Как и в предыдущих подобных опросах, большинство специалистов отметило важность выявления подозрительной активности в сети. Но при этом, отмечают в SANS, результаты показывают, что отделить нормальный сетевой трафик от подозрительного бывает нелегко. Для поиска полезной информации среди шума необходимы сложные инструменты анализа и выявления корреляций. Но сначала специалистам надо хотя бы ознакомиться с журналами и определить, как выглядит нормальная картина работы сети. При этом 35% опрошенных сообщило, что анализу журналов они уделяют меньше нескольких часов в неделю.
Многофункциональные автоматизированные инструменты класса SIEM (Security Information and Event Management — «управление событиями и информацией, связанной с безопасностью») помогают выявить характерные шаблоны работы сети, свидетельствующие о проблемах, подчеркивают организаторы опроса. Но их использует лишь 22% участников опроса. 58% полагаются на обычные системы управления журналами.