我们刚刚收到报告称我们的 4000 个系统感染了勒索软件。

3000 个是最终用户，800 个是非关键服务器，200 个是关键服务器。

Triage 正在查看这个烂摊子并决定从哪个顺序开始恢复系统。我们不能一次解决所有问题，所以我们必须查看一些并说‘抱歉，无法解决的小 Inspiron，你可以坐在那里并且暂时无用。

正如你所说，它来自医学界。这与急诊室医生查看两名患者并决定为他们更确定可以挽救的一名患者工作的推理相同。你放开一个人，尽其所能，让另一个人活下来。如果你为伤势较重的人工作，他们可能都死了。

安全世界的不同之处在于，由于用户无法工作，而不是字面上的生死，它通常会损失美元。您在最有可能恢复的系统上工作，这将为环境带来最大的生产力。您暂时将只影响单个用户的个人笔记本电脑放在一边。

除了Adonalsium关于优先级的很好回答之外，分类步骤将包括将事件初始路由给最适合处理它的人。

病毒或勒索软件攻击将发送给运营团队，他们将首先隔离计算机以最大程度地减少附带损害。DDoS 攻击可能会导致网络团队开始接收垃圾包。可疑报告可能会排在队列中，以供通才稍后处理。入侵的证据可能会立即上报给事件管理团队。

除了其他很好的答案之外，在 bugbounty 错误报告过程中也使用了术语 triage 来表示最初重现问题并为其分配优先级的过程。

分诊

验证漏洞提交从原始提交到有效、易于理解的报告的过程。

资料来源：https ://www.bugcrowd.com/resources/glossary/triage/

或者在谈论报告的错误的各种状态时：

分类：提交可能有效，但需要再次审核和验证。

来源：https : //docs.bugcrowd.com/docs/submission-status

HackerOne 在类似的上下文中也使用了该术语（尽管它们的提交状态较少，因此这比 BugCrowd 涵盖的同名状态更多）：

分类 - 报告已评估但尚未解决。它处于被修复的状态。

资料来源：https : //docs.hackerone.com/hackers/report-states.html