Security Information and Event Management (SIEM)  to rozwiązania pozwalające na zbieranie logów z różnych systemów – stacje końcowe, serwery, urządzenia sieciowe – ich standaryzację i korelację w celu identyfikacji zdarzeń i zagrożeń.

Zagrożenia identyfikowane są poprzez zbudowanie przez analityków odpowiednich korelacji i scenariuszy pozwalających na wskazanie danego zdarzenia lub zagrożenia.

Scenariusze te budowane są w sposób statyczny przez co zmiana czynników wpływających na zagrożenie będzie możliwa do identyfikacji po wprowadzeniu nowych wskaźników.

Gdy rozwiązanie wykryje aktywność na podstawie korelacji i scenariuszy, która może oznaczać zagrożenie dla organizacji, generowane są alerty w celu wskazania potencjalnego problemu oraz powiadomienie działu bezpieczeństwa. Alertom można przypisać odpowiedni poziom priorytetu w zależności od krytyczności incydentu.

SIEM względu na dane gromadzone z różnych urządzeń w organizacji pozwala na udokumentowanie incydentu, prawidłowo zbudowane reguły pozwalają na identyfikację zagrożeń jednak szybko zmieniające się zagrożenia i konieczność częstego dostosowywania reguł zaczyna sprowadzać systemy SIEM zgodnie z rekomendacją Gartnera do roli agregatora logów w celu spełnienia wymagań regulatorów w zakresie complianance na rzecz rozwiązań EDR/XDR

Security Orchestration Automation & Response  (SOAR) – to rozwiązania uzupełniające systemy bezpieczeństwa o elementy automatyzacji odpowiedzi na incydent.

Odpowiednio przygotowane automatyczne zdarzenia mające wystąpić po sobie (playbooki) pozwalają na budowanie scenariuszy, które pozwalają na zautomatyzowanie ścieżki zarządzania incydentem ograniczając do minimum konieczność interakcji analityka. Podejście takie pozwala na skrócenie czasu reakcji od wystąpienia incydentu do jego rozwiązania ograniczając powtarzanie manualnych działań wykonywanych przez analityka. SOAR poprzez playbooki pozwala również na szybkie eliminowanie zdarzeń fałszywie pozytywnych pozwalając na skupieniu się na rzeczywistych incydentach zagrażających chronionej organizacji.