響應警報：偵測與應對 Sound the Alarm: Detection and Response

• the incident response lifecycle and ( incident handler's journal)

  • how incident response teams work together. You'll also learn about the types of tools used in detection and response, including
  • documentation.

• monitor and analyze network traffic

• common processes and procedures流程與程序

• interpret logs and alerts.

• Module 1: Introduction to detection and incident response

• Module 2: Network monitoring and analysis

• Module 3: Incident investigation and response

• Module 4: Network traffic and logs using IDS and SIEM tools

Introduction to the incident response lifecycle事件生命周期框架

• 用於支持事件回應操作，提供結構化的流程。
• 可依需求採用和修改，例如：NIST CSF(網絡安全框架) 和 NIST事件回應生命周期。
• 強調一致和有效管理的目的。

Incident lifecycle framework-NIST CSF

NIST CSF的五大核心功能:

• 識別 (Identify): 收集資訊，發現脆弱性。
• 保護 (Protect): 建立防禦措施。
• 檢測 (Detect): 找出異常事件。
• 回應 (Respond): 確認並處理威脅。
• 恢復 (Recover): 恢復正常運作。
  ※ 學習重點：探索檢測Detect、回應Respond及恢復Recover三步驟，這些是事件回應的關鍵階段。

NIST事件回應生命周期的子步驟:

• 恢復開始於準備 (Preparation)。
• 恢復接著是檢測與分析 (Detection and Analysis)。
• 恢復之後為控制、根除與恢復 (Containment, Eradication, and Recovery)。
• 恢復最後是事後活動 (Post-Incident Activity)。
• 此流程是一個循環過程，而非線性，因應狀況有所重疊。

定義安全事件incident及事件Event:

Security incident

• 已經發生的危害 or 即將發生的威脅
• 對信息機密性、完整性或可用性造成威脅，或者違反安全規範等。
• 潛在違法或違規行為：違反法律 安全政策或程序的違規 接受使用政策的違反：違反使用條款，例如濫用某些資源或違法下載。
• 所有安全事件都是事件，但不是每個事件都是安全事件。

event

• 事件是一種在網路、系統或設備上 可被觀察到的發生現象。An event is an observable occurrence on a network, system, or device.
  • 事件是可被記錄（logged）或監控的活動。
  • 它可能是正常行為（例如登入、資料查詢）或例外行為（例如異常的資料流量或系統錯誤）。
  • 這種廣泛的定義涵蓋了從普通操作到需要關注的潛在安全問題。

5W

一個事件調查揭示出有關事件五個W的關鍵資訊：是誰引發了事件、發生了什麼、事件在什麼時候發生、事件在哪裡發生，以及為什麼事件會發生。

1. 是誰引發了事件 (Who)：

• 調查的第一步是確認事件的觸發者。這可能是內部人員、外部威脅（如駭客）、或其他環境因素。
• 了解「誰」有助於追溯事件源頭，並為未來的風險管理決策提供依據。

2. 發生了什麼 (What)：

• 確定事件的性質。例如，是否是資料洩漏、伺服器當機、惡意軟體攻擊，或其他類型的事件。
• 知道具體情況有助於制定後續應對計畫。

3. 事件在什麼時候發生 (When)：

• 時間軸是事件調查中關鍵部分，因為精確地知道時間能幫助分析事件的觸發條件、回應的及時性，以及系統狀態的變化。
• 時間資料還可以用於法證調查中，追蹤事件的起始點和影響範圍。

4. 事件在哪裡發生 (Where)：

• 描述了事件影響的空間範圍，可能是某個伺服器、特定部門或整個網絡。
• 此資訊幫助組織定義影響範圍，並制定區域性的補救措施。

5. 為什麼事件會發生 (Why)：

• 理解事件起因是事件調查的最終目標。例如，可能是設計缺陷、未更新的漏洞、或是內部人員的疏忽。
• 「為什麼」更重要的是提供對未來威脅的預防方法。

Incident response teams 事件響應團隊