Los métodos a menudo difieren según la escala y la ubicación, por ejemplo, el registro perimetral para una empresa suele ser demasiado para que un equipo de alerta interno pueda enfrentarlo, por lo que generalmente se subcontrata a uno de los proveedores de servicios administrados, que luego transmitirán alertas relevantes.
Para organizaciones más pequeñas, o para un registro de host específico, el problema es mucho más manejable, sin embargo, todavía tendrá que ver cómo entrenar y ajustar el proceso de alerta. Splunk y otros harán el trabajo, pero debe planificar la cantidad de recursos necesarios para cuidar durante las primeras semanas, en cualquier actualización o cambio al entorno registrado, en cualquier cambio en los perfiles de ataque y, de hecho, continuamente durante tiempo.
Teniendo eso en cuenta, los mecanismos habituales son el uso de alertas estadísticas y basadas en firmas: las firmas son rápidas y pueden ser actualizadas por los proveedores de servicios, por lo que requieren poco esfuerzo, sin embargo, deben crearse, por lo que normalmente no se identifican nuevos tipos de ataque, mientras que las alertas estadísticas responden a cualquier cambio en el registro, por lo que puede terminar sobrecargado con falsos positivos hasta que sintonice.