Korrelation innerhalb eines Moduls und Cross-Korrelation von Informationen aus verschiedenen Modulen führen zu einer hochqualitativen Erkennung von Risiken und Sicherheitsproblemen und einem umfassenden Blick auf die Aktivitäten im Unternehmen.

Informationen sind in Organisationen oftmals in Silos vorhanden und werden dadurch möglicherweise vernachlässigt oder unzureichend genutzt. Eine Korrelation von Logs mit Schwachstellen, IDS-Daten, SIEM Erkenntnissen und zahlreichen weiteren Daten lässt einen neuartigen Gesamtüberblick über sicherheitsrelevante Daten entstehen.

Korrelation und Cross-Korrelation basieren auf Regeln, Policies und selbstlernenden Algorithmen: Regeln werden vordefiniert, um Muster zu erkennen. Sie werden kontinuierlich erweitert und auf die Bedürfnisse des Kunden maßgeschneidert. Policies werden verwendet, um festzustellen, ob spezifische Aktionen zur richtigen Zeit und am richtigen Ort stattfinden. Selbstlernende Algorithmen umfassen die Lernfähigkeit der Correlation Engine, zwischen normalem und abnormalem Vorkommen unterscheiden und Verhaltensveränderungen bei Applikationen, Servern und in anderen Netzwerkbereichen erkennen zu können. Eine Verwendung außerhalb der Geschäftszeiten, eine übermäßige Verwendung von Anwendungen oder anderen IT-Services sowie Muster im Netzwerkverkehr über die Zeit und im Vergleich zu vergangenen Perioden (unter Berücksichtigung von täglichen, wöchentlichen, monatlichen und saisonalen Schwankungen) sind Beispiele für die Erkennung von Anomalien.

Die Erkenntnisse werden vom Intelligence Team analysiert. In einer kritischen Situation erhält das Team eine sofortige Alarmierung. In einer vorab definierten, besonders kritischen Situation erhält zudem der Kunde eine Alarmierung.