验证警报、限定警报范围并评估其影响
在分析阶段,将执行全面的日志分析,旨在验证警报、定义范围并评估潜在入侵的影响。
-
警报验证是分析阶段的入口点。事件响应人员将查找来自各种源的日志条目,并直接联系受影响工作负载的所有者。
-
下一步是限定范围,在此过程中会清点所有涉及的资源,并在利益相关者一致认为不太可能是误报后,调整警报的严重性。
-
最后,影响分析会详细说明实际的业务中断情况。
确定受影响的工作负载组件后,便可将范围限定结果与相关工作负载的恢复点目标(RPO)和恢复时间目标(RTO)相关联,同时考虑调整警报严重性,这将启动资源分配以及后续的所有活动。并非所有事件都会直接中断支持业务流程的工作负载运营。敏感数据泄露、知识产权盗窃或资源劫持(例如用于加密货币挖矿)等事件可能不会立即停止或削弱业务流程,但可能在后期导致严重后果。
