المراقبة الدفاعية هي المراجعة المستمرة لتنبيهات الأمان والسجلات وسلوك الحسابات لاكتشاف النشاط المشبوه في أقرب وقت ممكن. وهي تجمع بين الأدوات الآلية، مثل أنظمة SIEM وتنبيهات الأجهزة الطرفية، وبين التحليل البشري للبحث عن مؤشرات مثل عمليات تسجيل الدخول غير المعتادة، ومحاولات الوصول الفاشلة المتكررة، وتغييرات الامتيازات، أو النشاط من مواقع غير متوقعة.
وتكتسب أهميتها لأن كثيرًا من عمليات الاختراق لا تبدأ ببرمجيات خبيثة واضحة؛ بل تبدأ بحساب صالح، أو تسجيل دخول عن بُعد أسيء استخدامه، أو بحث هادئ داخل الأنظمة الداخلية. ويمكن للمراقبة الجيدة أن تكشف هذه الأنماط قبل أن يقوم المهاجم باستخراج البيانات، أو التحرك أفقيًا داخل الشبكة، أو زرع آلية استمرار. وعمليًا، يستخدم المدافعون خطوط الأساس، وفرز التنبيهات، والربط بين بيانات الهوية والشبكة والأجهزة الطرفية لتمييز النشاط التجاري الطبيعي من احتمال الاختراق.