El equipo de SOC o los analistas de respuesta a incidentes desean visibilidad en todo el entorno y la capacidad de detectar y responder rápidamente a las amenazas. Pero en muchas compañías HOY los analistas de SOC tienen un trabajo difícil, porque hay muchos silos de visibilidad e investigación. Por ejemplo, podrían usar EDR para obtener visibilidad detallada de la actividad sospechosa en los puntos finales, pero luego una vista separada de alertas de seguridad de red y análisis de tráfico, para las cargas de trabajo en la nube, probablemente una visibilidad muy limitada hoy a la actividad sospechosa en ese entorno (quizás usando herramientas como EDR que no saben lo suficiente sobre este entorno diferente).
Y todas las partes del entorno están generando muchas alertas ruidosas que se envían al SIEM. El analista puede ver MUCHAS alertas, pero son solo alertas, no un registro detallado de toda la actividad, por lo que faltan detalles importantes del ataque, y el analista está enterrado en alertas sin contexto.