沒錯！如果有連上網路或是USB或其他外接裝置，就有被感染或入侵的風險，所以這回兒我們要來談的就是「資安事件調查的步驟」，我們稱之為緊急回應服務(Emergency Response Service)，縮寫為 ERS。

(1) 準備：準備好處理事件
首先要做的是保持事件分析的環境，可以的話能做環境備份最好，再來就是採證或復原。
．最好可以接觸到發生事件的系統環境
//因為攻擊者可以偵測到調查痕跡，例如網路監聽，所以實際能接觸到環境會比遠端控制更好
．為了當作法庭證據可能需要將硬碟做實體備份。
．切斷所有與可疑的機器接觸的網路連線
．應該要在安全的裝置上記錄平時連線活動或日誌，才能有效率的比較目前的情況。
．如果能具備平時在機器上跑服務的知識將會有很大的幫助。//可以使用工具 AUTORUN
．熟知系統、服務與應用程式，在鑑定時，任何額外的程序、服務與應用程式都是可疑的。

(2) 確認：調查事件
再來依據經驗，分析目標物件的類別來進行分析

(3) 封鎖：限制事件的影響
依據分析的狀況，去判斷漏洞或弱點是從哪裡產生的，並且封鎖範圍或限制內容。
備份所有重要資料，且複製一份系統的記憶體用來更進一步的分析。

如果有惡意程式，最快的方式可以以「線上分析」來判定是否正常。
如果沒有在線上得不到結果，就應該立刻進行離線做靜態分析調查。
PS．不做動態分析是因為會破壞資安事件的環境

嘗試找出駭客活動的證據：
．找到曾經執行的檔案(包含了被刪除的檔案及曾經執行的行為)
．檢查最近被存取的所有檔案。
．檢查網路連線是否有存取異常
．嘗試找出攻擊者如何進入系統。
//所有的線索都要考慮到。
//如果沒有找到電腦入侵的證據，也有可能透過裝置或網路、社交工程來竊取資料。
．修正所有弱點(系統與應用程式)，以免攻擊者使用已知的弱點。

(4) 修正：移除威脅
修補漏洞，防止未來事件發生
．暫時停用所有牽涉到此事件的帳號
．移除所有攻擊者設定的登入設定、惡意程式

(5) 復原：復原到正常階段
基本上，只要系統被滲透或入侵過了，最好還是以原始工具重新安裝系統，然後更新備份。
假設無法使用這個方式，那麼請依據發生的事件更新狀況：
．改變所有系統密碼為「高強度密碼」
．復原所有系統檔案及設定

(6) 後續情況：制訂並改進流程
沒錯！就是寫報告的時間了，紀錄以下內容：
．初步檢測
．發生的事件行為與時間軸
．什麼是適當的
．什麼地方出了問題
．事件成本
以經驗定義一個流程，來改善入侵檢測管理流程，避免下一次的事件發生。