Les informations sont souvent disponibles en silos dans les organisations et risquent ainsi d’être négligées ou sous-utilisées. La corrélation des logs avec les points faibles, les données IDS, les connaissances SIEM et de nombreuses autres données crée un nouvel aperçu global des données pertinentes pour la sécurité.

La corrélation et la corrélation croisée sont basées sur des règles, des politiques et des algorithmes auto-apprenants : Les règles sont prédéfinies pour identifier des modèles. Elles sont continuellement développées et adaptées aux besoins du client. Les politiques sont utilisées pour déterminer si des actions spécifiques ont lieu au bon moment et au bon endroit. Les algorithmes d’auto-apprentissage incluent la capacité du moteur de corrélation de distinguer les occurrences normales des anomalies, et à identifier les changements de comportement dans les applications, les serveurs et les autres zones du réseau. L’utilisation hors des heures d’ouverture normales, la sur-utilisation d’applications ou d’autres services informatiques, ainsi que les tendances du trafic réseau au fil du temps et comparées aux périodes précédentes (notamment les variations quotidiennes, hebdomadaires, mensuelles et saisonnières) sont des exemples de détection d’anomalies.

Les résultats obtenus sont analysés par l’équipe de renseignement. Dans une situation critique, l’équipe reçoit une alerte immédiate. Dans une situation prédéfinie, particulièrement critique, le client reçoit également une alerte.