TSOM накапливает информацию от межсетевых экранов, систем распознавания вторжений и прокси-серверов, обеспечивая удобный способ корреляции поступающих от них уведомлений. Инструментарий также позволяет сопоставлять события безопасности с иными операционными событиями, сведения о которых передаются из ПО мониторинга Micromuse Netcool и приборных досок Tivoli Enterprise Console. Пользуясь функциями инструментариев Tivoli Identity Manager и Tivoli Access Manager, TSOM обеспечивает контроль за исполнением правил безопасности в организации и позволяет распознавать внутренние угрозы. Пакет состоит из центрального модуля управления, работающего на сервере с Solaris или Red Hat Linux, и компонента агрегации событий, который инсталлируется на тот же или на отдельный сервер (в зависимости от масштаба и конфигурации контролируемой сети).