# Operações As operações são a base da resposta a incidentes. É aqui que ocorrem as ações de resposta e atenuação de incidentes de segurança. As operações incluem as seguintes cinco fases: *detecção*, *análise*, *contenção*, *erradicação* e *recuperação*. As descrições dessas fases e dos objetivos podem ser encontradas na tabela a seguir. | **Phase (Fase)** | **Objetivo** | | --- | --- | | Detecção | Identifique um possível evento de segurança. | | Análise | Determine se o evento de segurança é um incidente e avalie o escopo do incidente. | | Contenção | Minimize e limite o escopo do evento de segurança. | | Erradicação | Remova recursos ou artefatos não autorizados relacionados ao evento de segurança. Implemente atenuações para as causas do incidente de segurança. | | Recuperação | Restaure os sistemas ao estado seguro conhecido e monitore esses sistemas para verificar se não há retorno da ameaça. | As fases devem servir como orientação quando você responde e atua em incidentes de segurança, a fim de responder de forma eficaz e robusta. As ações reais realizadas variam de acordo com o incidente. Um incidente envolvendo ransomware, por exemplo, terá um conjunto de etapas de resposta a serem seguidas diferente do que o de um incidente que envolva um bucket público do Amazon S3. Além disso, essas fases não acontecem necessariamente de modo sequencial. Após a contenção e a erradicação, talvez seja necessário retornar à análise para entender se suas ações foram eficazes. A preparação completa de seu pessoal, processos e tecnologia é fundamental para ser eficaz nas operações. Portanto, siga as práticas recomendadas da seção [Preparação](preparation.md) para poder responder com eficácia a um evento de segurança ativo. Para saber mais, consulte a seção [Operações](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/operations.html) do Guia de resposta a incidentes de segurança da AWS.