事件确认

安全工程师与客户直接联系对接，通过与客户交流了解事件具体详情，并记录问题情况。根据客户描述现象与系统实际现象，对事件进行确认，定性；

事件抑制与分析

接到事件响应申请后， 安全工程师会根据情况进行远程或现场的响应。安全工程师会根据客户记录的安全事件描述，结合前期进行过的漏洞检测与分析结果、实时监控与审计结果等已有客户系统和网络状况，进行分析和判断。

事件处理

在对安全事件进行原因分析之后，安全工程师将进一步对安全事件进行处理，具体工作包括但不限于：

• 清理系统中存在木马、病毒、恶意程序；
• 清洗应用系统中存在的木马、webshell后门、挂马页面；
• 恢复被黑客篡改的系统配置，删除黑客创建的后门账号；
• 删除异常系统服务、清理异常进程；

事件分析报告

事件处理完毕后，根据具体情况编写事件应急响应报告，文档中阐述整个安全突发事件的现象、处理过程，处理结果、事件原因分析，并给出相应的安全建议。