IdM-системы помогают в расследовании инцидентов информационной безопасности несколькими способами:

• Автоматическое обнаружение несогласованных полномочий. 1 Система может исправить нарушение самостоятельно или оповестить о нём службу информационной безопасности (ИБ). 1 Сотрудники ИБ оперативно получают информацию о нарушениях и могут принять меры: исправить или согласовать несанкционированные изменения. 1
• Предоставление исторической информации. 1 IdM-система рассказывает, что происходило с правами доступа сотрудников, кто им запрашивал и согласовывал доступ. 1 Если необходимо расследовать инцидент, произошедший какое-то время назад, то IdM позволяет получить картину прав доступа сотрудника на заданную дату в прошлом. 1
• Установка владельца аккаунта, с помощью которого был осуществлён вход в базу данных. 2 Система показывает, кто согласовывал полномочия, как менялись права доступа сотрудника за весь период его работы в компании. 2
• Мониторинг доступа к корпоративным данным. 4 IdM-решения отслеживают любые изменения в правах и формируют выборки по нарушениям и отклонениям, с помощью которых офицеры службы безопасности смогут принять меры или определить виновных. 4