對事件響應過程的高級介紹，包括檢測和通知的重要問題

　　網絡事件響應 （IR） 因兩個因素而變得復雜。首先，沒有兩起事件是相同的。其次，所有響應都需要人員、流程和技術要素協(xié)同工作才能取得成功。

　　提前規(guī)劃事件響應至關重要。這將是任何現(xiàn)實世界事件最終結果的主要決定因素。

　　應該制定 IR 計劃和指導，行使回應并審查能力（包括任何第 3 方服務提供商的能力）。這將為提供最大限度地減少任何攻擊的影響并快速恢復的最佳機會。

　　事件響應流程的結構

　　盡管任何特定事件的細節(jié)都會有所不同，但可以從廣義上描述網絡事件響應的主要階段。

　　這些在下面的圖 1 中列出。

　　Contain、Analyze（經常是Remediate）經常形成一個循環(huán)，可以重復幾次。隨著對攻擊或事件性質的更多了解，有可能確定可以采取的更多措施來遏制它。

　　在許多情況下，您可能需要在采取遏制措施之前進行進一步分析。但是，您應該將遏制（或減輕）作為早期步驟，因為這在面對正在發(fā)生損壞或損失的實時事件時可能至關重要。

　　事件響應與事件管理

　　在本指南中，事件管理和事件響應都被提及。

　　這兩個術語經?；Q使用。但是，存在一些差異：

　　事件管理 （IM）位于任何響應流程之內和跨任何響應流程，確保處理所有階段。IM 處理任何通信、媒體處理、升級和任何報告問題，將整個響應集中、連貫和全面。圖 1 中的藍色通道。

　　事件響應 （IR）這包括分類、深入分析、技術恢復行動等。圖1中的綠色通道。

　　事件檢測和通知

　　可以通過多種途徑檢測和報告事件。典型的檢測和通知或報告途徑包括：

　　技術：來自各種監(jiān)控工具的警報，例如 SIEM 解決方案、SOC 團隊、AV/IDS 警報。理想情況下，來自不同來源的警報將相互關聯(lián)并在同一時區(qū)顯示。

　　工作人員：用戶可以報告事件，如果他們接受過培訓并鼓勵他們報告可疑活動——無論是不尋常的電子郵件還是同事的奇怪行為，他們都可以成為一個強大的力量?？蛻舴蘸凸P團隊也可能會報告異常電話或在線發(fā)現(xiàn)成功入侵的證據，例如客戶詳細信息被盜。

　　第三方：報告可能來自執(zhí)行事件調查和威脅研究的公司。它也可能來自合作伙伴、供應商或公眾。在某些情況下，它可能來自政府。

　　應該尋求有關監(jiān)控的其他指導并提供適當的員工培訓，以確保監(jiān)控高效有效。

　　事件可能以不同的方式報告給不同的團隊 - IT 安全、服務臺、法律、公關。這些團隊中的每一個都應該有關于如何確定他們應該報告的事情以及他們應該向誰報告的指導。

　　最終，所有可能發(fā)生的事件的警報都應該傳遞給負責管理它們的團隊。然后，他們可以評估和分類事件，還可以與其他警報相關聯(lián)。