Untersuchungs- und forensische Aktivitäten nach einem Sicherheitsvorfall zur Rekonstruktion des Angriffszeitplans, Identifizierung von Kompromittierungsvektoren, Folgenabschätzung, Sammlung digitaler Beweise und Erstellung von Lessons Learned. Beinhaltet digitale Forensik, Malware-Analyse, Log-Korrelation und Ursachenanalyse.