Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Operationen
Der Betrieb ist der Kern der Reaktion auf Vorfälle. Hier finden die Maßnahmen zur Reaktion und Behebung von Sicherheitsvorfällen statt. Der Betrieb umfasst die folgenden fünf Phasen: Erkennung, Analyse, Eindämmung, Beseitigung und Wiederherstellung. Eine Beschreibung dieser Phasen und der Ziele finden Sie in Tabelle 3.
Tabelle 3 — Betriebsphasen
| Phase | Ziel |
|---|---|
| Erkennung | Identifizieren eines potenziellen Sicherheitsereignisses. |
| Analyse | Stellen Sie fest, ob es sich bei einem Sicherheitsereignis um einen Vorfall handelt, und beurteilen Sie den Umfang des Vorfalls. |
| Eindämmung | Minimieren und Beschränken des Umfangs des Sicherheitsereignisses. |
| Ausrottung | Entfernen nicht autorisierter Ressourcen oder Artefakte im Zusammenhang mit dem Sicherheitsereignis. Implementieren von Abhilfemaßnahmen zur Behebung der Ursache des Sicherheitsvorfalls. |
| Erholung | Stellen Sie die Systeme in einen bekannten sicheren Zustand zurück und überwachen Sie diese Systeme, um sicherzustellen, dass die Bedrohung nicht erneut auftritt. |
Die Phasen sollen als Leitfaden für die Reaktion auf Sicherheitsvorfälle und deren Behandlung dienen, damit Sie effektiv und nachhaltig reagieren können. Die tatsächlichen Maßnahmen, die Sie ergreifen, sind abhängig vom jeweiligen Vorfall. Bei einem Vorfall mit Ransomware müssen beispielsweise andere Schritte ausgeführt werden als bei einem Vorfall, an dem ein öffentlicher Amazon-S3-Bucket beteiligt ist. Darüber hinaus folgen diese Phasen nicht unbedingt aufeinander. Nach der Eindämmung und Beseitigung müssen Sie möglicherweise zur Analyse zurückkehren, um zu ermitteln, ob Ihre Maßnahmen wirksam waren.
