Tehdit geçmişi genellikle üç yerde bulunur: ağ, uç nokta ve günlükler.

Uç Nokta Tespiti ve Yanıtı (EDR), bir ana bilgisayarda çalışan işlemlerin ve bunlar arasındaki etkileşimlerin ayrıntılı bir zemin seviyesinde görünümünü sağlar.

Ağ Algılama ve Yanıt (NDR ) sistemi, ağdaki tüm cihazlar arasındaki etkileşimlerin üstten bir görünümünü sağlar.

Güvenlik ekipleri daha sonra diğer sistemlerden olay günlüğü bilgilerini toplamak ve veri kaynakları arasında ilişki kurmak için Güvenlik Bilgileri ve Eşit Yönetimi (SIEM’ler) yapılandırır.

Bu araçları kullanan güvenlik ekipleri, bir olaya yanıt verirken veya tehditleri ararken çok çeşitli soruları yanıtlama yetkisine sahiptir.

Örneğin, “Bu varlık veya hesap uyarıdan önce ne yaptı?”, “Uyarıdan sonra ne yaptı?” ,”İşlerin ne zaman kötüye gitmeye başladığını öğrenebilir miyiz?” gibi sorulara cevap verebilirler.

Bu grup içinde NDR en kritik olanıdır çünkü diğerlerinin yapamayacağı bir perspektif sağlar.

Örneğin, bir aygıtın BIOS seviyesinde işleyen istismarlar EDR’yi bozabilir veya kötü niyetli faaliyetler günlüklere yansıtılmayabilir.