Kada dođe do sajber napada, treba odmah izolovati napadnuti uređaj – prekinuti internet konekciju, a ukoliko je uređaj sastavni deo šire mreže uređaja, treba odmah prekinuti vezu sa mrežom. Napadnuti uređaj nikako ne treba isključiti iz struje, gasiti ili resetovati, niti unositi bilo kakve izmene, kako bi se sačuvao integritet podataka na disku zabeleženih u vreme napada. Tek kada se napravi identična kopija diska iz perioda napada (disk imaging), koja služi za dalju istragu, uređaj se može ugasiti.
Prioritet je ograničavanje štete – obustavljanje napada, uspostavljanje normalnog rada sistema i procesuiranje slučaja. Pored CERT-ova i tehničke podrške, od vitalnog značaja su i javne službe u čijoj su nadležnosti dela visokotehnološkog kriminala. U Srbiji su to Odeljenje za visokotehnološki kriminal u Ministarstvu unutrašnjih poslova i Posebno tužilaštvo za borbu protiv visokotehnološkog kriminala. Ova dva organa vlasti se nalaze u Beogradu, dok u policijskim stanicama i tužilaštvima širom zemlje zasad nema osoba koje se bave visokotehnološkim kriminalom. Stoga je, radi efikasnosti, prijave najbolje upućivati direktno službama u Beogradu.
Prilikom prijave napada, važno je priložiti što više detalja i dokaza, kako bi se nadležnim službama predočilo dovoljno informacija za brzu reakciju. Različiti podaci o napadu mogu biti korisni za sajber istragu: