インシデント（情報セキュリティにかかわる事件）が発生した場合の作業の1つで，インシデントが発生した後に情報分析，証拠の収集，被害の状況の再現等を行い，裁判における証拠としての利用や，同種の問題が発生することを回避するための技術。

定常的な運用業務の中で発見されたインシデントに対応して，インシデント発生後に訴訟まで実施するための法的プロセスと，事件発生理由からシステムの脆弱性を診断し，そのセキュリティ対策を実施する技術的プロセスの2つが実施される（図）。