将较大威胁模式的检测形式称为事件关联。随着网络攻击方式的不断成熟,事件关联方法也不断扩展,比如考虑源于更多类型安全设备的事件数据,考虑用户特权和资产漏洞等额外事件上下文以及搜索更复杂的威胁模式。事件关联通过整理大量离散事件数据并把其作为一个整体进行分析,找到需要立即引起注意的重要模式和事故,从而简化威胁检测方法。虽然早期事件关联把注意力集中在减少事件数量从而简化事件管理上,通常通过过滤、压缩或归纳事件,较新的技术则使用状态逻辑分析发生的事件流,同时进行模式识别以找到网络问题、故障、攻击、入侵等。事件关联在许多方面都很有用,比如通过多种方式为人工的安全评估提供便利:从各种各样的源获取更适合人类理解的大量事件数据,自动检测已知的威胁模式的明确标志从而让检测网络攻击和破坏事件变得容易,以及通过事件标准化简化对未知威胁模式的人工探测。