# Operações As operações são a base da resposta a incidentes. É aqui que ocorrem as ações de resposta e atenuação de incidentes de segurança. As operações incluem as seguintes cinco fases: *detecção*, *análise*, *contenção*, *erradicação* e *recuperação*. As descrições dessas fases e das metas podem ser encontradas na Tabela 3. *Tabela 3: fases operacionais* | Fase | Objetivo | | --- | --- | | Detecção | Identifique um possível evento de segurança. | | Análise | Determinar se um evento de segurança constitui um incidente e avaliar o escopo do incidente. | | Contenção | Minimize e limite o escopo do evento de segurança. | | Erradicação | Remova recursos ou artefatos não autorizados relacionados ao evento de segurança. Implemente atenuações para as causas do incidente de segurança. | | Recuperação | Restaurar os sistemas para um estado seguro conhecido e monitorar esses sistemas para verificar se não há retorno da ameaça. | As fases devem servir como orientação quando você responde e atua em incidentes de segurança, a fim de responder de forma eficaz e robusta. As ações reais realizadas variam de acordo com o incidente. Um incidente envolvendo ransomware, por exemplo, terá um conjunto de etapas de resposta a serem seguidas diferente do que o de um incidente que envolva um bucket público do Amazon S3. Além disso, essas fases não acontecem necessariamente de modo sequencial. Após a contenção e a erradicação, talvez seja necessário retornar à análise para entender se suas ações foram eficazes.