# 事後處理
<a name="post-incident-activity"></a>

 威脅態勢不斷變化，因此組織有效保護環境的能力也務必同樣保持動態。持續改進的關鍵在於反覆執行事件和模擬的結果，以便改善有效偵測、回應和調查可能發生的安全事件的能力、減少可能的漏洞、縮短回應時間，並且恢復安全操作。下列機制可協助您驗證組織是否具備最新功能和知識，以便在任何情況下有效回應。

**Topics**
+ [SEC10-BP08 建立從事件中學習的架構](sec_incident_response_establish_incident_framework.md)

# SEC10-BP08 建立從事件中學習的架構
<a name="sec_incident_response_establish_incident_framework"></a>

 實作*經驗教訓*的架構和根本原因分析能力，不僅有助改善事件回應能力，還有助防止事件重複發生。透過學習每個事件，您可以協助避免重複相同的錯誤、披露或錯誤設定，不僅能夠改善安全狀態，還可以盡可能縮短因可預防情況而損失的時間。

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 實作*經驗教訓*是非常重要的，其可在高層級實現以下幾點：
+  什麼時候開設經驗教訓課程？ 
+  經驗教訓課程中包含哪些內容？ 
+  經驗教訓課程的進行方式？ 
+  這個課程的參與者以及參與方式？ 
+  如何識別待改善之處？ 
+  您將如何確保有效地追蹤和實作待改善之處？ 

 此架構不應該針對或責怪個人，而應該專注於改善工具和流程。

### 實作步驟
<a name="implementation-steps"></a>

 除了前述所列的高層級結果之外，確保您提出正確問題以從流程中獲得最大價值 (即協助您找到可行改善之處的資訊) 非常重要。考慮這些問題，有助您發起經驗教訓的討論：
+  事件是什麼？ 
+  第一次識別事件的時間？ 
+  事件的識別方式？ 
+  哪些系統對活動發出提醒？ 
+  涉及哪些系統、服務和資料？ 
+  具體發生的事件？ 
+  哪些方面做得很好？ 
+  哪些方面做得不好？ 
+  哪個流程或程序失敗或未能擴展以回應事件？ 
+  在以下幾個領域有哪些可以改善之處：
  +  **人物** 
    +  需要聯絡的對象實際上是否有空，並且聯絡人清單是最新的嗎？ 
    +  人們是否缺少有效回應和調查事件所需的培訓或能力？ 
    +  適當的資源是否已準備就緒且可供使用？ 
  +  **流程** 
    +  是否遵循流程和程序？ 
    +  是否已記錄並提供這類事件的流程和程序？ 
    +  是否缺少必要的流程和程序？ 
    +  回應人員是否能夠即時存取所需的資訊以回應問題？ 
  +  **技術** 
    +  現有的提醒系統是否能有效地識別活動，並據以發出提醒？ 
    +  我們如何將偵測時間縮短 50%？ 
    +  是否需要改善現有提醒，或是需要針對此類事件建立新的提醒？ 
    +  現有的工具是否允許對事件進行有效的調查 (搜尋/分析)？ 
    +  可以做什麼來協助加快這類事件的識別速度？ 
    +  可以做什麼來協助避免這類事件再次發生？ 
    +  負責改善計畫的人是誰，您將如何測試是否已實作此計畫？ 
    +  實作和測試其他監控或預防性控制和流程的時間表為何？ 

 這份清單並不詳盡，但可作為起點，幫助您識別組織和企業的需求，以及如何分析這些需求，以便最有效地從事件中學習並持續改善安全狀態。最重要的是透過將經驗教訓納入事件回應流程，文件和利害關係人期望的標準部分。

## 資源
<a name="resources"></a>

 **相關文件：**
+  [AWS 安全事件回應指南 - 建立從事件中學習的架構](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/establish-framework-for-learning.html) 
+  [NCSC CAF 指引 - 經驗教訓](https://www.ncsc.gov.uk/collection/caf/caf-principles-and-guidance/d-2-lessons-learned)