個人的にはこんな感じ。

侵害されているかまだ全然わからないけど調査するとき->不正アクセス調査
侵害されているとわかった時の対応->インシデントレスポンス
インシデントレスポンスで取得した証拠の解析->コンピュータ・フォレンジック

システムを停止すべきかどうかの判断はインシデント・レスポンスの時点ですね。
インシデントレスポンスで間抜けな作業をすると、その後のフォレンジック的な調査で困りますけど、だからって動かし続けるかどうかの判断は別問題ですやね。
動かし続けながら対応取るにはかなりのスキル＆お金が要求されるので、止められるのであれば止めてさっさと復旧に入った方が安上がりではないかと個人的には思うです。
「どんどんやられてる〜、どんな対処すればいいかわかんないヨォ」という状況で運用を続けるのはある意味チャレンジャーですね。あ！対処方法がわからないから動かし続けるのか・・・
っていうかすでに改ざんとか事象が出ているのであれば、すでに証拠あるわけですから、私なら電源ケーブル抜いちゃいますね*1。犯人追跡を優先するのであればそのまま動かし続けますが、それって世間的にはハニーポットと言うのではないかと。