根除

事件得到控制后，在进入下一个恢复阶段之前，可能需要根除威胁以完全消除威胁源，从而保护系统。根除步骤可能包括删除恶意软件和移除受感染的用户帐户，以及识别和缓解所有被利用的漏洞。在根除期间，重要的是要识别环境中所有受影响的账户、资源和实例，以便对其进行补救。

最佳做法是分阶段进行根除和恢复，以便确定补救措施的优先顺序。对于大规模事件，恢复可能需要几个月的时间。早期阶段的目的必须是通过相对较快（几天到几周）的高价值更改来提高整体安全性，以防止将来发生事件。后期阶段必须侧重于长期变革（例如基础架构变更）和持续的工作，以尽可能确保企业的安全。

对于某些事件，要么没有必要，要么在恢复期间进行消除。