本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
驗證、範圍和評估提醒的影響
在分析階段,會以目標執行全面的日誌分析,以驗證警示、定義範圍,並評估潛在入侵的影響。
-
驗證提醒是分析階段的進入點。事件回應者將尋找來自各種來源的日誌項目,並直接與受影響工作負載的擁有者互動。
-
範圍是下一個步驟,當所有涉及的資源都被清查,並在利益相關者同意不太可能是誤報之後調整警示重要性。
-
最後,影響分析會詳細說明實際的業務中斷。
識別受影響的工作負載元件後,範圍結果可以與相關工作負載的復原點目標 (RPO) 和復原時間目標 (RTO) 相關聯,並針對警示重要性進行調整,這會啟動資源分配,以及接下來發生的所有活動。並非所有事件都會直接中斷支援業務流程之工作負載的操作。敏感資料揭露、智慧財產權盜竊或資源劫持 (如加密貨幣挖掘) 等事件可能不會立即停止或破壞業務流程,但日後可能會導致後果。
