As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Operações
As operações são a base da resposta a incidentes. É aqui que ocorrem as ações de resposta e atenuação de incidentes de segurança. As operações incluem as seguintes cinco fases: detecção, análise, contenção, erradicação e recuperação. As descrições dessas fases e dos objetivos podem ser encontradas na Tabela 3.
Tabela 3 — Fases operacionais
| Fase | Objetivo |
|---|---|
| Detecção | Identifique um possível evento de segurança. |
| Análise | Determine se um evento de segurança é um incidente e avalie o escopo do incidente. |
| Contenção | Minimize e limite o escopo do evento de segurança. |
| Erradicação | Remova recursos ou artefatos não autorizados relacionados ao evento de segurança. Implemente atenuações para as causas do incidente de segurança. |
| Recuperação | Restaure os sistemas a um estado seguro conhecido e monitore esses sistemas para verificar se não há retorno da ameaça. |
As fases devem servir como orientação quando você responde e atua em incidentes de segurança, a fim de responder de forma eficaz e robusta. As ações reais realizadas variam de acordo com o incidente. Um incidente envolvendo ransomware, por exemplo, terá um conjunto de etapas de resposta a serem seguidas diferente do que o de um incidente que envolva um bucket público do Amazon S3. Além disso, essas fases não acontecem necessariamente de modo sequencial. Após a contenção e a erradicação, talvez seja necessário retornar à análise para entender se suas ações foram eficazes.
