2.3.2　经验教训

阅读上述场景后，你可以看到本章中涵盖的许多领域的示例，这些示例在事件过程中交织在一起。但当问题得到解决时，事件还没有结束。事实上，这只是针对每一起事件需要做的所有不同层次的工作的开始，即记录所获得的教训。

事后活动阶段最有价值的信息之一是所学到的经验教训。发现流程中的差距和需要改进的领域有助于不断完善流程。当事件完全关闭时，将对其进行记录。记录文档必须非常详细地说明事件的完整时间线、为解决问题采取的步骤、每个步骤中发生了什么，以及问题的最终解决方式。

记录文档将用作回答以下问题的基础：

·谁发现了安全问题？（是用户还是检测系统？）

·事件是否以正确的优先顺序开始？

·安全运营小组是否正确执行了初步评估？

·依据评估结果有什么可以改进的地方吗？

·数据分析是否正确？

·遏制措施做得正确吗？

·措施方面有什么可以改进的地方吗？

·这个事件花了多长时间才得以解决？

对这些问题的回答有助于完善事件响应流程，并丰富事件数据库。事件管理系统应将所有事件完整记录并支持搜索。目标是创建一个可用于未来事件的知识库。通常，可以使用与之前类似事件中相同的步骤来解决事件。

另一个重要问题是证据保留。在事件期间捕获的所有证据都应该根据公司的保留政策进行存储，除非有关于证据保留的特殊规定。请记住，如果需要起诉攻击者，在法律诉讼彻底解决前证据必须完好无损。

当组织开始迁移到云中并拥有混合环境（内部部署和云连接）时，IR流程可能需要经过一些修订，以增加一些与云计算相关的内容。下一节将介绍有关云中IR的更多信息。