情境

口袋裡的手機隨著行進捷運的晃動不斷的震動
唉又怎麼了一大早就有事情，該不會又是昨天那台主機CPU滿載又當機了吧

拿起手機看到訊息
Critical Alert - Trying to login to the "honeypot1" with ssh

感覺不太妙啊，急忙下站遠端連線到SIEM平台，查看該事件來源IP也嘗試對多台主機攻擊的Events

可能是一個Incident，且感覺Risk蠻高的，還是撥給SOC Leader讓他知道吧

SOC Leader: OK，啟動IR，通報該系統管理員，去確認受駭主機是否能斷網，並聯絡廠商協助

============================================================

說明

一個基本的安全體系，於資安設備上建立規則，當觸發條件時產生Event

將Events關聯起來後，產生具可信度且高風險的Incident，發出Alert提醒資安人員去處理

資安團隊我們可以稱作SOC(Security Operation Center)

於Incident發生時啟動Incident Response，於初期著重目標為短時間內緩減問題

• 確認 > 確認是否發生事故
• 判斷 > 確認受害範圍及警急程度，來確定要通報方式
• 通報 > 讓主管了解狀況，以決定是否執行及協助取得資源
• 緩解 > 避免受害範圍擴大(事先取得權限可有效減少等待時間)

REF

建議可免費註冊該課程跟著學習
CNIT 152: Incident Response

https://samsclass.info/152/152_F22.shtml

Incident Response & Computer Forensics, Third Edition