然后的话常规的红队蓝队他们这些攻击和防守的一些战术分析，案例的这种拆解等等，这个是在第五阶段和第四阶段就是在决战之前，临战阶段我们回去做的一个工作。好，那你看这个已经是我们这个攻防演练在前期需要去准备的资产梳理，安全加固，产品的安全策略的优化，红蓝的演练以及安全培训了。那么接下来到决战阶段，我们需要去做什么？那这一块东西就更多了，比方说最简单的也就是大家比较熟悉的，那我们现在按照序号就第六，大家比较熟悉的就是说我去客户现场，是吧？一天给我多少钱，一两千也好，三四千也好，是不是？然后我去做值守的工作，这个在单位里面很多东西就是叫现场值守人员或者现场的盯监控的，监测人员现场值守的就是干这个活。

就是比方说有人打进来之后，你的日志，你的防火墙有个日志跑出来了是吧？说某某某来对你进行弱口令爆破或者对你进行扫描的一个探测，那么你作为值守人员，你要马上汇报这样的一个情况，给到后端的上面的这个技术更强一点的，他们做研判分析的，是不是？那么除了现场值守的话，通常我们作为公安演练的这个工作人员还要去干？去了解各种各样的一些威胁的这种情报，这里面的话大家通常会相互的去共享，你要知道哪些IP地址要马上去拦截掉。

因为大家会说这个某某红队的，大家要把它在设备上面把它给拦截掉，那么这一块其实也是特别重要的，因为大家的这个目标是一致的，就是防止进攻方打进来，所以情报上面大家会去做共享。那么除此之外，那如果真的被打进来怎么办？如果你真的因为你打进来的这个事件有很多种，比方说它是一个什么前期的一个踩点的一个工作，也可能是一个web的一个入侵，也可能是一个什么内网的，因为他可能有时候可能打穿你内网了，已经刺穿你内网渗透的一个事件，有可能是打的你web，有可能是做前期长一点，也有可能做社工的这个钓鱼，反而攻击视线是很多的。那这个过程中这么多的这种入侵的行为，那我们要怎么去做？那么一句话，我们要做应急的一个响应，我们要现场要去应急的这个处置，应急响应应急的处置，是吧？那应急处置通常就遵循什么？封杀杀毒，是不是？哪个IP地址来打我的，马上把它拦截掉。