嵌入的,无限的. 快速事件响应.

事件响应常见问题解答

• 什么是事故应变?

  当安全团队检测到威胁时，其基本组织已准备好应对接下来的威胁. 这需要有一个紧密协调的事件响应计划(IRP)，并将行动和事件序列分配给专门的事件响应团队中的特定涉众. 有些企业可能有自己的内部团队, some may outsource their incident response services, 而其他人可能会采取一种混合的方法，他们外包技术分析，但在内部管理IRP的其余部分. 无论哪种方式, 该团队应该在任何问题出现之前对这些事件响应事件进行培训和计划.

• 什么是事件响应计划?

  An incident response plan delineates steps to be taken, 是谁干的, when a breach or security crisis occurs in an organization. 一个强有力的响应计划应该使团队能够迅速采取行动，并尽可能快地减轻损失. Emergency responders go through regular training simulations 和 process checks, so when a situation arises they know how to act almost by muscle memory. Information security teams would be wise to follow their example: When an emergency occurs, 您不希望在宝贵的时间流逝时浪费时间来弄清楚事件响应流程和程序. 有一个合适的计划是至关重要的.

• 事件响应计划允许什么?

  1. 事件通知
  2. 事件调查与分析
  3. 修复
  4. 事后的活动

• 健壮的事件响应计划包含什么内容?

  有大量的基础工作可以提前完成，以减少紧急情况下的复杂性和风险. 事件响应计划应包括:

  • 主要组织利益相关者的支持: 当危机袭来, your team needs to know they have the support from key stakeholders to act quickly. Make sure C-level executives 和 other stakeholders fully buy in to the response plan, 给予支持, 和 empower the incident response team to act quickly 和 confidently during a crisis.
    
    
  • Clearly defined roles, responsibilities, 和 流程: 在危机中，你的团队最不需要做的就是弄清楚谁拥有什么，并试图追踪那个人. 事件响应的每一个元素, 从技术到非技术, should have a named stakeholder attached to it with clear responsibilities outlined. 这些职位上的人应该有专业知识来完成对他们的期望(这不是测试你最初级的团队成员的时候)。. 除了, 每个事件响应角色都应该确切地知道他们对哪些流程负责，以及当事件发生时对他们的期望是什么, from determining the initial scope of the breach all the way to crisis communications. 如果计划中关于谁拥有什么有任何不明确的地方，在危机期间很可能会被遗忘.
    
    
  • Technologies 和 partnerships to enable quick action: 在进行事件响应演练时, make sure you have every tool in the toolbox you need to respond quickly 和 effectively. 你可能会发现有些地方有很大的差距, 和 others have some wiggle room to improve; where possible, 确保你有内部的技术和工具可以让你的团队有效地完成他们的工作, 尽可能充分利用自动化.

  这里的关键是“快”.” If you don’t have the internal expertise or resources to conduct a quick response, or your toolset isn’t giving you the information as quickly as you need it, 然后，您可能需要查看外部事件响应服务，以帮助解决这些差距并加快事件响应时间. (Make sure to include this external team in any drills you conduct!)

• 事件响应流程如何运作?

  • 事件管理: Our team provides a single point of contact for the investigation, 管理所有分析, 威胁检测, 和通信, 并记录所有的发现.
    
    
  • 调查分析: 我们对事件范围进行调查, 影响, 和根本原因使用insightdr, 我们的开源DFIR工具伶盗龙, 您现有的日志源, 以及我们多年的经验.
    
    
  • 通讯: 定期和一致的沟通，确保正确的人在正确的时间了解关键事件.

  补救和清理:使您恢复正常的详细建议，包括如何删除所有攻击者远程访问功能, 恢复优先级的业务流程和系统, 并保护受损用户的账户.

• 为什么选择Rapid7 DFIR团队?

  Rapid7的事件响应顾问团队拥有许多认证，并且站在成千上万客户的防御前线.

• 什么构成了作用域内环境?

  “范围内环境”是指您为MDR或MDR授权的资产(和支持基础设施) 矿渣MTC. Incidents eligible for incident response are compromises of customer’s in-scope systems or data, 经Rapid7确认或合理怀疑. Rapid7 will not respond to an incident that occurs in an environment that is not in-scope. All incident response services will be provided remotely.

• 事件响应应包括哪些内容?

  • 高级事件管理和协调
  • 事件的技术分析
  • Incident scoping to determine who or what was affected
  • 危机沟通，确保信息以协调和有益的方式发布
  • Legal response to determine any implications 和 prepare any needed response or action
  • 修复 和 mitigation recommendations 和 actions to ensure a smooth recovery

• 事件响应约定后会发生什么?

  After successfully responding to an incident, it's not time to rest just yet. 事件响应团队应该进行事后分析，以从经验中吸取教训，从而专门调整他们的事件响应程序, 还要重新调整他们的整体安全计划. What worked, what didn't work, 和 what could work better or faster? 经验是最好的老师, so it’ll be important to glean as many lessons as possible from responding to a real incident.

• Rapid7事件响应和专业服务团队还提供哪些其他事件响应服务?

  IR项目开发

  攻击者在不断进化. To ensure you’re always prepared, you need a plan, 和 you need to review it regularly. Our experts will evaluate your environment—from technology 和 assets to people, 流程, 和 policy—to rate your current capabilities 和 offer relevant, business-based recommendations to help you meet (和 exceed) your IR program goals. 需要从头开始构建程序? 我们也能帮上忙. 我们的IR程序开发产品可以定制，以帮助建立或提高您在事件响应的任何方面的能力.

  妥协的评估

  From verifying compromise to validating remediation efforts, a 妥协的评估 can confirm your house is clean (or not). By 应用ing threat intelligence 和 behavioral analytics with innovative hunting techniques, 我们的专家评估您的环境，以识别恶意软件和攻击者活动的证据，并报告错误配置, 重大风险, 潜在的弱点.

  侦测及应变工作坊

  This program puts your detection 和 response capabilities to the test against a live, 在你的环境中模拟攻击. 本次研讨会的目标是评估您的独特检测和响应能力以及当前IR计划的工作情况，以确保您的团队能够识别并正确响应攻击. 我们的专家将帮助您的团队了解当前的安全措施和控制措施如何处理漏洞，同时提供指导，以加强您的事件响应方法. 

  桌面演习 

  桌面演习模拟现场威胁，以评估您在受控环境中的检测和响应能力. We work with you to create 和 deliver a meaningful scenario, 分析结果, 和 provide a list of actionable improvements you can 应用 to your incident response program.

  违反响应

  需要紧急援助，解决入侵问题? 请致电1-844-RAPID-IR (1-844-727-4347). 我们的事件响应团队随时准备与您的内部团队密切合作，调查事件, 文档的发现, 并建议正确的补救活动，以帮助确保攻击者被排除在外，无法找到回去的路. Our incident response consultants can collaborate with your critical stakeholders, 确保业务的各个部分在整个响应过程中都做出了关键的考虑.

  Rapid7护圈

  An incident response retainer is an easy way to keep IR experts on st和by. 在妥协的情况下, 保留客户提醒Rapid7团队, who respond within one hour to gather details 和 discuss planned incident response activities. 所有的技术调查都是远程完成的, 一旦我们的InsightAgent可以部署(或访问检测和响应系统)，我们就可以开始了。. 

  保留器以40小时为单位提供, 和 in the (hopeful) event they’re not needed for breach response, can be repurposed into a variety of other Rapid7 professional services. 给我们打电话, 我们将为您安排一位项目经理，他可以帮助您评估哪些服务适合您的组织. 然后，我们可以将您与最好的顾问联系起来，让您开始更强大的事件响应之路.

• What other incident response services are included with ladbrokes立博中文版?

  我们的团队帮助您建立事件响应计划和IR Runbook，以参与Rapid7 矿渣MTC服务.

• What types of certifications does the Rapid7 DFIR Consultant team hold?

  一个简短的列表包括:

  • CISSP
  • CySA +
  • GASF
  • GCFA
  • GCFE
  • GCIH
  • GCIH
  • GSEC
  • SANS课程贡献者 
  • 开源DFIR贡献者 
  • 在许多其他方面!