# 作業 操作是進行事件回應的核心。這也是採取行動回應和補救安全事件的所在。操作包括以下五個階段:*偵測*、*分析*、*遏制*、*根除*和*復原*。下表中可找到這些階段和目標的說明。 | **階段** | **目標** | | --- | --- | | 偵測 | 識別潛在的安全事件。 | | 分析 | 確定安全事件是否為事件,並評估事件的範圍。 | | 遏制 | 盡量縮小並限制安全事件的範圍。 | | 根除 | 移除與安全事件相關的未經授權資源或成品。實作造成安全事件的緩和措施。 | | 復原 | 將系統還原至已知的安全狀態,並監控這些系統以確認威脅未再發生。 | 這些階段應做為您回應和操作安全事件時的指引,以便採取有效且可靠的方式來回應。您採取的實際行動會因事件而有所不同。舉例來說,對於涉及勒索軟體的事件與涉及公有 Amazon S3 儲存貯體的事件將採取不同的回應步驟。此外,這些階段不一定會依序發生。在遏制和根除之後,您可能需要返回分析,以了解採取的行動是否有效。 涵蓋人員、流程和技術的完整準備,是讓操作發揮效用的關鍵。因此,請依照[準備](preparation.md)一節的最佳實務,以便有效回應作用中安全事件。 若要進一步了解,請參閱 AWS Security Incident Response Guide 中的 [Operations](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/operations.html) 一節。