Miles de usuarios se conectan a las redes de las orga- nizaciones desde distintas ubicaciones geográficas y muchos tipos de endpoints diferentes, con los que ac- ceden a distintos tipos de aplicaciones. En consecuen- cia, los centros de operaciones de seguridad (SOC, por sus siglas en inglés) y los administradores de redes reci- ben demasiados logs y alertas. Los equipos de seguridad no tienen suficientes recursos para reaccionar con rapi- dez y clasificar estas alertas, y carecen de la información contextual necesaria para tomar las medidas oportunas en cada caso. Además, las medidas de corrección suelen ser manuales, lo que lleva a actuar con retraso (o a no hacer nada) y a poner en peligro la organización.
