Eindämmung (Containment) bezeichnet die Phase in der Incident Response, in der die Ausbreitung eines Sicherheitsvorfalls aktiv gestoppt wird. Ziel ist es, den Schaden zu begrenzen und weitere Systeme vor Kompromittierung zu schützen.
Maßnahmen der Eindämmung umfassen: Netzwerkisolierung betroffener Systeme, Sperrung kompromittierter Konten, Blockierung von Command-and-Control-Kommunikation und Abschaltung betroffener Dienste. Man unterscheidet zwischen kurzfristiger Eindämmung (sofortige Isolation) und langfristiger Eindämmung (temporäre Lösung, die den Betrieb aufrechterhält, während die Bereinigung vorbereitet wird). Eine schnelle Eindämmung ist entscheidend — je länger ein Angreifer Zugriff hat, desto größer wird der Schaden.