Organisaation on kuvattava verkon ja tietojärjestelmien käytön normaalitila, jota käytetään lähtökohtana poikkeavuuksien tunnistamisessa. 

Normaalitilaa määritettäessä on otettava huomioon seuraavat asiat:

• tietojärjestelmien käytön valvonta sekä normaali- että ruuhka-aikoina
• tavalliset käyttöajat, käyttöpaikat sekä käyttötiheys kunkin käyttäjän ja käyttäjäryhmän osalta

Valvontajärjestelmät on konfiguroitava normaalitilaa vasten, jotta voidaan tunnistaa poikkeava käyttäytyminen, kuten:

• järjestelmien tai prosessien suunnittelematon lopettaminen
• haittaohjelmiin tai haitallisiin IP-osoitteisiin tai verkkotunnuksiin liittyvä liikenne
• tunnetut hyökkäysominaisuudet (esim. palvelunesto tai buffer overflow)
• epätavallinen järjestelmäkäyttö (esim. näppäinpainallusten lokitus)
• pullonkaulat ja ylikuormitukset (esim. verkon jonot, latenssitasot)
• luvaton pääsy (todellinen tai yritys) järjestelmiin tai tietoihin
• tietojärjestelmien ja verkkojen luvaton skannaus
• onnistuneet ja epäonnistuneet yritykset käyttää suojattuja resursseja (esim. DNS-palvelimia, verkkoportaaleja ja tiedostojärjestelmiä)
• epätavallinen käyttäjien ja järjestelmän käyttäytyminen

Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.

Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.

Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:

• lähtevä ja saapuva verkko- ja tietojärjestelmäliikenne
• pääsy kriittisiin tietojärjestelmiin, palvelimiin, verkkolaitteisiin ja itse valvontajärjestelmään
• kriittiset järjestelmä- ja verkkomääritystiedostot
• lokit suojaustyökaluista (esim. virustorjunta, IDS, IPS, verkkosuodattimet, palomuurit)
• verkon ja tietojärjestelmien käyttöön liittyvät tapahtumalokit
• suoritettavan koodin tarkistukset
• resurssien käyttö (esim. CPU, kiintolevyt, muisti, kaistanleveys) ja niiden suorituskyky

Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.

Poikkeavuuksista tulee ilmoittaa relevanteille osapuolille seuraavien toimintojen kehittämiseksi:

• auditointi
• turvallisuuden arviointi
• teknisten haavoittuvuuksien tunnistaminen ja seuranta