تتبع هذه الوظيفة عادةً منهجية منظمة (مثل NIST أو SANS)، وتتضمن المهام التالية:
الكشف والتحليل (Detection & Analysis): استلام التنبيهات المحولة من المستوى الأول (Tier 1) والتحقق من مدى خطورتها. هل هو مجرد فيروس بسيط أم هجمة منظمّة (APT)؟
الاحتواء (Containment): اتخاذ قرارات حاسمة لعزل الأنظمة المصابة. (مثلاً: فصل خادم معين عن الشبكة أو إغلاق بورتات محددة باستخدام معرفتك ببروتوكولات مثل OSPF/RIP).
الاستئصال (Eradication): حذف البرمجيات الخبيثة، إغلاق الحسابات المخترقة، وسد الثغرات التي استغلها المهاجم.
التعافي (Recovery): التأكد من عودة الأنظمة للعمل بشكل آمن ومراقبتها لفترة للتأكد من عدم عودة المهاجم.
