IDSなどによって怪しいかも、と知らせてもらう場合には、監視サービスとかを頼んでいれば対応はしやすいっすよね。何が起きているのかほぼ掴めているので。
しかし、自前で結果だけ（改ざんとか破壊とか）気づいてしまった場合、どこまで調べればいいんでしょうかねえ。フォレンジックス的には証拠はできるだけ保全して欲しいわけだけど、といって何の情報もないままいきなりサーバーを止めるわけにゃいかないし。となると何かを調べなければならない、しかしあまりにも調べすぎると証拠を潰してしまうかも、というジレンマに陥るわけですよね。
結果を見てやられてらーとか明らかだったら、もうその時点で専門家に頼めばいいのかなあ。