Eine Aktivität bietet einen umfassenden Überblick über eine Bedrohung, indem Erkennungsereignisse korreliert werden, um die verschiedenen Phasen eines Angriffs zu identifizieren. Das MITRE ATT&CK-Framework wird verwendet, um die Bedrohungen zu klassifizieren.