2.1.4　事件生命周期

每一个事件都必须有始有终，在开始和结束之间发生的事情是分不同阶段的，其将决定响应过程的结果。这是一个持续的过程，我们将其称为事件生命周期。到目前为止所描述的可以认为是准备阶段。但是，这个阶段的范围更广，还包括基于初始风险评估（这应该在创建事件响应流程之前就已经完成）创建的安全控制的部分实施。

准备阶段还包括实施其他安全控制措施，例如：

·端点保护

·恶意软件防护

·网络安全

准备阶段并非一成不变，可以在图2-3中看到，此阶段将接收来自事后活动的输入信息。该图还显示了生命周期的其他阶段及其交互方式。

检测和遏制阶段在同一事件中可以有多次交互。循环结束后，将进入事后活动阶段，以下各节将更详细地介绍后三个阶段。

图2-3　事件生命周期各阶段