محلل استجابة للحوادث

تتبع هذه الوظيفة عادةً منهجية منظمة (مثل NIST أو SANS)، وتتضمن المهام التالية:

الكشف والتحليل (Detection & Analysis): استلام التنبيهات المحولة من المستوى الأول (Tier 1) والتحقق من مدى خطورتها. هل هو مجرد فيروس بسيط أم هجمة منظمّة (APT)؟

الاحتواء (Containment): اتخاذ قرارات حاسمة لعزل الأنظمة المصابة. (مثلاً: فصل خادم معين عن الشبكة أو إغلاق بورتات محددة باستخدام معرفتك ببروتوكولات مثل OSPF/RIP).

الاستئصال (Eradication): حذف البرمجيات الخبيثة، إغلاق الحسابات المخترقة، وسد الثغرات التي استغلها المهاجم.

التعافي (Recovery): التأكد من عودة الأنظمة للعمل بشكل آمن ومراقبتها لفترة للتأكد من عدم عودة المهاجم.