السياق هو المعلومات المحيطة التي تمنح الرسالة أو إدخال السجل أو التنبيه أو التقرير معناها. في الأمن السيبراني، يمكن أن يكون الحدث نفسه غير ضار أو خطيرا اعتمادا على من قام به، ومتى حدث، وما النظام الذي كان معنيا، وما الذي حدث قبله وبعده. فشل تسجيل الدخول على جهاز اختبار ليس مثل تكرار الإخفاقات ضد حساب ذي صلاحيات في الساعة 3 صباحا.
يستخدم المحللون السياق لتقليل النتائج الإيجابية الكاذبة، وتحديد أولويات التنبيهات، وفهم سلوك المهاجم. وتضيف الدفاعات الجيدة سياقا من جرد الأصول، والهوية، وموقع الشبكة، والنشاط الأساسي الطبيعي بحيث تتحول البيانات الأولية إلى معلومات استخباراتية قابلة للتنفيذ. ويستغل المهاجمون أيضا غياب السياق، مثلا بدمج حركة المرور الخبيثة ضمن النشاط الروتيني أو باستخدام رسائل غامضة لا تبدو مقنعة إلا عندما يتم تجاهل التفاصيل. باختصار، يحول السياق الحقائق المعزولة إلى صورة أمنية قابلة للاستخدام.