NIST 网络安全框架 2.0 2.0

进行分析以确定事件发生期间发生了什么以及事件的根本原因 标准：例1：确定事件发生期间的事件顺序，以及每个事件中涉及的资产和资源 | 例2：尝试确定在事件中直接或间接涉及的漏洞、威胁和威胁行为者 | 例3：分析事件以找到事件的原因潜在的系统性根本原因 | 示例4：检查任何网络欺骗技术以获取关于攻击者行为的额外信息

收集事件数据和元数据，并保持其完整性和来源 标准：例如1：根据证据保全和管理链程序，收集、保存并保护所有相关事件数据和元数据的完整性（例如，数据来源、收集日期/时间）

事件的严重程度被估计和验证 标准：例1：审查事件的其他潜在目标，以寻找妥协指标和持续存在的证据 | 例2：在目标上自动运行工具，以寻找妥协指标和持续存在的证据

在调查过程中执行的操作会被记录，并且记录的完整性和来源会得到保存 标准：示例1：要求每个事件响应者及其他人（例如系统管理员、网络安全工程师等执行事件响应任务的人员，记录其操作并使记录不可篡改 | 示例2：要求事件负责人详细记录事件，并负责维护文档的完整性以及所报告的所有信息来源