Il monitoraggio difensivo è la revisione continua degli avvisi di sicurezza, dei registri e del comportamento degli account per rilevare il prima possibile attività sospette. Combina strumenti automatizzati, come SIEM e avvisi degli endpoint, con l'analisi umana per individuare segnali come accessi insoliti, ripetuti tentativi di accesso falliti, modifiche dei privilegi o attività da posizioni inattese.
È importante perché molte intrusioni non iniziano con malware evidenti; iniziano con un account valido, un accesso remoto usato in modo improprio o una ricerca silenziosa nei sistemi interni. Un buon monitoraggio può rivelare questi schemi prima che un aggressore esfiltri i dati, si muova lateralmente o stabilisca una persistenza. In pratica, i difensori utilizzano baseline, triage degli avvisi e correlazione tra dati di identità, rete ed endpoint per separare l'attività aziendale normale da una possibile compromissione.