应急响应主要分为这三个步骤： 确定入侵现场 还原入侵路径 输出事件报告 1. 确定入侵现场 发现入侵时是有现场的，例如： 一个从未见过的进程 一份异常文件 一条可疑的网络连接 这些都是关键的线索。这一步我们需要做的就是确认入侵并且整理相关信息。 确认入侵是指和业务人员一起确认这些异常真的是入侵还是业务的异常，有些时候可能就是业务的一个 bug，或者…