Фокус: Среагировать на атаку, проведенную в реальном режиме времени. За ограниченное время восстановить (Recovery) атакованную инфраструктуру. 
Формат: Практическая деятельность специалистов SOC. На киберполигоне Ampire команды анализируют артефакты: события на системах обнаружения вторжений, логи, дампы трафика, подозрительные файлы и процессы. Цель: определить вектор атаки, устранить уязвимости и последствия атаки, принять меры, исключающие повторное использование уязвимостей.
Результат: Участники получат навыки расследования и устранения инцидентов, что поможет им сформировать плейбук, который сократит время на реагирование в реальной ситуации.