2.4.1　更新事件响应流程以涵盖云

理想情况下，你应该有一个涵盖主要场景（包含内部部署和云环境）的单一事件响应流程。这意味着你需要更新当前流程，以包括涉及云的所有相关信息。

请检查整个IR生命周期，以确保包括与云计算相关的要素。例如，在准备阶段，需要更新联系人列表，以包括云提供商的联系信息、待命流程等。这同样适用于其他阶段：

·检测：根据使用的云模型，加入云提供商的检测方案，以便在调查过程中提供帮助[7]。

·遏制：重新审视云提供商的能力，以便在事件发生时将其隔离，这也会根据使用的云模型而有所不同。例如，若云中有一个受攻击的虚拟机，你可能希望将此虚拟机与不同虚拟网络中的其他虚拟机隔离，并临时阻止来自外部的访问。

有关云中事件响应的更多信息，建议阅读云安全联盟指南[8]的第9域。