Bei der Beobachtung von IT- und OT-Netzen kommen aufgrund der Vielzahl der Informationen, die verwaltet werden, zumeist SIEM (Security Information and Event Management) Systeme zum Einsatz.

SIEM Systeme haben die Aufgabe, Security Informationen aus dem Netz zur Verfügung zu stellen – es liefert zu jedem Zeitpunkt den Sicherheitsstatus in Echtzeit. Diese Angaben werden dann analysiert, um entsprechend Erkenntnisse zu erhalten und reagieren zu können.

Die Daten und Informationen können dabei aus unterschiedlichen Quellen kommen, es können also unterschiedliche Systeme Informationen für das SIEM System liefern. Ein Anomalie- und Angriffserkennungssystem, wie zum Beispiel IRMA®, sollte immer eine direkte Schnittstelle im SIEM System zur Verfügung haben.

Ein SIEM System koppelt in der Regel die Funktionen der SEM (Security Event Management – Echtzeitanalysen und Berichte) und SIM (Security Information Management – Erfassung und Verwaltung von Logs) in Einem.