应急响应阶段 预备->识别->遏制->消除->恢复->反思 各阶段内容 预备:监控、加固、制定流程、检验 识别:识别攻击者操作、识别恶意主机流量、识别业务变化…… 遏制:短平快控制风险,准备长期响应:封禁 消除:删除恶意软件、重置系统、重置服务 恢复:IR提供指导,各团队配合恢复 反思:什么事?做得好的?做的不够好?下一次做什么?