Tým dorazí na “místo činu”, zajistí stopy (počítače, servery, disky, obsah paměti RAM, logy) a pak je zkoumá, aby zjistil, jak se útočník dostal do napadené sítě / zařízení a jaké činnosti tam vykonával, případně, zda je stále přítomen.
https://www.itsec-nn.com/blizsi-pohled-na-ukoly-csirt-tymu-v-organizaci/