Усі ваші системи генерують події (логи), такі як авторизація певних дій користувачів і подій системи. SOC збирає, агрегує, шукає кореляції в подіях — тобто виявляє ознаки зламу. Це досить дорога послуга, оскільки потребує зберігання великого обсягу логів, дорогих SIEM-систем і штату висококваліфікованих аналітиків. Водночас ця послуга дуже ефективна, тому що дає змогу захиститися від найскладніших атак із використанням вразливостей нульового дня, які не виявляються антивірусами.
Вважається, що найкращі антивіруси відбивають 99% атак, а 1% здатні виявити лише експерти в «ручному режимі». При цьому послуга вимагає високої кваліфікації клієнта, який має передати всі логи SOC, а також реагувати на виявлені небезпеки, оскільки SOC не зупиняє загрози, а лише вказує на них.