# 操作
<a name="operations"></a>

 “操作”是执行事件响应的核心。这是响应和修复安全事件的操作发生的地方。“操作”包括以下五个阶段：*检测*、*分析*、*遏制*、*根除*和*恢复*。表 3 提供了这些阶段和目标的描述。

*表 3 – 操作阶段*


|  阶段  |  目标  | 
| --- | --- | 
| 检测 |  识别潜在的安全事件。 | 
|  分析  |  确定安全事件是否为意外事件，并评估事件的影响范围。 | 
| 遏制 |  尽量减小和限制安全事件的影响范围。 | 
|  根除 |  移除与安全事件相关的未经授权的资源或构件。实施可消除安全事件的缓解措施。 | 
|  恢复 |  将系统恢复到已知安全状态并监控这些系统，确认威胁不会再次出现。 | 

 在应对和处理安全事件时，应将这些阶段作为指导，以便有效且可靠地进行响应。采取的实际操作会因事件而异。例如，涉及勒索软件的事件要遵循的响应步骤与涉及公共 Amazon S3 存储桶的事件不同。此外，这些阶段不一定按顺序发生。在遏制和根除之后，您可能需要重新分析，了解操作是否有效。