🛡️ SOC Playbook Quick Reference Card / สรุป Playbook
พิมพ์หน้านี้ — สรุป Playbook ทั้ง 50 ในหน้าเดียว สำหรับแปะโต๊ะ Analyst
📧 Email & Social Engineering
| PB |
ชื่อ |
ระดับ |
การดำเนินหลัก |
| 01 |
Phishing / ฟิชชิ่ง |
🟠 สูง |
ตรวจ header → บล็อก sender → รีเซ็ตรหัส → สแกน mailbox |
| 17 |
BEC / อีเมลหลอกธุรกิจ |
🔴 วิกฤต |
ตรวจ wire transfer → ระงับบัญชี → แจ้งธนาคาร → forensic |
| 42 |
Email Account Takeover |
🟠 สูง |
ตรวจ forwarding rules → เพิกถอน session → MFA reset |
| 48 |
Deepfake Social Engineering |
🟠 สูง |
ยืนยันตัวตน → บันทึกหลักฐาน → แจ้ง HR/Legal |
🦠 Malware & Ransomware
| PB |
ชื่อ |
ระดับ |
การดำเนินหลัก |
| 02 |
Ransomware / แรนซัมแวร์ |
🔴 วิกฤต |
แยกเครื่อง → ห้ามจ่ายค่าไถ่ → backup → IR team |
| 03 |
Malware Infection / มัลแวร์ |
🟠 สูง |
แยกเครื่อง → สแกน → eradicate → ตรวจ lateral |
| 10 |
Exploit / ช่องโหว่ |
🔴 วิกฤต |
แพทช์ → WAF rule → ตรวจ compromise → forensic |
| 11 |
Suspicious Script |
🟡 กลาง |
sandbox → วิเคราะห์ → บล็อก hash → สแกนทั้งองค์กร |
| 38 |
Wiper Attack |
🔴 วิกฤต |
แยกเครื่อง → ดูผลกระทบ → DR/BCP → forensic |
| 39 |
Living Off The Land |
🟠 สูง |
ตรวจ LOLBin → process tree → EDR hunt → block |
| 46 |
Rootkit / Bootkit |
🔴 วิกฤต |
boot จาก live media → forensic → reimage |
🔑 Identity & Access
| PB |
ชื่อ |
ระดับ |
การดำเนินหลัก |
| 04 |
Brute Force / เดารหัส |
🟡 กลาง |
ตรวจ lockout → บล็อก IP → MFA → ตรวจรหัสซ้ำ |
| 05 |
Account Compromise |
🟠 สูง |
รีเซ็ตรหัส → เพิกถอน session → ตรวจกิจกรรม |
| 06 |
Impossible Travel |
🟡 กลาง |
ตรวจ IP/geo → ยืนยันผู้ใช้ → ระงับ/อนุญาต |
| 07 |
Privilege Escalation |
🔴 วิกฤต |
ตรวจสิทธิ์ → ถอนสิทธิ์ → ตรวจ persistence |
| 14 |
Insider Threat / ภัยจากภายใน |
🟠 สูง |
เก็บหลักฐาน → จำกัดสิทธิ์ → แจ้ง HR/Legal |
| 15 |
Rogue Admin |
🔴 วิกฤต |
ระงับบัญชี → forensic → ตรวจการเปลี่ยนแปลงทั้งหมด |
| 26 |
MFA Bypass / Token Theft |
🟠 สูง |
เพิกถอน token → บังคับ reenroll → ตรวจ session |
| 36 |
Credential Dumping |
🔴 วิกฤต |
แยกเครื่อง → รีเซ็ตรหัสทั้งหมดบนเครื่อง → KRBTGT |
🌐 Network & Web
| PB |
ชื่อ |
ระดับ |
การดำเนินหลัก |
| 09 |
DDoS Attack |
🟠 สูง |
เปิด mitigation → CDN → ISP upstream → ตรวจ app |
| 12 |
Lateral Movement |
🔴 วิกฤต |
แยก segment → ปิด RDP/SMB → ตรวจทุกเครื่อง |
| 13 |
C2 Communication |
🔴 วิกฤต |
บล็อก domain/IP → แยกเครื่อง → DNS sinkhole |
| 18 |
Web Attack |
🟠 สูง |
WAF block → ตรวจ logs → แพทช์ช่องโหว่ |
| 22 |
API Abuse |
🟡 กลาง |
rate limit → API key revoke → ตรวจ data |
| 24 |
DNS Tunneling |
🟠 สูง |
บล็อก domain → ตรวจ payload → DNS monitoring |
| 25 |
Zero-Day Exploit |
🔴 วิกฤต |
virtual patch → แยกเครื่อง → monitor exploitation |
| 34 |
Network Discovery |
🟡 กลาง |
ตรวจ scanner → บล็อกถ้าไม่มีอนุญาต → ตรวจ ACL |
| 37 |
SQL Injection |
🟠 สูง |
บล็อก IP → WAF rules → ตรวจ DB → แพทช์โค้ด |
| 43 |
Drive-By Download |
🟠 สูง |
บล็อก URL → สแกนเครื่อง → แพทช์ browser |
| 44 |
Watering Hole |
🔴 วิกฤต |
บล็อกเว็บ → สแกนผู้เยี่ยมชม → ตรวจ exploit |
| 50 |
Unauthorized Scanning |
🟡 กลาง |
ตรวจ source → บล็อก → ตรวจ vuln ที่พบ |
☁️ Cloud & Infrastructure
| PB |
ชื่อ |
ระดับ |
การดำเนินหลัก |
| 16 |
Cloud IAM Anomaly |
🟠 สูง |
ตรวจสิทธิ์ → เพิกถอนสิทธิ์เกิน → audit API calls |
| 19 |
AWS EC2 Compromise |
🔴 วิกฤต |
แยก instance → snapshot EBS → rotate keys |
| 20 |
AWS S3 Compromise |
🔴 วิกฤต |
ปิด public access → ตรวจ CloudTrail → rotate creds |
| 23 |
Cryptomining |
🟡 กลาง |
kill process → ตรวจ bill → ตรวจ access key |
| 28 |
Cloud Storage Exposure |
🟠 สูง |
ปิด public → ตรวจ access log → แจ้ง PDPA |
| 30 |
Shadow IT |
🟡 กลาง |
สำรวจ → ประเมินความเสี่ยง → migrate หรือ block |
| 33 |
Azure AD Compromise |
🔴 วิกฤต |
เพิกถอน session → รีเซ็ต creds → Conditional Access |
| 41 |
VPN Abuse |
🟠 สูง |
ระงับ VPN → ตรวจ source → ตรวจ tunnel logs |
| 45 |
Cloud Cryptojacking |
🟠 สูง |
kill compute → revoke API keys → แจ้ง billing |
📦 Data & Supply Chain
| PB |
ชื่อ |
ระดับ |
การดำเนินหลัก |
| 08 |
Data Exfiltration / ข้อมูลรั่ว |
🔴 วิกฤต |
บล็อกช่องทาง → DLP → ตรวจข้อมูลที่รั่ว → PDPA |
| 21 |
Supply Chain Attack |
🔴 วิกฤต |
ตรวจ dependency → rollback → vendor contact |
| 27 |
Log Clearing / ลบ Log |
🔴 วิกฤต |
restore จาก backup → เก็บ log ที่เหลือ → ตรวจสอบ |
| 35 |
Data Collection / Staging |
🟠 สูง |
ตรวจ staging area → บล็อกช่องทาง exfil |
| 49 |
Typosquatting |
🟡 กลาง |
แจ้ง registrar → DNS block → แจ้งผู้ใช้ |
📱 Physical & Mobile
| PB |
ชื่อ |
ระดับ |
การดำเนินหลัก |
| 29 |
Mobile Compromise |
🟠 สูง |
MDM wipe/lock → เพิกถอน token → ตรวจ data |
| 31 |
OT/ICS Incident |
🔴 วิกฤต |
แยก OT → ห้ามสแกน → manual override → ICS team |
| 32 |
Lost/Stolen Device / อุปกรณ์หาย |
🟠 สูง |
remote wipe → ระงับบัญชี → แจ้งความ |
| 40 |
USB Removable Media |
🟡 กลาง |
confiscate → scan → ตรวจ autorun → DLP |
| 47 |
SIM Swap |
🟠 สูง |
ติดต่อ carrier → เปลี่ยน MFA → รีเซ็ตบัญชี |
🔺 คู่มือ Escalation ด่วน
| ระดับ |
SLA ตอบรับ |
SLA แก้ไข |
ส่งต่อถึง |
| 🟢 P4 — ต่ำ |
8 ชม. |
- |
SOC T1 |
| 🟡 P3 — กลาง |
2 ชม. |
24 ชม. |
SOC T2 |
| 🟠 P2 — สูง |
30 นาที |
8 ชม. |
SOC T2 + IR Lead |
| 🔴 P1 — วิกฤต |
15 นาที |
4 ชม. |
IR Team + CISO + Legal |
📞 ข้อมูลติดต่อ
| บทบาท |
ชื่อ |
เบอร์ |
อีเมล |
| SOC Manager |
____ |
____ |
____ |
| IR Lead |
____ |
____ |
____ |
| CISO |
____ |
____ |
____ |
| Legal / DPO |
____ |
____ |
____ |
| ฝ่ายสื่อสาร |
____ |
____ |
____ |
📖 เอกสารฉบับเต็ม: SOC SOP Repository
🔄 อัปเดตล่าสุด: 2026-02-17 | เวอร์ชัน: 2.11.1