Comece pela situação do negócio. Para logins suspeitos, alterações estranhas, indicadores de malware, exposição de dados ou tráfego incomum. Esse contexto ajuda o especialista a entender por que a revisão importa, o que precisa ser protegido primeiro e quais partes do ambiente não devem ser afetadas.
Transforme a situação em escopo escrito. Inclui dispositivos, contas, logs, fontes cloud, e-mail, horários e autorização para compartilhar evidências. Um escopo claro evita excesso de permissão, mantém as provas ligadas a ativos aprovados e dá às duas partes uma referência comum durante o projeto.
Defina o padrão de evidência antes do teste. Deve entregar linha do tempo, entrada provável, ativos afetados, contenção e recuperação. O relatório final deve provar o risco com clareza suficiente para correção, sem coletar mais informação sensível do que o necessário.
Use uma pergunta de decisão para priorizar. O que aconteceu, quando foi percebido e quais sistemas mudaram nesse período? Pergunte como a evidência é preservada e se o relatório serve para jurídico, seguro ou revisão interna. Quando a resposta está clara, o fornecedor recomenda a profundidade, a janela de teste e o formato de relatório corretos para quem vai agir.