對(duì)事件響應(yīng)過程的高級(jí)介紹，包括檢測(cè)和通知的重要問題

　　網(wǎng)絡(luò)事件響應(yīng) （IR） 因兩個(gè)因素而變得復(fù)雜。首先，沒有兩起事件是相同的。其次，所有響應(yīng)都需要人員、流程和技術(shù)要素協(xié)同工作才能取得成功。

　　提前規(guī)劃事件響應(yīng)至關(guān)重要。這將是任何現(xiàn)實(shí)世界事件最終結(jié)果的主要決定因素。

　　應(yīng)該制定 IR 計(jì)劃和指導(dǎo)，行使回應(yīng)并審查能力（包括任何第 3 方服務(wù)提供商的能力）。這將為提供最大限度地減少任何攻擊的影響并快速恢復(fù)的最佳機(jī)會(huì)。

　　事件響應(yīng)流程的結(jié)構(gòu)

　　盡管任何特定事件的細(xì)節(jié)都會(huì)有所不同，但可以從廣義上描述網(wǎng)絡(luò)事件響應(yīng)的主要階段。

　　這些在下面的圖 1 中列出。

　　Contain、Analyze（經(jīng)常是Remediate）經(jīng)常形成一個(gè)循環(huán)，可以重復(fù)幾次。隨著對(duì)攻擊或事件性質(zhì)的更多了解，有可能確定可以采取的更多措施來遏制它。

　　在許多情況下，您可能需要在采取遏制措施之前進(jìn)行進(jìn)一步分析。但是，您應(yīng)該將遏制（或減輕）作為早期步驟，因?yàn)檫@在面對(duì)正在發(fā)生損壞或損失的實(shí)時(shí)事件時(shí)可能至關(guān)重要。

　　事件響應(yīng)與事件管理

　　在本指南中，事件管理和事件響應(yīng)都被提及。

　　這兩個(gè)術(shù)語(yǔ)經(jīng)?；Q使用。但是，存在一些差異：

　　事件管理 （IM）位于任何響應(yīng)流程之內(nèi)和跨任何響應(yīng)流程，確保處理所有階段。IM 處理任何通信、媒體處理、升級(jí)和任何報(bào)告問題，將整個(gè)響應(yīng)集中、連貫和全面。圖 1 中的藍(lán)色通道。

　　事件響應(yīng) （IR）這包括分類、深入分析、技術(shù)恢復(fù)行動(dòng)等。圖1中的綠色通道。

　　事件檢測(cè)和通知

　　可以通過多種途徑檢測(cè)和報(bào)告事件。典型的檢測(cè)和通知或報(bào)告途徑包括：

　　技術(shù)：來自各種監(jiān)控工具的警報(bào)，例如 SIEM 解決方案、SOC 團(tuán)隊(duì)、AV/IDS 警報(bào)。理想情況下，來自不同來源的警報(bào)將相互關(guān)聯(lián)并在同一時(shí)區(qū)顯示。

　　工作人員：用戶可以報(bào)告事件，如果他們接受過培訓(xùn)并鼓勵(lì)他們報(bào)告可疑活動(dòng)——無(wú)論是不尋常的電子郵件還是同事的奇怪行為，他們都可以成為一個(gè)強(qiáng)大的力量?？蛻舴?wù)和公關(guān)團(tuán)隊(duì)也可能會(huì)報(bào)告異常電話或在線發(fā)現(xiàn)成功入侵的證據(jù)，例如客戶詳細(xì)信息被盜。

　　第三方：報(bào)告可能來自執(zhí)行事件調(diào)查和威脅研究的公司。它也可能來自合作伙伴、供應(yīng)商或公眾。在某些情況下，它可能來自政府。

　　應(yīng)該尋求有關(guān)監(jiān)控的其他指導(dǎo)并提供適當(dāng)?shù)膯T工培訓(xùn)，以確保監(jiān)控高效有效。

　　事件可能以不同的方式報(bào)告給不同的團(tuán)隊(duì) - IT 安全、服務(wù)臺(tái)、法律、公關(guān)。這些團(tuán)隊(duì)中的每一個(gè)都應(yīng)該有關(guān)于如何確定他們應(yīng)該報(bào)告的事情以及他們應(yīng)該向誰(shuí)報(bào)告的指導(dǎo)。

　　最終，所有可能發(fā)生的事件的警報(bào)都應(yīng)該傳遞給負(fù)責(zé)管理它們的團(tuán)隊(duì)。然后，他們可以評(píng)估和分類事件，還可以與其他警報(bào)相關(guān)聯(lián)。