作業
操作是進行事件回應的核心。這也是採取行動回應和補救安全事件的所在。操作包括以下五個階段:偵測、分析、遏制、根除和復原。下表中可找到這些階段和目標的說明。
| 階段 | 目標 |
|---|---|
| 偵測 | 識別潛在的安全事件。 |
| 分析 | 確定安全事件是否為事件,並評估事件的範圍。 |
| 遏制 | 盡量縮小並限制安全事件的範圍。 |
| 根除 | 移除與安全事件相關的未經授權資源或成品。實作造成安全事件的緩和措施。 |
| 復原 | 將系統還原至已知的安全狀態,並監控這些系統以確認威脅未再發生。 |
這些階段應做為您回應和操作安全事件時的指引,以便採取有效且可靠的方式來回應。您採取的實際行動會因事件而有所不同。舉例來說,對於涉及勒索軟體的事件與涉及公有 Amazon S3 儲存貯體的事件將採取不同的回應步驟。此外,這些階段不一定會依序發生。在遏制和根除之後,您可能需要返回分析,以了解採取的行動是否有效。
涵蓋人員、流程和技術的完整準備,是讓操作發揮效用的關鍵。因此,請依照準備一節的最佳實務,以便有效回應作用中安全事件。
若要進一步了解,請參閱 AWS Security Incident Response Guide 中的 Operations 一節。
