„Analyse“, „Auswertung“ und „Reaktion“ können auf dem selben oder auf unterschiedlichen Rechnern erfolgen

• d.h. ein Rechner sammelt und prüft Meldungen nach einem „groben Muster“ und leitet „wichtige“ weiter
• dort erfolgt die eigentliche Auswertung und/oder Reaktion

• zentrale oder dezentrale Analyse und/oder Auswertung
• Benachrichtigung lokaler oder remote erreichbarer Benutzer oder Administratoren
• Bei Hacker-Attacken ist es jedoch wertvoll, wenn die Meldungen „remote, zentral“ auf speziell gesicherten Systemen (ggf. zusätzlich) erfasst und ausgewertet werden. Dort sind sie für unberufene nicht so leicht erreichbar.
  Aus diesem Grunde können lokale Meldungen auf zentrale Systeme weitergeleitet werden.

zurück zur Arbeitsweise – weiter zu Anmerkungen