La detección es un tipo tradicional de control de ciberseguridad, junto con el bloqueo, el ajuste y los controles administrativos, entre otros. Antes de 2015, los equipos se preguntaban qué era lo que debían detectar, pero a medida que MITRE ATT&CK fue evolucionando, los SOC dispusieron de un espacio prácticamente ilimitado de ideas para crear escenarios de detección.
Al convertirse el número de escenarios en prácticamente ilimitado, surge inevitablemente otra pregunta: «¿Qué detectamos primero?». Esto y el hecho de que los equipos de los SOC siempre juegan a largo plazo, teniendo que responder con recursos limitados a un panorama de amenazas cambiante, tecnología en evolución y actores maliciosos cada vez más sofisticados, hace que la gestión de los esfuerzos para desarrollar la lógica de detección sea una parte integral de las actividades de cualquier SOC moderno.
