上述のアラートから5分前までのパケットが重要になるという理由についてズルック氏は、「サイバー攻撃が疑われるような重要性の高いアラートを調べる場合、アラートが発生する5分前までの通信にその手掛かりのほとんどが含まれている。現場のセキュリティアナリストの多くが『5分以内のパケットで十分』と話しており、米国の金融業界では5分前までのパケットを蓄積しておくことが推奨されている」と話す。 サイバー攻撃などを調べるアプローチでは、ネットワークやシステムのログを解析する方法がよくとられる。しかしズルック氏は、ログの情報だけではアラートが発生した後の状況しか分からないと指摘。状況をより正確に把握するには、アラートが発生する直前のパケットデータに注目する必要があるという。 ただ、ストレージ容量の制約や大半の通信が正常なものであることを考慮すると、膨大な量のパケットデータを全て蓄積することは非現実的。このため