本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 作業
<a name="operations"></a>

 操作是進行事件回應的核心。這也是採取行動回應和補救安全事件的所在。操作包括以下五個階段：*偵測*、*分析*、*遏制*、*根除*和*復原*。您可以在表 3 中找到這些階段和目標的描述。

* 表 3 – 操作階段*


|  階段  |  目標  | 
| --- | --- | 
|  偵測  |  識別潛在的安全事件。 | 
|  分析  |  判斷安全事件是否為事件，並評估事件的範圍。 | 
|  遏制  |  盡量縮小並限制安全事件的範圍。 | 
|  根除  |  移除與安全事件相關的未經授權資源或成品。實作造成安全事件的緩和措施。 | 
|  復原  |  將系統還原至已知的安全狀態，並監控這些系統以確認威脅未傳回。 | 

 這些階段應做為您回應和操作安全事件時的指引，以便採取有效且可靠的方式來回應。您採取的實際行動會因事件而有所不同。舉例來說，對於涉及勒索軟體的事件與涉及公有 Amazon S3 儲存貯體的事件將採取不同的回應步驟。此外，這些階段不一定會依序發生。在遏制和根除之後，您可能需要返回分析，以了解採取的行動是否有效。