沒時間寫，今天還是資安管。

事件應變（Incident Response，IR）：

• 檢測、回應、解決和恢復資訊安全事件的流程。
• IR 的步驟如下：
  • 檢測：識別和確定潛在的安全事件，這可以通過監控、日誌分析、入侵檢測系統等工具實現。
  • 報告：及時通報事件，內部和外部相關利益相關者，包括管理層、法律部門和相關合規部門。
  • 調查：深入分析事件，收集數據和證據，以確定威脅的性質、範圍和影響。
  • 回應：制定和實施適當的措施來遏制威脅，隔離受影響的系統並防止進一步損害。
  • 復原：恢復受影響的系統、服務和業務，並進行後事故評估，以改進安全性。

安全信息與事件管理系統（SIEM）：

• 用於收集、存儲、分析和報告與組織資訊系統中的安全事件和活動相關的數據的系統。
• 功能大致如下：
  • 日誌收集：從多個資訊源收集大量的日誌數據，包括操作系統、應用程序、網絡設備等。
  • 事件分析：分析日誌數據以識別異常活動、安全事件和潛在威脅。
  • 警報生成：生成警報通知安全團隊，以及時處理潛在的安全威脅。
  • 威脅情報集成：整合外部威脅情報，幫助識別已知的威脅模式。
  • 報告：生成安全報告以供管理層查看。

安全運營中心（SOC）：

• 是組織部門，負責監控、分析、回應和管理組織的資訊安全事件和威脅。
• SOC 的主要工作內容如下：
  • 監控：持續監控網絡和系統活動，使用 SIEM 工具識別異常行為。
  • 分析：分析警報和事件，確定潛在的威脅和攻擊。
  • 回應：立即采取行動以應對威脅，包括隔離受感染的系統。
  • 報告：向管理層和相關利益相關者提供事件報告和建議。
  • 改進：不斷改進安全程序和政策，以應對新的威脅。

今天的主題

不想想了

謝謝大家的包容