# 运营 “操作”是执行事件响应的核心。这是响应和修复安全事件的操作发生的地方。“操作”包括以下五个阶段:*检测*、*分析*、*遏制*、*根除*和*恢复*。下表中提供了这些阶段和目标的描述。 | **阶段** | **目标** | | --- | --- | | 检测 | 识别潜在的安全事件。 | | 分析 | 确定安全事件是否为意外事件,并评估事件的影响范围。 | | 遏制 | 尽量减小和限制安全事件的影响范围。 | | 根除 | 移除与安全事件相关的未经授权的资源或构件。实施可消除安全事件的缓解措施。 | | 恢复 | 将系统恢复到已知的安全状态并监控这些系统,确认威胁不会再次出现。 | 在应对和处理安全事件时,应将这些阶段作为指导,以便有效且可靠地进行响应。采取的实际操作会因事件而异。例如,涉及勒索软件的事件要遵循的响应步骤与涉及公共 Amazon S3 存储桶的事件不同。此外,这些阶段不一定按顺序发生。在遏制和根除之后,您可能需要重新分析,了解操作是否有效。 在人员、流程和技术方面做好充分的准备是有效运营的关键。因此,请遵循[准备工作](preparation.md)小节中的最佳实践,以便有效地应对活动的安全事件。 要了解更多信息,请参阅《AWS Security Incident Response Guide》的 [Operations](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/operations.html) 小节。