NIST 事件响应生命周期

NIST 把 事件响应拆成 4 个阶段,这是业界最常引用的 IR 框架。

4 个阶段

阶段	干啥
1. Preparation 准备	组队、备工具、写 playbook、演练
2. Detection & Analysis 检测与分析	检测 + 分析,确认是不是 事件、多严重
3. Containment, Eradication & Recovery	遏制 → 清除 → 恢复
4. Post-Incident Activity 事后活动	复盘,把教训反哺到准备阶段

关键:这是个循环,不是直线

第 4 阶段的教训会回流到第 1 阶段——每次事件都让下次准备得更好。所以画出来是个圈。

跟其他框架的关系

• 跟 NIST CSF 的 Respond/Recover 职能对应
• SANS 也有个类似的 6 步 IR 流程(PICERL),本质相同

这是 CSIRT、SOC 团队组织响应工作的骨架。