Zahrnuje SIEM, EDR/XDR a detekční modely nad síťovým provozem a identitou. Use-casy jsou řízené rizikem a pravidelně revidované dle hrozeb. Sběr musí být úplný tam, kde je to nutné (autentizace, privilegované akce). Tuning pravidel minimalizuje falešné poplachy a zvyšuje „signal-to-noise“. Integrace s incident response zrychluje reakci a forenzní práci. Threat intel obohacuje události o kontext a kampaně. Právní a retenční pravidla chrání soukromí a důkazní použitelnost. Chybí-li provozní kapacity je i nejlepší SIEM jen „siréna“.
