Le SIEM collecte les événements de tous les équipements (firewalls, serveurs, applications) et applique des règles de corrélation pour détecter des schémas d'attaque complexes. Il fournit des tableaux de bord temps réel, génère des alertes et conserve les logs pour les audits et investigations. Les SIEM modernes intègrent de l'UEBA (analyse comportementale) et du threat intelligence.