对事件响应过程的高级介绍，包括检测和通知的重要问题

　　网络事件响应 （IR） 因两个因素而变得复杂。首先，没有两起事件是相同的。其次，所有响应都需要人员、流程和技术要素协同工作才能取得成功。

　　提前规划事件响应至关重要。这将是任何现实世界事件最终结果的主要决定因素。

　　应该制定 IR 计划和指导，行使回应并审查能力（包括任何第 3 方服务提供商的能力）。这将为提供最大限度地减少任何攻击的影响并快速恢复的最佳机会。

　　事件响应流程的结构

　　尽管任何特定事件的细节都会有所不同，但可以从广义上描述网络事件响应的主要阶段。

　　这些在下面的图 1 中列出。

　　Contain、Analyze（经常是Remediate）经常形成一个循环，可以重复几次。随着对攻击或事件性质的更多了解，有可能确定可以采取的更多措施来遏制它。

　　在许多情况下，您可能需要在采取遏制措施之前进行进一步分析。但是，您应该将遏制（或减轻）作为早期步骤，因为这在面对正在发生损坏或损失的实时事件时可能至关重要。

　　事件响应与事件管理

　　在本指南中，事件管理和事件响应都被提及。

　　这两个术语经常互换使用。但是，存在一些差异：

　　事件管理 （IM）位于任何响应流程之内和跨任何响应流程，确保处理所有阶段。IM 处理任何通信、媒体处理、升级和任何报告问题，将整个响应集中、连贯和全面。图 1 中的蓝色通道。

　　事件响应 （IR）这包括分类、深入分析、技术恢复行动等。图1中的绿色通道。

　　事件检测和通知

　　可以通过多种途径检测和报告事件。典型的检测和通知或报告途径包括：

　　技术：来自各种监控工具的警报，例如 SIEM 解决方案、SOC 团队、AV/IDS 警报。理想情况下，来自不同来源的警报将相互关联并在同一时区显示。

　　工作人员：用户可以报告事件，如果他们接受过培训并鼓励他们报告可疑活动——无论是不寻常的电子邮件还是同事的奇怪行为，他们都可以成为一个强大的力量。客户服务和公关团队也可能会报告异常电话或在线发现成功入侵的证据，例如客户详细信息被盗。

　　第三方：报告可能来自执行事件调查和威胁研究的公司。它也可能来自合作伙伴、供应商或公众。在某些情况下，它可能来自政府。

　　应该寻求有关监控的其他指导并提供适当的员工培训，以确保监控高效有效。

　　事件可能以不同的方式报告给不同的团队 - IT 安全、服务台、法律、公关。这些团队中的每一个都应该有关于如何确定他们应该报告的事情以及他们应该向谁报告的指导。

　　最终，所有可能发生的事件的警报都应该传递给负责管理它们的团队。然后，他们可以评估和分类事件，还可以与其他警报相关联。