Zaczniemy od omówienia źródeł danych, potrzeby normalizacji logów z różnych źródeł danych oraz projektu Open Source Security Event Metadata (OSSEM) i narzędzi wspomagających ten proces. Jak wspomniano wcześniej, pierwszym krokiem w poszukiwaniu zagrożeń jest zrozumienie źródeł danych, a następnie wykonanie analizy luk i projektu zaradczego w przypadku brakujących danych. Prawdopodobnie w miarę postępów odkryjesz, że brakuje Ci kluczowych danych i będziesz mógł dalej je dostosowywać.