行動

以下の定義において、CSIRT が提供している可能性のあるサービスについては、FIRST CSIRT サービスフレームワークv2.1 と連動している。

検知

インシデントの可能性がある事象を特定する。

サービス: 監視と検知、インシデント報告の受理。

注: インシデント管理において、インシデント対応(IR)チームが追加の検知ツールやシグネチャの確認、収集を望む段階は、緩和段階であり検知段階ではない。検知行動は、インシデントの最初の検知のみに焦点を当てている。

緩和

インシデントを封じ込め、安全な運用を回復させる。

サービス:緩和と復旧。

抑止

DNS固有の作業手順を適用し、将来におけるこの種のインシデントの発生確率を下げる。

サービス: 知識の移転(組織内ITチームへの移転も含む)、脆弱性対応。

検知にも関連し(おそらくはシグネチャや検知ルールの更新)、復旧にも関連する(復旧作業時、再発防止のためにシステムを再設定する場合)。広範なマルウェア抑止は本文書の対象範囲外であることに注意して欲しい。もちろん、広範なマルウェア対策は誰もが行うべきである。例えば、M3AAWGによるベストプラクティスを参照。