情境

我這邊發現新的IOC麻煩加到防火牆阻擋

廠商該查到相關的情資，請加防毒

把IOC拿去SIEM查看看是否有橫向擴散的情況啊！

主管在問處理情況，快整理一下回報

好餓、好累、好想睡覺...

說明

一個好的分工有負責調查investiagte以及補救remediate，於Incident 處理過程中，一個循環 調查->修補->調查，流程就如NIST SP 800-61中Figure 3-1. Incident Response Life Cycle

初期目標為止血，避免擴大傷害，到處看哪邊有傷口就先補上，如果大範圍則需要做檢傷，依照風險判斷優先處理順序，如同醫護重大事件

Investiagte Teams 由資安專家組成，負責調查攻擊軌跡，攻擊工具，攻擊受害範圍，將調查結果交由Remediate team處理

Remediate Teams 由內部IT人員組成，需熟悉既有架構，擬定計畫制定防堵作業，以防造成更大的問題

Ancillary Teams 有法務、HelpDesktop、對外發言人，確認沒有觸犯法規問題，對內讓員工可繼續作業，對外統一窗口發布訊息

REF

NIST SP 800-61 Rev. 2
https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final