Обнаружение начинается в момент выявления инцидента безопасности как факта. Если администратор не просматривает системные журналы и оповещения, то даже самые высокотехнологичные системы обнаружения не принесут никакого результата. Обнаружение должно показать, как именно произошел инцидент безопасности, какие данные затрагивает этот инцидент, а также какие системы затрагивает этот инцидент. Уведомление о нарушении безопасности направляется руководителям, ответственным за системы и данные, а также высшему руководству, с тем чтобы привлечь руководителей к процессу ликвидации последствий вторжения. Процесс обнаружения и анализа состоит из следующих компонентов.
