Die SWM möchte mit dem auszuschreibenden System sicherheitsrelevante Eventdaten von Clients, Servern, Anwendungen (auch Operative Technologie) und Infrastrukturkomponenten sowie Cloud Infrastrukturen an einer zentralen Stelle auf Bedrohungen analysieren. Für diese Analyse soll das System die Eventdaten normalisieren und korrelieren können. Unter Normalisierung wird in diesem Kontext die Verarbeitung der Events gemeint, die zum Ziel hat, die Events unterschiedlicher Geräte und Hersteller miteinander vergleichen zu können. Im Rahmen der Korrelation sollen die Eventdaten miteinander in Verbindung gebracht werden können. Dabei sollen sich Abfragen nach bestimmten Suchmustern über verschiedene Arten von Eventdaten hinweg bilden lassen. Das System muss dem Stand der Technik entsprechen.