Coleccion de 18 playbooks operativos de incident response publicados por CERT Societe Generale (CERT-SG). Cubre el espectro completo de incidentes que un L1 puede recibir en cola SIEM/TIP: desde phishing y ransomware hasta defacement, insider abuse, blackmail y compromisos a gran escala. Cada IRM tiene 6 fases: Preparation, Identification, Containment, Remediation, Recovery, Lessons Learned.

Los IRMs siguen estructura NIST SP 800-61 adaptada al CSIRT corporativo. Todos comparten el mismo schema (Methods, Resumen original, Citas clave) lo que facilita comparacion cruzada. Topicos cubiertos: malware Windows/Linux/Smartphone (IRM 02, 03, 07, 09), DDoS (04), defacement (06), social engineering (10), filtraciones (11), insider abuse (12), customer phishing (13), scam y trademark (14, 15), phishing generico (16), ransomware (17), large-scale compromise (18).

Un IRM NO sustituye al runbook de tu CSIRT. Es un template comprobado que adaptas a tu stack (SIEM concreto, EDR, herramientas IR). Imprimirlos en papel y pegarlos al monitor del L1 es practica comun en SOCs maduros — ahorra tiempo en incidentes reales.

Faltan IRMs sobre: cloud breaches (AWS/Azure/GCP especificos), supply chain compromises post-SolarWinds, AI/ML model poisoning, y OT/ICS incidents. CERT-SG publica nuevos esporadicamente — verificar upstream periodicamente.