事件响应定义
在定义事件响应之前,有必要清楚什么是事件。在 IT 领域有三个术语,它们有时互换使用,但有不同的含义:
- 事件是经常发生的一种无害操作,例如创建文件、删除文件夹或打开电子邮件。事件本身通常不表示出现入侵行为,但是在与其他事件同时出现时,可能表示存在威胁。
- 警报是事件触发的通知,可能是威胁,也可能不是。
- 事故是人类或自动化工具认为可能是真正威胁的一组相关警报。单独来看,每个警报可能看起来不是一个重要威胁,但出现多个警报时,则表明可能发生入侵。
事件响应是组织认为 IT 系统或数据可能遭到入侵时采取的行动。例如,安全专业人员在发现未经授权的用户、恶意软件或安全措施失败的证据时会采取行动。
响应的目标是尽快消除网络攻击、按照地区法律的要求通知任何客户或政府机构,并学习如何在未来降低出现类似入侵行为的风险。
关注 Microsoft 安全