/playbook-ransomware.md
index 45c7d38..af944ac 100644
--- a/playbooks/playbook-ransomware.md
+++ b/playbooks/playbook-ransomware.md
@@ -1,3 +1,4 @@
+
## Playbook: Ransomware
**Investigar, remediar (contener, erradicar) y comunicar en paralelo. La contención es fundamental en los incidentes de ransomware, priorice en consecuencia.**
From b894172f9181c593adfa28c75b676658d8be4ba7 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:17:45 +0200
Subject: [PATCH 052/199] arreglo para que se autogenere bien con info.yml
---
playbooks/playbook-supply-chain.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/playbooks/playbook-supply-chain.md b/playbooks/playbook-supply-chain.md
index 3a5970d..0f9b941 100644
--- a/playbooks/playbook-supply-chain.md
+++ b/playbooks/playbook-supply-chain.md
@@ -1,3 +1,4 @@
+
## Playbook: Compromiso de la cadena de suministro
**Investigar, remediar (contener, erradicar) y comunicar en paralelo!.**
From 4515e8e21298eeb10323d2f34c52712ebbbd8040 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:24:15 +0200
Subject: [PATCH 053/199] Update index.md
---
roles/index.md | 10 +++++-----
1 file changed, 5 insertions(+), 5 deletions(-)
diff --git a/roles/index.md b/roles/index.md
index ae0ec03..020f6f5 100644
--- a/roles/index.md
+++ b/roles/index.md
@@ -27,8 +27,8 @@ En las llamadas de respuesta a Incidentes ("tiempos de guerra"), una estructura
* El Comandante del incidente está al mando. Independientemente de su rango en tiempos de paz, ahora es la persona de mayor rango en la llamada, superior al director general o CEO.
* Los primeros intervinientes (las personas que actúan como primeros intervinientes de un equipo/servicio) son las personas de mayor rango de ese servicio.
-* Las decisiones serán tomadas por el CI tras considerar la información presentada. Una vez tomada la decisión, es definitiva.
-* El CI puede tomar decisiones más arriesgadas que las que normalmente se considerarían en tiempos de paz.
-* El CI puede ir en contra de una decisión consensuada. Si se hace una encuenta, y 9/10 personas están de acuerdo pero 1 está en desacuerdo. El CI puede elegir la opción del desacuerdo a pesar del voto de la mayoría. Aunque no esté de acuerdo, la decisión del CI es definitiva. Durante la convocatoria no es el momento de discutir con ellos.
-* El CI puede utilizar un lenguaje o comportarse de una manera que usted considere grosera. Esto es tiempo de guerra, y necesitan hacer lo que sea necesario para resolver la situación, por lo que a veces se producen groserías. Esto no es personal, y es algo que debes estar preparado para experimentar si nunca has estado en una situación de guerra.
-* Es posible que el CI te pida que abandones la llamada, o incluso que te eche a la fuerza de una llamada. Esto queda a discreción del CI si considera que no estás aportando nada útil. De nuevo, esto no es personal y debes recordar que los tiempo de guerra son diferentes a los tiempo de paz.
+* Las decisiones serán tomadas por el IC tras considerar la información presentada. Una vez tomada la decisión, es definitiva.
+* El IC puede tomar decisiones más arriesgadas que las que normalmente se considerarían en tiempos de paz.
+* El IC puede ir en contra de una decisión consensuada. Si se hace una encuenta, y 9/10 personas están de acuerdo pero 1 está en desacuerdo. El IC puede elegir la opción del desacuerdo a pesar del voto de la mayoría. Aunque no esté de acuerdo, la decisión del IC es definitiva. Durante la convocatoria no es el momento de discutir con ellos.
+* El IC puede utilizar un lenguaje o comportarse de una manera que usted considere grosera. Esto es tiempo de guerra, y necesitan hacer lo que sea necesario para resolver la situación, por lo que a veces se producen groserías. Esto no es personal, y es algo que debes estar preparado para experimentar si nunca has estado en una situación de guerra.
+* Es posible que el IC te pida que abandones la llamada, o incluso que te eche a la fuerza de una llamada. Esto queda a discreción del IC si considera que no estás aportando nada útil. De nuevo, esto no es personal y debes recordar que los tiempo de guerra son diferentes a los tiempo de paz.
From e8e98db8fd8f34f95ead49db7ab41d46d6232a06 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:26:50 +0200
Subject: [PATCH 054/199] arreglo para que se autogenere bien con info.yml
---
roles/role-0-all-participants.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/roles/role-0-all-participants.md b/roles/role-0-all-participants.md
index b8b0891..e9821d2 100644
--- a/roles/role-0-all-participants.md
+++ b/roles/role-0-all-participants.md
@@ -1,3 +1,4 @@
+
## Roles: Todos los participantes
### Descripción
From 430684e7cb070f4be4940fa4f9a535996c2271a7 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:27:35 +0200
Subject: [PATCH 055/199] arreglo para que se autogenere bien con info.yml
---
roles/role-1-commander.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/roles/role-1-commander.md b/roles/role-1-commander.md
index 4fd7017..d194a2a 100644
--- a/roles/role-1-commander.md
+++ b/roles/role-1-commander.md
@@ -1,3 +1,4 @@
+
## Rol: Incident Commander
### Descripcion
From 9d1ddd36c3f70b2f8242bd2a3291467996f8088d Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:28:19 +0200
Subject: [PATCH 056/199] arreglo para que se autogenere bien con info.yml
---
roles/role-2-deputy.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/roles/role-2-deputy.md b/roles/role-2-deputy.md
index e0c0896..3e20d59 100644
--- a/roles/role-2-deputy.md
+++ b/roles/role-2-deputy.md
@@ -1,3 +1,4 @@
+
## Rol: Delegado del Incident Commander (Subdelegado)
### Descripción
From 9d08dacdb8d1093a45a83a1661b86203ba8e098f Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:28:37 +0200
Subject: [PATCH 057/199] arreglo para que se autogenere bien con info.yml
---
roles/role-3-scribe.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/roles/role-3-scribe.md b/roles/role-3-scribe.md
index 5c3ca91..e7ce8f3 100644
--- a/roles/role-3-scribe.md
+++ b/roles/role-3-scribe.md
@@ -1,3 +1,4 @@
+
## Rol: Escriba
### Descripción
From 62693f895f6536c51436dace027395c1c049b68d Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:28:51 +0200
Subject: [PATCH 058/199] arreglo para que se autogenere bien con info.yml
---
roles/role-4-expert.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/roles/role-4-expert.md b/roles/role-4-expert.md
index 40a33b9..28f605a 100644
--- a/roles/role-4-expert.md
+++ b/roles/role-4-expert.md
@@ -1,3 +1,4 @@
+
## Rol: Experto en la materia {Subject Matter Expert (SME)}
### Descripción
From f1dda3ebc1a910ec0c22833bd36df36b4e95c882 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:29:12 +0200
Subject: [PATCH 059/199] arreglo para que se autogenere bien con info.yml
---
roles/role-5-liaison.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/roles/role-5-liaison.md b/roles/role-5-liaison.md
index 828258e..bb3f3f5 100644
--- a/roles/role-5-liaison.md
+++ b/roles/role-5-liaison.md
@@ -1,3 +1,4 @@
+
## Rol: Enlace
### Descripción
From 5ce52f22143984a2d5ec364f2076e271e5e5c298 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:38:31 +0200
Subject: [PATCH 060/199] arreglo para que se autogenere bien con info.yml
---
about.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/about.md b/about.md
index b5344f3..617c7c0 100644
--- a/about.md
+++ b/about.md
@@ -1,3 +1,4 @@
+
# Acerca de
Esta plantilla ha sido creada por el equipo de [Counteractive Security](https://www.counteractive.net), para ayudar a todas las organizaciones a comenzar de forma concisa, directa, especifica, flexible y gratuita un plan de respuesta de incidentes. crea un plan [que utilizaras](https://www.counteractive.net/posts/an-ir-plan-you-will-use/) para responder de manera eficiente, minimizando los costes e impactos, para volver a trabajar lo mas rapido posible.
From 3fc55432ade289b088e2ca634f2b6cb20eb1bef2 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Wed, 11 May 2022 20:42:34 +0200
Subject: [PATCH 061/199] arreglo para que se autogenere bien con info.yml
---
reference/glossary.md | 1 +
1 file changed, 1 insertion(+)
diff --git a/reference/glossary.md b/reference/glossary.md
index 80c2261..74b05f3 100644
--- a/reference/glossary.md
+++ b/reference/glossary.md
@@ -1,3 +1,4 @@
+
# Glosario
1. **El Incident Commander es la persona responsable de resolver cualquier incidente grave. Es la persona de mayor rango en cualquier llamada de incidente mayor, independientemente de su rango diario. Sus decisiones como comandante son definitivas.**
From e50d02b5e4ad7df54a2e85620dbf89b4354466d9 Mon Sep 17 00:00:00 2001
From: Abel Posado Reyes <94357701+AbelPosadoReyes@users.noreply.github.com>
Date: Thu, 12 May 2022 08:47:41 +0200
Subject: [PATCH 062/199] Update index.md
---
playbooks/index.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/playbooks/index.md b/playbooks/index.md
index b577d8d..c2098a3 100644
--- a/playbooks/index.md
+++ b/playbooks/index.md
@@ -2,5 +2,5 @@
Los siguientes playbooks capturan los pasos comunes de [investigación](#investigate), [remediación](#remediate) y [comunicación](#communicate) para determinados tipos de incidentes.
-`TODO: Crear libros de juego adicionales para tipos de incidentes muy probables o muy perjudiciales.`
+`TODO: Crear playbooks adicionales para tipos de incidentes muy probables o muy perjudiciales.`
From 3bd8cc4ca2d868c5fa3df46ce64d66a4bccf04ef Mon Sep 17 00:00:00 2001
From: Jose Manuel Arrieta Soto
Date: Tue, 17 May 2022 08:15:34 +0200
Subject: [PATCH 063/199] Arreglo during.md
---
during.md | 24 ++++++++++++------------
1 file changed, 12 insertions(+), 12 deletions(-)
diff --git a/during.md b/during.md
index def6315..25925bd 100644
--- a/during.md
+++ b/during.md
@@ -35,7 +35,7 @@ Fue revisado por última vez el {{REVIEW_DATE}}. Fue probado por última vez en
`TODO: Personalizar las categorías/severidades según sea necesario. Este sencillo ejemplo (incidente vs. no incidente) se basa en las categorías de impacto del NIST SP 800-61r2.`
-#Iniciar la respuesta
+# Iniciar la respuesta
## Nombrar el incidente
@@ -98,7 +98,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
#### Referencia: Estructura de la llamada de respuesta inicial
-*Incident Commander (IC): Mi nombre es [NOMBRE], soy el Incident Commander. He designado a [NOMBRE] como adjunto y a [NOMBRE] como escribiente. ¿Quién está en la llamada?
+* Incident Commander (IC): Mi nombre es [NOMBRE], soy el Incident Commander. He designado a [NOMBRE] como adjunto y a [NOMBRE] como escribiente. ¿Quién está en la llamada?
* SCRIBE: [Toma asistencia]
* IC: [Si falta personal clave] Diputado, por favor llame a [PERSONAL FALTANTE].
* IC: [Hace preguntas para comprender la situación, los síntomas, el alcance, el vector, el impacto y el calendario del informador del incidente, los SME aplicables para los sistemas y las unidades de negocio].
@@ -179,7 +179,7 @@ Si un incidente resulta ser dos o más incidentes distintos:
## Crear el archivo del incidente
-1. Cree un nuevo archivo de incidentes en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente] (#name-the-incident). Utilice este archivo para el almacenamiento seguro de documentación, pruebas, artefactos, _etc._.
+1. Cree un nuevo archivo de incidentes en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente](#name-the-incident). Utilice este archivo para el almacenamiento seguro de documentación, pruebas, artefactos, _etc._.
* Proporcionar un almacenamiento digital seguro.
* Proporcionar un intercambio de archivos seguro.
* Obtener almacenamiento físico.
@@ -359,17 +359,17 @@ Considere la posibilidad de recopilar los siguientes artefactos como evidencia,
# Remediar
-**Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible.** El Incident Commander coordinará estas actividades. Notifique al Incident Commander si hay pasos que el equipo debe considerar
+**[Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible.** El Incident Commander coordinará estas actividades. Notifique al Incident Commander si hay pasos que el equipo debe considerar
## Actualización del plan de remediación
1. Revise el archivo del incidente en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente](#name-the-incident)
-1. 2. Revise los [playbook](#playbooks) aplicables.
-1. Revise la [lista de recursos de respuesta](#reference-response-resource-list)).
-1. Considere qué tácticas del atacante están en juego en este incidente. Utilice la lista de MITRE [ATT&CK](https://attack.mitre.org/wiki/Main_Page) (_i._, Persistencia, Escalada de Privilegios, Evasión de la Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Ejecución, Recolección, Exfiltración y Mando y Control), o un marco similar.
-1. Desarrollar remedios para cada táctica en juego, en la medida en que sea factible teniendo en cuenta las herramientas y los recursos existentes. Considere remedios para [Proteger](#protect), [Detectar](#detect), [Contener](#contain), y [Erradicar](#eradicate) cada comportamiento del atacante.
-1. Priorizar en base a la [estrategia de tiempo](#choose-remediation-timing), el impacto y la urgencia.
-1. Documentar en el archivo de incidentes.
+2. Revise los [playbook](#playbooks) aplicables.
+3. Revise la [lista de recursos de respuesta](#reference-response-resource-list).
+4. Considere qué tácticas del atacante están en juego en este incidente. Utilice la lista de MITRE [ATT&CK](https://attack.mitre.org/wiki/Main_Page) (_i._, Persistencia, Escalada de Privilegios, Evasión de la Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Ejecución, Recolección, Exfiltración y Mando y Control), o un marco similar.
+5. Desarrollar remedios para cada táctica en juego, en la medida en que sea factible teniendo en cuenta las herramientas y los recursos existentes. Considere remedios para [Proteger](#protect), [Detectar](#detect), [Contener](#contain), y [Erradicar](#eradicate) cada comportamiento del atacante.
+6. Priorizar en base a la [estrategia de tiempo](#choose-remediation-timing), el impacto y la urgencia.
+7. Documentar en el archivo de incidentes.
Utilice [marcos de seguridad de la información (infosec)](https://www.nist.gov/cyberframework) como inspiración, pero **no utilice la reparación de incidentes como sustituto de un programa de infosec con un marco apropiado.** Utilícelos para complementarse.
@@ -452,9 +452,9 @@ Determine la estrategia de plazos -cuando se llevarán a cabo las acciones de re
[Actualizar el plan de remediación](#update-remediation-plan) y repetir hasta el cierre.
-#Comunicar
+# Comunicar
-**Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible. Notifique al Incident Commander si hay pasos que el equipo debe considerar
+* [Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible. Notifique al Incident Commander si hay pasos que el equipo debe considerar
Toda comunicación debe incluir la información más precisa disponible. Muestre integridad. No comunicar especulaciones.
From c7c6ec9e945601a3034b6b3ef69df0c3d074569e Mon Sep 17 00:00:00 2001
From: Jose Manuel Arrieta Soto
Date: Tue, 17 May 2022 08:41:31 +0200
Subject: [PATCH 064/199] =?UTF-8?q?Actualizaci=C3=B3n=20info?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
info.yml | 4 +++-
1 file changed, 3 insertions(+), 1 deletion(-)
diff --git a/info.yml b/info.yml
index 85f1935..3b7b148 100644
--- a/info.yml
+++ b/info.yml
@@ -1,4 +1,6 @@
----
+# Para generar correctamente el plan de respuestas
+# hay que cambiar el string de la derecha (incluido los corchetes)
+# por el dato que queramos.
# The name of your organization (e.g., Acme, Inc.)
COMPANY_NAME: '{{COMPANY_NAME}}'
From 81bae0c02d5008420b7c9f21a8ce9d214423083a Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 17 May 2022 08:46:27 +0200
Subject: [PATCH 065/199] correciones menores
---
playbooks/playbook-phishing.md | 4 ++--
1 file changed, 2 insertions(+), 2 deletions(-)
diff --git a/playbooks/playbook-phishing.md b/playbooks/playbook-phishing.md
index aa53ffe..2a60704 100644
--- a/playbooks/playbook-phishing.md
+++ b/playbooks/playbook-phishing.md
@@ -11,7 +11,7 @@ Asigna pasos a individuos o equipos para que trabajen simultáneamente, cuando s
1. **Ámbito del ataque** Normalmente se le notificará que se está produciendo un posible ataque de phishing, ya sea por parte de un usuario, cliente o socio.
* Determinar el **número total de usuarios afectados**.
- * Comprender **las acciones de los usuarios** en la respuesta al phishing de un correo electrónico (_e.j._, ¿Descargaroón el archivo adjunto?, ¿Visitarón el sitio suplantado?, ¿O, dieron alguna información personal o comercial como credenciales?)
+ * Comprender **las acciones de los usuarios** en la respuesta al phishing de un correo electrónico (_e.j._, ¿Descargarón el archivo adjunto?, ¿Visitarón el sitio suplantado?, ¿O, dieron alguna información personal o comercial como credenciales?)
* Encontrar la actividad potencialmente relacionada. Comprueba:
* Redes Sociales
* Cualquier correo electrónico sospechoso posible.
@@ -173,7 +173,7 @@ Asigna pasos a individuos o equipos para que trabajen simultáneamente, cuando s
7. Registra toda la información en el ticket, incluyendo notas manuscritas y de voz.
8. Poner en cuarentena a los usuarios y sistemas afectados.
`TODO: Personalizar el contenido de los pasos, automatizar tanto como sea posible.`
-10. Póngase en contacto con el [equipo de seguridad](#TODO-enlace-a-actual-recurso) y prepárase para participar en la respuesta según las indicaciones: investigación, reparación comunicación y recuperación.
+10. Póngase en contacto con el [equipo de seguridad](#TODO-enlace-a-actual-recurso) y prepárase para participar en la respuesta según las indicaciones: investigación, remediación comunicación y recuperación.
#### Información adicional
From 30a9d26ffe514eb4aeeb18c62b40a2ef0e9f627e Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 17 May 2022 08:50:45 +0200
Subject: [PATCH 066/199] Update playbook-phishing.md
---
playbooks/playbook-phishing.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/playbooks/playbook-phishing.md b/playbooks/playbook-phishing.md
index 2a60704..f899689 100644
--- a/playbooks/playbook-phishing.md
+++ b/playbooks/playbook-phishing.md
@@ -53,7 +53,7 @@ Asigna pasos a individuos o equipos para que trabajen simultáneamente, cuando s
### Remediar
* **Planificar eventos de remediación** en los que estos pasos se pongan en marcha juntos (o de forma coordinada), con los equipos adecuados listos para responder a cualquier interrupción.
-* **Considere el momento y las compensaciones** de las acciones de reparación: su respuesta tiene consecuencias.
+* **Considere el momento y las compensaciones** de las acciones de remediación: su respuesta tiene consecuencias.
#### Contener
From d71d77fdc794e020ebc7d442e9cf024483c467ea Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 17 May 2022 08:54:37 +0200
Subject: [PATCH 067/199] Update playbook-phishing.md
---
playbooks/playbook-phishing.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/playbooks/playbook-phishing.md b/playbooks/playbook-phishing.md
index f899689..21112bb 100644
--- a/playbooks/playbook-phishing.md
+++ b/playbooks/playbook-phishing.md
@@ -126,7 +126,7 @@ Asigna pasos a individuos o equipos para que trabajen simultáneamente, cuando s
* Recibir un correo electrónico o un archivo adjunto que no se esperaba, pero que proviene de alguien conocido (contactar con el remitente antes de abrirlo).
* Informar de actividades sospechosas al departamento de TI o de seguridad.
1. Asegúrate de que el personal de TI y de seguridad está al día de las técnicas de phishing más recientes.
-1. Determine si ha fallado algún conrol al ser victima de un ataque y rectifíquelo. He aquí una [buena fuente](https://www.proofpoint.com/us/security-awareness/post/14-things-do-after-phishing-attack) a tener en cuenta tras un ataque de phishing.
+1. Determine si ha fallado algún control al ser victima de un ataque y rectifíquelo. He aquí una [buena fuente](https://www.proofpoint.com/us/security-awareness/post/14-things-do-after-phishing-attack) a tener en cuenta tras un ataque de phishing.
### Recursos
From 558ecc04e46e27aaff6a28dcbca5bb6ec685661e Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 17 May 2022 09:33:00 +0200
Subject: [PATCH 068/199] Update index.md
---
roles/index.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/roles/index.md b/roles/index.md
index 020f6f5..e6b9af5 100644
--- a/roles/index.md
+++ b/roles/index.md
@@ -7,7 +7,7 @@ A continuación se presentan las descripciones, los deberes y la formación para
## Estructura de los roles
* Equipo de Mando
- * [Incident Commander](#role-incident-commander-ic)
+ * [Incident Commander](#role-incident-commander-(ic))
* [Incident Commander-Adjunto](#role-deputy-incident-commander-deputy)
* [Escriba](#role-scribe)
* Equipo de enlace
From 01dd4a8504c5ecc405b3f8e35e12b51bc663d7c3 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 17 May 2022 09:33:15 +0200
Subject: [PATCH 069/199] Update index.md
---
roles/index.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/roles/index.md b/roles/index.md
index e6b9af5..020f6f5 100644
--- a/roles/index.md
+++ b/roles/index.md
@@ -7,7 +7,7 @@ A continuación se presentan las descripciones, los deberes y la formación para
## Estructura de los roles
* Equipo de Mando
- * [Incident Commander](#role-incident-commander-(ic))
+ * [Incident Commander](#role-incident-commander-ic)
* [Incident Commander-Adjunto](#role-deputy-incident-commander-deputy)
* [Escriba](#role-scribe)
* Equipo de enlace
From 96e9c752cbb0e49a3f4dbc3653f1b841b56c18fe Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 17 May 2022 09:53:13 +0200
Subject: [PATCH 070/199] Update index.md
---
roles/index.md | 10 +++++-----
1 file changed, 5 insertions(+), 5 deletions(-)
diff --git a/roles/index.md b/roles/index.md
index 020f6f5..fbe1958 100644
--- a/roles/index.md
+++ b/roles/index.md
@@ -7,14 +7,14 @@ A continuación se presentan las descripciones, los deberes y la formación para
## Estructura de los roles
* Equipo de Mando
- * [Incident Commander](#role-incident-commander-ic)
- * [Incident Commander-Adjunto](#role-deputy-incident-commander-deputy)
- * [Escriba](#role-scribe)
+ * [Incident Commander](#rol-incident-commander)
+ * [Incident Commander-Adjunto](#rol-delegado-del-incident-commander-(subdelegado))
+ * [Escriba](#rol-escriba)
* Equipo de enlace
- * Enlace Interno [Enlace](#role-liaison)
+ * Enlace Interno [Enlace](#rol-enlace)
* Enlace externo
* Equipo de Operaciones
- * [Expertos en la materia](#role-subject-matter-expert-sme) (PYMES) para Sistemas
+ * [Expertos en la materia](#rol-experto-en-la-materia-{subject-matter-expert-(sme)}) (PYMES) para Sistemas
* PYMES para equipos/unidades de negocio
* PYMES para las funciones ejecutivas (_e.j._, Legal, RRHH, Finanzas)
En el caso de incidentes complejos de mayor envergadura, la estructura de funciones puede ajustarse para tener en cuenta la creación de subequipos. Para más información, lea cómo gestionamos los [Incidentes Complejos](/before/complex_incidents.md).
From a7b0a6f81a22887224b27c4d4146e76165486014 Mon Sep 17 00:00:00 2001
From: raulalberti <94535774+raulalberti@users.noreply.github.com>
Date: Tue, 17 May 2022 10:06:07 +0200
Subject: [PATCH 071/199] Update index.md
---
roles/index.md | 4 ++--
1 file changed, 2 insertions(+), 2 deletions(-)
diff --git a/roles/index.md b/roles/index.md
index fbe1958..b2fb499 100644
--- a/roles/index.md
+++ b/roles/index.md
@@ -8,13 +8,13 @@ A continuación se presentan las descripciones, los deberes y la formación para
* Equipo de Mando
* [Incident Commander](#rol-incident-commander)
- * [Incident Commander-Adjunto](#rol-delegado-del-incident-commander-(subdelegado))
+ * [Incident Commander-Adjunto](#rol-delegado-del-incident-commander-subdelegado)
* [Escriba](#rol-escriba)
* Equipo de enlace
* Enlace Interno [Enlace](#rol-enlace)
* Enlace externo
* Equipo de Operaciones
- * [Expertos en la materia](#rol-experto-en-la-materia-{subject-matter-expert-(sme)}) (PYMES) para Sistemas
+ * [Expertos en la materia](#rol-experto-en-la-materia-subject-matter-expert-sme) (PYMES) para Sistemas
* PYMES para equipos/unidades de negocio
* PYMES para las funciones ejecutivas (_e.j._, Legal, RRHH, Finanzas)
En el caso de incidentes complejos de mayor envergadura, la estructura de funciones puede ajustarse para tener en cuenta la creación de subequipos. Para más información, lea cómo gestionamos los [Incidentes Complejos](/before/complex_incidents.md).
From 71c323e0e4f65f7b479bd3e2b3c894bf4763dbf7 Mon Sep 17 00:00:00 2001
From: Jose Manuel Arrieta Soto
Date: Tue, 17 May 2022 10:48:58 +0200
Subject: [PATCH 072/199] Arreglo during.md
---
during.md | 48 ++++++++++++++++++++++++------------------------
1 file changed, 24 insertions(+), 24 deletions(-)
diff --git a/during.md b/during.md
index 25925bd..19a119e 100644
--- a/during.md
+++ b/during.md
@@ -59,14 +59,14 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
### Referencia: Estructura del equipo de respuesta
* Equipo de Mando
- * [Incident Commander](#role-incident-commander-ic)
- * [Incident Commander-Adjunto](#role-deputy-incident-commander-deputy)
- * [Escriba](#role-scribe)
+ * [Incident Commander](#rol-incident-commander)
+ * [Incident Commander-Adjunto](#rol-delegado-del-incident-commander-subdelegado)
+ * [Escriba](#rol-scriba)
* Equipo de enlace
- * Enlace [interno](#role-liaison)
+ * Enlace [interno](#rol-enlace)
* Enlace externo
* Equipo de operaciones
- * [Expertos en la materia](#role-subject-matter-expert-sme) (PYMES) para sistemas
+ * [Expertos en la materia](#rol-experto-en-la-materia-subject-matter-expert-sme) (PYMES) para sistemas
* PYMES para equipos/unidades de negocio
* PYMES para Funciones Ejecutivas (_por ejemplo_, Legal, RRHH, Finanzas)
@@ -89,7 +89,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
### Realizar la llamada de respuesta inicial
-1. Realice la llamada inicial utilizando la [estructura de llamada de respuesta inicial](#reference-initial-response-call-structure)
+1. Realice la llamada inicial utilizando la [estructura de llamada de respuesta inicial](#referencia-estructura-de-la-llamada-de-respuesta-inicial)
2. Siga las instrucciones del Incident Commander. Si el Incident Commander de turno/de guardia no se une a la llamada **dentro de {{INCIDENT_COMMANDER_RESPONSE_SLA}}** y usted es un Incident Commander capacitado, tome el mando de la llamada.
3. Siga las [instrucciones correspondientes a su función](#roles).
4. Siga la llamada y el chat, y comente según corresponda. Si no es un SME, filtre las aportaciones a través del SME de su equipo si es posible.
@@ -102,7 +102,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
* SCRIBE: [Toma asistencia]
* IC: [Si falta personal clave] Diputado, por favor llame a [PERSONAL FALTANTE].
* IC: [Hace preguntas para comprender la situación, los síntomas, el alcance, el vector, el impacto y el calendario del informador del incidente, los SME aplicables para los sistemas y las unidades de negocio].
-* PYMES: [Responde brevemente a las preguntas del CI].
+* PYMES: [Responde brevemente a las preguntas del IC].
* IC: [Si se trata de un incidente]:
* En este momento, el resumen del incidente es el siguiente: [reitera el resumen]. El equipo de investigación estará dirigido por [NOMBRE], el equipo de reparación estará dirigido por [NOMBRE] y el equipo de comunicación estará dirigido por [NOMBRE]. Ellos coordinarán la composición del equipo y me informarán. Los miembros del equipo, por favor, informen a su jefe de equipo correspondiente.
* ¿Qué medidas de investigación, corrección o comunicación se han tomado ya? [esta debería ser una lista corta, pero tiene que salir ahora]
@@ -125,7 +125,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
### Realizar la actualización de la respuesta
-* Llevar a cabo actualizaciones programadas utilizando la [estructura de llamada de actualización](#reference-response-update-call-structure) cada {{UPDATE_FREQUENCY}} en el puente activo. `TODO: Personalizar la frecuencia de actualización y los scripts; se recomienda no más de dos veces al día.`
+* Llevar a cabo actualizaciones programadas utilizando la [estructura de llamada de actualización](#referencia-estructura-de-la-llamada-de-actualización-de-la-respuesta) cada {{UPDATE_FREQUENCY}} en el puente activo. `TODO: Personalizar la frecuencia de actualización y los scripts; se recomienda no más de dos veces al día.`
* Ajustar la frecuencia según sea necesario.
* Coordinar las actualizaciones independientes (_por ejemplo_, ejecutivas, legales) según sea necesario, pero con la menor frecuencia posible.
@@ -168,24 +168,24 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
Si un incidente resulta ser dos o más incidentes distintos:
-* Establezca un nuevo [archivo de incidentes](#create-incident-file).
+* Establezca un nuevo [archivo de incidentes](#crear-el-archivo-del-incidente).
* Haga un seguimiento y coordine la investigación, la reparación y la comunicación en el archivo correspondiente.
* Considere la posibilidad de establecer subequipos para cada incidente.
* **Mantener un Incident Commander de alto nivel**, para coordinar los activos de baja densidad y alta demanda y mantener la unidad de mando.
# Investigar
-**[Investigar](#investigate), [remediar](#remediate) y [comunicar](#communicate) en paralelo, utilizando equipos separados, si es posible.** El Incident Commander coordinará estas actividades. Notifique al Incident Commander si hay pasos que el equipo debe considerar.
+**[Investigar](#investigar), [Remediar](#remediar) y [comunicar](#communicate) en paralelo, utilizando equipos separados, si es posible.** El Incident Commander coordinará estas actividades. Notifique al Incident Commander si hay pasos que el equipo debe considerar.
## Crear el archivo del incidente
-1. Cree un nuevo archivo de incidentes en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente](#name-the-incident). Utilice este archivo para el almacenamiento seguro de documentación, pruebas, artefactos, _etc._.
+1. Cree un nuevo archivo de incidentes en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente](#nombre-del-incidente). Utilice este archivo para el almacenamiento seguro de documentación, pruebas, artefactos, _etc._.
* Proporcionar un almacenamiento digital seguro.
* Proporcionar un intercambio de archivos seguro.
* Obtener almacenamiento físico.
* Compartir la ubicación del archivo del incidente en la llamada y el chat.
* `TODO: Personalizar y automatizar la ubicación del archivo y el procedimiento`.
-1. Documente el impacto funcional y de la información, si se conoce (véase [Assess](#assess)). `TODO: Personalizar las categorías de impacto, si es necesario.`
+1. Documente el impacto funcional y de la información, si se conoce (véase [Evaluar](#evaluar)). `TODO: Personalizar las categorías de impacto, si es necesario.`
2. Documentar el vector, si se conoce (_por ejemplo_ web, correo electrónico, medios extraíbles). Tarea: Personalizar la lista de vectores, si es necesario.
3. Documente el resumen del incidente: un breve resumen del vector, el impacto, la investigación y la situación de la reparación, si se conoce.
4. Documente la línea de tiempo del incidente, incluyendo la actividad del atacante y la actividad de la respuesta. `TODO: Añadir líneas de tiempo con diferentes detalles, según sea necesario.`
@@ -245,7 +245,7 @@ Agregador de registros | {{LOG_AGGREGATOR_CONSOLE}}
* **¿Quién?**: atacante, usuarios afectados, clientes afectados, etc.?
1. **Identificar y priorizar los dispositivos y estrategias testigo** para responder a las preguntas clave.
* Consultar los diagramas de la red, los sistemas de gestión de activos y la experiencia de las PYMES
- * Consultar la [Lista de recursos de respuesta](#reference-response-resource-list))
+ * Consultar la [Lista de recursos de respuesta](#referencia-lista-de-recursos-de-respuesta))
1. Consulte los [playbook de incidentes](#playbooks) para conocer las preguntas clave, los dispositivos testigos y las estrategias para investigar las amenazas comunes o muy dañinas.
**El plan de investigación es fundamental para una respuesta eficaz; impulsa todas las acciones de investigación. Utilice el pensamiento crítico, la creatividad y el buen juicio.**
@@ -275,7 +275,7 @@ Consulte la página [MITRE ATT&CK](https://attack.mitre.org/) para obtener más
> Haga hincapié en los indicadores **dinámicos y de comportamiento** junto con las huellas digitales estáticas.
-* Crear IOCs basados en [pistas iniciales](#collect-initial-leads) y [análisis](#analyze-evidence).
+* Crear IOCs basados en [pistas iniciales](#recoger-las-pistas-iniciales) y [análisis](#analyze-evidence).
* Cree IOCs usando un formato abierto soportado por sus herramientas (_por ejemplo_, [STIX 2.0](https://oasis-open.github.io/cti-documentation/stix/intro)), si es posible. `TODO: Personalizar el formato de los COIs según sea necesario.`
* Utilice la automatización, si es posible. `TODO: Añadir un procedimiento de despliegue/revocación de COIs.`
* **No** desplegar "feeds" de COIs no relacionados y no curados, ya que pueden causar confusión y fatiga.
@@ -355,19 +355,19 @@ Considere la posibilidad de recopilar los siguientes artefactos como evidencia,
## Iterar la investigación
-[Actualizar el plan de investigación](#update-investigative-plan-and-incident-file) y repetir hasta el cierre.
+[Actualizar el plan de investigación](#actualizar-el-plan-de-investigación-y-el-archivo-del-incidente) y repetir hasta el cierre.
# Remediar
-**[Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible.** El Incident Commander coordinará estas actividades. Notifique al Incident Commander si hay pasos que el equipo debe considerar
+**[Investigar](#investigar), [Remediar](#remediar) y [Comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible.** El Incident Commander coordinará estas actividades. Notifique al Incident Commander si hay pasos que el equipo debe considerar
## Actualización del plan de remediación
-1. Revise el archivo del incidente en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente](#name-the-incident)
+1. Revise el archivo del incidente en {{INCIDENT_FILE_LOCATION}} utilizando el [nombre del incidente](#nombre-del-incidente)
2. Revise los [playbook](#playbooks) aplicables.
-3. Revise la [lista de recursos de respuesta](#reference-response-resource-list).
+3. Revise la [lista de recursos de respuesta](#referencia-lista-de-recursos-de-respuesta).
4. Considere qué tácticas del atacante están en juego en este incidente. Utilice la lista de MITRE [ATT&CK](https://attack.mitre.org/wiki/Main_Page) (_i._, Persistencia, Escalada de Privilegios, Evasión de la Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Ejecución, Recolección, Exfiltración y Mando y Control), o un marco similar.
-5. Desarrollar remedios para cada táctica en juego, en la medida en que sea factible teniendo en cuenta las herramientas y los recursos existentes. Considere remedios para [Proteger](#protect), [Detectar](#detect), [Contener](#contain), y [Erradicar](#eradicate) cada comportamiento del atacante.
+5. Desarrollar remedios para cada táctica en juego, en la medida en que sea factible teniendo en cuenta las herramientas y los recursos existentes. Considere remedios para [Proteger](#protección), [Detectar](#detección), [Contener](#contención), y [Erradicar](#erradicar) cada comportamiento del atacante.
6. Priorizar en base a la [estrategia de tiempo](#choose-remediation-timing), el impacto y la urgencia.
7. Documentar en el archivo de incidentes.
@@ -443,18 +443,18 @@ Determine la estrategia de plazos -cuando se llevarán a cabo las acciones de re
## Ejecutar la remediación
* Evaluar y explicar los riesgos de las acciones de remediación a las partes interesadas. `TODO: Personalizar el procedimiento de aprobación de los riesgos de la remediación, si es necesario.`
-* Implementar inmediatamente aquellas acciones de remediación que afecten poco o nada al atacante (a veces llamadas "acciones de postura"). Por ejemplo, muchas de las acciones de [protección](#protect) y [detección](#detect) anteriores son buenas candidatas.
+* Implementar inmediatamente aquellas acciones de remediación que afecten poco o nada al atacante (a veces llamadas "acciones de postura"). Por ejemplo, muchas de las acciones de [protección](#protección) y [detección](#detección) anteriores son buenas candidatas.
* Programar y asignar acciones de remediación de acuerdo con la estrategia de tiempo.
* Ejecute las acciones de corrección en lotes, como eventos, para lograr la máxima eficacia y el mínimo riesgo.
* Documentar el estado de ejecución y el tiempo en el archivo de incidentes, especialmente para las medidas temporales.
## Iterar la remediación
-[Actualizar el plan de remediación](#update-remediation-plan) y repetir hasta el cierre.
+[Actualizar el plan de remediación](#actualización-del-plan-de-remediación) y repetir hasta el cierre.
# Comunicar
-* [Investigar](#investigate), [remediar](#remediate) y [comunicar](#comunicate) en paralelo, utilizando equipos separados, si es posible. Notifique al Incident Commander si hay pasos que el equipo debe considerar
+* [Investigar](#investigar), [Remediar](#remediar) y [Comunicar](#comunicar) en paralelo, utilizando equipos separados, si es posible. Notifique al Incident Commander si hay pasos que el equipo debe considerar
Toda comunicación debe incluir la información más precisa disponible. Muestre integridad. No comunicar especulaciones.
@@ -474,7 +474,7 @@ Toda comunicación debe incluir la información más precisa disponible. Muestr
### Crear Informe de Incidentes
-* Tras el cierre del incidente, capture la información en el [archivo del incidente](#create-incident-file) para su distribución utilizando el formato en {{INCIDENT_REPORT_TEMPLATE}}. **Si los informes de vector, impacto, resumen, línea de tiempo y actividad están completos, esto puede ser totalmente automatizado.**
+* Tras el cierre del incidente, capture la información en el [archivo del incidente](#crear-archivo-del-incidente) para su distribución utilizando el formato en {{INCIDENT_REPORT_TEMPLATE}}. **Si los informes de vector, impacto, resumen, línea de tiempo y actividad están completos, esto puede ser totalmente automatizado.**
* Distribuir el informe de incidentes a lo siguiente: {{INCIDENT_REPORT_RECIPIENTS}}.
* `TODO: Personalizar la creación y distribución del informe de incidentes, si es necesario`.
@@ -495,7 +495,7 @@ Toda comunicación debe incluir la información más precisa disponible. Muestr
* Sea honesto, acepte la responsabilidad y presente los hechos, junto con el plan para prevenir incidentes similares en el futuro.
* Sea lo más detallado posible con la línea de tiempo.
* Sea lo más detallado posible en cuanto a la información que se vio comprometida y cómo afecta a los clientes. Si estábamos almacenando algo que no debíamos, sé honesto al respecto. Saldrá a la luz más tarde y será mucho peor.
-* No hablemos de las partes externas que podrían haber causado el problema, a menos que ya lo hayan hecho público, en cuyo caso enlazaremos con su información. Comunícate con ellos de forma independiente (ver [Notificar a los proveedores](#notify-vendors-and-partners))
+* No hablemos de las partes externas que podrían haber causado el problema, a menos que ya lo hayan hecho público, en cuyo caso enlazaremos con su información. Comunícate con ellos de forma independiente (ver [Notificar a los proveedores](#notificar-a-los-proveedores-y-socios))
* Publique la comunicación externa lo antes posible. Las malas noticias no mejoran con el tiempo.
* Si es posible, contacte con los equipos de seguridad internos de los clientes antes de notificar al público.
From 615768de9dd17a140774e914b6243b29c2a1cee6 Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Thu, 2 Jun 2022 10:54:09 +0200
Subject: [PATCH 073/199] Cambio autor2
---
info.yml | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/info.yml b/info.yml
index 3b7b148..994eea8 100644
--- a/info.yml
+++ b/info.yml
@@ -6,7 +6,7 @@
COMPANY_NAME: '{{COMPANY_NAME}}'
# Name and email of plan author (e.g., Chris)
-AUTHOR_NAME: '{{AUTHOR_NAME}}'
+AUTHOR_NAME: 'Angel Manuel Aragón'
# Email of plan author (e.g., contact@counteractive.net)
AUTHOR_EMAIL: '{{AUTHOR_EMAIL}}'
From 3e4cacb1463b69be319c70187cf3b7e4313df062 Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Sat, 4 Jun 2022 09:00:59 +0200
Subject: [PATCH 074/199] =?UTF-8?q?Revisi=C3=B3n=20traducci=C3=B3n=20V1?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
during.md | 100 +++++++++++++++++++++++++++---------------------------
1 file changed, 50 insertions(+), 50 deletions(-)
diff --git a/during.md b/during.md
index 19a119e..5ac9133 100644
--- a/during.md
+++ b/during.md
@@ -8,30 +8,30 @@ Este plan de respuesta a incidentes está basado en el plan conciso, directivo,
Fue revisado por última vez el {{REVIEW_DATE}}. Fue probado por última vez en {{TEST_DATE}}.
-`TODO: Personalice esta plantilla de plan para su organización utilizando las instrucciones en https://github.com/counteractive/incident-response-plan-template. Para obtener servicios de respuesta a incidentes, o ayuda para personalizar, implementar o probar su plan, póngase en contacto con nosotros en contact@counteractive.net o en el (888) 925-5765.`
+`TODO: Personalice esta plantilla para su organización utilizando las instrucciones en https://github.com/counteractive/incident-response-plan-template. Para obtener servicios de respuesta a incidentes, o ayuda para personalizar, implementar o probar su plan, póngase en contacto con nosotros en contact@counteractive.net o en el (888) 925-5765.`
# Evaluar
1. **Mantenga la calma y la profesionalidad.**
-2. Reúna la información pertinente, _por ejemplo_, alarmas, eventos, datos, suposiciones, intuiciones (**observe**).
+2. Reúna la información pertinente, _por ejemplo_, alarmas, eventos, datos, suposiciones, intuiciones (**observar**).
3. Considerar las categorías de impacto, a continuación (**orientar**), y determinar si hay un posible incidente (**decidir**):
-4. Iniciar una respuesta si hay un incidente (**actuar**). En caso de duda, inicie una respuesta. El Incident Commander y el equipo de respuesta pueden ajustarse tras la investigación y la revisión.
+4. Iniciar una respuesta si hay un incidente (**actuar**). En caso de duda, inicie una respuesta. El responsable de gestión de incidentes y el equipo de respuesta pueden ajustarse tras la investigación y la revisión.
## Evaluar el impacto funcional
-¿Cuál es el impacto directo o probable en su misión? (_por ejemplo_, operaciones comerciales, empleados, clientes, usuarios)
+¿Cuál es el impacto directo o probable en su trabajo? (_por ejemplo_, operaciones comerciales, empleados, clientes, usuarios)
-* Degradación o fracaso de la misión/negocio: **incidente!**
+* Degradación o fracaso del trabajo/negocio: **incidente!**
* Ninguno: evalúe el impacto de la información.
## Evaluar el impacto de la información
-¿Cuál es el impacto directo o probable sobre su información/datos, en particular los sensibles? (_por ejemplo_, información personal, datos de propiedad, financieros o sanitarios)
+¿Cuál es el impacto directo o probable sobre sus datos/información, en particular los sensibles? (_por ejemplo_, información personal, datos de propiedad, financieros o sanitarios)
-* Información a la que se ha accedido, tomado, cambiado o borrado: **incidente!**
+* Información a la que se ha accedido, cogido, cambiado o borrado: **incidente!**
* Ninguno: gestión a través de canales no relacionados con incidentes (por ejemplo, un ticket de soporte).
-**Cada miembro del equipo está facultado para iniciar este proceso.** Si ves algo, di algo.
+**Cada miembro del equipo está facultado para comenzar este proceso.** Si ves algo, dilo.
`TODO: Personalizar las categorías/severidades según sea necesario. Este sencillo ejemplo (incidente vs. no incidente) se basa en las categorías de impacto del NIST SP 800-61r2.`
@@ -47,12 +47,12 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
2. **No** discuta el incidente fuera del equipo de respuesta a menos que el Incident Commander lo autorice
3. Inicie y/o únase al chat de respuesta en {{RESPONSE_CHAT}}. `ToDo: Añadir el procedimiento de lanzamiento del chat de respuesta.`
4. Iniciar y/o unirse a la llamada de respuesta en {{RESPONSE_PHONE}} y/o {{RESPONSE_VTC}}. `TODO: Añadir el procedimiento de lanzamiento de la llamada de respuesta.`
-5. Prefiera la llamada de voz, el chat y el intercambio seguro de archivos sobre cualquier otro método.
+5. Preferible usar la llamada de voz, el chat y el intercambio seguro de archivos sobre cualquier otro método.
6. **No** utilizar el correo electrónico principal si es posible. Si el correo electrónico es necesario, utilícelo con moderación o use {{ALTERNATE_EMAIL}}. Encripte los correos electrónicos cuando cualquier participante esté fuera del dominio {{ORGANIZATION_DOMAIN}}. `TODO: Añadir detalles y procedimiento de correo electrónico alternativo, por ejemplo, Office 365 o GSuite bajo demanda`.
7. **No** usar SMS/texto para comunicar el incidente, a menos que sea para decirle a alguien que se mueva a un canal más seguro.
-8. Invite a los intervinientes de guardia/de guardia a la llamada de respuesta y al chat de respuesta.
+8. Invite al personal de turno/guardia a la llamada y al chat de respuesta.
* Invite al equipo de seguridad. `TODO: Añadir lista de contactos del equipo de seguridad o procedimiento.`
- * Invitar a una PYME de los equipos y sistemas afectados. `TODO: Añadir la lista de contactos de la PYME del equipo o el procedimiento.`
+ * Invitar al SME de los equipos y sistemas afectados. `TODO: Añadir la lista de contactos de la PYME del equipo o el procedimiento.`
* Invitar a las partes interesadas ejecutivas y a los asesores jurídicos lo antes posible, pero dar prioridad a los responsables operativos. `TODO: añadir una lista de contactos de las partes interesadas ejecutivas o un procedimiento.`
9. OPCIONAL:_ Establecer una sala de colaboración en persona ("sala de guerra") para incidentes complejos o graves. `TODO: Añadir el procedimiento de la sala de colaboración.`
@@ -67,8 +67,8 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
* Enlace externo
* Equipo de operaciones
* [Expertos en la materia](#rol-experto-en-la-materia-subject-matter-expert-sme) (PYMES) para sistemas
- * PYMES para equipos/unidades de negocio
- * PYMES para Funciones Ejecutivas (_por ejemplo_, Legal, RRHH, Finanzas)
+ * SME para equipos/unidades de negocio
+ * SME para Funciones Ejecutivas (_por ejemplo_, Legal, RRHH, Finanzas)
`TODO: Modificar la estructura de roles según sea necesario`.
@@ -85,30 +85,30 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
`TODO: Personalizar la información de contacto del equipo de respuesta. Incluya los procedimientos de contacto en las listas, que pueden ser estáticas o dinámicas.`
-## Establecer el ritmo de la batalla
+## Establecer el ritmo de batalla
-### Realizar la llamada de respuesta inicial
+### Realizar la primera llamada de respuesta
1. Realice la llamada inicial utilizando la [estructura de llamada de respuesta inicial](#referencia-estructura-de-la-llamada-de-respuesta-inicial)
2. Siga las instrucciones del Incident Commander. Si el Incident Commander de turno/de guardia no se une a la llamada **dentro de {{INCIDENT_COMMANDER_RESPONSE_SLA}}** y usted es un Incident Commander capacitado, tome el mando de la llamada.
3. Siga las [instrucciones correspondientes a su función](#roles).
-4. Siga la llamada y el chat, y comente según corresponda. Si no es un SME, filtre las aportaciones a través del SME de su equipo si es posible.
+4. Siga la llamada y el chat, y comente según corresponda. Si no es un SME, comunique las aportaciones a través del SME de su equipo si es posible.
5. **Mantenga la llamada y el chat activos durante todo el incidente para una comunicación basada en eventos.**
-6. Programe actualizaciones **cada {{UPDATE_FREQUENCY}}** en el puente activo.
+6. Programe actualizaciones **cada {{UPDATE_FREQUENCY}}** sobre la comunicación activa.
#### Referencia: Estructura de la llamada de respuesta inicial
-* Incident Commander (IC): Mi nombre es [NOMBRE], soy el Incident Commander. He designado a [NOMBRE] como adjunto y a [NOMBRE] como escribiente. ¿Quién está en la llamada?
-* SCRIBE: [Toma asistencia]
-* IC: [Si falta personal clave] Diputado, por favor llame a [PERSONAL FALTANTE].
-* IC: [Hace preguntas para comprender la situación, los síntomas, el alcance, el vector, el impacto y el calendario del informador del incidente, los SME aplicables para los sistemas y las unidades de negocio].
-* PYMES: [Responde brevemente a las preguntas del IC].
+* Incident Commander (IC): Mi nombre es [NOMBRE], soy el Incident Commander. He designado a [NOMBRE] como adjunto y a [NOMBRE] como esccriba. ¿Quién está en la llamada?
+* ESCRIBA: [Toma asistencia]
+* IC: [Si falta personal clave] Adjunto, por favor llame a [PERSONAL FALTANTE].
+* IC: [Hace preguntas para comprender la situación, los síntomas, el alcance, el vector, el impacto y el calendario del reportador del incidente, los SME aplicables para los sistemas y las unidades de negocio].
+* SMEs: [Responde brevemente a las preguntas del IC].
* IC: [Si se trata de un incidente]:
* En este momento, el resumen del incidente es el siguiente: [reitera el resumen]. El equipo de investigación estará dirigido por [NOMBRE], el equipo de reparación estará dirigido por [NOMBRE] y el equipo de comunicación estará dirigido por [NOMBRE]. Ellos coordinarán la composición del equipo y me informarán. Los miembros del equipo, por favor, informen a su jefe de equipo correspondiente.
* ¿Qué medidas de investigación, corrección o comunicación se han tomado ya? [esta debería ser una lista corta, pero tiene que salir ahora]
* Esta llamada y el chat permanecerán activos y disponibles hasta el cierre del incidente, por favor, utilícelos para todas las comunicaciones relacionadas con el incidente. Proporcione actualizaciones de estado en tiempo real en el chat, si es posible. ¿Hay alguna pregunta o aportación restante? [responde a las preguntas]
* Líderes de equipo, por favor procedan con sus acciones planeadas. Nos reuniremos de nuevo en [UPDATE_TIME] para discutir el estado. Gracias.
-* IC: [Si esto no es un incidente]: En este momento, estos hechos no alcanzan el nivel de un incidente. Me coordinaré directamente con el informador del incidente para las acciones de seguimiento. Gracias por su tiempo.
+* IC: [Si esto no es un incidente]: En este momento, estos hechos no alcanzan el nivel de un incidente. Me coordinaré directamente con el reportador del incidente para las acciones de seguimiento. Gracias por su tiempo.
#### Referencia: Etiqueta de la llamada
@@ -160,7 +160,7 @@ Lista de ejecutivos | {{EXECUTIVE_ROSTER}}
* En la preparación de incidentes complejos, se predefinen tres subequipos: Investigación, Remediación y Comunicación, generalmente responsables de esas funciones de respuesta. `TODO: Personalizar la estructura de los subequipos si es necesario.`
* Crear un puente de llamadas y un chat para cada subequipo.
-* El Incident Commander designará a los líderes de los equipos, que dependen del CI, y a los miembros de los equipos, que dependen de su líder. _Los líderes de equipo no tienen que estar formados como Incident Commanders, pero es preferible que tengan alguna experiencia de liderazgo._
+* El Incident Commander designará a los líderes de los equipos, que dependen del IC, y a los miembros de los equipos, que dependen de su líder. _Los líderes de equipo no tienen que estar formados como Incident Commanders, pero es preferible que tengan alguna experiencia de liderazgo._
* El Incident Commander puede ajustar el propósito o el nombre de los subequipos según sea necesario.
* Si desea cambiar de equipo, pregunte a su **líder de equipo actual**. **No** pregunte al Incident Commander, o al líder del otro(s) equipo(s). Utilice la cadena de mando.
@@ -186,7 +186,7 @@ Si un incidente resulta ser dos o más incidentes distintos:
* Compartir la ubicación del archivo del incidente en la llamada y el chat.
* `TODO: Personalizar y automatizar la ubicación del archivo y el procedimiento`.
1. Documente el impacto funcional y de la información, si se conoce (véase [Evaluar](#evaluar)). `TODO: Personalizar las categorías de impacto, si es necesario.`
-2. Documentar el vector, si se conoce (_por ejemplo_ web, correo electrónico, medios extraíbles). Tarea: Personalizar la lista de vectores, si es necesario.
+2. Documentar el vector, si se conoce (_por ejemplo_ web, correo electrónico, medios extraíbles). `TODO: Personalizar la lista de vectores, si es necesario.`
3. Documente el resumen del incidente: un breve resumen del vector, el impacto, la investigación y la situación de la reparación, si se conoce.
4. Documente la línea de tiempo del incidente, incluyendo la actividad del atacante y la actividad de la respuesta. `TODO: Añadir líneas de tiempo con diferentes detalles, según sea necesario.`
5. Documente los pasos de investigación, reparación y comunicación. Documente las actividades de forma independiente para que puedan combinarse y reutilizarse, si es posible.
@@ -204,10 +204,10 @@ Si un incidente resulta ser dos o más incidentes distintos:
## Recoger las pistas iniciales
-1. Entrevistar a los informadores del incidente.
+1. Entrevistar a los reportadores del incidente.
2. Recoger los datos de apoyo iniciales (_e._, alarmas, eventos, datos, suposiciones, intuiciones) en el archivo del incidente.
-3. Entrevistar a la(s) PYME con experiencia en el dominio o el sistema, para comprender los detalles técnicos, el contexto y el riesgo.
-4. Entrevistar a la(s) PYME de la unidad de negocio afectada, para comprender el impacto de la misión/negocio, el contexto y el riesgo.
+3. Entrevistar a lo(s) SME con experiencia en el dominio o el sistema, para comprender los detalles técnicos, el contexto y el riesgo.
+4. Entrevistar a lo(s) SME de la unidad de negocio afectada, para comprender el impacto de la misión/negocio, el contexto y el riesgo.
5. Asegúrese de que las pistas son relevantes, detalladas y procesables.
### Referencia: Lista de recursos de respuesta
@@ -244,7 +244,7 @@ Agregador de registros | {{LOG_AGGREGATOR_CONSOLE}}
* **¿Por qué?**: objetivo, momento, acceso a x datos, acceso a y sistema, etc.
* **¿Quién?**: atacante, usuarios afectados, clientes afectados, etc.?
1. **Identificar y priorizar los dispositivos y estrategias testigo** para responder a las preguntas clave.
- * Consultar los diagramas de la red, los sistemas de gestión de activos y la experiencia de las PYMES
+ * Consultar los diagramas de la red, los sistemas de gestión de activos y la experiencia de las SME
* Consultar la [Lista de recursos de respuesta](#referencia-lista-de-recursos-de-respuesta))
1. Consulte los [playbook de incidentes](#playbooks) para conocer las preguntas clave, los dispositivos testigos y las estrategias para investigar las amenazas comunes o muy dañinas.
@@ -252,22 +252,22 @@ Agregador de registros | {{LOG_AGGREGATOR_CONSOLE}}
### Referencia: Táctica del atacante a la matriz de preguntas clave
-Táctica del atacante | La forma en que los atacantes ... | Posibles preguntas clave
------------------------ | ----------------------------------------- | -----------------------------------------
-Reconocimiento | ... aprender sobre los objetivos | ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
-Desarrollo de recursos | construir infraestructuras. | ¿Qué sistemas?
-Acceso inicial | ... entrar | ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
-Ejecución | ... ejecutar código hostil | ¿Qué malware? ¿Qué herramientas? ¿Dónde? ¿Cuándo?
-Persistencia | ... quédate por aquí | ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
-Escalada de Privilegios | ... obtener acceso de mayor nivel | ¿Cómo? ¿Dónde? ¿Qué herramientas?
-Evasión de la defensa | ... esquivar la seguridad | ¿Cómo? ¿Dónde? ¿Desde cuándo?
-Acceso a credenciales | ... obtener/crear cuentas | ¿Qué cuentas? ¿Desde cuándo? ¿Por qué?
-Descubrimiento | ... aprender nuestra red | ¿Cómo? ¿Dónde? ¿Qué saben?
-Movimiento lateral | ... moverse | ¿Cómo? ¿Cuándo? ¿Qué cuentas?
-Recogida | ... encontrar y reunir datos | ¿Qué datos? ¿Por qué? ¿Cuándo? ¿Dónde?
-Mando y control | ... herramientas y sistemas de control | ¿Cómo? ¿Dónde? ¿Quién? ¿Por qué?
-Exfiltración | ... tomar datos | ¿Qué datos? ¿Cómo? ¿Cuándo? ¿Dónde?
-Impacto |... romper cosas. | ¿Qué sistemas o datos? ¿Cómo? ¿Cuándo? ¿Dónde? ¿Cómo de malo?
+Táctica del atacante | La forma en que los atacantes ... | Posibles preguntas clave
+----------------------- |----------------------------------------| -----------------------------------------
+Reconocimiento | ... aprender sobre los objetivos | ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
+Desarrollo de recursos | ... construir infraestructuras. | ¿Qué sistemas?
+Acceso inicial | ... entrar | ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
+Ejecución | ... ejecutar código hostil | ¿Qué malware? ¿Qué herramientas? ¿Dónde? ¿Cuándo?
+Persistencia | ... quedarse en el sistema | ¿Cómo? ¿Desde cuándo? ¿Dónde? ¿Qué sistemas?
+Escalada de Privilegios | ... obtener acceso de mayor nivel | ¿Cómo? ¿Dónde? ¿Qué herramientas?
+Evasión de la defensa | ... esquivar la seguridad | ¿Cómo? ¿Dónde? ¿Desde cuándo?
+Acceso a credenciales | ... obtener/crear cuentas | ¿Qué cuentas? ¿Desde cuándo? ¿Por qué?
+Descubrimiento | ... aprender nuestra red | ¿Cómo? ¿Dónde? ¿Qué saben?
+Movimiento lateral | ... moverse | ¿Cómo? ¿Cuándo? ¿Qué cuentas?
+Recogida | ... encontrar y reunir datos | ¿Qué datos? ¿Por qué? ¿Cuándo? ¿Dónde?
+Mando y control | ... herramientas y sistemas de control | ¿Cómo? ¿Dónde? ¿Quién? ¿Por qué?
+Exfiltración | ... tomar datos | ¿Qué datos? ¿Cómo? ¿Cuándo? ¿Dónde?
+Impacto | ... romper cosas. | ¿Qué sistemas o datos? ¿Cómo? ¿Cuándo? ¿Dónde? ¿Cómo de malo?
Consulte la página [MITRE ATT&CK](https://attack.mitre.org/) para obtener más información e ideas.
@@ -278,11 +278,11 @@ Consulte la página [MITRE ATT&CK](https://attack.mitre.org/) para obtener más
* Crear IOCs basados en [pistas iniciales](#recoger-las-pistas-iniciales) y [análisis](#analyze-evidence).
* Cree IOCs usando un formato abierto soportado por sus herramientas (_por ejemplo_, [STIX 2.0](https://oasis-open.github.io/cti-documentation/stix/intro)), si es posible. `TODO: Personalizar el formato de los COIs según sea necesario.`
* Utilice la automatización, si es posible. `TODO: Añadir un procedimiento de despliegue/revocación de COIs.`
-* **No** desplegar "feeds" de COIs no relacionados y no curados, ya que pueden causar confusión y fatiga.
-* Considerar todos los tipos de COI:
+* **No** desplegar "feeds" de IOCs no relacionados y no curados, ya que pueden causar confusión y fatiga.
+* Considerar todos los tipos de IOC:
* IOC basados en la red, como direcciones IP o MAC, puertos, direcciones de correo electrónico, contenido o metadatos del correo electrónico, URLs, dominios o patrones PCAP.
* IOC basados en el host, como rutas, hashes de archivos, contenido o metadatos de archivos, claves de registro, MUTEXes, autoejecuciones o artefactos y permisos de usuarios.
- * COIs basados en la nube, como patrones de registro para despliegues [SaaS](https://en.wikipedia.org/wiki/Software_as_a_service) o [IaaS](https://en.wikipedia.org/wiki/Infrastructure_as_a_service)
+ * IOCs basados en la nube, como patrones de registro para despliegues [SaaS](https://en.wikipedia.org/wiki/Software_as_a_service) o [IaaS](https://en.wikipedia.org/wiki/Infrastructure_as_a_service)
* IOCs de comportamiento (a.ka., patrones, TTPs) tales como patrones de árbol de procesos, heurística, desviación de la línea base y patrones de inicio de sesión.
* Correlacionar varios tipos de IOC, como indicadores basados en la red y en el host en los mismos sistemas.
@@ -299,7 +299,7 @@ Consulte la página [MITRE ATT&CK](https://attack.mitre.org/) para obtener más
* Recoger los registros relevantes de los sistemas (si no forman parte de la respuesta en vivo), agregadores, SIEM o consolas de dispositivos. `TODO: Personalizar las herramientas y el procedimiento de recopilación de registros.`
* Recoger la imagen de la memoria, si es necesario y si no forma parte de la respuesta en vivo, utilizando {{MEMORY_COLLECTION_TOOL}}. `TODO: Personalizar las herramientas y el procedimiento de recogida de memoria.`
* Recoger la imagen del disco, si es necesario, utilizando {{DISK_IMAGE_TOOL}}. `TODO: Personalizar la herramienta y el procedimiento de recogida de imágenes de disco.`
-* Recoger y almacenar las pruebas de acuerdo con la política, y con la cadena de custodia adecuada. ToDo: Personalizar la política de recogida de pruebas y cadena de custodia.
+* Recoger y almacenar las pruebas de acuerdo con la política, y con la cadena de custodia adecuada. `TODO: Personalizar la política de recogida de pruebas y cadena de custodia.`
Considere la posibilidad de recopilar los siguientes artefactos como evidencia, ya sea en tiempo real (_por ejemplo_, a través de EDR o un SIEM) o bajo demanda:
@@ -434,7 +434,7 @@ Utilice lo siguiente como punto de partida para la remediación de la erradicaci
## Elegir el momento de la reparación
-Determine la estrategia de plazos -cuando se llevarán a cabo las acciones de remediación- involucrando al Incident Commander, a los PYMES y propietarios del sistema, a los PYMES y propietarios de la unidad de negocio, y al equipo ejecutivo. Cada estrategia es apropiada en diferentes circunstancias:
+Determine la estrategia de plazos -cuando se llevarán a cabo las acciones de remediación- involucrando al Incident Commander, a los SME y propietarios del sistema, a los SMEs y propietarios de la unidad de negocio, y al equipo ejecutivo. Cada estrategia es apropiada en diferentes circunstancias:
* Elija la reparación **inmediata** cuando sea más importante detener inmediatamente las actividades del atacante que seguir investigando. Por ejemplo, una pérdida financiera en curso, o un fracaso de la misión en curso, una pérdida de datos activa, o la prevención de una amenaza significativa inminente.
* Elija una reparación **retrasada** cuando sea importante completar la investigación o no alertar al atacante. Por ejemplo, el compromiso a largo plazo de un atacante avanzado, el espionaje corporativo o el compromiso a gran escala de un número desconocido de sistemas.
From 7050a9af85e3e1fff1119b24be5631859cdebf50 Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Sat, 4 Jun 2022 12:14:12 +0200
Subject: [PATCH 075/199] =?UTF-8?q?Revisi=C3=B3n=20traducci=C3=B3n=20V1?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
after.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/after.md b/after.md
index 15d6eee..18d3e74 100644
--- a/after.md
+++ b/after.md
@@ -12,7 +12,7 @@ Documente las respuestas a las siguientes preguntas clave:
1. **¿Qué ocurrió?** Cree una línea de tiempo, apoyada con datos u otros artefactos. **Evitar las culpas. Busca los hechos.**
1. **¿Qué se suponía que iba a ocurrir?**
- * Detallar las desviaciones del proceso, el procedimiento o las mejores prácticas, incluidas las evaluaciones de las PYMES.
+ * Detallar las desviaciones del proceso, el procedimiento o las mejores prácticas, incluidas las evaluaciones de los SME.
* Identifique las formas en que el incidente podría haberse detectado antes o haberse respondido con mayor eficacia.
1. **¿Cuáles fueron las causas fundamentales?** Encuentre la raíz de lo que ocurrió y de lo que debería haber ocurrido.
1. **¿Cómo podemos mejorar?** Capture los elementos de acción con asignados y fechas de vencimiento. Considerar:
From 7bf106f9076f99b1b999e12928e2d3f4ba6f1a48 Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Sat, 4 Jun 2022 12:27:20 +0200
Subject: [PATCH 076/199] =?UTF-8?q?Revisi=C3=B3n=20traducci=C3=B3n=20V1=5F?=
=?UTF-8?q?1?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
test.md | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/test.md b/test.md
index 61e3b17..ae35828 100644
--- a/test.md
+++ b/test.md
@@ -1,3 +1,3 @@
{{AUTHOR_NAME}}
-more test data.
+more test data
From 89b8a31761b759ed3b38de8ede1324acdbc158a5 Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Sat, 4 Jun 2022 13:07:31 +0200
Subject: [PATCH 077/199] =?UTF-8?q?Revisi=C3=B3n=20traducci=C3=B3n=20V1=5F?=
=?UTF-8?q?2?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
info.yml | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/info.yml b/info.yml
index 994eea8..5902a3d 100644
--- a/info.yml
+++ b/info.yml
@@ -6,7 +6,7 @@
COMPANY_NAME: '{{COMPANY_NAME}}'
# Name and email of plan author (e.g., Chris)
-AUTHOR_NAME: 'Angel Manuel Aragón'
+AUTHOR_NAME: '{{AUTHOR_NAME}}''
# Email of plan author (e.g., contact@counteractive.net)
AUTHOR_EMAIL: '{{AUTHOR_EMAIL}}'
From 95e3dac6d903aa9c54d51bcc07716042ef9f626a Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Sun, 5 Jun 2022 10:24:04 +0200
Subject: [PATCH 078/199] =?UTF-8?q?Revisi=C3=B3n=20de=20la=20traducci?=
=?UTF-8?q?=C3=B3n=20de=20pandoc.yml?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
pandoc.yml | 2 +-
1 file changed, 1 insertion(+), 1 deletion(-)
diff --git a/pandoc.yml b/pandoc.yml
index ffb19ba..5696195 100644
--- a/pandoc.yml
+++ b/pandoc.yml
@@ -3,7 +3,7 @@ title: 'Plan de respuesta a incidentes para {{COMPANY_NAME}}'
author: 'Autor: {{AUTHOR_NAME}}, {{AUTHOR_EMAIL}}'
date: 'Revisión {{REVISION_NUMBER}}, Publicado {{RELEASE_DATE}}'
abstract: |
- This incident response plan is based on the concise, directive, specific, flexible, and free plan available on Counteractive Security's [Github](https://github.com/counteractive/incident-response-plan-template) and discussed at [www.counteractive.net](https://www.counteractive.net/posts/an-ir-plan-you-will-use/)
+ Este plan de respuesta a incidentes está basado en el plan conciso, directivo, específico, flexible y gratuito disponible [Github](https://github.com/counteractive/incident-response-plan-template) de Counteractive Security's y discutido en [www.counteractive.net](https://www.counteractive.net/posts/an-ir-plan-you-will-use/)
Fue revisado por última vez el {{REVIEW_DATE}}. Fue probado por última vez en {{TEST_DATE}}.
# geometry: margin=1.5in
From 0f1175b63b407ac0ac291acd3a0747cb3edf80ae Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Sun, 5 Jun 2022 12:34:08 +0200
Subject: [PATCH 079/199] =?UTF-8?q?Revisi=C3=B3n=20de=20la=20traducci?=
=?UTF-8?q?=C3=B3n=20V1=20playbook-defacement.md?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
playbooks/playbook-defacement.md | 20 ++++++++++----------
1 file changed, 10 insertions(+), 10 deletions(-)
diff --git a/playbooks/playbook-defacement.md b/playbooks/playbook-defacement.md
index 256a725..93acc85 100644
--- a/playbooks/playbook-defacement.md
+++ b/playbooks/playbook-defacement.md
@@ -2,14 +2,14 @@
## Playbook: Desaparición de sitios web
**Investigar, remediar (contener, erradicar) y comunicar en paralelo!**
-Asigne los pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este libro de jugadas no es puramente secuencial. Utilice su mejor criterio.
+Asigne los pasos a individuos o equipos para que trabajen simultáneamente, cuando sea posible; este playbook no es puramente secuencial. Utilice su mejor criterio.
### Investigar
-1. Desconecte inmediatamente el servidor desfigurado para investigarlo.
+1. Desconecte inmediatamente el servidor desconfigurado para investigarlo.
* Esto es especialmente importante si la desfiguración es insultante o provocadora de algún modo. Elimine esto de la vista del público tan pronto como sea posible para evitar daños, así como para mitigar el impacto del negocio.
* El mensaje de desfiguración también puede contener información falsa que podría confundir a los usuarios o ponerlos en peligro.
- * Desconectar el servidor permitirá una investigación más profunda de la desfiguración. Esto puede ser necesario, ya que el hacker puede haberse adentrado en la organización accediendo a servidores de aplicaciones, bases de datos, etc.
+ * Desconectar el servidor permitirá una investigación más profunda de la desfiguración. Esto puede ser necesario, ya que el ciberdelincuente puede haberse adentrado en la organización accediendo a servidores de aplicaciones, bases de datos, etc.
2. Determine el origen de la vulnerabilidad del sistema que ha utilizado el atacante. Los exploits más comunes son:
* Ataques de inyección SQL
* Este tipo de ataque se produce cuando un atacante interfiere en las consultas de una aplicación a la base de datos. Por lo tanto, esto puede conducir a un acceso no autorizado a datos privados o sensibles. Lea más sobre los ataques de inyección SQL [aquí](https://www.acunetix.com/websitesecurity/sql-injection/)
@@ -28,12 +28,12 @@ Asigne los pasos a individuos o equipos para que trabajen simultáneamente, cuan
* Comprobar los archivos con contenido estático
* Escanear las bases de datos en busca de contenido malicioso
* Comprobación de los enlaces presentes en la página
-3. Recoge cualquier pista sobre quién es el hacker o para qué organización trabaja. Considera las siguientes preguntas:
+3. Recoge cualquier pista sobre quién es el ciberdelincuente o para qué organización trabaja. Considera las siguientes preguntas:
* ¿Qué representa la desfiguración? ¿Incluía un mensaje obvio?
- * ¿Parece que la desfiguración es inofensiva o intencionada? ¿Podría ser el hacker un niño jugando o un grupo profesional que trabaja con un motivo?
+ * ¿Parece que la desfiguración es inofensiva o intencionada? ¿Podría ser el ciberdelincuente un niño jugando o un grupo profesional que trabaja con un motivo?
* ¿Parece que su organización haya sido el objetivo? ¿Quién podría querer atacar a su organización?
- * ¿Qué esperaba conseguir el hacker?
- * Consulta [aquí](https://www.geeksforgeeks.org/types-of-hackers/) para saber más sobre los tipos de hackers que pueden haber atacado tu página web.
+ * ¿Qué esperaba conseguir el ciberdelincuente?
+ * Consulta [aquí](https://www.geeksforgeeks.org/types-of-hackers/) para saber más sobre los tipos de ciberdelincuentes que pueden haber atacado tu página web.
4. Recoge otra información importante de la página que ha sido desfigurada, como por ejemplo
* una captura de pantalla de la desfiguración
* el dominio y la dirección IP de la página
@@ -76,7 +76,7 @@ Asigne los pasos a individuos o equipos para que trabajen simultáneamente, cuan
`TODO: Especifique las herramientas y los procedimientos para cada paso, a continuación`
-1. Elimine el mensaje del hacker y reemplácelo por el contenido original y legítimo. Si se han perdido datos en el ataque, consulte las copias de seguridad y restaure la página original en la medida de lo posible.
+1. Elimine el mensaje del ciberdelincuente y reemplácelo por el contenido original y legítimo. Si se han perdido datos en el ataque, consulte las copias de seguridad y restaure la página original en la medida de lo posible.
* Compruebe las copias de seguridad en busca de indicadores de compromiso
* Considere la recuperación parcial y la prueba de integridad de las copias de seguridad
2. Considere pedir a los usuarios que cambien sus credenciales de acceso si el servidor web tiene autenticación de usuario.
@@ -88,7 +88,7 @@ Asigne los pasos a individuos o equipos para que trabajen simultáneamente, cuan
`TODO: Comuníquese con otros empleados para asegurarse de que todos entienden y contribuyen a los siguientes pasos, cuando sea aplicable`.
1. Utilice el menor número de plug-ins posible. Los piratas informáticos tienen como objetivo los sitios web que son vulnerables y tienen muchas fuentes de entrada. Puedes limitar estas fuentes de entrada utilizando sólo lo que necesites y eliminando los plug-ins y el software que no utilices o sean antiguos. También es importante actualizarlos lo antes posible.
-2. Controle de cerca y ordene el acceso a los contenidos administrativos. Permita que las personas accedan sólo a lo que necesitan. Esto reducirá la posibilidad de que un error humano provoque un ciberataque. Hay más métodos de prevención DIY mencionados en [este artículo](https://cirt.gy/index.php/node/116) (pasos 6-12) y en el recurso #4 al final de este libro de jugadas.
+2. Controle de cerca y ordene el acceso a los contenidos administrativos. Permita que las personas accedan sólo a lo que necesitan. Esto reducirá la posibilidad de que un error humano provoque un ciberataque. Hay más métodos de prevención DIY mencionados en [este artículo](https://cirt.gy/index.php/node/116) (pasos 6-12) y en el recurso #4 al final de este playbook.
3. Comprueba regularmente si hay malware en tu sitio web escaneando el código fuente. Busca scripts, iframes o URLs que te parezcan desconocidos y asegúrate de escanear también las URLs que sí te resulten familiares.
4. Hay muchos escáneres automáticos de sitios web de gran reputación que no le costarán nada de su tiempo y escanearán a fondo su sitio en busca de vulnerabilidades con regularidad. Aquí hay un [enlace a escáneres populares](https://resources.infosecinstitute.com/14-popular-web-application-vulnerability-scanners/#gref).
5. Defiéndase contra los puntos comunes de explotación, como las inyecciones SQL y los ataques XSS. [Este artículo](https://www.banffcyber.com/knowledge-base/articles/best-practices-address-issue-web-defacement/) incluye las mejores prácticas para defender estos ataques.
@@ -122,7 +122,7 @@ Asigne los pasos a individuos o equipos para que trabajen simultáneamente, cuan
1. [Aplicación de la ley local](#TODO-link-to-actual-resource)
1. 1. [Aplicación de la ley a nivel estatal o regional](#TODO-link-to-actual-resource)
1. 1. [Fuerzas de seguridad federales o nacionales](#TODO-link-to-actual-resource)
-1. Comuníquese con los proveedores de seguridad y de TI TODO: Vincule las siguientes viñetas con los recursos reales de su organización
+1. Comuníquese con los proveedores de seguridad y de TI `TODO: Vincule las siguientes viñetas con los recursos reales de su organización`
1. Notifique y colabore con [proveedores gestionados](#TODO-link-to-actual-resource) según el procedimiento
1. 2. Notificar y colaborar con [consultores de respuesta a incidentes](#TODO-link-to-actual-resource) por procedimiento
From 33be35a44d9be147b6402e798ee993f7f5d84764 Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Sun, 5 Jun 2022 12:34:31 +0200
Subject: [PATCH 080/199] =?UTF-8?q?Revisi=C3=B3n=20de=20la=20traducci?=
=?UTF-8?q?=C3=B3n=20glossary.md?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
reference/glossary.md | 10 +++++-----
1 file changed, 5 insertions(+), 5 deletions(-)
diff --git a/reference/glossary.md b/reference/glossary.md
index 74b05f3..8327e4d 100644
--- a/reference/glossary.md
+++ b/reference/glossary.md
@@ -2,12 +2,12 @@
# Glosario
1. **El Incident Commander es la persona responsable de resolver cualquier incidente grave. Es la persona de mayor rango en cualquier llamada de incidente mayor, independientemente de su rango diario. Sus decisiones como comandante son definitivas.**
-1. **El adjunto:** Normalmente es el CI de apoyo. El trabajo del ayudante es apoyar al CI durante la llamada, proporcionándole cualquier ayuda que necesite.
+1. **El adjunto:** Normalmente es el IC de apoyo. El trabajo del ayudante es apoyar al IC durante la llamada, proporcionándole cualquier ayuda que necesite.
1. **Escriba:** El trabajo del escriba es mantener un registro de todas las actividades realizadas durante la llamada en un registro de chat escrito en Slack.
-1. **Resolver:** Una persona en la llamada de incidentes que es capaz de ayudar a resolver problemas dentro de un sistema particular. También se le conoce como PYME (ver más abajo).
-1. **SME:** "Subject Matter Expert", alguien que es un experto en un servicio o tema particular que puede proporcionar información al CI, y realizar acciones de resolución para un sistema en particular.
+1. **Resolver:** Una persona en la llamada de incidentes que es capaz de ayudar a resolver problemas dentro de un sistema particular. También se le conoce como SME (ver más abajo).
+1. **SME:** "Subject Matter Expert", alguien que es un experto en un servicio o tema particular que puede proporcionar información al IC, y realizar acciones de resolución para un sistema en particular.
1. **Personal de mando:** El personal de mando está formado por el comandante del incidente, el ayudante y el escriba.
-1. **Informe CAN:** CAN significa "Condiciones" "Acciones" "Necesidades", si un CI le pide un informe CAN, debe proporcionar el estado actual de su servicio (condición), qué acciones hay que tomar para devolverlo a un estado saludable (acciones), y qué apoyo necesita para realizar las acciones (necesidades).
-1. **Espacio de control:** Se refiere al número de informes directos que tiene. Por ejemplo, si el CI tiene 10 personas como informes directos en una convocatoria, tiene un gran rango de control. Nuestro objetivo es que el rango de control sea el mínimo posible sin dejar de ser productivo.
+1. **Informe CAN:** CAN significa "Condiciones" "Acciones" "Necesidades", si un IC le pide un informe CAN, debe proporcionar el estado actual de su servicio (condición), qué acciones hay que tomar para devolverlo a un estado saludable (acciones), y qué apoyo necesita para realizar las acciones (necesidades).
+1. **Espacio de control:** Se refiere al número de informes directos que tiene. Por ejemplo, si el IC tiene 10 personas como informadores directos en una convocatoria, tiene un gran rango de control. Nuestro objetivo es que el rango de control sea el mínimo posible sin dejar de ser productivo.
1. **Lanzagranadas:** Alguien que se une a la llamada en un momento tardío del juego, y proporciona información que desbarata completamente el pensamiento actual. A continuación, se marchan casi inmediatamente.
1. **Golpe Ejecutivo:** Cuando un ejecutivo entra en la convocatoria y suelta algún tipo de bomba. Una versión del lanzamiento de granadas.
From 73642ab2c88f6f09f415dd2727985c9383d680af Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Sun, 5 Jun 2022 13:10:58 +0200
Subject: [PATCH 081/199] =?UTF-8?q?Revisi=C3=B3n=20de=20la=20traducci?=
=?UTF-8?q?=C3=B3n=20playbook-ransomware.md?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
playbooks/playbook-ransomware.md | 25 ++++++++++++-------------
1 file changed, 12 insertions(+), 13 deletions(-)
diff --git a/playbooks/playbook-ransomware.md b/playbooks/playbook-ransomware.md
index af944ac..b4312d3 100644
--- a/playbooks/playbook-ransomware.md
+++ b/playbooks/playbook-ransomware.md
@@ -13,20 +13,20 @@ Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando s
1. Encuentre cualquier mensaje relacionado. Compruebe:
* las interfaces gráficas de usuario (GUI) del propio malware
* archivos de texto o html, que a veces se abren automáticamente tras el cifrado
- * image files, often as wallpaper on infected systems
- * contact emails in encrypted file extensions
- * pop-ups after trying to open an encrypted file
- * voice messages
+ * archivos de imange, a menudo, como fondos de pantalla del sistema infectado
+ * correos electrónicos de contacto en extensiones de archivo encriptadas
+ * ventanas emergentes después de intentar abrir un archivo encriptado
+ * mensajes de voz
1. Analice los mensajes en busca de pistas sobre el tipo de ransomware:
* nombre del ransomware
* lenguaje, estructura, frases, material gráfico
* correo electrónico de contacto
* formato de la identificación del usuario
- * especificaciones de la demanda de rescate (_e._, moneda digital, tarjetas de regalo)
+ * especificaciones de la demanda de rescate (_p.ej._, moneda digital, tarjetas de regalo)
* dirección de pago en caso de moneda digital
* chat de soporte o página de soporte
1. Analice los archivos afectados y/o nuevos. Compruebe:
- * el esquema de cambio de nombre de los archivos encriptados, incluyendo la extensión (_e.g._, `.cry`, `.cry`, `.locked`) y el nombre base
+ * el esquema de cambio de nombre de los archivos encriptados, incluyendo la extensión (_p.ej._, `.cry`, `.cry`, `.locked`) y el nombre base
* corrupción de archivos frente a encriptación
* Tipos de archivos y ubicaciones objetivo
* usuario/grupo propietario de los archivos afectados
@@ -34,32 +34,31 @@ Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando s
* marcadores de archivos
* existencia de listados de archivos, archivos clave u otros archivos de datos
- 1. Analice los tipos de software o sistemas afectados. Algunas variantes de ransomware sólo afectan a determinadas herramientas (_e.g._, [databases](https://www.bleepingcomputer.com/news/security/mongodb-apocalypse-professional-ransomware-group-gets-involved-infections-reach-28k-servers/)) or platforms (_e.g._, [NAS products](https://forum.synology.com/enu/viewtopic.php?f=3&t=88716))
+ 1. Analice los tipos de software o sistemas afectados. Algunas variantes de ransomware sólo afectan a determinadas herramientas (_p.ej._, [databases](https://www.bleepingcomputer.com/news/security/mongodb-apocalypse-professional-ransomware-group-gets-involved-infections-reach-28k-servers/)) or platforms (_e.g._, [NAS products](https://forum.synology.com/enu/viewtopic.php?f=3&t=88716))
1. Subir los indicadores a servicios de categorización automatizados como [Crypto Sheriff](https://www.nomoreransom.org/crypto-sheriff.php), [ID Ransomware](https://id-ransomware.malwarehunterteam.com/), o similar.
1. **Determinar el alcance:**
1. ¿Qué sistemas están afectados? `TODO: Especificar herramientas y procedimientos`
* Busque indicadores de compromiso (IOC), como archivos/hashes, procesos, conexiones de red, etc. Utilice [endpoint protection/EDR](#TODO-link-to-actual-resource), [endpoint telemetry](#TODO-link-to-actual-resource), [system logs](#TODO-link-to-actual-resource), etc.
* Comprobar la infección de sistemas similares (_por ejemplo, usuarios, grupos, datos, herramientas, departamento, configuración, estado de los parches): comprobar [IAM tools](#TODO-link-to-actual-resource), [permissions management tools](#TODO-link-to-actual-resource), [directory services](#TODO-link-to-actual-resource), _etc._
* Find external command and control (C2), if present, and find other systems connecting to it: check [firewall or IDS logs](#TODO-link-to-actual-resource), [system logs/EDR](#TODO-link-to-actual-resource), [DNS logs](#TODO-link-to-actual-resource), [netflow or router logs](#TODO-link-to-actual-resource), _etc._
- 1. ¿Qué datos están afectados? (_e._, tipos de archivo, departamento o grupo, software afectado) `TODO: Especifique la(s) herramienta(s) y el procedimiento`.
+ 1. ¿Qué datos están afectados? (_e.g._, tipos de archivo, departamento o grupo, software afectado) `TODO: Especifique la(s) herramienta(s) y el procedimiento`.
* Buscar cambios anómalos en los metadatos de los archivos, como cambios masivos en las horas de creación o modificación. Comprobar [herramientas de búsqueda de metadatos de archivos](#TODO-link-to-actual-resource)
- * Buscar cambios en archivos de datos normalmente estables o críticos. Comprobar [supervisión de la integridad de los archivos](#TODO-link-to-actual-resource) tools
+ * Buscar cambios en archivos de datos normalmente estables o críticos. Comprobar las herramientas de [supervisión de la integridad de los archivos](#TODO-link-to-actual-resource)
1. **Evaluar el impacto** para priorizar y motivar los recursos
1. Evaluar el impacto funcional: impacto en la empresa o en la misión.
* ¿Cuánto dinero se pierde o está en riesgo?
* ¿Cuántas (y cuáles) misiones se degradan o están en riesgo?
1. Evaluar el impacto en la información: impacto en la confidencialidad, integridad y disponibilidad de los datos.
* ¿Qué importancia tienen los datos para la empresa/misión?
- * ¿Cuán sensibles son los datos? (_p. ej., secretos comerciales)
- * ¿Cuál es la situación reglamentaria de los datos (por ejemplo, PII, PHI)?
+ * ¿Cuán sensibles son los datos? (_p.ej._, secretos comerciales)
+ * ¿Cuál es la situación reglamentaria de los datos (_p.ej._, PII, PHI)?
1. **Encuentra el vector de infección.** Comprueba las tácticas capturadas en la [Initial Access tactic](https://attack.mitre.org/tactics/TA0001/) of MITRE ATT&CK[[4]](#ransomware-playbook-ref-4). Los datos más comunes y las fuentes de datos son:
* archivo adjunto de correo electrónico: comprobar [email logs](#TODO-link-to-actual-resource), [email security appliances and services](#TODO-link-to-actual-resource), [e-discovery tools](#TODO-link-to-actual-resource), _etc._
* insecure remote desktop protocol (RDP): check [vulnerability scanning results](#TODO-link-to-actual-resource), [firewall configurations](#TODO-link-to-actual-resource), _etc._
* auto-propagación (worm or virus) (check [host telemetry/EDR](#TODO-link-to-actual-resource), [system logs](#TODO-link-to-actual-resource), [forensic analysis](#TODO-link-to-actual-resource), _etc._)
- *
-### Remediate
+### Remediar
**Planificar eventos de remediación** en los que estos pasos se lancen juntos (o de forma coordinada), con los equipos apropiados listos para responder a cualquier interrupción.
**Considere el momento y las compensaciones** de las acciones de reparación: su respuesta tiene consecuencias.
From 25b275b020710941c2a673648e7159a732f2bea1 Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Sun, 5 Jun 2022 13:15:49 +0200
Subject: [PATCH 082/199] =?UTF-8?q?Revisi=C3=B3n=20de=20la=20traducci?=
=?UTF-8?q?=C3=B3n=20playbook-supply-chain.md?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
playbooks/playbook-supply-chain.md | 10 +++++-----
1 file changed, 5 insertions(+), 5 deletions(-)
diff --git a/playbooks/playbook-supply-chain.md b/playbooks/playbook-supply-chain.md
index 0f9b941..f77902a 100644
--- a/playbooks/playbook-supply-chain.md
+++ b/playbooks/playbook-supply-chain.md
@@ -7,7 +7,7 @@ Asigne pasos a individuos o equipos para que trabajen simultáneamente, cuando s
### Investigar
-Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el compromiso de la cadena de suministro.
+`TODO: Ampliar los pasos de la investigación, incluyendo las preguntas y estrategias clave, para el compromiso de la cadena de suministro.`
1. TODO
@@ -18,9 +18,9 @@ Tarea: Ampliar los pasos de la investigación, incluyendo las preguntas y estrat
#### Contención
-Tarea: Personalizar los pasos de contención, tácticos y estratégicos, para el compromiso de la cadena de suministro.
+`TODO: Personalizar los pasos de contención, tácticos y estratégicos, para el compromiso de la cadena de suministro.`
-TODO: Especifique las herramientas y los procedimientos para cada paso, a continuación.
+`TODO: Especifique las herramientas y los procedimientos para cada paso, a continuación.`
*TODO
@@ -28,9 +28,9 @@ TODO: Especifique las herramientas y los procedimientos para cada paso, a contin
#### Erradicar
-TODO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el compromiso de la cadena de suministro.
+`TODO: Personalizar los pasos de erradicación, tácticos y estratégicos, para el compromiso de la cadena de suministro.`
-TODO: Especificar las herramientas y los procedimientos para cada paso, a continuación.
+`TODO: Especificar las herramientas y los procedimientos para cada paso, a continuación.`
* TODO
From 17ddd3201ca071f5b295cf5c6282cf5ecac38ad2 Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Sun, 5 Jun 2022 18:06:44 +0200
Subject: [PATCH 083/199] =?UTF-8?q?Revisi=C3=B3n=20de=20la=20traducci?=
=?UTF-8?q?=C3=B3n=20de=20ROLES?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
roles/index.md | 8 ++---
roles/role-0-all-participants.md | 18 +++++------
roles/role-1-commander.md | 52 ++++++++++++++++----------------
roles/role-2-deputy.md | 14 ++++-----
roles/role-3-scribe.md | 6 ++--
roles/role-4-expert.md | 10 +++---
roles/role-5-liaison.md | 8 ++---
7 files changed, 58 insertions(+), 58 deletions(-)
diff --git a/roles/index.md b/roles/index.md
index b2fb499..ecb5e0f 100644
--- a/roles/index.md
+++ b/roles/index.md
@@ -14,9 +14,9 @@ A continuación se presentan las descripciones, los deberes y la formación para
* Enlace Interno [Enlace](#rol-enlace)
* Enlace externo
* Equipo de Operaciones
- * [Expertos en la materia](#rol-experto-en-la-materia-subject-matter-expert-sme) (PYMES) para Sistemas
- * PYMES para equipos/unidades de negocio
- * PYMES para las funciones ejecutivas (_e.j._, Legal, RRHH, Finanzas)
+ * [Expertos en la materia](#rol-experto-en-la-materia-subject-matter-expert-sme) (SMEs) para Sistemas
+ * SMEs para equipos/unidades de negocio
+ * SMEs para las funciones ejecutivas (_p.ej._, Legal, RRHH, Finanzas)
En el caso de incidentes complejos de mayor envergadura, la estructura de funciones puede ajustarse para tener en cuenta la creación de subequipos. Para más información, lea cómo gestionamos los [Incidentes Complejos](/before/complex_incidents.md).
Esta es una **estructura flexible**: cada rol no será ocupado por una persona diferente para cada incidente. Por ejemplo, en un incidente pequeño, el adjunto podría actuar como escribiente y enlace interno. La estructura es flexible y se adapta al incidente.
@@ -29,6 +29,6 @@ En las llamadas de respuesta a Incidentes ("tiempos de guerra"), una estructura
* Los primeros intervinientes (las personas que actúan como primeros intervinientes de un equipo/servicio) son las personas de mayor rango de ese servicio.
* Las decisiones serán tomadas por el IC tras considerar la información presentada. Una vez tomada la decisión, es definitiva.
* El IC puede tomar decisiones más arriesgadas que las que normalmente se considerarían en tiempos de paz.
-* El IC puede ir en contra de una decisión consensuada. Si se hace una encuenta, y 9/10 personas están de acuerdo pero 1 está en desacuerdo. El IC puede elegir la opción del desacuerdo a pesar del voto de la mayoría. Aunque no esté de acuerdo, la decisión del IC es definitiva. Durante la convocatoria no es el momento de discutir con ellos.
+* El IC puede ir en contra de una decisión consensuada. Si se hace una encuesta, y 9/10 personas están de acuerdo pero 1 está en desacuerdo. El IC puede elegir la opción del desacuerdo a pesar del voto de la mayoría. Aunque no esté de acuerdo, la decisión del IC es definitiva. Durante la convocatoria no es el momento de discutir con ellos.
* El IC puede utilizar un lenguaje o comportarse de una manera que usted considere grosera. Esto es tiempo de guerra, y necesitan hacer lo que sea necesario para resolver la situación, por lo que a veces se producen groserías. Esto no es personal, y es algo que debes estar preparado para experimentar si nunca has estado en una situación de guerra.
* Es posible que el IC te pida que abandones la llamada, o incluso que te eche a la fuerza de una llamada. Esto queda a discreción del IC si considera que no estás aportando nada útil. De nuevo, esto no es personal y debes recordar que los tiempo de guerra son diferentes a los tiempo de paz.
diff --git a/roles/role-0-all-participants.md b/roles/role-0-all-participants.md
index e9821d2..e213732 100644
--- a/roles/role-0-all-participants.md
+++ b/roles/role-0-all-participants.md
@@ -10,16 +10,16 @@ Todos los participantes en la respuesta a un incidente tienen la responsabilidad
#### Exhibir la etiqueta de la llamada
* Participar tanto en la llamada como en el chat.
-* Mantenga el ruido de fondo al mínimo.
-* Mantenga el micrófono silenciado hasta que tenga algo que decir.
-* Identifíquese cuando entre en la llamada; diga su nombre y su función (por ejemplo, "Soy el SME del equipo x").
-* Habla con claridad.
-* Sea directo y objetivo.
-* Mantenga las conversaciones/debates breves y al grano.
+* Mantener el ruido de fondo al mínimo.
+* Mantener el micrófono silenciado hasta que tenga algo que decir.
+* Identifícarse cuando entre en la llamada; diga su nombre y su función (por ejemplo, "Soy el SME del equipo x").
+* Hablar con claridad.
+* Ser directo y objetivo.
+* Mantener las conversaciones/debates breves y al grano.
* Comunicar cualquier preocupación al Incident Commander (IC) en la llamada.
* Respetar las limitaciones de tiempo dadas por el Incident Commander.
-* Si te unes a un solo canal (llamada o chat), no participes activamente, ya que provoca una comunicación inconexa.
-* **Utilice una terminología clara y evite acrónimos o abreviaturas. La claridad y la precisión son más importantes que la brevedad.**
+* Si te unes a un solo canal (llamada o chat), no participar activamente, ya que provoca una comunicación inconexa.
+* **Utilizar una terminología clara y evitar usar acrónimos o abreviaturas. La claridad y la precisión son más importantes que la brevedad.**
##### Referencia: Procedimiento común de voz
@@ -45,4 +45,4 @@ El Incident Commander (IC) es el líder del proceso de respuesta al incidente.
### Capacitación
-Lee y entiende el plan de respuesta a incidentes, incluyendo los roles y los libros de jugadas.
+Lee y entiende el plan de respuesta a incidentes, incluyendo los roles y los libros de jugadas.
\ No newline at end of file
diff --git a/roles/role-1-commander.md b/roles/role-1-commander.md
index d194a2a..7e7c614 100644
--- a/roles/role-1-commander.md
+++ b/roles/role-1-commander.md
@@ -2,65 +2,65 @@
## Rol: Incident Commander
### Descripcion
-El Incident Commander(IC) actua como la unica fuente de lo que realmente esta ocurriendo y va a ocurrir durante un incidente grave. El JI es el individuo con mayor ranking en cualquier llamada de incidente, sin importar el rango en el dia a dia. Ellos son los que toman decisiones durante un incidente; delegan tareas y prestan atencion a expertos en la materia que estan tratando para resolver el incidente. Las decisiones tomadas por el el Incident commander las decisivas.
+El Incident Commander(IC) actua como la única fuente de lo que realmente está ocurriendo y va a ocurrir durante un incidente grave. El IC es el individuo con mayor rango en cualquier llamada de incidente, sin importar el rango en el dia a dia. Ellos son los que toman decisiones durante un incidente; delegan tareas y prestan atencion a expertos en la materia que están tratando para resolver el incidente. Las decisiones tomadas por el Incident commander las decisivas.
-Tu trabajo como Incident commander evaluar la situacion, proveer un guiado claro y cordinado, contratar otros trabajadores para recolectar contexto/detalles.**No realizar investigaciones o remedios** delega estos trabajos.
+Tu trabajo como Incident commander evaluar la situación, proveer un guiado claro y coordinado, contratar otros trabajadores para recolectar contexto/detalles.**No realizar investigaciones o remedios**, delega estos trabajos.
### Deberes
-Resuelve el incidente lo mas rapido y seguro posible usando el plan de respuesta de incidentes como plantilla de trabajo: guia al equipo de investigacion, remedio, comunicación. Utiliza al diputado para que te ayude, y delegue a relevantes enlaces y expertos a tu discreción.
+Resuelve el incidente lo más rápido y seguro posible usando el plan de respuesta de incidentes como plantilla de trabajo: guia al equipo de investigacion, remedio, comunicación. Utiliza al adjunto para que te ayude, y delegue a relevantes enlaces y expertos a tu discreción.
-1. Ayuda a preparos para incidentes,
- * Establecer canales de comunicacion para incidentes.
- * Redirige a las personas hacia estos canales de comunicacion cuando acurra algun incidente grave.
+1. Ayuda a prepararos para los incidentes,
+ * Establecer canales de comunicación para incidentes.
+ * Redirige a las personas hacia estos canales de comunicación cuando acurra algún incidente grave.
* Entrena a miembros del equipo sobre como comunicarte durante incidentes y entrena a otros Incident Commanders.
-1. Dirige los incidentes hacia una solucion,
- * Lleva a todos al mismo canal de comunicacion.
- * Recolecta informacion de los miembros del equipo por sus servicios de estatus.
- * Recolecta propuestas de reparacion de acciones, despues recomienda acciones de reparacion para que se lleven acabo.
- * Delega todas la acciones de reparacion, el Incident Commander no es un resolutor.
- * Se la unica fuente de autoridad en el estado del sistema.
+1. Dirige los incidentes hacia una solución,
+ * Lleva a todos al mismo canal de comunicación.
+ * Recolecta información de los miembros del equipo por sus servicios de estatus.
+ * Recolecta propuestas de reparación de acciones, después recomienda acciones de reparación para que se lleven a cabo.
+ * Delega todas la acciones de reparación, el Incident Commander no es un resolvedor.
+ * Es la única fuente de autoridad en el estado del sistema.
1. Facilita las llamadas y reuniones,
- * Gana concenso (Realiza encuentas durante las llamadas)
+ * Gana consenso (Realiza encuestas durante las llamadas)
* Proporciona actualizaciones de estatus
* Reduce el alcance (despedir a los asistentes cuando sea posible)
* Spin off sub-equipos
* Transfiere el control cuando sea necesario
* Firmar las llamadas
* Mantener el orden
- * Obten respuestas directas
- * Manejar las caidas de ejecutivos como
+ * Obtén respuestas directas
+ * Manejar las caídas de ejecutivos como
* Anular al Incident Commander
* Desmotivación
- * Peticion de informacion
+ * Petición de información
* Cuestionar la severidad
* Manejar respuestas perturbadoras o beligerantes
1. Post Mortem,
- * Crear la plantilla inicial justo despues del incidente para que las personas puedan escribir sus opiniones mientras estan frescas.
- * Asignar el post-mortem despues de que el evento termine, esto puede darse despues de terminar la llamada.
- * Trabaja con los manager o jefes de equipo para organizar acciones preventivas.
+ * Crear la plantilla inicial justo después del incidente para que las personas puedan escribir sus opiniones mientras están frescas.
+ * Asignar el post-mortem después de que el evento termine, esto puede darse después de terminar la llamada.
+ * Trabaja con los gerentes o jefes de equipo para organizar acciones preventivas.
-El Incident Commander utiliza metodos y lenguajes adicionales:
+El Incident Commander utiliza métodos y lenguajes adicionales:
-* Siempre anuncie cuando se una a la llamada si es el JI de guardia.
+* Siempre anuncie cuando se una a la llamada si es el IC de guardia.
* **No** permita que las discusiones se salgan de control. Mantenga las conversaciones cortas.
* Tenga en cuenta las objeciones de los demás, pero tu decision es la definitiva.
-* Si alguien está interrumpiendo activamente tu decision, expulsalo.
+* Si alguien está interrumpiendo activamente tu decision, expúlsalo.
* Anuncia el final de la llamada.
* Después de un incidente, comuníquese con otros Incident Commander sobre cualquier acción que considere necesaria.
**Utilice una terminología clara y evite las siglas o abreviaturas. La claridad y la precisión son más importantes que la brevedad.**
-### Practicas
+### Prácticas
* Lea el plan de respuesta a incidentes, incluidos todos los roles y manuales.
* Participar en un ejercicio de respuesta a incidentes.
* Seguir a un Incident Commander actual sin participar activamente, manteniendo sus preguntas hasta el final.
-* Tomar la iniciativa de un Incident Commander. Responda a incidentes con el JI actual allí para hacerse cargo si es necesario.
-* _OPCIONAL:_ facilitar las practicas
+* Tomar la iniciativa de un Incident Commander. Responda a incidentes con el IC actual allí para hacerse cargo si es necesario.
+* _OPCIONAL:_ facilitar las prácticas
* _OPCIONAL:_ recurre a [Incident Responders as Facilitators (and Therapists)](#FIX) y al [PagerDuty Incident Commander training](https://response.pagerduty.com/training/incident_commander/) para mas ideas y discussiones.
-#### prerequisitos
+#### pre-requisitos
No hay requisitos previos de antigüedad o unidad de negocios para convertirse en Incident Commander, es un rol abierto a cualquier persona con la capacitación y la capacidad. Antes de que pueda ser un Incident Commander, se espera que cumpla con los siguientes criterios:
diff --git a/roles/role-2-deputy.md b/roles/role-2-deputy.md
index 3e20d59..6015305 100644
--- a/roles/role-2-deputy.md
+++ b/roles/role-2-deputy.md
@@ -1,20 +1,20 @@
-## Rol: Delegado del Incident Commander (Subdelegado)
+## Rol: adjunto del Incident Commander (adjunto)
### Descripción
-Un Subdelegado de Incidentes (Subdelegado es un papel de apoyo directo al Incident Commander (IC). El subdelegado permite que el JII se centre en el problema que tiene entre manos, en lugar de preocuparse por documentar los pasos o controlar los temporizadores. El Subdelegado apoya al IC y lo mantiene centrado en el incidente. Como Subdelegado, se espera que asuma el mando del IC si éste lo solicita.
+Un adjunto del Incident Commander (adjunto) es un papel de apoyo directo al Incident Commander (IC). El adjunto permite que el IC se centre en el problema que tiene entre manos, en lugar de preocuparse por documentar los pasos o controlar los tiempos. El adjunto apoya al IC y lo mantiene centrado en el incidente. Como adjunto, se espera que asuma el mando del IC si éste lo solicita.
### Funciones
-1. 1. Plantear al Incident Commander cuestiones que, de otro modo, no se abordarían (vigilar los temporizadores que se han puesto en marcha, dar vueltas a los elementos que se han perdido en una toma de lista, etc.).
-1. 1. Ser un Incident Commander "de reserva", en caso de que el jefe principal tenga que hacer la transición a un SME, o tenga que alejarse de la función de JI.
+1. 1. Plantear al Incident Commander cuestiones que, de otro modo, no se abordarían (vigilar los temporizadores que se han puesto en marcha, retomar los elementos que se han perdido de una lista, etc.).
+1. 1. Ser un Incident Commander "de reserva", en caso de que el jefe principal tenga que hacer la transición a un SME, o tenga que alejarse de la función de IC.
1. 1. Gestionar la llamada del incidente y estar preparado para retirar a las personas de la llamada si así lo indica el Incident Commander.
-1. Supervisar el estado del incidente y notificar al JI si el nivel de gravedad del incidente aumenta.
+1. Supervisar el estado del incidente y notificar al IC si el nivel de gravedad del incidente aumenta.
1. Supervise los temporizadores:
* controlar el tiempo que ha durado el incidente
- * Notificar al JI cada X minutos para que pueda tomar medidas (por ejemplo, "JI, el incidente está ahora en la marca de 10 minutos").
-1. Supervisar los plazos de las tareas (p. ej., "JI, avisa de que el temporizador de la investigación de [TEAM] se ha agotado").
+ * Notificar al IC cada X minutos para que pueda tomar medidas (por ejemplo, "IC, el incidente está ahora en la marca de 10 minutos").
+1. Supervisar los plazos de las tareas (_p.ej._, "IC, avisa de que el temporizador de la investigación de [TEAM] se ha agotado").
### Formación
diff --git a/roles/role-3-scribe.md b/roles/role-3-scribe.md
index e7ce8f3..e35408d 100644
--- a/roles/role-3-scribe.md
+++ b/roles/role-3-scribe.md
@@ -10,9 +10,9 @@ Un escriba documenta la línea de tiempo de un incidente a medida que avanza, y
1. Asegurarse de que la llamada del incidente se está grabando.
1. 2. Anotar en el chat y en la línea de tiempo del expediente: los datos, eventos y acciones importantes, a medida que se producen. Específicamente:
* Acciones clave a medida que se llevan a cabo
- * Informes de estado cuando el CI los proporcione
+ * Informes de estado cuando el IC los proporcione
* Cualquier llamada clave durante la llamada o en la revisión final
-1. Actualice el chat indicando quién es el CI, quién es el adjunto y que usted es el escribiente (si no lo ha hecho ya).
+1. Actualice el chat indicando quién es el IC, quién es el adjunto y que usted es el escribiente (si no lo ha hecho ya).
Escribir es más un arte que una ciencia. El objetivo es mantener un registro preciso de los eventos importantes que ocurrieron, Usa tu juicio y experiencia. Pero aquí hay algunas cosas generales que definitivamente querrás capturar como escribiente.
@@ -26,7 +26,7 @@ Lea y comprenda el plan de respuesta a incidentes, incluyendo los roles y los li
#### Requisitos previos
* Excelentes habilidades de **comunicación verbal y escrita**.
-* Cualquiera puede actuar como escribiente durante un incidente, y son elegidos por el Comandante de Incidentes al inicio de la llamada.
+* Cualquiera puede actuar como escribiente durante un incidente, y son elegidos por el Incident Commander al inicio de la llamada.
* Normalmente, el ayudante actuará como escribiente.
#### Proceso de formación
diff --git a/roles/role-4-expert.md b/roles/role-4-expert.md
index 28f605a..b1476bb 100644
--- a/roles/role-4-expert.md
+++ b/roles/role-4-expert.md
@@ -3,15 +3,15 @@
### Descripción
-Un experto en la materia (SME) es un experto en el dominio o propietario designado de un equipo, componente o servicio (un "área"). Está ahí para apoyar al Incident Commander en la identificación de la causa del incidente, sugiriendo y evaluando las acciones de investigación, remediación y comunicación, y realizando el seguimiento de las mismas según se le encomiende.
+Un experto en la materia (SME) es un experto en el dominio o responsable designado de un equipo, componente o servicio (un "área"). Está ahí para apoyar al Incident Commander en la identificación de la causa del incidente, sugiriendo y evaluando las acciones de investigación, remediación y comunicación, y realizando el seguimiento de las mismas según se le encomiende.
### Funciones
1. Diagnosticar problemas comunes dentro de su área de experiencia.
1. Solucionar rápidamente los problemas detectados durante un incidente.
1. Comunicación concisa:
- * Estado: ¿Cuál es el estado actual de su área? ¿Es saludable o no?
- * Acciones: ¿Qué medidas hay que tomar si su zona no se encuentra en un estado saludable?
+ * Estado: ¿Cuál es el estado actual de su área? ¿Está buen estado o no?
+ * Acciones: ¿Qué medidas hay que tomar si su zona no se encuentra en un buen estado?
* Necesidades: ¿Qué apoyo necesita para realizar una acción?
1. Participar en las fases de investigación, remediación y/o comunicación de la respuesta.
1. Anunciar todas las sugerencias al comandante del incidente, es su decisión cómo proceder, no siga ninguna acción a menos que se le indique.
@@ -24,8 +24,8 @@ Si está de guardia para cualquier equipo, puede ser llamado para un incidente y
1. Esté preparado, habiéndose familiarizado ya con nuestras políticas y procedimientos de respuesta a incidentes.
1. Asegúrese de que ha configurado sus métodos de alerta de acuerdo con nuestro procedimiento de guardia.
1. Compruebe que puede unirse a la llamada de incidentes. Es posible que tenga que instalar un plugin para el navegador.
-1. Tenga en cuenta su próximo tiempo de guardia y organice los cambios en función de los viajes, las vacaciones, las citas, etc.
-1. Si usted es comandante de incidentes, asegúrese de no estar de guardia para su equipo al mismo tiempo que está de guardia como comandante de incidentes.
+1. Tenga en cuenta su próxima vez de guardia y organice los cambios en función de los viajes, las vacaciones, las citas, etc.
+1. Si usted es el Incident Commander, asegúrese de no estar de guardia con su equipo al mismo tiempo que está de guardia como Incident Commander.
#### Durante el periodo de guardia
diff --git a/roles/role-5-liaison.md b/roles/role-5-liaison.md
index bb3f3f5..15dfefb 100644
--- a/roles/role-5-liaison.md
+++ b/roles/role-5-liaison.md
@@ -13,8 +13,8 @@ Los enlaces interactuan con otros equipos o partes interesadas fuera del equipo
#### Enlace con el exterior o con el cliente
1. Subir cualquier mensaje de cara al público con respecto al incidente (Twitter, etc).
-1. Notificar al IC (Intelligence Customer) de cualquier cliente o cobertura de los medios de comunicación que informen de los efectos del incidente.
-1. Proporcionar a los clientes el mensaje externo de la autopsia una vez que se haya completado.
+1. Notificar al IC de cualquier cliente o medios de comunicación que informen de los efectos del incidente.
+1. Proporcionar a los clientes el mensaje externo del post-mortem una vez que se haya completado.
1. Contactar o interactuar con las partes interesadas externas, como proveedores, socios, fuerzas de seguridad, _etc._
1. **No** sentirse responsable de la creación de cada mensaje: trabajar con el Incident Commander y otras partes interesadas.
1. Según proceda, mantener a los clientes informados durante un incidente.
@@ -37,9 +37,9 @@ Los enlaces interactuan con otros equipos o partes interesadas fuera del equipo
#### Enlace interno
-1. Página PYMES u otro personal de guardia según las instrucciones del Incident Commander.
+1. Página de SMEs u otro personal de guardia según las instrucciones del Incident Commander.
1. Notificar o movilizar a otros equipos de la organización (por ejemplo, Finanzas, Legal, Marketing), según las instrucciones del Incident Commander.
-1. Seguir y anticiparse a las PYMES en la convocatoria.
+1. Seguir y anticiparse a los SMEs en la convocatoria.
1. Interactuar con las partes interesadas y proporcionar actualizaciones de estado cuando sea necesario.
1. Interactuar con las partes interesadas internas para responder a sus preguntas, para mantener la llamada principal libre de distracciones.
1. Proporcionar actualizaciones periódicas de la situación al equipo ejecutivo, ofreciendo un resumen ejecutivo de la situación actual.
From 1052260f88afbeaa969683dba849b0473642a700 Mon Sep 17 00:00:00 2001
From: anye3l0
Date: Tue, 7 Jun 2022 08:09:59 +0200
Subject: [PATCH 084/199] =?UTF-8?q?Revisi=C3=B3n=20de=20la=20traducci?=
=?UTF-8?q?=C3=B3n=20PYMES=20-->=20SME=20y=20Formato=20a=20la=20tabla=20de?=
=?UTF-8?q?=20about?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
after.md | 12 ++++++------
during.md | 4 ++--
2 files changed, 8 insertions(+), 8 deletions(-)
diff --git a/after.md b/after.md
index 18d3e74..52a1267 100644
--- a/after.md
+++ b/after.md
@@ -26,11 +26,11 @@ El propietario del informe, en coordinación con el enlace interno, comunicará
### Descripciones de estado
-| Estado | Descripción |
-|-|-|
-| **Borrador** | La investigación de la AAR sigue en curso |
-| **En revisión** | La investigación AAR se ha completado, y está lista para ser revisada durante la reunión AAR. |
-| **Revisado** | La reunión de AAR ha terminado y el contenido ha sido revisado y acordado.
Si hay "Mensajes externos" adicionales, el equipo de comunicación tomará medidas para prepararlos. |
-| **Cerrado** | No es necesario realizar más acciones en el AAR (los problemas pendientes se rastrean en los tickets).
Si no hay "Mensajes Externos", pase directamente a esto una vez que la reunión haya terminado.
Si hay "Mensajes Externos" adicionales, el equipo de comunicaciones actualizará el AAR Cerrado una vez enviado. |
+| Estado | Descripción |
+|-----------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
+| **Borrador** | La investigación de la AAR sigue en curso |
+| **En revisión** | La investigación AAR se ha completado, y está lista para ser revisada durante la reunión AAR. |
+| **Revisado** | La reunión de AAR ha terminado y el contenido ha sido revisado y acordado.
Si hay "Mensajes externos" adicionales, el equipo de comunicación tomará medidas para prepararlos. |
+| **Cerrado** | No es necesario realizar más acciones en el AAR (los problemas pendientes se rastrean en los tickets).
Si no hay "Mensajes Externos", pase directamente a esto una vez que la reunión haya terminado.
Si hay "Mensajes Externos" adicionales, el equipo de comunicaciones actualizará el AAR Cerrado una vez enviado. |
Comunicar internamente los resultados del AAR y finalizar la documentación del AAR.
diff --git a/during.md b/during.md
index 5ac9133..734d863 100644
--- a/during.md
+++ b/during.md
@@ -52,7 +52,7 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
7. **No** usar SMS/texto para comunicar el incidente, a menos que sea para decirle a alguien que se mueva a un canal más seguro.
8. Invite al personal de turno/guardia a la llamada y al chat de respuesta.
* Invite al equipo de seguridad. `TODO: Añadir lista de contactos del equipo de seguridad o procedimiento.`
- * Invitar al SME de los equipos y sistemas afectados. `TODO: Añadir la lista de contactos de la PYME del equipo o el procedimiento.`
+ * Invitar al SME de los equipos y sistemas afectados. `TODO: Añadir la lista de contactos del SME del equipo o el procedimiento.`
* Invitar a las partes interesadas ejecutivas y a los asesores jurídicos lo antes posible, pero dar prioridad a los responsables operativos. `TODO: añadir una lista de contactos de las partes interesadas ejecutivas o un procedimiento.`
9. OPCIONAL:_ Establecer una sala de colaboración en persona ("sala de guerra") para incidentes complejos o graves. `TODO: Añadir el procedimiento de la sala de colaboración.`
@@ -66,7 +66,7 @@ Cree una [frase simple de dos palabras](http://creativityforyou.com/combomaker.h
* Enlace [interno](#rol-enlace)
* Enlace externo
* Equipo de operaciones
- * [Expertos en la materia](#rol-experto-en-la-materia-subject-matter-expert-sme) (PYMES) para sistemas
+ * [Expertos en la materia](#rol-experto-en-la-materia-subject-matter-expert-sme) (SME) para sistemas
* SME para equipos/unidades de negocio
* SME para Funciones Ejecutivas (_por ejemplo_, Legal, RRHH, Finanzas)
From 200228542b1d856abbca17e4e64ba4e7ce708d69 Mon Sep 17 00:00:00 2001
From: =?UTF-8?q?Eduardo=20Fern=C3=A1ndez=20Oliver?=
Date: Thu, 23 Jun 2022 09:30:30 +0200
Subject: [PATCH 085/199] Update during.md
---
during.md | 3 ++-
1 file changed, 2 insertions(+), 1 deletion(-)
diff --git a/during.md b/during.md
index 734d863..ed53b83 100644
--- a/during.md
+++ b/during.md
@@ -4,7 +4,8 @@ Autor: {{AUTHOR_NAME}}, {{AUTHOR_EMAIL}}
Revisión {{REVISION_NUMBER}}, Publicado {{RELEASE_DATE}}
-Este plan de respuesta a incidentes está basado en el plan conciso, directivo, específico, flexible y gratuito disponible en [Github](https://github.com/counteractive/incident-response-plan-template) de Counteractive Security y discutido en [www.counteractive.net](https://www.counteractive.net/posts/an-ir-plan-you-will-use/)
+Este plan de respuesta a incidentes está basado en el plan conciso, directivo, específico, flexible y gratuito disponible en [Github](https://github.com/counteractive/incident-response-plan-template) de Counteractive Security y discutido en [www.counteractive.net](https://www.counteractive.net/blog/an-ir-plan-you-will-use/)
+
Fue revisado por última vez el {{REVIEW_DATE}}. Fue probado por última vez en {{TEST_DATE}}.
From c926448d418d1b7d5fb16193a7a37a8d883cd6a1 Mon Sep 17 00:00:00 2001
From: cromeoli
Date: Sat, 30 Mar 2024 20:39:04 +0100
Subject: [PATCH 086/199] =?UTF-8?q?feat:=20a=C3=B1adir=20documentos=20desa?=
=?UTF-8?q?rrollados=20previamente?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
---
documentosEmpresa/IS-1.a.02-G3.docx-1.pdf | Bin 0 -> 190543 bytes
...seguridad_clasificacion_y_priorizacion.xlsx | Bin 0 -> 74749 bytes
...ridad_hoja_para_el_analisis_de_riesgos.xlsm | Bin 0 -> 223085 bytes
...rector_de_seguridad_inventario_activos.xlsx | Bin 0 -> 74723 bytes
4 files changed, 0 insertions(+), 0 deletions(-)
create mode 100644 documentosEmpresa/IS-1.a.02-G3.docx-1.pdf
create mode 100644 documentosEmpresa/plan_director_de_seguridad_clasificacion_y_priorizacion.xlsx
create mode 100644 documentosEmpresa/plan_director_de_seguridad_hoja_para_el_analisis_de_riesgos.xlsm
create mode 100644 documentosEmpresa/plan_director_de_seguridad_inventario_activos.xlsx
diff --git a/documentosEmpresa/IS-1.a.02-G3.docx-1.pdf b/documentosEmpresa/IS-1.a.02-G3.docx-1.pdf
new file mode 100644
index 0000000000000000000000000000000000000000..5421ed7b46b6d1c15cbbccccddbd0ee3d8167bb6
GIT binary patch
literal 190543
zcmb@tbyywSy6%a)ySqbx2~0FVaCdiicXxNUV8MgC2ZB4n-QC?SG;7~;d*|%c&+Vtr
z>iPrbtXcA_G2ZVRQtzOY7Z&{lU}S@%oH;q#f&-8+lh_$r!hQbCq-^1AZ9+mLq4e>y
z0V6ZZCoxt=V>=^vS~w}H|BNImw8YL?W1E!Blkk|lNm`TL!?94vS5whN_Y<3{B8bS5%C2;HK6vN{u`byofsrqyVbN7e!d3p(tE3K1U|A^$ok~js=Z_
zogA-D{#ynl0~V(aw~dYk-Hnsx*f=vh^iQdyZWr$_k547-$d?<3HwSsxY)asf`G>i3
zoRbsP8`mCJP!rqyew!RAa#+zyVw~j^nT#?JB?*a
z@BR1dDdsxG^9eW(?5VJZ!{z1Sz!@^OYZqD=^)Djd8=q$`2doR`+vZ%_xYdq<+C<{2
z)jo%tRfl%D>@@ga;N!eAsYLIn=g`c%lPdrvY5nN9pKq}z$fn<2D|%R;XH5_;Nq5m8
zMmN%`ljKaPaKR%Kw%ozD4d0$}IHQ!n;UfgQ0~AZN7XyyB>V3xfuYYRs@5oJx=~6~8
z9X0oPTs{MGp$mX>y3JQ}KniQ+C4_3JHeDyuFd6txL2Ui7^g+6FZq?FA`
zDxhH9q+!zIUtWV2^J#mBxQCUFIy@xj{B!`0CG|SI(lDXB74+>#7dW%*o}1aqk!R;Q!fnwrwFPx-4sxL-8%mEOG~KyTMem&JH--sK6sXp*JiF<$58?hLxfr3
zJMOz~)^=Em^H
z^2exB%YM}_SOyvT&|}3MZsy#9WCY0)&d6xry9LljPwVv{E>G==QW0Yc2B3x}3(Al*
zr8CfW#s0mt6qg}_K}GYZUTf5t1#ZBwPKi9QVfb3c#*{uaiO0g<(jVoR*zwp
z9S4>N-|55vwyd;uQDJ<9^{KTGm<0~{#b=&dmQW|>e3wO!p}gj-7w3L$@4>d4kttsQ
z7M4baMGgwLTP1pI5^%VDvU*ff>IY$GR$tSO0%|FLXO)d5qd4Pc;xc{XVHcq4woDQ7
z{%lMK0ex@|?qbh9$H}P&Q?7hR_z#!g6lT247IB1t71bz
z8>u!ylM&9_b`ZEklF_HFJGzkKx;b6#7vG}s4@C{0{@P89D`~a4C`=hpY1DX!41}Nl
zrb`I?f$xGyr4S*L`*03!aw_m+Xg?S@^UYCj>ms`&b;GANxS-4cR08UXZZ2{mAXnuu
zV4Ny%eyh(y+N({$@col;;^}$w<1fYi%Czvi3~X0RXbuKeDXYcDH?azoli5Im=Qty&
z^%U}Diml>ib2vd%C%-_y7^9GML-y8r#wReYB!TouoGG3js$>UKvw2i?!XAFC&`%y5
zoJv$R$wK-Cx*aN7*d>wHOW5q&ffMOiQi$fgx^EXd2k7cfL;y*GKA2z+`U+X3R!60Y
z+49h~fC7?Q4iz(p=8`X`nW-kZobVI2bb0j{0yt$eprwnFN8xgTVXSwyE@#atpBt}N
zN^dT0@v3Tw1CgCrL=WsWO43(HQ=fl
zfnY&u3p={CPF{}v&G{=mlMAAHIX_``tj~O^I!qTVW{2^~7H&(6cSnkO5L01-4VOnO
z=p4IpjpS*mut=~q5}2arDNrO}F}Kr4X2*A0tao&MK!HU+Y6hVghEYLF^lJ)5QmJw@
znYJh*icAqhZ=h4-?cF9%j`erR6_v4h*FzOR)A
ztA8@`@~Sg*^`+!eqBzG`U$k7B(qb?Y#(+tp-SxIv>sPk7wb{bWamByF>0|Z*)#3DX
zmqXN)?ShnT`YuhmC8blazcD{y(|ObW;5oj84FX>hgf0z1@Jk!7^@(oEROd|DIYy?s
z+1z61RQYCm+Zm@XJYVi1_q&N8Pfc)s@EG;v;m$$4i_7NiNn!_Qbe(MBYqW%}4JWUI
zY5}6W5G3Z2RfM3*X;!MC1EjHAjzygd&jcRz0#;eeV5h^~@1!cDoyq;>)?tDf;VeBA
zc4{OiE@3fTMG(0{qFY>b!35I`xz_i>nYGJ)grbutl|D+M1pwR))JRkp(i#cYKv4=W
z2LMRLZ32p-JK5hjh-Iz!v}SLtW_#RTyIOnlvVHtC%99fBXeB?d)4`1sM@V49SPPWYc!H2fEw`TJgD3t>_x(MI*Oyo4L1$+J(vsT$O#ry%UdJkBzYME
z%T%vb;%rjA@Vlm&q2ccOv!x+|l9JcT0^J(Ps`(;w)9=D|7fnMAO-|MOqvX@AI?N&J
zUy{nXAn8o&{#y1kHt=~3?rdYE+v6@y>Sn+MXX8lkl!Q-?->*fi-{j=DIU=oTf%Dq5
zpG|^tBUBUm6;10F+cZ#VWqR}$b?0oAXmh0!&bqE6mL>CYXr_lMH-f9qRJzgO0e<{k
zMI&L6{Z#|f_oCuw!Do0@U}05?%W7IOF*TS?xrF>`Dd3OuKJ&Mcmi0xIcMU(zJT&%_
zB*B#RMC(iDo1-dEVD~CQu%y0YdOOVhdWFM`VI$Dclyi~%br7S~cI-Ihz#^*r4a~X`
zTuRaH!3sjE@||a&1U5jOn4g*@ubu-&sH5F3Ti{i@z^K0)$sI5))Ud>JT83*-F@J|q
z!QM@Z)p30!RhgN8rNp~KU?i%uh|8K^YLh=4K{6*9|McBGXsukb<##QQ)14~1-n6En
ze4PkWiXo{RwzrR0|83T?HF!oIAs?{-6)cuuZ#W~k
z73n}APu+e$)Kg)ojzRsIQEXwq$nroXxY5EuZ8J@^`+;vE4MrO%){60$V%ITHMzn@6
z>hH@kT~NpK0^=&%awg2|g0U^51KZ%@PL#${Z`RfRBq7X@E}s0LWNK~b_*K*sKv*75
zeorNYO%`lzncK4Be&zH&EGT_5JY8?C8s&YwCh>?Vg(|$f`;u~c87f)>I&;4aWayMm
zY*;E>x7LI+KMQ4}j0(N}gvRCpMdNn0SBw-*4A$XcCllM4kd?C8=Q29SSLq%_Hm5f$
z9&+h&i=Q_G^CYS22*k@>rd1;pD1@2`flf>pB^2q#w@bVyabKVu&1yQLC{=ZRuNd$U
zhMDH8krX4E)dzTf-Z}Bcpr33c9Y}V9k1u?y8#QYw?x)~uCJMY%|9o2^?cJrcZ@I~{
zOgaTVfQ%1CZ2gI`!G3rrbTN8`Op=^ZHcBEkN!R$87CgJ8U#CT~mz{+sX?B!nh1o%sl?k4PaAx+yYqNgcLa8xJJJp1oC
zZ4&xWc&xw8-Sn&-9cAZd69R|rWh7b52$nl)SRH%k&^ifG(|h@dzg}m82HPg*`~g-4fGt(E?8Dk4tdGe4|L>LX`4fEu=^6dco-
z6iy2j)h~##grYh;Zjr5?cN}U~T2+zZ8A}GAX@~p^$-``(#R=P+{09`8ly}>}yTj-}
z7Uccz$c=S9zk;h&w1~Lyom@6?p(B))K6viHlWFMO;nFUea!(3kp@9h3-
z^NZMBXVoJXJ%jDv9vO`6m1xvS(RC_WP9y6b&|ZbdU01A}KcandXzsXNI{gAH%BPSp
zDGLHJ{p~96Rj{hHiYW!Vsw5{T8ES22Pr~=2@{Ua@#67cQ_6K%G{ED1rkjhf4LkVe&
zEW7|{EWnONDVnKFd8RQ)kW4j>e)aYN%TIEywoI<3Hitr^`qy`A7s98KrE4y4l}q|C
z__6or$+;>vM&uPZ7tJ*z6H&@;1y!ht-ZMk4`}640s_#{elj#<4K-jkfp?c#2>C!Nh
z-YVis#mP9Bjx9nQ!!r(cLm;8T^9l^hqCiojk0OtUQ>8{=++~Kanxu}^TxBBtkaR6H
zD3f-`bd#G?sxv;dd-ySv8={(=_p%ls+
z&+-93P0|npT^4732MT236Yn$3Kv%1fYWPmPte;py;0*#Wc$Ph{S;ai&0%v=GU-|4<
z(NIPTCP5&m8q*ryIs0hqm0=v+VLcNVLruNJF_68HKu8J02G$Wc|5q#B=Os0E=Xtf*&YcKq4R
zpu++#CNVzs(PK#gGrSF+EDgWPk;?{w%X7ApZptD|l`QVG6JL$4O4^-By1!T+)*$11
z_dI6~O3dQf^^>4R9+*_ri(8}yJIhI!Z>LJ&?A&P)usL&}cXE?`8Yc1``4U<|JViL~
zMp>q?t|YDbbEK&t^;JF!*i0plBI4krO>cy_r;}X@Th;4FN_Ph;7f5^w+^go47aeG-
z7TDhNZ0B^Q!S*J!-1@xb->evvs#36%PGl~$FPn2sT|>Mo|ExW);?B|R}%@kzVrfjzAP
zQM=fq@N++&nCVWHuG#0oo88vX0y^G|<2TDVCoLGO*KNcqxvP|`Bu|Ws!?7X-d-1yH
zniMZH^4BvgmrW#1_h~TR#KSYoVbuN8dVf&G*UhQ~070tnlaguVU>A;{ip%jYaR{8y
zw`EMKZ$X4DhC&~`2mcNphYWc)^sjIa^7birDK=|j-I0CR!NUR2ShS3M?JRB&5dg;r
zP-Qe#l^|*htgprn$SE%R`eowZWfv#PkGBa{^#tGMzzro6V^9nc5jQ?bSz99*W(oXM
z*+-X#Aw*cvy%G|m5MUi8bsph%b+?JZbx3XUE$+CzrL@BN{k#e9;C6p{Xqk&-Rncza
zbh2!$jhIhVOBe!)Hz?Si)ylTq%`vT#uo*uvlQkNT=m~?YkNAj)0Z05wV#LB$;QVZ;
z1*FL8FTP4e0@LUeBX0?V^vIHDJxz+<$vQgXq5$UBR>y~LGh^egb53HB%AGO8dtb%=
z@Dl%w7=+;^r&@ssd8zniY%?9Dqp;{X*}ay0bM?#B2Cdv~K>g2JNUe_6BFkYxQ0IlZ
z@fGY_3jj}gqSno
z{CPDA-7hkZs8f_d`nZX;S;{$qfgu8Z3fV++FvP%zQphXQPYu*g-m|>7%rXerC=&10
zB+;h^!-k|kU;H~@euoqlF@9Szk@p#hNhL-MgxM#Z47+ru`I6HaU2-ZBF%?1>OHT0X
zCh{cyBCzWZheIfqACeogIUyF*T#`#^gz#}oOx!oDA;E(!@T6j
z9!72L*N8D}2z^UbK3+C>DH_bEhH;HfH~m96GEzv3i!g~A(yP~YJ!H?CzQtHV62?&q
zoUZ`4+Ek`#2Lx!Q0ZOtDUB%zM5
zlyLWNR}n#JfP+L4xieB(7Uh#HICQLx)AKY5Z+9h9fW50yjdP6xrXqC|r7ly@bj`5k
zoDc#1(&1af#Rbyzs~JZKAde9$xQlf2DHk;|v|HB0_pu@zr)C
z0jjx*z|X-nrZQ7=S|~i;t`B*@ODS4Qow?~K{#xeV0I6Fnu@qN}Hfv~PDY)RivCdAC
zeJBF*Z3Tll>#FS)NlfBc7n4zb-y_RUyJ1<_5aT_Y>E%$Tt#6?1*?|EjhE#u{bIo?aqFQSR4P;ZBAw=*CO-MS=4_J5(5{cAFJLEvD)2Z!
zrbh{<&Fpy5m7*wkB|}Od)1I#dOv(g%>tm8JMx|Pq69Xxl0y_rdy6M1k)7S=ov2-G@T12V*@KPN$&2lYDAM$h
z;kz`Gc2!ZNqB(7#eVe6A0Gl*~u*bP|66rz3Hd9DcI&~g|tU%FA-bKfCpAvl-Xt(}y
zhYOz+ENQVua0wd#Cq__VF8fkY9t2v;InYZnxTM;0;mg1^
zZ5vq_~}(OCOyZD#KaGE+cTef
zm`kH5+3<+O=jTW|q1}9<0^>yk!QadIz=PB>>G&X;mU`bv`NxAr-fk50g6S7YmRy?bAtyMPsKIeVxZ=?i)=JkM
z_U1KhC*rXHF)U9+Bq3AMLGqwfK+5~N`;cjEk;F{MUdCy;kC_e~iX+tL0eVw_h)$QP
zf9A*rlT8N!c=|3~;(4pKYTmv}F`h7hNk`YUg5Bd@oDLgz)ZFQ|Gef+bUM_o(wgzd$
zKtO*F$xq+q_ml*w#3$f(48x~X-6m^2sgSp~#cD?~ksGVi&BLPc682$|&$QeluzFHt
z69LTjz16GQn79rh%I_s1ZHhvRY0^%C*>vJw&8YmIdkvAN2X4kKRg
zy~2tfWow2&x`olVkD@5aQ>(@-ZtU3##wF2CVqG767K9A?!(m)keN@TL*0x|0U*u|x
zyovbJp!Em_`w&=cS2LuJv@UGha0KZK$f78dm{u0*QoAJY?JfIzx$eK%Vw8eV_PZ*#
zUV@2b4tFJVT5f4l4AAFv?r!zie0C}Y5w6`Q@2d2iiArfv2a|=UOd(o7KIG@$GxUcI
zMqiMuhvK@-mAjfP8(kRO-%O@p$mABhCd^Z>^=%Mv-|0bGjN|A?Btz-jG^`qc5o|lirgRjMZ7z&%TC){3k;Rv
z(c?Zc)od*@R?aQQi|kM!7yJA`yee-|f%I}T;vmGumfOlPtKJk3ZG5UAZrfZukl{rf
zE|iOf!>~F6l(x}T!_Fu8o~T#;Cz1N+EHEfl`G?-dp>@_uDnLA1dhPU9WBW#<1)a%O
zJc3HnzI6-&YsBS7J|kCphbHS!q$RIn?H*ep|L?b0pugzqTz81*VR8j!j!(ar%}o)M
zqoROE)}AudtowuTp;N9J@+YhYmwhdsE0fRSz@D9_^A@c6=9vCHE6JAXCYF_tUobJY
z2S;4SvS@R?DWQN#Dyk?d+;)Jwifk5ydL?u_)sPo$f|Jj~7U7HQ4zCwr&OA7
zvZR&*>LiR}Q+1^hb-*xSiM1#^ZNb!4SPXggGGv7?jZPn9I0@uH;
z@i*$sQeJSTkd`N-V5;!SkVWk-Bc$6V^DF{F3t5y3O}y=GeWD8!rwlVPMJUFW`_lF`
z3_?d}wG!0W28Rw5U*Yu8p6mCgFp*d{nwk}2o-hY{HZ@Yi$q-5jnMUUyrUz1R`JDF|
zjWf31IQ1E#LMgkhJX8o|;j}-`-MZk$dQ*$_n`ITL%(x)h*RUpIq*E$)l)1BPc&j-r
zskt@~y3+PCW-lDhO(vFQvLf~--1zT73Ppd-y6QjV8R2tpnzU@89Nn3R2$^rSY@01|
zsrZ=XLdu&Y44P{8>SrDrU0t6cPj4&FsYtNRz@}=ZT?ccjLFrw|7uUp4@xxV9>F!#)7t+Wf`znI4o#D6<
z?Te~daJDq%>7x6zD+L5}c3B90u4$0~T0U7&1Gl2uvVq^qLfh!uQb4_Kx-UzH{A-iZwZ(bkv(QKk5mh(>FE%&;$`ZM_b&g5^tUB9h}Y<+=f1Z`67R$nXab!ESW}d+DrI#2y%=
zhe+R_o6pV-n2oc`;g62djW=w2lFN>N2E93ZX?!c+StY5lzPPlF~mcv|=}y
zXU+=c>Qtk1Ho`&p;Bj~1i^3=NBbINb_xHh74Egsc+w1+X2s_S1Du~vL|*w05$hi_TbMR26|d3YKgRCm
z?LjnBlzN+$`UT#$J1eUBWa{8b^7UGWLzxJ7_Vz~?UVGM1tn2%}0n(yv>5RMt&|jnECwdzM&2~$M>3<})w5d>1L
z_$z_8c78Nd3c}S~j*EIY30Nd9Pl+=ht)^_F9^iQHqvQJBuY2
z2i;71{q@;ud8lyHy_fDNxlm6@FyNtfS<0iuVAal;3-T2%((w|E~hCCOFVhc&(!EbSUO@g
zPJ!nk^0ru`UDT9e5h5||1%KAF31GlX)X2hx)vf$(HkWMrIlGVct8gVGLDvsL`OY59
z!xAKW^?btL+c9<`5;-9dfssi;eBbe3#a^hjQpv+ZiWV>=qHH~-OM*!0?$g7OZXdbK
zEK=B&8ImUTSwUTUwz+w<|W>`1jKT!H5q=IP0gZ4dSlbf`ArzpJbE!mj&@^Yv*9DtQmrCHixkF8M8T8
zTrjUF!uQ@XcAoL3`9zQ?~v!YWC1aED2@1o-Ra5h{ij
zP9wkUpw{0|)Lcd*<=xD13(Kc3>>7Q7$}HJx2<)qgzKnpxs?IKbxO=2sOOz57ccxT<
z$|`THCp0Vl38yzaG^={sE)p7X7Yko$d?IZP*owxQgViY1zDrZfd!)h@g`$qITBrwr)L%n9d+{_R+BCX!nX*ELCDY_NpfeIDK9c*`QNUbT-WCIT4IErZH7AkvyYD
ze14cr2Z-qF+KIf1`4qaa%tNxVhu4!A;pQrG$Ko3(1X$HZKvrf^8dQ#vi1m?5Uf*_&
z0o7`bkF$j{db!hzZTR3=p`PryRrLbPoPvT?HCYI%>X=8
z9)A)ZIr|~tc)gmY1H<-7l3C)3w0}9o5}Jg4_LW9|H2AamE(@y7Oj31p|U3=SG(Fq$dGw6yEB
z)0A7SS~JcFz(rctSh25PCR-${;}sE|kVPQlxBAT#J^`_YJP$
zzOxEu9{J(N3rJ+>Tu>DlDDt4&ddv7#cHlBEKIsls(;L)GZTYhPN+vP)Ev{@v%BV1m
zw4s1?sO~RmBMKG?bFSQ-EY>|V<>;>oJ`+Y?EzpedE#z`CGmMJ~G#Tn+8d%4Zzx7{#
zxRiP*RLnZZZc|XSIE79kiD_78q$R+TYH&_7vusZ?OwquS%w3*w21v)*1i_Nj(+e^r
zOh?c_tLq+*S;viGwDSN@txAr?+JU|jo8=R1N};KKKW1`HTq7k+pSQ(P<=fNO*k{rN
zB1dGuwKAaw`xWmOlDx8}&Ptby2T@o*=NMhHn$SjCU!1M7aVVvR`&&|(Aa`VC42W0R
zUxoELk_VeUb4TonPWS5}9s3nm$2)&xHzOLSoc!x73}gzTbLJW8&@N1FUc}!QlcO0H
z(S`b8H9F;>1mm}Jlh<)>EbD){w4CNmi@hB?-mRB>?=7od_^Kt8r!62JT-olO`O(7(R@zixvd2U_dg
ze}72Me?O#@Q1DO|77z6uyS(z`D~RME4HibC_Wq2n@*stS@>KKkzgl_znnC|&%Bl)Xue{}
zyb~YFqfu(0QF<78)#`?iwq|9p62x{xzI1?lDTzKDo$PHy$xZWC`kj%sT)*5vFZey)
z?_HmRw=%u!jChWmg2b;j^E2i$5zBy;iaA8oi;bWX8YT2=c3zzzpWD4izJFJ;od`qZ
zLd2IgImD7Nc{fmeI_GdjeoxPdgV#b|9*x?~Y81c3rQwPTsJju4h-|p)mAHPp*;`X`
z?&C`(cA3a!k_Tl8Vx<*w{?at%i?Zredt=+Q<@R6%Bgo%+z|Zt8$52rjee%)}LR8A1-579QaMG?ACeE|8XjFTmBEpmH?cjMRoKxiO8B
zD4OJ>gGwkI1SM=CgcXm2Isl1R8^Kkw6zf$*szMff6@0&7rtIF+MuHlz#>2pduMNQv
zy(KB?`c`gV7VdDZ_sx(#>Z%H0D
zn5bz|PH(z9R*G$i6m27<_VLjZ0fr@tZJdsD#UQVEcSy`m0E`qZwWK#IF}nMJI|V2KNqg)
zpSM)LY%j@UBD9P;Mt}=Tv0Qv{uB0FB`35a+4UsQ#)3h?qhJVj?TpVb2Zdr_jW&2w<
z^5ED&O{7s-!PPCqWzFEAQ@8KA6pVU|_}%5nM59_h;
z{Awk$>pGU0M&9JfeHHUh_>#m!N}R?F&&IVXTa{Lf>lEE_gZpZ?tR!73?ILe8d
z*A4nWmw|oV```Gc@e3}5}%C!KKKqUFv>t*3|*+r<7z%4s$)ZFv=B7Y
z-rdaLdM?q$VM@S~%9)rL&C#ky?`h=x}kSiV$8|xoJ5iC=S`$r?IU`by%;|Qt1p;8kir<(73bYKE@$O)
z2vOursD(#~j*7)&G)fmXI(ut^qM{?N(Y*9`4I74`iiT;N6q$$SWH^7E%n6{BMi1dLy=jc
zy!2}M&H!q4Ts0cDp^u_bAz7V~c!oKX4q;w2ee>#x*{|u#5>%hjT(xW>w|5g{m%oA4
z<7zaB*)JI=8E>?DS7fVhHXMn*U0PO#63;&lB{(l4j
zWM^dl0AT;45ZF1G{}
z_WfB7hEDeE00##v2M-sAKN$Y#6a0g6U;%tcfQt+8Cj%>xk^N)epJMP}v9xptaG97I
z+5`V!;QGhq@Rt~vS^v8l*#Vq?Q=<)+AuAWFrK2st!RX%rAB!vgqxbhe5d)Bu{qJgI
z{wqZOR05~FsiBjFu@f`bp8$V!q5kK!0A%O-n;L(koXyWPw1UfkWLGaJhgAAlY^~^r-zxHyM^P&SoD8K1?xZ0k$*7&SpFtSHkQ8v}JHm^#{X0Pm+HzaB%!hkgQxE
zk@8Uye=;}$INaIHoy;9RqT>&Sf1V@%Vqj17`
z%Vp}ZQ$3%}9r<;_2tBfarFmb-P-3uXGexK%oK;$-W_`T5Ps
z-OR?*oB#7$jl_V6)l`_{OjCDn6X*|6IV{wNPZ$rMG8p)Q&8v1==`e?Amvr}t1`jYZ
z2sG6Gt&}!eo$lPCNcI85LtKLVyxSmXgzk_4rw6W>B+zBq&vgis5Q-7JQ;7|)6_7`b~^W$GqC*|^UW^BRi^a$`@Z{3;Y&+q9ak*B|OZ0|(x
zyzu_2AkIah?RxB0g8$6qAg@tzDtnLxdVtPkYwLh6M8M4NsN-uKfi9eEehTX!)}@Yp
z@7kIVca`2au)JxMTuMzh5G|EBa3hVopN{2t5ZA#P2T6neZM7MhT+Dr2y6Vw;8{u#m
z5QEJ8=xQioJW_%iD1v~}%2+QpKU9Mo>J3F?sE>|CLvMU;N=ju#v$zcm
z_mNUgcA$sZ@Pyn=t5p^G9UncoouU2d@?*?=S$RWs07K
zKCq56a~DUPJTcG(hZ;HV4&cElz-{b~N-CZBWlE{+FeJKbSLXV2ZT(^_in=0$Wm9iR
zty3{#feT*%rybfxnx&^<&dr*YWt+T8M6WCc%iz^stkIC
zgmff|TsWU9MZeK_WnX@WY%MhW4@ovs$V?2t(F2_j8-W+K$O5y>wa)iFr0u>~{e0YY
zlia4dI`l6TbR<2C`ULIpSBmF?kRrd(sY4}7(s!+wkxqlmDYVeh$;~vz+}S^$JO#AZ
zQscLD&+QC4$ks6kv60rL%=A>-escaiCB1GXAl8ia+@lNi^39pia!93|R8V38&_Zu;
z;!^}~yfvJ_W^a?@28@Gx?MgQ*;~Z(*aLNsn4}CVKC>-N
zudu!su{3uG^qHKV40lZn?bLm#`J8on)hgUOm4#U`#(!X_=uY)E)FXr^o?eMHRSET}
z&h3bD4+BxsiH(7&0PBwGeC+xXE~8(+Zu`DK1}X{pt4w9fu9!J_qJICY6C^M#5S|C$
zzE)U;r!IJJi0n*$7GVw*)b?K7&1mEGY(ww;^?YsojN|9q!wGS2=i7!|Z!Vwr`@z=R
z%hvhU?;`yG!nC(EFDfj#%ufqwrS1Ceh!|0R5}Mu}Buzy(X;u-Z?C25nNHDX)b|{6JHx2e%J9Rok9If
ztkJ`e3|IF!p-?~x5HxOuX-}ax23NjhSgAPkyUUzatTYjtoUS9p2c8XQ?{oSXh^+4W+^auF|+YQ>2_(U
z#q;=i?ygm^j{o*4@>YYrTE%By99A)nkG?-ZU=-~6dC7`uMf*B@OZ{snEfS7t1j3vP1Xq6xSC6yRoP8mF3y$ai)79z
z4c~mC9?GmVNae5Ef2jOOwlolAc#f1UhfY$R-AazkljY%?+aylvmPfM70sT#z5&uII
z#Sv0M2{$g0KDCd|MEg1qt%NjXVj%}uS;OA;Je5Z1GU~96k`x8~NVZ%b7ID;VGE#yu
z`or_|=Xi!_q=M78K1j8!tW+C|t6Tevk;&^3Z)FZ>dfPHEp1!8#a$zmrmtc&T62l{3
zwIyn^O3+L;YOSmv5I>vAuC&rt6w=k5(9^oEeeDi#7zSHBb#-`3Fr1Zjon&<$h1PM1@Byn|-VsU~izMHADbI3?glfD(lHMtGO}%XUHU3~l5MI&rJS?fi57
zQyQnRj?9*m^Vo78q(9JbU%qUhqv!km!*KEu{->bYsCZExO#xWOuacd9DSZ;{Y(rm{wb5o3)Ytgd
z)KD2JIb$3fbb03xsQlwr!J};J
zDABbwU?vuV4IY$4zxo~|Gzt0h;uLsS*q<)clygO)oIV_pqcYk1f)N!XU|<%(-*wwvh@ry0
z!i=pZx3@JCM@#~)L9F$DVBAPOD<4$dOBo%hdM?@VV4h*mNW;k>DIRW5JK;sBplRL5
zN4m0!l3|WMaDhDJu(U)V1oXnBKZssX=}f$Kz1|^s9Ga5W#&H5cmcg?E%%}@v9sKKz
zN^*7j(gNjPXb{z}*Sf#JQQs8*czu#Io7-c(!!Xj-JmJfb=SGr5NENG}ywmRj!;(2x_~
zYX{`_6V(g*CzqtT{!-f*iVHX^56@@iY_h0V_b{1VKR?9RTv3aguy>Eg6QS=OFEhRG
z*T@Fs@4sK{INE={UJr(G{Olhme!mdltIlQzf#vx5`gl3hi~I^I{)c{}^N_xnr7xo<9Z^vZ;L_nKY~w)ahLgU7?qA0x=QrwvrU(H+kT
z%RiGkZ~hF%sI>z#6!BPoLe9;7z1`Xx_v(_N%d>u8@_sx5&6%LK$k@%7gAB^j&c`h9rs@ev^`gj7kI
zme)_wEw|4XhYQq^Dm5xzr+rPV?zvn?RbqK6`VIE3Tx2A
z>hdt@%uC#%@BOJFIH2HxTN}*br*LKK+&sTdpx|k%lFvR@K5sL~my=Rm&a%}qH<7P|(7JtedpJF5vdk<>%j^q$yio7fgci+3}?bd_J%~A&jd;Ps2iiX>VxW(v{h0+Po!$;N2M_
z%SR!$_a55cK9+L4^#g5J{DgQDl+{-kxcN}B5tSW-?gf^9a{PqkFGJ#zJTQ%coFnHC
zZ(4UhI>Ci54OSIqjs7K}=V^aYTjQJuWn@t37$6Ck?S5>#Bio=4G8WT#^9Xi$+XNZn
zNtPVZ$Yk~FD&o7>w7SjjPqVDEcIBS5(4Mq*dhsxWOtL}Ll>3RYM{pV3^2X0--ay5J
z4Sc4nLcq`$BW7>?>!QW#4dvc1(Nn31iBj>Q0i^W;)tmlo6PI_|o)tT4D(Pii#@}+B
zkQmr#13P`7@#yaJD}#ruz5ubt>m{cgMuKd>>aZ@7rC80Qpe0G|peNEbiiSSF2-yV4
zfeqE-W2PK7EAKQ|d@sy>_vcUw{qib%xGD420VOOKgKaXE79*m9$sASYf-uV@g!f=Y
zD&nik>MpkNV}K{_cx$4w3Oo#HJ?+!dmm*cEDi1^?Q)Kqb1O}`tI^B^7rpe!vsR6E-
z593kQ)XG>2tpYyE1f*1b@ryO}=kE>d?gXDS(;Xb6Q*AXR{K>UDA;iOxzxAg-cYq9o
ztd<2v{+xQkZ>I;i&o)T#sur0w-GBU_7U>96d{V&Da=-XYkvg98C^gWlA_G9gJn$i`
z?k?)SCct^os_UYkKwnYH0I?HT5w4)G`6}=BwPE(5P{bESH^fufFU
zXn(M~zKsauglYN&<*+PJElG2iup*4*q^-FvqL0U6Y
zynoS?!-7{Z&=@_mkgeLX%%9~sD@9ebW0E(|hMZO3pvds7gz08!3I-c@_xsEa*+WR2
zawRy>&LHEx4B9)dH6#5*)~isxvie48sNArfQpcKC;DPVNHKX_|fD{Cm
zubihXGXlV%SW5=3m)4#!g!(eC{oF&nv_$+cOB-kId6nCVX_@XiZnHtz@K1IuUq2u~UTMV8%D)gIMmYlDg
zAg`Tbkfyz~W}Bf^>%K5^fsr8dV;%DD6BsRYfM##nfT-=MX@%!*?C4P1cMV%@w<@`^
zK6ZCj29BL#1gws(0o?}(s?Y%njjm_fGBsh!rdUap7keUpE}b>gc;-FxwUsCDA&crD
z%U>I$T2}6YF>2JKxDGEZ!LeNnCQMaQ$sGawwMO9~b^S$RTK8zT0Yr|8W7jVbs4mp|
zEOC>}!}eMSUraH4g2O#gf=V?Qz3&3~I_6^aHAaGMVP$#f!+gIhQ}Rg|lgfperccZ(
zV`m^~weSYeCPKguqbK4Og%>wKa;6fiR%%TCUwoZYlqOMtq{~KEb=kJrW!tuG8-Llh
zZQHhOSC?&Tdv@nx&d!{9%cp$HJoiR?5kZTD^ER<|J4!
zm~HXE5eP~SLL>yE+wX|7OA0X4g^>pRT=kO^*Eaps4jj=7*HSo&F~CB-08qryn*53F
zR(|BYIs|xU9HqQzhErS5NR2_SD_hcFp?fXcCh(PTMwh8r{yQIGlso3LNtckm$qbc7
z!QEr{L7VP$=et3J{O0iw7A}2CBZjq;_bKb;H_~3|z>Iw0gmIAvMUfQs7SIUl9{7n33uswTt&GX=J)X
zqXH<-`oJhw&N3m)Bv=3sp~B(LcpIXtawG*bf>nq+TcUJt!;Vmey4%vi&;DY9;P^&J
zMU0PWfhvrd!Ctw|>Jbc-hY?mpbN?A&kF%FI=~2|x2l#vPo1Q7p*5LdG@v7y?jXS-&
zl^DwSm80=2Kg!n+#TopVsG@P0xTN`IIy9!8D@(IEEId3^5JA6N9Tu?!TD*`{S&diW
z5Q@+*QIUR%Q!b-pD-wVal-b)KYKnmVY$D-)7?>ak`uOB1zpU>G_+=i>s;n6&ridw(
zG*QqG^qaVj+dzH_TNL4BdF(5t7)~@p4C977+C>Fhn00=6Fmpysx&Oo)ex3mdu2@8t
zR`qd7hh08FUz+)9Et>HH%}8^m60icF*8Wu$+|3q5DVck*^b8M>N#p%x%!?-QFZEW9pGsKN
zRZ!8&qOy`B`yW*p`nV~jiR=7ffH84ld6#X;Ok
zY@PJ&633bqt8!0UAc$9(qpkP!wrpGLq&SdzoVvb1>__8uGEq7I2>fBz!%$MG=9$V8
zY?5|z3#GNGCeWL9V#Zai;fRn!RXKjrCGYTg=Omjnc>3aBaf`H6zTwL*qieLj8EC8z
z(6KR#+BvgvMrHy!1u8XdG%qXE&diy8&4tMztO%<07+2?>XXhCWiaf6hm1Uv1poCu=d*BwD
z?~Tl$OdiY!U?pGt6;1Z;^r3XcSOh1=`zXm*`12A-2}MXOPNJg2jfxZM{uPyR%e{9i
z#f&8;FI%J&J)B=Qc-$umLR9O{GG1R0T~G4AWF~h)0hV1N(L0r89R}v3BRrZGgBM4D
z#D)3=nMM!JEoL}1iJ-*0lw{8X`&}8a(=D45{th##^1sYtq4|Cm}0lZ
z=VvtTx}$!}3QbMPqnx+PD}mweecJQS>=oO;;Z)&QAf0Vi?YaaOG>N*(m-Q
zEQ^IP1d%C0`B{{tvjb^Wjoq~gt?Bv+Rd?CTHl2bjPx9|30+L-s^kA{Q;T7a*2p<4b
z6G{F^q~aB>$Lw<3+1E%J&!QLeK&X6x@Md93lRL)rujSraz4X53$s*jlO!6zp!M<6W`?Zc;lu3&I8U0RN>wiayNPs)
z=TW`UC3vONX_zxewK|e(=Dedv+kQi3PtIoSmuB+^<{iaoA99@eSd
zeW_0S6vv2m`E{5gyH4<=q@70Lom|-@#|EsRRk?isQfk^#ounV^y8K2O-kOz$>uL>#
ziyu`8>7m+Q)K4%DHyCXlU3)NEFr$BGY9$_!B!VTGG6lSK2IvFhcCB4sVH&U}S4_T<
zCkLTcqz>LK(SAkg5T@Eg6;gOioEs0@2_a}bRo6e87nkp_YAJX^{`(~6f4SlKx62gf
znYUzVm>12yv}DU!r_J=c%`!-(2~mHB;MK7?wwqeCt4|#-P1?8&rV=N&kE_w%!8C{z
zuYor5xVz5j&z42o5Uwv$uRiH#;2%`7LF1|oFijI?Bx~rYQBAlCg2HN3NA>P_4PX)a
zpTRr^qK=e;S9|2fEJ&R=S7L^?E+#55EDeOLbpQRxZKn0R2JhLd+w-tfsD-mMWajdL
z=Pv}VcIW#QiD{>s^A0++n)-9cT8&X6p`CljCg>>x<5N?H$0jLC;t6E>Yhf3dE<$J=
z1_ZF9?9YW@n!N9T@<1D;p+B<90h9n20JT_t}Q%9K!W~OmV
zOPcH4S(&%%*4CIXKV@h5{ADu}AFul!SbFWm09=*N9%(*)p&*!$ZF5)Nc9bS3Q~cN;
ze9z2T1|9ea&-IX5
zbaJ%|FjY5>*w4^c%kkA1L3M&|8$HtYEj&0iS%y93Fv
z>E$sgO8R)6(jQ`5Ha^oqX93HSo|qpoL*?qzJ4FwY^H<{&ijN6XW#OGFS#SpIFGs8IzFxtFHo45oV_N?q(Z16-riNXG_G3g@uOBuz;+P~878~e9a4v1^7U3^UyW&u
z;_J>W#xKq{EMk&x&N{pH_jzE2P!S>tfSDgQO~D~s$KiMW9CNe?Ff?QhJxFCs3gef>
zcczQsDN}XahT7(ru5M0%kutAZX?lAnO_721A$U2ywc4odzPua#xwcW*C#g_dxseL4
z+gK1Q3i_&erIFsr2RDsf0Z(j+dOuqQ<@NxH%>pv51`psR(Gk1X?1b7$#_NursR6QG
zN>_>{IW(jFWZIiqGFQU1Da|*`rOX8vF4N6==0vUo+liI8Qnw0uG5+Jv6W&?_qYrK;
zyUznY;O%R6*XQN<4iWJ2v-|Tl7z_B>Jl6AlzX5D}|9l;vZEreN2y9Vr1H2}Q(D~^$
zBY`%qwx0$W1z9HXPns9F!PH!eKZdbxB2(Qph~`MsQl!R6M~1V-^@2NcX0G7-zv
z#J&7o=H_{X%oh69iL6@D^1ILTTks=)-^g!vy9`bRR4r+7Q1ec2Ov(8Cy|kC3wf&7S
zaYT!IiB`f_oN%E*KlMO+wy3yiP-`Znu?(GYUbek&Ji8wmI7FmXO+H<#CO4X_D?rL-
z;@^!qc+%gRbw7@BK=0*!Rjfr*&5`XiI@MpSc~KuvoNO_h(D6<-Nppig3&s0z)oMEG
zV}bzYFmDtCZp#=5z2WK#i8cGJstvX2f#&M>lUY6Z^pY||(2QcrZu7%1dm#nXt(vL4
z<;Sr$vQ5TepwB#l>FjUdpq&y{7ma&DNbcgW6jgpyV)J>e1KwcKver0v(pnn2s(Z|S-2u3x#nwi{BkCwr=Y|289
z|1OrXCQJHq_fC-L&{Qh-yJDWMP(%Q5tzn)btwa-@bjvK&3VYy?9^)p+v>cC%@}ev|
zVp>bk2&giqU(u%WigDCmkERSkL@zE{X?kuHKJ^ZJn>*0P4_eUx4oS?eE1l^3OL;@m
z#t4rdiFfC|hZqgW_;}nFLs^UTTFG>|Z+te)LH_Kivh&Z=UL>qa9{rk?vKFtjZ)!+|
zYAII?Vsee1^z}+N>x|INkka9*+q7EW^y^-ZY^F|o?wL9dn!%Zb&S0QeN)HN*uL%3x
z&5^_zgQY^&DrW;Lak1*PvU$ixz9aLFE;X|+Y!GudI0@o&@QUX=e|>#MPdqc^k&2$1Ed;Ih?I`ebdE5LAZXgwAnYFn77=ve5vO8tF+5bv
zGYbV()zV^P7i9%h<#Vl7b^2x$@x)LWlXgzg4A`iKJ{X-kOE1D!RwtxttV{%60)D@G
zI)R0RuD;$XdhahC!H(6AI7Vtj7rHJz;D)8L5NPnic1$GkhApFJYv=5e(lxJ@w~^6u
zCdAm~zCK}*4QXD(wJSI%QHGExi8#&@GGk((@RRU9==plTZr8H$>9x5vGZ?(nZKtty
z@+FvfzkZzF*M}>w2~)`^CcJ@2oi_+N{@H-cw{`^>7Z2`w6zlj}aBC13bvaFeQK=)W
z6AtlF<3G4SZz6!+oyPk+HsvWrhR2-1d6Ck89cL=@;PB<)UKp6u9Qh*Lug7yT3Diq6m|0!)ARl
zo6R@;nmH(YC`}ck*WLPM5Uxa!lViB0r~iafEDN%rfChvYlTXk%?lir+$jCILCvMU8
z$dWkpa&`+`p;&SY>kT&Fw+%a&ta;{Dpw6XW+g9FK^H`I2D!v
zOscKl{X%|!78(iwnyWyj`|qkT%YPwx{x{Y5A6Uxx|EtDEVz&R6TQK&orqn%$zPGzyQ$i;RkQ0XG8qh1wzD2B|Y@cl+R
z2B11Pp8dJI-9^kVx{}NNrsoTa{(hM4-M#$2pVY(K`O0AfyyZfEb+POK5!m>?-R+l#
z;vYgQgOD$u|bZjK0a7S5@Tc#fb*xql-*2czr8rw&jqo+N2i
z$ow1!X(;W;P>;$G(!Lo-bWc~QqKC$7V8&9|+&>_Y5^_JZ0Y|=M%w3#z(Ifr%jGO{G
zhR%RT`vIMP3GLtpy35B?K1QVG{Y@JWn|sfvu>tDEB2rWR`g8PSs`DjHMCf=vT|yhP~;Rm_7ojQ8SCJoc_CJvDb8EHMj
zXS;$}Ine2)w(LMqQ;{A(r%^l?K{_)w)gwLq#mmy~3cCBV?Y}zy*Om+GGH70;`o@wY
zlJ+OkkIj#JDTMW&$RrO1=eqDZl$cXVLu=9`)IOPBy#PE&jLrO{lGT8EaLKIdP5buj
z6L#OWvEYS2nxjo#cWv>vET`iB#?r4$1{hOP3TP(!2XijCFompA+CrxMlNi~{MC1fu
zG5Y9`;_7tv6j`Ebzm&#U1;?%SRepZC&Nc#AJ1Nc&z7?qC7<2s#MC;gLvqp(h+Z+Ns
z4fzt9LI_8<8VD_X67#%@HhiHqi@OiZ?6V*d*a(vOF~?aimD>jeComJ6A$-CP)n2!|
z?}dtDiNlmpiRz2RR`O4Ih0m#uTv|3A0&NMJcNLl=mfmg
z@_l`7yWQ;kyxIMHlmdP}4}QLE9uWDyp77as0lgldulw$>h^>7}tr+fiM#qX+tI*2?EOqt6TmMEb}RX7TOeZeTZj?n%9SEtj)pjy|D)H{W@#~
z5i3t_k6f|m)=y1;x#qgCPr2sS><}Ea4_4f}oni7{K9VA+!c?tuQWB
zLVO63z`t>x=7r}ud~$KdX|?F*fsk>g!4Hn(VoTDFAk^^j>*yV>vYCeJ2Ezq}RHBw^
z;j;6HRF(~3H3=V^|Ngtdt{YW`7MWIj0wZ*wdDh%q>nVh}^U
za%mZ;V_cGOrz`|vSaV>T!8)_IbR^_w!j)g7Fi#l`P2L11GG>{zoW?D3{ls
zf+*bsy^6w*kICxlzE|Sq<166-5zbTn+p3+E;CuQ?F9AS=PP9>CYn6qXEfU=hBUYm>
ziLTTGlS;o~!Dy<(*s!||Hw4tJ#7RjRgF0TY|5+11S2QSO=>el7oXh4HD54)TT%?()x;Q_o@uOE>n`{jEFqe5aCd{~V0jxYY
z@-g}W%_}C3duNoE<>V^;?S=a6|GRJ4R6q%x6523ZmSa+cAwsy!%|uNvjRW7yrqgCJ
zXemi@Y|5I*u+_xI=d=fb*MZc?H`x_m1;al0*kj`hsd3`T>rxk94G&+n6`$keb!qvS
zlL)??_CAXSTb$%RBI*t{rDLGqK@+HOsknV`Eb)Mj+y#8(Xrgb#=0wX1#}v&?=I$Jq
zOyL@!Y9|7l2?1$&LV$XaC07UBk(Zy@xL12}g6IsFB4{Cvs?`+sQOJ}OFEp(_)po_R
zYL*71OggcHLT$-Co3^O5Mlq`_fFnpB20W$zvLN1!t;DN%Li$Z4R%qx&kszl47xb;k
z4Q^;yR=li@U_1@5b5XN6Bw(O0p#YUN9X_{s(NZ7*Gp#PjG*Nb1I=o{uV|XFs#4kZ5a3&a;daI
zQyQil%hcv?!7%+DNt=LS7B>8CKZa`z4{9A~y$+T)xfs$aqRntX%KFDvVMnc7B`GmE
zhBJC5x+A43TTpTW=Fx1~XAvZ@y33K7Qq4R$7;#@N$f17Ck^-E!3a-$VILF0GXr
z9uq05pQ%aERtwE{$3U_?D0y4aH2=?f2XR(q@YRlZ9izz8c(NrfJ)oP{4J%sDS2U0H
z2sug4opz?j@9$*PkXia=(R~I|uwXJ&^-)
zjj@EWA*D&5)C|u}O%|z0H&Rpi#qIvE^pKt+9$u=9U80*uiP8||)+?diOM6k>PYU0tD=(=zNeYb{(C}>a_9|8
zmAC)Rnu~anoy>DRonLxyB@R$#X)+V~vY-M40X3%$(|<|8PHuQVv3`8?cL^)`L$#9n
zv)`p}5dH#{$@d1IkT&)L0YXd}xDBCYn)y)-if{A0a#ulnQ
zUY;HyMM^$as{+G$QP7eA!C1cRi^J;sn_;HMNDmN3hXkodnY(Oa1j^Wz
zj@*1op<8GXShgvT(-e+2Fm__ZPD5lZ-s-L}CZ$!iP2=jpLu`s=x{^c|`)YB!!5kHNCfCe=
zZ=exZ=YoIpv!UKn!wD^6q!DEJWS0ne8J>jK+pVT|8_a?b&+?-w*Elo(tH0wRKcPOb
zf}jD>3*4&^K?5h&U|fY(X4CU+83Ll!x@>;3k2Zv(%)q&`@GZkIRIXeew+B)0bc+2<
z_6gCirs6`q#i|h3AiwvH%&4zxtL>}^`nk@P4c{js$0t(XPxJ?~EURUSVLvjpEJG|v
zH)7RWm(uD9d$Y0_6bQGM6Sr7GprRJ4$lxt|yUn+THfii%P=4-LtrC7mYt>>;nCr~E
zy4hlf$5B+Q;q?!$BWEi6d>q!urWUNM25Rs~(NnXij0Xv-663d(HySB?Csa{|ACt~{
zpx>aNz+km2OKZoTl!*J9uY+PCi=_Hd5lR|dR<0vdTVu6MktYG}Q;mD5frd$l1vh*M<>4O!hIx8@jaPTMNd*hNZIpId)~^)|{ku*J}1!SsWr_I#vG6i^BME}qVa
z6BR98sm+vP#OY1Z60E14Y44L2V67%jBBr4u-|QXeeCZ=l+7gdISMr;RDX(2HpmtN7
zUXwQ4vL=+O&u;3nZprwpA-@2w?_y0bS=wzF@r&ov09ECJ?XN9JX%*)A?wfLxm9Lq9
zPT4zqPrXx%Ih%Z94^t*gNtvy)xoHMbY^5M9-0LYu6F~QSw$Wn;9?X5>SYYOWxY{ss
z{461c0YP3j{_cq<5nn1HZ%>!qb6LLbDAYD<{!l3fD3tn?Xle$wrKy$j#aj(=ELU}c
zSlARq;}<^-cY8US{-)5-Va}QaXVDt8BoyfWgMQZ$sEowSqfTT08*X;BBA*~HjDB*O
z8(bO;T{pk?azZizRw_{LPtGbMnb~@u=Dl3YIE^za;NQD>L|V3Z?2hSHqe?7C{*sr0
zUEdGZHnvx(rv!8r9!<3iroKz(qcqK}dRK&Ne`s8`IE)XVes%-TjwwMlR2rCJss-4I
zF?#hrcoDun<<@Bs%2idgWvJMujApjD0fH?3>)Si|1j1-0@0uwAJ~ZA!C;M;Gt}mFn
zWaoo%mNZ0eteHvle8k3RpqS-F3M<&tOPgoB4-*^W#j+ZQ-yqi)Rm}#jKq-D%Q)ohq
z$^t9zH1pal0N{C-biWIr8HQbCmhx)#nE9tHQ^O>$VvYEn)n%POK3j;A>qCsWN>T4<
zWvjI1g%FW1
zRUFi|P{hAbkCGn%q3
z8MUT|MY9ZoRmx2#cdu$r7`d`-c0)|rP|pIAMiF^1Zy^I$>yblPof}<|nVcfY6!S*l
zdX(y_EcxzN&=zkxKK{;zrrmOG3DB>hfg0GNftz*Ez>WFGS1!}|GVMP`t~PIxA!1DznYMjLvI_<1&FLTp#L$Lt3c$OF^ml!mqm}*
zf&P_fgaTeIgJJu7&?`GB_P{R9`l>2E1C;IA#|P{&GgUf_j?alBFALc}_cgAQZY
zk!P#@SiRr6xRr7xdnlIEet=VK3eLRb~L2*v+N`Z}I>o2uNspo7lBhT<=S_ZVp`E57BSB0%ObI}drWoxTd
zr!(ipB=nqi!YWe~^=MOvatrlr34>-*f8U@BS>tSo(}qgP%@&xq8KnUU1z?Smw^lc+
zY!EA&7N+Koj_rzG^MKx&17ZIHm#7_!@|E{%1%fzWu=!hlvMMhw|%Q_ZKz|QTk5nA(R0?q%<
z2JGfQ=I7Q@(+SV(RaE*2?WP$ObS{vZq7W5Np0)7@kz<-QFE*IYKC{1%Esw)GD-)|K
zsk!u+{s@`7lKQJ9-!)K{?y|KqB7=98L-Q?hs?gIP19lL{~xlxY(NFQ!B#HDFUq
zD;b0mnB+05e4(9&9h}BD^h;^4J-$_!9Q%Jk7o?Z4be_PQn6_tZ7pMNF0BSKO(Kv%5
zu3-+VrjZPvV#?-fZcS6(ciVbxJQ9Ufr#w`=XZ8Nsz#?S(O-Y9iWs}Ztyc(~YdrFYv
zmSV(HEO|pPbKKT0P23<118t{V+YEo+$dv#scO2}m9d=k%a*Lrvpa_rrkITx@d&2+;}1Uz(nzIp
zqo{{2ur+COI!hI-<-PD*%-hUa0ynA<<@9;5bZ6kMVB$eGA{)%hS;9tSqGbd2*GODfoi_u7YhE1qtapMCz0HT!9WYR&vepA=637SXXyik29b~(k7b1Z
zr0TJ^+vG|s*W<5fF-lpLH|}=b72Y!x-hna^uVFCt3zM7iAK_^C+DID%*^@Fur(7)<
zNs}m5_)u8R8;dKl{)iC&b~R?rp>(P3*2SDalHWQNqNgox^mqZz9F%`mEh-u-!A?=X$yyBfa#60VKY>^@`%j%(j&9
zfZ$z|;DHo!7p8^=&i4^_GiB462XzowRnMF+q78
zE!A&K+By`JVVV81>WCwa^5VF|gyc%4??m^9$yh|d>-6!-@3nIC$|0TfgTBn|-hiB(
zA6^i7C_^P27r2S
zlOx(7LsWRTq_s_-(!qDIPc_mldtPHWaZlmhbMBXuLYNpf{xBXqYL-N%=k5^jtapW$
z@Cu#F3ls%evb4xvg*#Vqd*9|Rc>9KlA1Ka?J5|p0d~KZD1*#Im&~?g6!GL362vg0J
z^{ZPBQuhiU?;HP8&M4%6FirkT>h^y#O<0*2{u^p<+#3DQG*O7{1SX0ss_`?>_skk!
z}v#
z2fXH%_VNa2wDR$M<^rIw-(GeBo$FsmrF^_TPg)zFcRx9Y9#LcSKJNZ_5Qhhaop;tld9KHu&42!iP0#T^-77N|
z;AxppZrPmwd3-If$!E^fx^i|Tu)*^>EoQT;#ZWHx2$ou|bU{NiS(j8J8dJ*J9p
zV-QwRfX8jIl%l(Jc<}9zVUNZzUAfLxh-^RfYb{KgnES)m=Mo1rv6%B&1ifB^xTM3N
zqDg+;yVc+yZhuIBvN_<`VsxoyUBt8y<{0jdo2{ouHO&V{MvLLz>XutB%}LM10#lZ?
zg{b75Lv%#FGbbDAs|<-uY6P8Z*?{uoH}U(gs)729)a;x0zQY>0{Ubvk3oVvjaWwY-Y8>{Wy3
zff-69ND%ln2L7how1{+NPPo?@KhYtm8ZG2)#LhBEw$8DCfxV4-409qH%BG~kd=%#$
z`E*?_jlyI_V;ng3hC5cOUEF6B%j
zOm~X&m3EzLoAKy)PWlfBA2-a)+r0cHsOBmWE(Gm;(?D3PsTLJg{qO#eJ73lzTi~Q8
zZ4fBwW#zsMmpxvFEJ4acoN~;l8-~LYk)<*4e0o1p1>0^-NVVpD6^a@xZcs+sHb2Qe
zS@W?Pw^=M!$N>x~q+Kl*`=ZSkeV}ZNIDgp(b3cns^Zch81NSF)%PbCO?PWBWBg<3q
zEt!pUR(D0t{YL+<-eErOS3Z$u$$VANK*dPG^VTxwwCAdsMS~!J$3vgWWx-9iKFT4k
zE!sNv7C8ET6oCy&qT*o&6TF;CD#LH-GF?}@y%NzD7bat3ZwAHr^EDnw-8$5?G%~-4
z{$;4mreCXf!Jaju{;gX=H%N1HX0}9uS@^uZIe!9U>UVIv!K+!@1SMs-x{g7GKG>bB
z64vdD3^z0;;l-?JmoTdPPG%=-$5ue-i!_lpZ77w-36m{7PghS!omY;nbG71gJ*Y*Z
zmt?rq#Ku86rN@&I>%x_eMF!`*Rvg2iX%SP2!?@KgLa>P9#}jpdGnG*M4DX8~POXCswt`WF%+!0JG16`QtEm!b
zIezxZH$j^O_Q*fw6kEb`A6{^K%*1&6_*scc7#xEFzb)bhjFDV7r~X!Me25Vb`$cuTcF@l|
zZ+yN0OxlaMA#r-Kyz%l$axoUAy+;GXo%tnmOH{k-Fc^_n*jK2|W8LF!Om^4k%=$@EC4`o!Q|Dlw@$Gw_u}-)3=ANaFL9
zoRYs*HFZ~yL$cc6WHP+ji8j9JW>w>czX%1I=~zx}Dv{qnHh}pkKR5j0W+M~mlSI)3
zfj1(so8^fag|T|Aq719rmKWI?F<3j#!mDBe0g=NQvsvtp#y(F`@`#4bTUKzfn2^as
zmy&$&ya-*g&eU4Er8P*~Igvf$A+h{w!q}yaqV%A$@K<|!6Cu~W1MRtJVFU2&O}4!j
zlaADs>c-)F9uOI!%yi1{;ml9+oIsie2U5RfwF>y+(S_1P=`Ih&ARdw^)3r4#35D~n
z!vH$!>5HY339dkCP$R2u(c562+?kSeL^Fg)!mwQl(?4_F!QuU;6VnC96Uv8gU}qZa
zw_S{9uA|0Oz>&19dWiG0K1k9l3DZ#10&N6#)?AD$&*Cj1Anl{x1C4h;AWT+6L1yli
z4FY4eL*XcYX98UsX0~8!dcd3&w^mrHXBZSr!p`FsSWcW55@*aVV10&&ql>lr_Zf%&
z3WXMHpsMIcu&6d8(UjG%cZErE
zma4Lq1cEg+iXc3krw_ir(S%r>qIPhNe=*q={R^aah5BIh=^Kt{HVkiE1j41$dXqH-
z>!QEotgfb$mS7EK&`jTmq0-!}m$l3!VIf_6Q3`*4IG0wb+cA(tn#fS@5`#Qw^p_S^
zl*RK0IBFI2lhzR^&_(&hg1|mtvt<*XLY;T{|HT%IjsU~pPG*5jKSs>fn(gS+*p4w%
zCcf%Wl{fUuH#Q%t34M<0`TiWN>H(gv|C6RWc=>-c-RpnQbPvrMG<(^QMxT^erHhzHRgHl
ztp0JPR78X)+#!|^2UoX5VV-J;Nm-ny-#%j1lPb;}S_InGA+jB^WmE={3ZG6r__MXM
z$Tn3rfNPXz{;8Tutf%5&-vxb*Wzk>CY$rPk82DHvi
z_PyjcXGmIkv?8yV8>)f`{3AC|fhg_qZ=a0Nlv!^GH{8T{ggjT;oGn{`DTcODHUL9z
zp&Edfl8otnJ^gsQlV3$A^=8{pbmW}msY_lSVcdhDmhOd7g;uX2ox9WJn}t|DMSbFe
z=iPdi0#qCymu`QApz%9IRq{?*00CIzuaVB28I6fT`DVJ{z7xiuI)^3dKvyAN(5xq&Z$|#&5s5m4T~;ox1Ft1-m_Y
zt~T3Fdp%tgp~@*(^73LkB7ySTbsN;`76)64T?}B6OI6~^vn{AzF=RrNma{3_mmL`I
z@}Fwf_%kPsZF4gakM_y{x1EN>?``74V5DJ4t77PmWZ+tgB{0=k(!rg~;WS&ctnpg4
z-8uWv%`%b{e(20}+E>3A@{7%B1tdOA7uKGxKrM!dh1t9OWzKK`ZMoqnFSvPT{B-52
ztjS~oeVx&(e8?E~qQ?yyt+{Af0Zo+nv+WNiYO3{)xCKk8>}b%MRQ{BuWS+VF_Bzjr
z`EqNlbI*R6Y2?~iQ$8lU+D2W$@M8Z`l|_mo(1CAO)W-eyzLPRCC~RC+|5zI#>V(6W
zS~M7F#ikkt2klzs`&zc0;;vXrD(9@(%a>yw4B2_Q?0p`UVuWNysDw(SF-&abk1ayk
z>xG4`H$(J?GhRffu8+;-$z)huX}fCdrxq-x&DNX=EwP%IP5sP}beaLE1Pjyl>?Ux*
zV)M5LU&bSLb&z|tZJ??~?a8IfiXC<>WUBBMTJ*}~R{Hsrj-u^5dfE~H$%f8j*mUU=
zL&>hlb~pFM=yBal#p@AcuUIqFo?+D)>|r2WLmG;L7l1
zV|ey(ti>Y-RoD6jwQSv%kE)-Myo3QBueMtDT5P#Ek1kR2
zk-3YjIf*i4N%GK{V9(AfBnMO^#Y_y3Z6~8@RFvV=5d)e@tq?2yNpCyb>97YkYM^nN
zzk?1!al3WDD4qY>bnY9fihVQP*r)1}3pFu1eU-vYs-R!hRR=WrP?;j!F>vaZwW_I$
z`P0F&zI$6<1ujt4*DG0>G!Yo6!v~Eykz^-v`
zWgEs?b7omgI6gpq;I(;zf+xBU!ET4JKJM=Hm0u=JuWYZ7{G8F3;1k^3(_YOrvS0lY
z_L(r(K<2j97cHZmMcK$@Y!8BV49J)y|Y;FBAd>3kXUGjuG&1^Y4P`vHDi`0?&s9l{#)bzUR*%D
z6$+fbSalxtrpXTAvD=iSsuVOCk}sAbN90=RU{Q-Kn*^mza8UMS$NpV4X^*+y
zCrWCXBn52O4z=U#QMxq+`{!Shj*JxsY08T2#vZfrP+gz>z*VorhN#8BdR{U|&jx!!
z1@q$f5bku4*j$vJ0MkeQtlc~4wbAo#ECD*aVJ$=|-`qLysQ}$!9g(nYquC~LAu7|&
zgU6z4EObj8pEZuUQs*AViewUO&6M)!)9_@}1n1hSS}osab7)4vu$NxmJxPM_<)RcW
zejPxW0L9N5xK98x{j60Ew@Q^AvAxg}1*C7LfhdE0cFN8A9&M`l-&TREjAk-*81H|jv_KA%d^HvYrDJ}V5jJ7BcLz@?hXG3iABw^F--p<#W+ZTEELUg;0h>U1F
zm-cDx_w6d1Ox+ha6(_rDT_xlT`e8Wf%g+`ioGM?TxphOIvIjXjqlsVDlXRaDaN@A_
zc+)`3C)PgpLaF=UZqD2G9|_970?w>l9)mqxa+sW8A-Sf{>!6lYtR-`cTB0Vu%Y#xn
zF?Z4+0xl-o%J0l1rN0m|bdX{1`gq-TH|9s{9EO8rQc}fOosX~5tJejo
zdqq}y?M&;nT`eW;DuII-_oLB2o;y+u795(+=k1s0RqtYDe>R&KG+fi(sYWvkW
zS(jnQ)WhJ%7OlKoXj4dM;Vs&&gM{>x&{nq{2z!$Kn|-S>-ymgd?{}w0{zu<~N(+xu
zV={p&B-FA7n-H_inh8R0cd-o{w4^?JkqUZ+srqzlP*wjhUBFR2N=I
zuePIW0rj@MbL>Xmj^tazLuL-SL0bq-@0>2LYmd+xX)(OblMxIHaH{~pzmaX;Vn8+GzGdns
zG`gOFOn>k?vO{KzvCMgEW#se+y|s7H
zK1EXAz%6VeP)*7n$c4`zB>7#QFHrK|^o_`p5uN=G7A
zOTw{dwRUeFPhSyJi|${xjJA;DZLY=d&V}I`Z>?_A)eG+Rge$?jsz6wjg!%2Yf&`Vs
z8FtvPCLT%evM%!dp~7_MKg#_yd=LsA;k)I2U+p92A_N}NkIr=u9jK8W!ZfcqzS<7Oe%u_(
zOGr+C>}~-F+J5qa6pNE2%CT3*sClB(etUOm*1w5p^qU
zGcdF2s|V9}kOWtpsQn(WJM6EHk2KXt8-57DkF}9x$DSG5gEAfiorlHA#@8poFK(m8
zOXV`5Kn=%tv?M1%kKtHTtjL=2FE0ih-pf{OZWg~A9a=3F!=EZ{Ge$FZ2?zv0o~
zsZ|N#k$F1V`r3sxx*5vY>iFDz0mTavsjfSQLKfXHi4RG?xC_KtmdU$Qo0{!(x;!4!
zZoKs17O(Y*#U^9iR+QSnDHw`F&F|YRk_4;Zr`et&fQiHjE)+fsk24%L8g#li9a!%U
zh25maW6`Slz60S|?19*YP!J|VadhkR$f~F=DfJ~DoWW&0-sRQw_dAp2cu1{udV75m
zTu@Wn4_{?$6*T(FpHGp=oEW{@|kZK%+MrdrJD34
z?zETT;W?3Yb)rJZcJ4uWQZnmoH5&;J}Iaq80??Go?mP7W0Z1{<-g!!WJ;BPml(RhA^D#15vf+)v+qta06#2>@QYEe04kBfHI9t*-@l1p&*(1=~91alb?vx!0Cu(1K_L5_kBZfN8BH0-_TwKN}04jG8
zGx2t{s&g%gS^T3rb$be_m=l%mrIXv%E1vrBstn+-Z~SY;Gfbk9J}DwVx0{W6Wz62~
zH)Ty^($kxCiltFC!c<-k#!BBHkul+IDS4dc*-FiW%i3)vIR-X*i@N(RTCLk2WgAnC
zUk3Bu=0QPydhoUN2TMu5nIkN~`}})>P^)VP>3wo|fFySwhF@P0e^`_cgQl3*jd!Is
zJQC`!R&PV~D*HdiAdW9p$Z<@w>EDJrwP<-Pz{JulHtm%oc=>qgXLaF4wj1{<+dI?>
zHsoYB7WIQ6;LvV5c3*Z`EDDDn(Yt+7s+p`|tg(=D+OR`!h(gE_>>_Ty0N`0RS7}6O
z0G-Dm>+F%6unn7-K{P%I6Qc{@4B=
ze74QlNalN-XTZG;67RVIjR@o)-(xZ%8p(;6B&ifKEeCEg8_}$dd!Rm_-xAFACA>Hc
zaa$5X{A?avHqn)H3S&03F=I$FxU|ESxsm%qbCz;QI!2U~vjuzyE-{DLifm(68|ysy
z&5OGWF<^lKC&C7DYw(R%_UxNt0Gp`8bkcYO_>J8quHF(VBO_vMXIqCUEHlTj1BMYE
zRYQwJrH1aL)NarHmJ~^yQw8T)aR+SSKgTcwSJdcMx}M
zUk7zn16o^62t?cATvqrwOiR9oYCrOClc&4gcJ{JKN|OvG*>%K`1X13j0@pIreWq0V
z247U#ax6YsArb;5pIRAw{N>rwc=h2FG@a6bFIzWt7hGW#u3Yyc7p}=FS{DZZsYH}c
z>yVpF@~y-PTBOcOm6vmJ2&PbpChuYOzBUQ(H>6b8Z^JMsn*O>Jy&$M>a!jU_Jrx@_
z)P4*-RMvAVE2`e}{<2-#$Z*sf{ef{uG42Pad{up>)CH}fZu
znuqZR=)@n;aNS82^vkuZ_pEE45Wjq>4hdHpZazYFA%*ks
zgc{Eh0!k)?6!@1P@s=Gqc;&N_Nr-*h4E$Gf=2wn!wSOwrtEt>ZQU^x+fPk0B^QMx+LG$~a;aMOEwTOaejpRdaVK5q9<
z48HH%{68(2-0y4Kj-K~J-EW`g{n!pyf-RcxgO*PUZM?mPcVD;d5*qm=t6M1{^WVHE
z_wH|n^!N!j(9=1G#n+v>Cl8ULxV-+UPcX~c@Tl7F)c1RM@#Tx6q=c?n
zf}LJwc(+_C6(JU+Inq
z>6)5FT8XXA7VDJxNkKNwqFo%cMo>2_upCoPUK>;&y5TJs)%qeEi?jP9L&DbGx061W
z#wMMb6pF`#bY8#0*V=jSeNc+}by~(F+-rD?R~fI_f#Z%VqMV!M73KfvU{#@QR-i2H
z-C~B>OP!pV7^zqbsTw@VIzOIZ+b~j++GzXE3)f{7>rc@x%U)6fzOc_N0CZ~T&y2Wx
z>8Lt2#e>X0!&Wjy76|Twv6&$zIv|wQ<_dtnvvo4x$wctXgQ{+zds?F5r;r+8jrsm2
z45RjINY1-irTa@Nnv^N@%=odk)#9j<^FxWQ=&oT>bmQ%9tsVnz>YsLt^X9C5;no6&
zU5_aoRLH6tnx$D(T}JjQ=iH04R$r}xD~1e&s45_c9jjmS!1-B1NX10QW=j*WjE8=&
z(XwANZlPG=5#$M(``yO24EhRFzdb)?uKWmZckWvX%q#`;h6eqb9khQ1r
zFiAVKzje-KV42wRu!{&i|9EWL;3o+GIZ*>SUD*QPCP$`R%4MRF+cww)XXl2b&fLu!~|#_SBDB+>*3^IA	Wk-o!Fg4UQQw)2u8-yHSsMA$c;-}*`3gSIWk5Xtt32K;yl|1ZC|
z7?`8}w$zIXI%v+>nSsh_C6OTMOnN6*u7zyr85&*Akzxaa-dGL0Juf}0{&c47M>ikT
z6ioJELT&X2Z;*S4CFUy8c}cYyx1&!05XgzDR~oAg1|-Nx=aMa@CH_;fB}seE0Y)|(
z|BAP;Uo9O!uQKMze!rE4rBxQgfhYoZ=>tu8!rzfkPx}QyE4mj+$!9xXAl44h#`ScI
zuAQctL(THbAd831+i19`f
z8ScC`tihQ`nd@vDbCBh{+l5nTOQl
zoJ_j_n4(notwlhmiwsT+vo=PLrDeeNhxl0uiip|cWvM%4>O$vCjjj#rhS~kTjs$ZTaXy6SRpQR}W7-K^!3>=lS
zvn`HN>==O3ttx7u3KPoA$IJkq<8}d>Xn
z#dB**N@hun&Ehp`N)6`qEXE|;$A&!iXBEy>m^9|qx^gCJGE2!(4S)d+1C&-8^Gc?S
zb_}Ib7M(4#t8v@Auk)Umnld;p#UJ2!SHqlzk7kp|iJOQaD+wxwcNd9lweBorxz5O#
z2#Z-~L#e2>n}x0`XGB63-OoZn-R}|_^3YO}ku?yH>k)xLTEg@`zV#aOt`qv8o2erQ
z-NPKCAzj6Z@Sg<(gn0a@5T78@uMuqb;PU6o>Xv6ciWIhlfITD|;1n5|Cl_4#iux@w
zAF7eO{$*>N77su0^R{2FU4A{O0xAkil?AscF^z$zaphz_+xaBRmSLxMTt=rQ!dpa!
z3eE5epeODmS8?@eWJ#*G&iHOzt8vb`aPGqBBaJ4s@Gs(}#boGsQ8y`1ar^O5MUJG&
zIx$|_vqc@mFqqc_4Q#eMWl5zOqj3ItQ57SUt~Y+q5jlPOQbQs*cd1^6)#E}20M!Yv
zR>wWnYx9UcYo!S$*6q)?&+={z!$Cd6q$H*D8XbTG`ZFf)MP&ZW;*8fU`>C<(*;4@y
zVLOX#uOD%+T)X}XNHd1d{2Jb3S|?$n%_&V)#31VSNtkWaff9I(^lz
zdj)ehZjWaeQSVVB@k>_YRN|sfCri0lwVX^_c=ag7M;y6S3tAi0WHYwAR!~k!h8LlF
zhw^A1LvH;oFJx7^Q$5YY6jb#uU?X%4VDjsJt072Tv
zrUMoG*zh^!s5ozZyv(}lu_k3_;xr_UdA22?e7hJOmSs!L$JX2?PB=18JoKYq>%>h(
zZ0QP=9t9X^SOP)iq=@guldjo4-AFT51eO3REW|D3gLBO9GL`CQpcNL5;*x=rMd|8y
z<9D6)=+^QH*OSRW+}6DHOfTO3t-&tocdSV2?6xW`M%TcTgI&Zf4P1t5C+YH<2*=oq
z8W=xnVXMQ#{c+=ztA8e@7w0pGRzD^
zsU58Yx|{3EdPX?@_oioH^*XtPY_T)`qU#2>E%q_|W9wF&OK6XE$$pP>$tNnJ+z}*Y
zXjyJ=#S|_~RpS?}_jFlCu=1{Y+CD(+1-9yU%^hYpD4x$st1G@hq($)Lxr0h
z1)QCgRc5+#pxm|}!i0Rdvv1a0Vh`_=pv)T@hk3a*{3Dx>*llVIL>`-xK+W;-ymkjS
zz2WGedLK>#*ALWvf*6`rh$%(i^Jd!6Mdd3uj|h8r(IYBJDYxN~RA?uj5D`i8SUH?6
zUTEk~5Ch*ced2I}+m|1u4=L)#7~vI$y*D}ObkNQJMve=U=5T&2XR|G?@g|5UIJgx|HVc0kEgb2*#sR
zx=+I0ua4?n-=$Ian}KcQN&GQ|&sviVon0O7_e9l%HCI0E{-5wKi`w4jQhKS-Ns4!8
zR}7W4og*KQXIHlD4O#u1C`;Q~{E!4o2;FT;-B7Dw8Y+L@0O`xQVf3T6#0Q@M_COQy
zbccAdOMJVHZUqpu-1#qH>+Mm{wtsy%t)BA7x@O-%O%Q9CL{>km4vaTDz_tXVIGl%t
zywKAV#6kt3FbnK66st*?jti~~q}B^dBMRtvjCsy1XIDmteZA?{=)E-}oL{ZquQ9X&
zIs&?D5OsJ$y7okE+EfYkdXEdu&dpD{n^4Xf5==Y|Gt8ysS4VWLCW)Q<#4KiUdF||Q
zM}C}~VMM6=>({QX6pBz}IrfCcQgWmO1u^SlgaA5GNEj`)0uL3!##`%Tsi0v%I^F?`
zlhDO7f*&rTX@R5qDUZvhriR}hrV!gn;Pz#j|Ah^d*B79?b_e_fFC68(7|B6))J
zZwNX+fiX^l487tFxGPR~*+ro+!fHGAStlzNG8;@qDtyq7sawe1x1%!GvDp=G6a{Mv
zX?aO*8z0b(maZj)bwEsS57IVv>wm#m)HW)!X^e-g-HS4vx@cwVm^8~sq$yNquSm6|
z(DkQ@+TCo@&5xpU{>3A3_t_R3kxK(t^w%8RJrJUCh+z=RgZ-nVmCNx|?$_f0gRb}E
z(bLHG*ZaWsHQ(1YVDZ}L?fhCz*SE{#{cH0U-+$X-fWH%^7&LD*m?yN+%yhPZ?4fUL
z4equJP2>$DZ=9bn@-dbesED-=3})>4*Wc*UiliDxkH?3k#4zU&Y&P8VNg-Q=E#*h^e($|r@!rr5#!>JeeHX2j|$ZfB%rnp5Iaor5~?aC2In%$t)^
zWUZ4-)kxE8meRJF${v^fL~)VC{h5P#zW#+1J2L0jXwo7wD?5GRh?G)VRAR`t?XYLZ
zJK7*WUb=hb4V7Qe&pBUob7InP7%%>8jjvj)h@^Q-_P2&nCHd@#u6or^J_mM^q^WWn
z0}bDtq7%ZW6q2#N@WlMG0z;i5br1@Xibj0#l$6E&V*ug-N_m%c(KkS-^iGR@+=egn
z6V$0-mLwz;1+GDyGr5TZ^#zr_>{r5#g9-fWLvJf511BhCnxT&ygprtEzTFDShN>43
zM;I(vj9vwtV
z3^!OZe1Qo}co7$9OpzP@t6i{N5+1uiUS-yGT_sF}p<8%JYR5sZiM9gny(XWpK&s!A
zHlZt`wqZNTm6awOc86ot$AzxbxO=xtDmoV+4)>m-FNeV?FU$olZy4z&%A?AOj}BFX
zIE(wc!2aZZ6EkEDGpIZ>Ltp~QF2LW}GL(zvpIg31^>y}9X&vnJ5=m&aC62IXo%;0z
zlL3CuF8hMC<<_tpkWI%FJQwG~1emjwn6@%6PdiR4yf_>F`{gU^%<8kC3IQTnx>14MH?XA6lGu^UAR5NOG#6e-btpf_(-
zP62+z>r&6f%LRfOSFkaT3uA-Xb_ZB=Il$y4<_A}x=~`K9TOzh*`AE044i
zP*7Dn`2~P%0f|+wOgZpC^%0(_a);RP)qPrre~f;4m#OZX3>vF+D0Pxz6na9yrjgZ>
z)**j_H}OBdXDG(;yEx3jYF<6x!kN-PxV1Zz9F~z~dfOr9(;CDI*+EHVWUwFCZ_Mb42Kosp=rxdqVTsYf?P!7`;3+bZTg+NE6$RZK-~MaI|Tlzn#azq?uiq
zkza-N$_0c=$8SSt5ME2(=Bsa?bO%@D6gALqkCR9qP|xcS=c~gH21A;-y-&1rV=6wb
zz=1Uby8O5FA4+KQbaz_NmA#u93R;HO@);gHwI<*bz0L&ibkKu|k407;coEiTk+}|#
zt0VcdxRW9);{}B|<>ZK>Zqg(*VX5t0(rAl)UW$aC=p$&`c8cC)NYH4|?^15B(lvQv
z5xSgPXf1pw#}I;{%>%bG5akE8r%uLV@oU%Sgq$jpc_*mUsjdeUh!`PBi~lCGzTurCl$^m!+GO!UjtD7$r$Vxz42_D$KcrZt+fokiIG8Z6?JXwXhSfy*
zl<0UTF~+F?l^*U8)7KDc6me`P$Z5DhtSo5qyM}s(CF2)ptmU0{qViC9Oor+3$P9QdYmnXwDWEHl-{F9E=j(NsyHs%_h{5
zv{{klh-yPRW7uU@SK+7vG;^3srC|HTP`&LOq+RSgd}=LwItsYY%yPb4jGwC1VI`RW
zW*k(V!}aJ=wP{$&D|mg6pjwVW$<=GaVfu-vfj8x5TUDlJLoj?QgC=5C<&Dc_XR68H
zUFUd+?1gFEgL{fC69F+go0?<)Oj#cL59ggB_Bh_9dSw`Z>YwaQ*nTM=zj2I-r*@5u
zp_RU~9{WhN3Pk5SqyEZhrocXn(4s{QZ<5GwrDb9aZ#UCe&k=gLBTZ(T*B|WqFluP>w!PWH_V9s7FzA+FiUWAoFbR?Y0ggfCP#v@zp?B
z>C~}5AY2~?RqcEBkL0dDYimc_|A|&H#wUQELB(NLG(*FsgPns%9{z5&tBJq-1
z3pS$yw%1k}juOJD!AuzwMeq_F4+n7;Dqq@W;#7W&NIxgt7TOba$+jHADVU+)T<v-|z=-=7cVe7p7bONAa(Km=o{AHUl`UY3_88Yl6>S3T=s47x^
zaxjTXtM|GgE%T{aqCyhO7Lvild3GPc$^j-5e$*>mZ3I5u%75jlsar!?08r_Hxt-aCnno*-{Hs5ig|9i~?bj>WO0pjAcoclSZqtdd8lV
z*D}qx9{GTC+75&C6sp*SZ2r4O>WqFaNZg2@B20KwK~u0|ky1bv&3+MYZ#{{kYt?%5&=_
ziFSbs+Sv#;OLj)N+OvAOZtEZN0z4{d#bCT2uL9ykfvn+NDjv>G|(
z44>Z9hk8pJ1ehTs;|qU0cWUDyIc?IAU6I{PaOqxvm
z7kI7pW~l6_i{tx;E)vpX?}sJ6SaJr!F#xma`8phkdyyaV4lRM{XcM5P5rM+^uHr=UCWB9lppz}>m!!1a!A9I9iw0T;U()KOb!2m5)pk_f&
zlY1OV)MeI>!NRtLW|blamrH;YHU2Q93H}j{+?kWhB6biKGo4~pEwVf0Z_szs7Qu6X
z7u@nOQhJn@U3f$;YYA;6zOi6CP1D2tacy#s8J8Ak2jbMro4#))r2%K*pMXu-;rN$@
zubW~0%*mf;_-oW)dJ*0szmo$Puu{6~Gz@dIRO!bFF7*eVgWOiM9+rYtkuHRe$;1ZI
zvWLF{r=r|+10=>+TYNZT-8@9y5>0i|WmrfUX
zdzcGzS~_MmKSj&B#XG9pbJL8e-X23;j3om2Is`Xn&E+-d>
zbC)q@4O*&{9wrm)Uw_M}CXxO<5#ODky>z%VIs2zrrE~7M`yuB-e6M_lK~hlLwFG+;42NUWU5WK!Ok
z(FlpqK@)^uDm+hW9X=nhaq>iE?2Ugj)u~D>j|uu@SehBpNF8RSItT7yV59|BLDs8%o9chPSH7N@#k$LAT1-N
z!a^zHD@rU#txVIapm_l0WLlrHdQ4QG3%yOcDg804&;6>;Z9N?pd5S>q*5{hx~*zT(dA9K@&OqfrvF{^;4T%b8z!U`>#hprr{%iP@Ryw
z-bCm)fsSJH<6$FCv3lJY+^47NLW?{JEMc+C#nMl{V-O3Bp*-a`7>$~#Pefi`qkMr1
zv&J#8Y8oengO+3v&Ed)^{YLnl*^9?8>4DY{AMIBc`TIQdI}KD5v@=oLBvG2Nrf2b#
zA7^{8CMXRQP(xCjNpIrs4&2C9lOk^=7Wrn``Hr3WUt6qI!KsiTl41N7LY5P4=`{4y
z=n~fuy4A`&WtTg%7hR79$WoT|qC`3MHCixD6HlvSOB!q;r#DJ&IRk#G&4BXi4TAYK
z{>k|2o#F`W4{ER;nc?I97`2^Q_g93_#aaT}?r(#~3C30ls;%R?wz{>Ca_2@DUt1zr
zPz-;i$>vd2^eKXcJ8-*>%-YDxsa&qPt81pY64FF|Okuaaw}b^Jkcd_=H9?;in!zUH
z>iz(j@t=W2;z3XI*i~Cc&t-&`VW|9jT9hqQR)G~<|Iyu`JH2o4iwL@6L?i!q_MOis
zCB}sY?Rwsq%Nib~BsIP3z$Jd?bN)8o(w5RE5VS7ZCF!t#5jDVEmkA$51ViL
zH(M9xa?gaau7?CbCK*WI`+)YtI!)CTv6>v@RwPi~CYuN{Q`<4}&65sN90uaLuq#UV
zw_gW@-xuMT*>i|9NPd_qQHMjo4MIgO)Zu(z#zI?VB^ao`GP3x0~{~j|;Q?
zBCQQshOfKvXw-oiozZP*uc+K`mPl4Et*kU1#$O5K^L8SY+{-4=M>*W)5BMlWw(0)9
z?)dJ42?p?Qe(U-`;(R{ye>J&(OfY=6zMsjN-^YG;%pVuef&b2ycw(glFfYnCfRDP{RU(nNGNweu;%q~3lEPPkr~TX
z%RhcU>VALA&#pTH`7!m=rQHM$Q6?rnwdLjWyZi-RtfHa8$3r<_%j2`Z9-B?&0E-qr
zaVH&*-!lOWX;~vTz^lseN9pr-OmxQO`@xfeq$1W6YU