1. Process

Incident response process 用來辨識、管理佮減輕資安事件的方法。

事件對應(Incident response) 的七个階段：

1. Preparation

建立佮維護 incident response plan、組織 Cybersecurity Incident response Team(CSIRI) 佮建立系統設定等文件。

2. Detection

使用 SIEM、SOAR、XDR、IDS/IPS 佮 UEBA 來辨識可能的事件。

3. Analysis

分析事件的型態，考量事件的影響佮重要ㄒ重要性。使用 MITRE ATT&CK framework、Cyber Kill Chain 抑是 diamond model of intrusion analysis。

4. Containment

限制事件的影響，孤立已經感染的系統。

5. Eradication

毀滅引起事件的源頭。

6. Recovery

恢復系統運作到正常的狀態。

7. Lessons Learned

進行 post-incident 分析。

2. Training

Incident response training 對組織的網路防衛是 chin 重要 eh。

• Security awareness training
• Security policies and procedures
• Incident handling
• Incident simulation and drills
• Communication skill
• Legal and regulatory compliance
• Team collaboration

3. Testing

• Tabletop exercises
• Simulations

4. Root Cause Analysis

5. Threat Hunting

• Intelligence fusion
• Threat feeds
• Advisories and bulletins

6. Digital Forensics

四个階段：

1. Collection

2. Examination

3. Analysis

4. Reporting

Legal Hold