Actividades investigativas y forenses realizadas tras un incidente de seguridad para reconstruir la línea de tiempo del ataque, identificar vectores de compromiso, evaluar el impacto, recopilar evidencia digital y producir lecciones aprendidas. Incluye forense digital, análisis de malware, correlación de logs y análisis de causa raíz.