Em uma investigação de acesso não autorizado, o perito precisa identificar qual componente da arquitetura de segurança realiza a correlação centralizada de eventos provenientes de múltiplas fontes (firewalls, AD, IDS, endpoints e aplicações).
A tecnologia responsável por essa função é chamada