Incident response нужен до запуска агента. Если агент отправил данные не туда или изменил не ту запись, команда должна быстро отключить инструмент, найти действия в audit log и откатить последствия.
После инцидента важно добавить regression test, чтобы ошибка не повторилась.
Термин
Incident response
План действий на случай ошибки или атаки: остановка агента, отзыв ключей, анализ логов, откат и исправление.