บันทึกการส่งมอบกะ (Shift Handover Log)
คำแนะนำ: กรอกทุกส่วนที่บังคับ (★) ก่อนบรีฟกะใหม่ บันทึกเอกสารนี้ในระบบ ticketing หรือ shared drive หลังจากทั้งสอง Lead ลงชื่อ
ข้อมูลหัวกระดาษ
| ฟิลด์ |
ค่า |
| วันที่ |
YYYY-MM-DD |
| กะ |
☐ เช้า (08:00–16:00) · ☐ บ่าย (16:00–00:00) · ☐ ดึก (00:00–08:00) |
| Lead กะเก่า |
[ชื่อ] |
| Lead กะใหม่ |
[ชื่อ] |
| เวลาส่งมอบ |
HH:MM |
★ 1. สรุปกะ
สถานะโดยรวม: ☐ เงียบ · ☐ ปกติ · ☐ ยุ่ง · ☐ วิกฤต
สรุปภาพรวม:
เขียนสรุป 2–3 ประโยคเกี่ยวกับกะ เน้นการ escalation, เหตุการณ์สำคัญ, หรือคำสั่งจากผู้บริหาร
★ 2. Incidents ที่กำลังดำเนินการ (ต้องให้ความสนใจ)
| ID |
ความรุนแรง |
หมวดหมู่ |
รายละเอียด |
สถานะปัจจุบัน |
เจ้าของ |
ขั้นตอนถัดไป |
ETA |
| #___ |
Critical/High/Med/Low |
Phishing/Malware/อื่นๆ |
รายละเอียดสั้น |
Triage/สืบสวน/Containment |
[ชื่อ] |
สิ่งที่ต้องทำต่อ |
เมื่อไหร่ |
|
|
|
|
|
|
|
|
รวม Active: _ | Critical/High: _ | รอ Escalation: ____
★ 3. สถานะระบบ
| ระบบ |
สถานะ |
หมายเหตุ |
| SIEM Ingestion |
☐ ปกติ · ☐ ผิดปกติ · ☐ หยุดทำงาน |
|
| EDR Connectivity |
☐ ปกติ · ☐ ผิดปกติ · ☐ หยุดทำงาน |
|
| SOAR Playbooks |
☐ ปกติ · ☐ ผิดปกติ · ☐ หยุดทำงาน |
|
| TI Feed Updates |
☐ ปกติ · ☐ ล่าช้า · ☐ หยุดทำงาน |
|
| ระบบ Ticketing |
☐ ปกติ · ☐ ผิดปกติ · ☐ หยุดทำงาน |
|
| Network Sensors |
☐ ปกติ · ☐ ผิดปกติ · ☐ หยุดทำงาน |
|
| Email Gateway |
☐ ปกติ · ☐ ผิดปกติ · ☐ หยุดทำงาน |
|
ปัญหาที่ทราบ:
อธิบายระบบที่มีปัญหา, การบำรุงรักษาตามกำหนด, หรือ license ที่ใกล้หมดอายุ
★ 4. งานที่ค้าง / Follow-ups
| # |
งาน |
Ticket ที่เกี่ยวข้อง |
ลำดับความสำคัญ |
มอบหมายถึง |
กำหนดส่ง |
| 1 |
|
|
สูง/กลาง/ต่ำ |
|
|
| 2 |
|
|
|
|
|
| 3 |
|
|
|
|
|
★ 5. ข่าวกรองและคำแนะนำ
ข่าวกรองภัยคุกคามใหม่
| แหล่งที่มา |
สรุป |
เพิ่ม IoCs แล้ว? |
ต้องดำเนินการ? |
|
|
☐ ใช่ · ☐ ไม่ |
☐ ใช่ · ☐ ไม่ |
ช่องโหว่ที่ประกาศ
| CVE |
ระบบที่ได้รับผลกระทบ |
ความรุนแรง |
มี Patch? |
การดำเนินการ |
|
|
|
☐ ใช่ · ☐ ไม่ |
|
6. Escalations (ถ้ามี)
| ส่งต่อถึง |
เหตุผล |
เวลา |
ได้รับตอบกลับ? |
สถานะ |
|
|
|
☐ ใช่ · ☐ ไม่ |
|
7. ประกาศเปลี่ยนแปลง (ถ้ามี)
| Change ID |
ระบบ |
รายละเอียด |
ช่วงเวลา |
กระทบ Alert? |
|
|
|
|
☐ ใช่ · ☐ ไม่ |
★ สถิติของกะ
| ตัวชี้วัด |
จำนวน |
| Alerts ที่ประมวลผล |
|
| Incidents ที่เปิด |
|
| Incidents ที่ปิด |
|
| Escalations |
|
| False Positives ที่พบ |
|
| เวลาตอบสนองเฉลี่ย (MTTA) |
นาที |
★ ลงนาม
|
Lead กะเก่า |
Lead กะใหม่ |
| ชื่อ |
|
|
| ลายเซ็น |
|
|
| เวลา |
|
|
⚠️ ทั้งสอง Lead ต้องลงนาม เพื่อยืนยันว่าได้บรีฟแล้วและตรวจทุกส่วนที่บังคับ
ตัวอย่าง Handover ที่เสร็จแล้ว
## Shift Handover — 2026-02-16 (กลางวัน → กลางคืน)
### Analyst ออก: สมชาย (Shift A)
### Analyst เข้า: สมศรี (Shift B)
### Incidents ค้าง
| Ticket ID | Severity | สถานะ | สรุป | ต้องทำ |
|:---|:---:|:---|:---|:---|
| INC-2026-089 | P2 | กำลังสืบสวน | PowerShell น่าสงสัยบน HR-PC-042 | รอ EDR isolation approval |
| INC-2026-091 | P3 | ตรวจสอบ | Failed VPN logins จาก IP ไม่รู้จัก | ตรวจสอบอีก 12 ชม. |
### สถานะ Alert Queue
- Queue ปัจจุบัน: 14 alerts (7 low, 5 medium, 2 high)
- 2 high alerts ต้อง triage ทันที
### สุขภาพระบบ
- SIEM: ✅ ปกติ | EDR: ✅ ปกติ | Ticketing: ✅ ปกติ
- Log source gap: Firewall FL-02 offline ตั้งแต่ 14:30 (แจ้ง IT แล้ว)
### หมายเหตุสำหรับกะเข้า
1. สำคัญ: INC-089 — SOC Manager อนุมัติ isolation แล้ว ดำเนินการหลังเก็บหลักฐาน
2. Sigma rule ใหม่ deploy สำหรับ CVE-2026-1234 อาจมี FPs ช่วงแรก
3. SIEM maintenance ตอน 03:00 search อาจช้า 15 นาที
ข้อผิดพลาด Handover ที่พบบ่อย
| ❌ ผิดพลาด |
ผลกระทบ |
✅ แนวปฏิบัติที่ดี |
| Handover ปากเปล่า |
ลืมรายละเอียด |
เขียน template + brief ปากเปล่า |
| ไม่แจ้งปัญหาระบบ |
Analyst เข้าพลาดช่องว่างข้อมูล |
ตรวจและรายงาน log source health เสมอ |
| สรุป incident ไม่ครบ |
เสียเวลาสืบสวนซ้ำ |
ใส่: เกิดอะไร ทำอะไรแล้ว ต้องทำอะไรต่อ |
| ลืมบอก pending approvals |
Containment ล่าช้า |
ลิสต์ pending approvals/waiting items ทั้งหมด |
| ไม่แจ้งสถานะ alert queue |
Queue ล้น |
รายงาน queue depth เสมอ |
เอกสารที่เกี่ยวข้อง
Handover Quality Check
| Item |
Verified |
| Open incidents listed |
☐ |
| Pending actions noted |
☐ |
| Unusual activity flagged |
☐ |
| System health confirmed |
☐ |
อ้างอิง