# 建立从事件中吸取经验教训的框架
<a name="establish-framework-for-learning"></a>

 实施*经验教训总结*框架和方法不仅有助于提高事件响应能力，还有助于防止事件再次发生。通过从每次事件中吸取教训，您可以避免重复同样的错误、泄露或错误配置，这不仅可以改善您的安全态势，还可以最大限度地减少因可预防的情况而损失的时间。

 重要的是要实现一个经验教训总结框架，大体上确立并实现以下几点：
+  何时总结经验教训？ 
+  总结经验教训的过程涉及什么？ 
+  如何总结经验教训？ 
+  谁参与了这个过程，具体情况如何？ 
+  如何确定需要改进的领域？ 
+  如何确保有效跟踪和实施改进措施？ 

 除了这些列出的大体上的成果外，重要的是要确保提出正确的问题，以便从流程中获得最大价值（可以带来切实可行的改进的信息）。请考虑以下问题，以便于您启动经验教训讨论：
+  发生了什么事件？ 
+  何时首次发现该事件？ 
+  是如何发现的？ 
+  哪些系统针对该活动发出了警报？ 
+  涉及哪些系统、服务和数据？ 
+  具体发生了什么？ 
+  哪些地方做得好？ 
+  哪些地方做得不好？ 
+  哪些流程或程序出现问题或未能扩展以应对事件？ 
+  以下方面有哪些地方有待改进：
  +  **人员** 
    +  需要联系的人是否真的可以联系上，联系名单是否是最新名单？ 
    +  相应人员是否缺少有效应对和调查事件所需的培训或能力？ 
    +  相应的资源是否已就绪并随时可用？ 
  +  **流程** 
    +  是否遵循了流程和程序？ 
    +  是否针对这种事件记录并提供了流程和程序？ 
    +  是否缺少必要的流程和程序？ 
    +  响应人员是否能够及时获得所需的信息来处理问题？ 
  +  **技术** 
    +  现有警报系统是否能有效识别活动并发出警报？ 
    +  现有警报是否需要改进，或者是否需要针对这种事件设置新的警报？ 
    +  现有工具是否允许对事件进行有效调查（搜索/分析）？ 
+  怎样才能更快地识别这种事件？ 
+  如何防止这种事件再次发生？ 
+  谁是改进计划的负责人，如何检验改进计划的执行情况？ 
+  实施和测试额外监控/预防性控制机制/流程的时间表是怎样的？ 

 此列表并非详尽无遗；旨在作为一个起点，确定组织和业务需求是什么，以及如何分析这些需求，以便最有效地从事件中吸取经验教训，并不断改进您的安全态势。最重要的是，该列表开始将经验教训作为事件响应流程、文档和利益相关方期望的标准组成部分。