知道事件已经发生可能是这个过程中最困难的部分。 安全漏洞和事件可能会被忽视一年多，直到有人最终发现它们。 检测只是第一步，如何遏制、根除和恢复 是应对事件的重点。 最重要的部分是善后，我们分析事件和查明事件发生的根本原因，找出问题所在，并与管理层一起采取适当的措施来防止它再次发生。

外部事件响应提供了事件的非基础和多方面的视图，释放了内部安全资源以专注于安全操作。 结合安全团队的专业知识，我们可以从防御者和对手的角度追踪事件，提供事件的整体视图。

预防胜于治疗，组织调整的政策和实践与事件发生时的行为同样重要。 仅仅堵住墙上的洞是不够的，事件的发生可能意味着存在漏洞模式，组织必须分析事件的根本原因并实施必要的政策变更，教育其员工提高对事件的认识。