# 验证警报、限定警报范围并评估其影响
<a name="validate-scope-assess-alert-impact"></a>

 在分析阶段，将执行全面的日志分析，旨在验证警报、定义范围并评估潜在入侵的影响。
+  警报*验证*是分析阶段的入口点。事件响应人员将查找来自各种源的日志条目，并直接联系受影响工作负载的所有者。
+  下一步是*限定范围*，在此过程中会清点所有涉及的资源，并在利益相关者一致认为不太可能是误报后，调整警报的严重性。
+  最后，*影响分析*会详细说明实际的业务中断情况。

确定受影响的工作负载组件后，便可将范围限定结果与相关工作负载的恢复点目标（RPO）和恢复时间目标（RTO）相关联，同时考虑调整警报严重性，这将启动资源分配以及后续的所有活动。并非所有事件都会直接中断支持业务流程的工作负载运营。敏感数据泄露、知识产权盗窃或资源劫持（例如用于加密货币挖矿）等事件可能不会立即停止或削弱业务流程，但可能在后期导致严重后果。