Определение списка наиболее критических и подверженных вредоносным действиям хостов. Это контроллеры домена, серверы DMZ, компьютеры администраторов, компьютеры с наибольшим числом сработок антивируса и т.д.

На данном списке производится централизованный запуск инструмента сбора данных и сигнатурного сканирования

Далее собранные данные проходят нормализацию и обогащение с помощью данных TI портала и помещаются в единую базу данных

Путем дальнейшего анализа данных производится их корреляция и построение таймлайнов обнаруженных инцидентов

Заказчику предоставляется отчёт, который содержит все обнаруженные инциденты ИБ. Таким образом, он получает "срез" состояния ИБ своей инфраструктуры, таймлайны атак, произошедших ранее, и рекомендации по реагированию на действующие, активные угрозы