PRO-ISIR-PB-04 — Playbook — Cloud / IAM / Token / Chave

Responder a incidentes em plano de controle cloud, IAM, tokens, chaves e segredos, com foco em reconstrução de confiança no ambiente.

E — Entry: Incidente declarado ou tipologia fortemente suspeita, severidade preliminar definida e caso aberto no system of record.
T — Task / Transform: Executar a resposta específica do cenário, sempre adotando o checklist da primeira hora, o padrão de evidências, a matriz de comunicação, o padrão de severidade, o recovery sign-off, a matriz RACI e o painel de métricas conforme aplicável.
V — Verify: Verificar se o cenário foi corretamente caracterizado, se o escopo foi estimado, se a resposta foi documentada e se as evidências e comunicações seguiram os padrões obrigatórios.
X — Exit: Cenário estabilizado, evidências registradas, comunicação tratada, recovery aprovado e remediações abertas.

Adotar o checklist da primeira hora.
Revogar chaves e tokens comprometidos, proteger control plane e registrar tenants, contas, subscriptions e regiões afetadas.
Revisar IAM policies, roles, service principals, trusts, KMS, secret stores e automações.
Avaliar pivot para workloads, storage, dados e abuso financeiro.
Executar recovery sign-off antes de reabrir integralmente o ambiente.

Audit logs do provedor, logs IAM, KMS/secret manager access logs, diffs de IaC, snapshots, change logs e metadados de workloads.

Reemitir segredos, revisar IAM e trusts, corrigir configuração e IaC, remover recursos criados maliciosamente e validar guardrails.

Encerrar após substituição de segredos, validação de políticas e trusts, integridade de logging e conclusão do impacto em dados e workloads.

PRO-ISIR-PB-04
Playbook — Cloud / IAM / Token / Chave