Estoy de acuerdo con las respuestas de Anthony y Yokai.
Sin embargo, en algunos entornos, puede aislar el host afectado si es un incidente menor, por ejemplo. Phishing en su etapa temprana, por lo que no hay evidencia de movimiento lateral, etc.
En estos escenarios, donde se cree que el incidente no se ha extendido por toda la red, simplemente podría aislarlo.
A continuación, dependiendo de qué tan crítico sea el activo afectado, podría hacer una de dos cosas;
1) Si el activo afectado no es crítico, si es posible (y esto es discutible), deje que el ataque se reproduzca para luego analizarlo y obtener inteligencia si fue un ataque dirigido a la infraestructura de su compañía o un ataque genérico. Sin embargo, esto también depende de si tiene un equipo más grande de Respuesta a incidentes que pueda atender para detectar anomalías en el resto de la red y especialistas forenses que analizarán el ataque.
2) si el activo afectado es crítico, dependiendo de qué tipo de ataque sea ... por ejemplo, Phishing, ejecute exploraciones de AV, mientras revoca las credenciales de correo electrónico de negocios del usuario afectado, etc. Si es ransomware y otros, recopile evidencia y revertir el sistema operativo.
Al final, la respuesta a incidentes es extremadamente dinámica y se trata de decisiones rápidas con su equipo de IR, qué tipo de incidente está tratando y la naturaleza del entorno de red.
saludos