為了對資安威脅進行事中事後的處理，企業組織需要建立監控與應變的標準化處理流程，以下資訊將此流程歸納成收集、分析、升級、解決四個階段。個人有興趣的地方會是在分析與升級兩個階段。

• 收集：蒐集我們需要的數據用來判斷活動的性質，是正常的還是不正常的，是惡意的還是非惡意的。
• 分析：對我們懷疑的事件的性質進行驗證和復現的過程，用上面那張圖來說的話，我們按照IOC（Indicator of Compromise入侵指示器）來劃分一類是依據IOC，一類是不依據IOC。
• 升級：通知委託人（這裡所說的委託人對於甲方而言就是企業自身，對於乙方而言就是客戶）關於被攻陷資產狀態的行為。
• 處理：委託人或者安全團隊才去的用於減少企業損失和風險的行為。

CIRT已成為資安論壇的重要探討議題之一，Computer incident response team (CIRT)是由Community emergency response team (CERT)演變而得。

2.1.事件響應主管：領導，名副其實的領導，領導必須得從上面三個部分選擇出一個負責人來向其匯報工作。

2.事件監測與響應：這個團隊負責日常的分析和安全事件數據的更新和維護，由事件處理人員、Incident事件分析人員和Event事件分析人員組成，這個地方一般是24小時運行的，而且人都是隨時待命。

3.威脅與情報體系：這個地方的工作包括威脅情報收集和使用、紅藍軍模擬演習、滲透測試等等，不斷動態提升安全水平。

4.基礎設施開發：開發一些內部的系統用來維護這些監控的正常高效運轉。

參考來源
企業內網安全監控概覽
https://www.zhihu.com/appview/p/29816766