准备

要想及时、有效地应对事件，为事件做好准备至关重要。“准备工作”涉及三个领域：

• 人员：要让员工做好应对安全事件的准备，需要确定事件响应的利益相关方，并对他们进行事件响应和云技术方面的培训。

• 流程：为安全事件做好流程准备，包括记录架构、制定全面的事件响应计划，以及创建行动手册，以便对安全事件做出一致响应。

• 技术：为安全事件做好技术准备，包括设置访问权限、汇总和监控必要的日志、实施有效的警报机制，以及培养响应和调查能力。

对有效的事件响应而言，每个领域都同等重要。没有这三项，任何事件响应计划都不完整或无效。您需要在人员、流程和技术方面做好准备，并将其紧密集成，以便为应对事件做好准备。

最佳实践

• SEC10-BP01 确定关键人员和外部资源
• SEC10-BP02 制定事件管理计划
• SEC10-BP03 准备取证能力
• SEC10-BP04 制定和测试安全事件响应手册
• SEC10-BP05 预配置访问权限
• SEC10-BP06 预部署工具
• SEC10-BP07 运行模拟