IT-infrastructuren worden complexer en dynamischer, de cyberaanvallen gesofisticeerder en de aanvallers professioneler. Zowel interne als externe aanvallen vormen een bedreiging.

In een moderne IT-infrastructuur van een bedrijf worden vandaag de dag al snel miljoenen security gerelateerde logs door honderden of meer devices gegenereerd, potentieel vanaf verschillende geografisch verspreide locaties. Typisch zijn er op een dag hoogstens enkele incidenten. De uitdaging is om aan de hand van die miljoenen logs die paar incidenten in real-time te extraheren. Indien nodig kan dan ingegrepen worden om de schade te minimaliseren of kunnen achteraf maatregelen genomen worden om dergelijke incidenten in de toekomst te voorkomen. Dergelijke reactieve maatregelen vallen echter buiten de basisfunctionaliteit van SIEM.

Het extraheren van incidenten uit logs is wat SIEM-systemen op een geautomatiseerde manier beloven te doen. Daarnaast bieden ze de mogelijkheid achteraf uitgebreide analyses op de verzamelde logs te doen.