1. Identificação: cabe a esta etapa detectar ou identificar de fato a existˆencia de um incidente de seguranc¸a. Para isso a equipe pode basear-se em notificac¸ ˜oes externas ou num conjunto de ferramentas de monitorac¸ ˜ao de rede, como um IDS (sistema de detecc¸ ˜ao de intrus˜ao). Os esforc¸os da equipe concentram-se em identificar os sintomas do ataque e suas caracter´?sticas, observando a severidade do incidente, ou seja, o quanto a estrutura de neg´ocios da instituic¸˜ao ´e afetada. Recomenda-se tamb´em que o time de resposta a incidentes implemente uma base de conhecimento de incidentes, isto ´e, um conjunto de registros de incidentes passados. Essa base de conhecimento ser´a ´util para levantar informac¸ ˜oes iniciais dos incidentes em andamento, assim como sintomas e caracter´?sticas.
2. Coordenação: ap´os identificar a existˆencia de um incidente e suas conseq¨uˆencias na etapa anterior, cabe `a equipe identificar os danos causados pelo incidente em quest˜ao. A avaliac¸ ˜ao dos sintomas coletados permite diagnosticar de forma preliminar a causa do problema, ou pelo menos inferir algumas conclus˜oes que ser˜ao ´uteis para determinar a ac¸ ˜ao a ser tomada. De forma conclusiva, esta etapa sugere poss´?veis ac¸ ˜oes que possivelmente podem resolver o incidente em andamento.
3. Mitigação: o objetivo desta etapa ´e isolar o problema e determinar a extens˜ao dos danos atrav´es da implementac¸ ˜ao da soluc¸ ˜ao delineada na etapa anterior. Al´em de utilizar procedimentos para isolar o incidente - evitando a propagac¸ ˜ao do ataque -, a equipe tamb´em busca restabelecer o sistema, mesmo que seja com uma soluc¸˜ao tempor´aria, at´e que a soluc¸ ˜ao definitiva seja implementada.
4. Investigação: nesta etapa, o time de resposta concentra-se em coletar e analisar as evidˆencias do incidente de seguranc¸a. O processamento de evidˆencias como registros, arquivos de pacotes capturados e at´e mesmo entrevistas com os respons´aveis s˜ao muito importantes para a resoluc¸ ˜ao de futuros incidentes com caracter´?sticas semelhantes.
5. Educação: esta etapa consiste em avaliar o processo de tratamento de incidentes e verificar a efic´acia das soluc¸ ˜oes implementadas. As lic¸ ˜oes aprendidas durante todo o processo devem ser propagadas para toda a equipe, descrevendo formas de obter melhores resultados e at´e mesmo recomendac¸ ˜oes aos usu´arios.
Fonte: http://tri.ufrgs.br/files/ifis.pdf
Fonte