Incident Response 事件响应
出事了怎么办的标准化预案。 不是”出事再想”,是提前演练好。
NIST 的 4 阶段
| 阶段 | 干啥 |
|---|---|
| 1. Preparation | 准备 —— 团队、工具、playbook、培训 |
| 2. Detection & Analysis | 检测分析 —— 这是不是事件?多严重? |
| 3. Containment, Eradication & Recovery | 遏制、清除、恢复 |
| 4. Post-Incident Activity | 复盘 —— 学到了什么?怎么防下次? |
关键文档
- IRP(Incident Response Plan)—— 总纲
- Playbook —— 针对具体攻击类型的操作手册(钓鱼、勒索软件、DDoS 各一份)
- Runbook —— 更细的步骤清单
跟其他流程的关系
- Business Continuity —— 出事时业务怎么继续
- DRP —— 系统怎么恢复
- IR —— 事件本身怎么响应
三个常被混用,实际上分工明确。