I metodi spesso differiscono a seconda della scala e della posizione, ad esempio la registrazione perimetrale per un'azienda è di solito troppo per un team di allerta interno, quindi di solito è affidata a uno dei fornitori di servizi gestiti, che passeranno poi in avvisi pertinenti.
Per le organizzazioni più piccole o per la registrazione specifica dell'host, il problema è molto più gestibile, tuttavia è comunque necessario considerare come si allena e si ottimizza il processo di avviso. Splunk e gli altri faranno il lavoro, ma è necessario pianificare la quantità di risorse necessarie per occuparsi durante le prime settimane, su qualsiasi aggiornamento o modifica all'ambiente registrato, su qualsiasi cambiamento nei profili di attacco e, di fatto, continuamente. tempo.
Detto questo, i soliti meccanismi sono l'uso di allarmi basati su firme e statistiche: le firme sono veloci e possono essere aggiornate dai fornitori di servizi, quindi richiedono uno sforzo minimo, tuttavia devono essere create in modo da non identificare i nuovi tipi di attacco, mentre gli allarmi statistici rispondono a qualsiasi cambiamento nella registrazione - così puoi finire sovraccaricato di falsi positivi fino a quando non ti sintonizzi.