Je wilt graag weten wat er in je netwerk gebeurt en gewaarschuwd worden als er iets gebeurt wat een bedreiging kan zijn voor de continuïteit, integriteit en betrouwbaarheid van je netwerk en de informatie die hiermee te benaderen is.
Hiervoor wordt logging gebruikt, maar met alleen het loggen maak je je netwerk niet veiliger. Je wil niet achteraf constateren waar het fout is gegaan, maar het liefst zo snel mogelijk gewaarschuwd worden als er iets fout gaat.
Een SIEM (Security Information Management Systeem) detecteert aan de hand van een set correlatieregels mogelijk bedreigingen. Deze worden opgepikt en geanalyseerd door een Security Operation Center: indien nodig worden er acties ondernomen.
Logging (hoe essentieel ook) zonder SIEM werkt niet preventief en SIEM zonder SOC niet effectief.
