Definition. Die Aufgabe, sicherheitsrelevante Ereignisse aus Logs, Metriken, Traces und Runtime-Sensoren herauszufiltern, zu korrelieren und zu priorisieren — entweder regelbasiert, statistisch oder modellgestützt. Ergebnis sind handhabbare Alerts mit Kontext, nicht Roh-Logs.

Warum relevant. Im Mittelstand entscheidet die Qualität der Detection oft mehr als die Menge der Tools. Wenige, präzise Alerts mit klaren Playbooks sind handhabbar; ein Strom unsortierter Events ist es nicht.

Verwandt. Runtime Security, Falco, Tetragon, DevSecOps