# AWS 事件响应的各个方面 组织内的所有 AWS 用户都应对安全事件响应流程有基本的了解,并且安全人员应了解如何响应安全问题。教育、培训和经验对于成功的云事件响应计划至关重要,最好在处理可能发生的安全事件之前提前实施。云中成功的事件响应计划的基础在于*准备工作*、*操作*和*事后活动*。 要了解其中的各个方面,请考虑以下描述: + **准备工作**:让事件响应团队做好准备,以便在 AWS 中检测和响应事件,方法是启用检测控件,并确保对必要的工具和云服务拥有适当的访问权限。此外,还应通过人工和自动化的方式准备必要的行动手册,以确保可靠且一致的响应。 + **操作**:按照 NIST 的事件响应阶段(检测、分析、遏制、根除和恢复)对安全事件和潜在事件采取相应操作。 + **事后活动**:对安全事件和模拟的结果进行迭代,以提高响应的有效性,从响应和调查中获得更多价值,并进一步降低风险。您必须从事件中吸取经验教训,并对改进活动占有很大的所有权。 下图显示了这些方面的流程,与前面提到的 NIST 事件响应生命周期一致,但操作包括检测、分析、遏制、根除和恢复。 ![\[图中显示了 AWS 事件响应操作的周期。\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/latest/security-pillar/images/aws-incident-response.png)