结论

每个运营阶段都有其独特的目标、技术、方法和策略。表 4 总结了这些阶段以及本节涵盖的一些技术和方法。

表 4 – 运营阶段：目标、技术和方法

阶段	目标	技术和方法
检测	识别潜在的安全事件。	用于检测的安全控制措施 行为检测和基于规则的检测 基于人员的检测
分析	确定安全事件是否为意外事件，并评估事件的影响范围。	验证警报和限定警报范围 查询 日志 威胁情报 自动化
遏制	尽量减小和限制安全事件的影响。	源容器 技术与访问遏制 目标遏制
根除	移除与安全事件相关的未经授权的资源或构件。	轮换或删除已泄露或未经授权的凭证 删除未经授权的资源 清除恶意软件 安全扫描
恢复	将系统恢复到已知安全状态并监控这些系统，以确保威胁不会再次出现。	从备份恢复系统 从头开始重建系统 将受损文件替换为纯净版本