事件響應過程被分為幾個階段

事件響應過程被分為以下六個階段：

• 準備：這是IRP的最重要階段，它涉及定義上述所有元素CSIRT，資產以及被認為是事件的范圍。它還包括對資源進行培訓，甚至執行試驗、桌面練習和模擬攻擊，以查看一切是否都按照預期工作。準備階段成功的關鍵是在宣布事件時避免組織中的任何混亂。

• 身份證明：此階段涉及兩個關鍵活動。一種是導致事件宣布的初步調查。這個階段只涉及團隊的一部分:決策者和提供情報的技術資源。請注意，潛在事件的報告也可能來自外部來源，例如，來自您的客戶、合作伙伴，甚至是執法部門，因此通信人員也可能參與其中。在此階段聲明事件，如果是這樣，則需要進行詳細的調查，以了解哪些資產可能受到事件的影響，并且必須在接下來的階段中涉及到這些資產。例如，如果攻擊者破壞了您的web應用程序，您必須確定這是否會影響已連接的服務器，甚至整個網絡。注意，在完成識別之后，您的溝通和法律/法規遵循資源應該已經開始執行它們的任務了。

• 遏制：一旦技術資源清楚地確定了事件的性質和范圍，您就必須確定必須遏制哪些資產。遏制是絕對必要的，即使您試圖盡快消除威脅，也不能跳過此階段。如果沒有遏制，攻擊者可能仍在與您的團隊并行工作，并繼續傳播到其他當前不受影響的系統。遏制是指將受影響的資產與未受影響的資產隔離。但是，通常不會使它們脫機（即使是暫時的），因為這可能會使根除更加困難。遏制階段以決定安全地隔離受影響的資產并切斷攻擊者的身份結束。

• 消除：在包含了受影響的資產之后，您的技術資源將開始消除事件的后果。這意味著，例如，刪除惡意軟件，修復漏洞，從安全備份中還原系統等。消除階段的最后一個決定是，消除事件的所有技術后果并保護系統。

• 恢復：現在必須將受保護的系統重新聯機，重新連接到其他資產，并且所有技術和業務流程都應恢復正常。恢復階段以整個技術基礎結構以及事件發生之前的正常運行為結束。請注意，恢復階段還涉及通過您的通訊和法律/合規資源完成工作。此階段的最終結果是讓您的決策者將事件宣布為已結束，并使團隊成員恢復到常規活動。

• 經驗教訓：事件關閉后不必立即執行此活動。事件發生后的某個時間，重組事件響應團隊（尤其是所有決策者）的關鍵資源，并分析事件的處理情況是很有用的。結果，該過程可能返回到準備階段，以在團隊中投入更多資源，輪班職責，或者如果不是所有團隊成員都表現得很好，則提供額外的培訓。

回答所涉及的環境：聯想天逸510S、Windows 10。