Primeiras horas após a invasão.
Modelo: Claude
Suspeita de invasão no cenário abaixo. Me guie nas primeiras ações em ordem: contenção sem destruir evidências, verificação de persistência, troca de credenciais, comunicação. O que NÃO fazer também. Cenário: [DESCREVA OS SINAIS]
Exemplo de entrada
Arquivos PHP desconhecidos no servidor web e tráfego de saída anômalo
Resultado esperado
Plano de resposta cronológico com ações de coleta e contenção.
