مراقبة الوصول هي ممارسة متابعة نشاط المصادقة والتفويض بحثا عن مؤشرات إساءة الاستخدام. تتعقب فرق الأمن عمليات تسجيل الدخول، ومحاولات تسجيل الدخول الفاشلة، والوصول من أجهزة أو مواقع جديدة، وتغييرات الامتيازات، وإنشاء الجلسات، وسلوك الحساب غير المعتاد. الهدف هو رصد النشاط الذي لا يتوافق مع أنماط المستخدمين الطبيعية أو الإجراءات المتوقعة للمسؤولين.
تكتسب هذه الممارسة أهمية لأن كثيرا من الهجمات تبدأ ببيانات اعتماد صالحة بدلا من برمجيات خبيثة واضحة. إذا سرق مهاجم كلمة مرور أو استولى على جلسة أو أساء استخدام حساب موثوق، فقد يبدو النشاط شرعيا ما لم تتم مراجعة سجلات الوصول. تساعد المراقبة الجيدة المدافعين على اكتشاف السفر المستحيل، ومحاولات القوة الغاشمة المتكررة، وإعادة تعيين كلمات المرور المشبوهة، والتغييرات غير المتوقعة في إعدادات MFA أو إعدادات الاسترداد. وفي التحقيقات، تساعد هذه السجلات أيضا على إعادة بناء ما حدث، والحسابات التي تم الوصول إليها، وما إذا كان الوصول قد امتد إلى أنظمة أخرى. وتكون مراقبة الوصول أقوى عندما تقترن بالتنبيهات، والاحتفاظ بالسجلات، وخطوط أساس واضحة لسلوك المستخدم الطبيعي.