Ziel in dieser Phase ist es, die Ausbreitung des Security Incidents einzudämmen sowie die Auswirkungen zu minimieren. Hier muss schnell entschieden werden, welche Strategie zur Eindämmung verfolgt werden soll. Die Szenarien sollten bereits in der Vorbereitungsphase im Notfallhandbuch bzw. die technischen Schritte in sogenannten Playbooks beschrieben werden.
In der unmittelbaren Eindämmung wird Schadensbegrenzung betrieben. Dies kann die Isolation einzelner Geräte oder eines Subnetztes sein. In der Folge werden z.B. Images der betroffenen Systeme erstellt werden, welche für allfällige IT-forensische Untersuchungen benötigt werden. Im abschließenden Teil werden die betroffenen Systeme entweder gesäubert, so dass sie wieder produktiv gehen können bzw. parallel neu aufgesetzt, wenn dies nicht möglich ist. Die Systeme werden dann in drei Teilbereiche aufgegliedert: Badnet (der infizierte Bereich), Quarantäne Netz (zu säubernde System), Goodnet (alle gesäuberten oder neu aufgesetzten Systeme). Diese Bereiche sind sicherheitstechnisch strikt voneinander zu trennen!