根除

包含事件之後，可能需要消除威脅來源，才能保護系統，然後再繼續進行下一個復原階段。根除步驟可能包括刪除惡意軟體和移除遭入侵的使用者帳戶，以及識別和緩解所有遭到利用的漏洞。在根除期間，請務必識別環境中所有受影響的帳戶、資源和執行個體，以便進行修復。

最佳實務是以分階段方法完成根除和復原，以排定修復步驟的優先順序。對於大規模事件，復原可能需要幾個月的時間。早期階段的用意必須是透過相對快速（數天到數週）的高價值變更來提高整體安全性，以防止未來發生事件。後期階段必須專注於長期變更（例如基礎設施變更）和持續工作，以盡可能確保企業的安全。

對於某些事件，不需要根除或在復原期間執行。