Il software di risposta agli incidenti automatizza il processo e/o fornisce agli utenti gli strumenti necessari per individuare e risolvere le violazioni della sicurezza. Le aziende utilizzano questi strumenti per monitorare reti, infrastrutture e endpoint alla ricerca di intrusioni e attività anomale. Successivamente, utilizzano i programmi per ispezionare e risolvere intrusioni e malware nel sistema. Questi prodotti offrono capacità per risolvere problemi che sorgono dopo che le minacce hanno superato firewall e altri meccanismi di sicurezza. Avvertono gli amministratori di accessi non approvati ad applicazioni e reti. Hanno anche la capacità di rilevare una varietà di varianti di malware. Molti strumenti automatizzano il processo di risoluzione di questi problemi, ma altri guidano gli utenti attraverso processi di risoluzione noti.
Molte soluzioni di risposta agli incidenti funzionano in modo simile al software di gestione delle informazioni e degli eventi di sicurezza (SIEM), ma i prodotti SIEM offrono una gamma più ampia di funzionalità di sicurezza e gestione IT.
Per qualificarsi per l'inclusione nella categoria Risposta agli Incidenti, un prodotto deve:
Monitorare le anomalie all'interno di un sistema IT
Avvisare gli utenti di attività anomale e malware rilevati
Automatizzare o guidare gli utenti attraverso il processo di rimedio
Memorizzare i dati degli incidenti per analisi e reportistica