Que el sistema alerta sobre una actividad benigna identificándola erróneamente como maliciosa.

Que el sistema ha sido hackeado.

Que el sistema no detecta un ataque real.

Que el sistema funciona perfectamente.

Es más barato y sencillo.

Integra y correlaciona datos no solo del endpoint, sino también de red, nube, correo, etc., ofreciendo una visión más holística.

Elimina la necesidad de tener analistas de seguridad.

Solo protege servidores Linux.

Fuente completamente fiable, Información confirmada por otras fuentes.

Fuente dudosa, Información improbable.

Fuente desconocida, Información increíble.

Fuente nueva, Información lógica.

Análisis y Producción.

Obtención.

Difusión.

Dirección y Planificación.

Buscar proactivamente amenazas que hayan podido evadir las defensas automáticas.

Contratar hackers para atacar a la competencia.

Instalar parches de seguridad automáticamente.

Esperar a que salte una alerta para actuar.

Gestionar las contraseñas de los usuarios.

Encriptar la información de la red.

Monitorizar el tráfico y alertar sobre actividades sospechosas o intrusiones, pero sin bloquearlas por sí mismo.

Bloquear automáticamente cualquier tráfico sospechoso.

El tiempo que tarda el analista en tomar café.

El tiempo de instalación del antivirus.

El tiempo que pasa desde que el atacante entra en la red hasta que es detectado y eliminado

La duración de la batería del portátil.

Instalar antivirus en todos los equipos de la organización.

Recopilar y analizar información para anticiparse a los ataques y reducir la incertidumbre en la toma de decisiones.

Hackear a los atacantes antes de que ellos nos ataquen (Hack-back)

Generar informes de cumplimiento legal únicamente.

Reconocimiento.

Explotación.

Instalación

Acción sobre objetivos.

Para poder meter a alguien en la cárcel inmediatamente.

Para saber quién está detrás del ataque, sus motivaciones y predecir sus futuros movimientos.

No es importante, solo importa bloquear la IP.

Para calcular el coste económico del ataque.