Relevante Daten sollten zentral vorgehalten werden, da dies eine optimale Backup- und Recovery-Strategie zulässt und eine Korrelation von Daten in Echtzeit über Systemgrenzen ermöglicht. Dies ist vor allem für verteilte Angriffe über die gesamte IT-Infrastruktur wichtig, da sich alle Daten auf einem zentralen Bildschirm (dem „Dashboard“) – zusammenführen und interpretieren lassen. Der Datentransfer von den Satellitensystemen zum Zentralsystem muss verschlüsselt und authentifiziert erfolgen, damit Angreifer die übertragenen Daten nicht verändern können.

Treffen Events ein, nimmt das SIEM-System nach der Korrelation der Daten intern eine Priorisierung nach definierten Kriterien vor. Sie wirkt sich auf den durchzuführenden Prozess aus und kann von einer „Watch List“ bis zum Senden einer Alarmierungs-SMS an den Systemverantwortlichen und das Starten des entsprechenden ITIL-Prozesses reichen. Bei nicht direkt erkennbaren Angriffen oder solchen, die sich über einen langen Zeitraum erstrecken, muss die Option bestehen, historische Daten zur Angriffserkennung heranzuziehen. Ein Beispiel dafür ist eine Malware, die auf einem Client erst nach einer gewissen Zeit aktiv wird.