但是因為不是所有的資安事件需要做證據保全！
不然告警那麼多，光把封鎖現場、識別證據、封存碟碟、複製複本，根本就做不完啊～
所以，在事件調查時，我們也會參考其他框架：

SANS

SANS (SysAdmin, Audit, Network, and Security)是一個專門提供資訊安全培訓和認證的組織，SANS資安事件應變程序為組織面對資安事件提供有效的行動框架，目標是將威脅降低至最小化，並防止未來類似的事件發生。包含以下六個步驟：

1. 準備（Preparation）：建立應變計畫、團隊職責與流程，並進行演練。

2. 識別（Identification）：監控系統以辨識事件性質影響範圍。

3. 封鎖（Containment）：防止事件擴大，採取必要的控制措施。

4. 清除（Eradication）：清除資安事件的根本原因。

5. 恢復（Recovery）：修復受影響的系統和資料，以使其恢復正常運作。

6. 回顧（Lessons Learned）：修訂應變計劃或程序，防止再次發生。

根據SANS資安事件應變程序的設計，專業研究人員將SANS資安事件應變程序視為設計參考來源，其中包含了蔡政勳研究員的自動化資安事件應變之鑑識系統。

然而，由於不同組織在資安方面的需求和環境各有不同，因此在採用SANS資安事件應變程序時，必須根據各組織的獨特情況進行適度的調整和定制，除此之外，值得參考其他資安應變指南與最佳實踐，以達到更全面且符合組織需求的資安事件應變策略。

趨勢科技事件應變流程

在CYBERSEC 2023資安大會中，趨勢科技CSIRT團隊發表在 "從800+ 客戶受駭案例探究企業事故應變的盲點與挑戰"的研究中，深度剖析企業面對資訊安全事件時可能遭遇的挑戰，並提出了八個步驟的事件調查框架

面對資訊安全事故，事故應變 (Incident Response, IR) 必須迅速而精確，建立調查工作流程能幫助無經驗人員正確應對。首先，確實識別和評估系統狀況是關鍵，更是為了制定後續的應對策略，例如，面對不明來源攻擊時，僅檢查防火牆日誌可能不夠全面。

再來，專家應迅速地收集相關跡證並進行初步分析，根據初步調查結果以確定攻擊來源和分析攻擊方式，並及時採取措施，如斷網或關閉系統，以避免進一步的損害。一旦確認環境暫時安全，應進行深入的根因分析，探索駭客的策略、意圖和可能的潛在威脅。

最後，階段是損害控制，需要快速修復受損系統。並根據根因分析，制定並實行相應的保護措施，強化資安，防範相同攻擊事件在未來再次發生。

鑒於數位犯罪的快速擴張和對企業的潛在危害，因此趨勢科技提出此調查流程，期望協助所有組織更有效應對各種可能的安全威脅。

但是，從流程和框架的角度政府機關（構）的標準作業程序提供了一套明確、具有法規遵循性的指引，強調數位保全的標準化流程，但受限於疫情現場取證的限制，可能在實作上存在侷限；相對地，SANS 作為國際知名的資訊安全教育和認證組織，資安事件應變程序很可能更加側重於策略性和管理層面，未進行資安事件分析，無法釐清源頭而難以實作，而趨勢科技事件應變流程提供具體的實作方向，提供更多實務上的實作建議。