ThreatCon Nível 1
Baixo: Postura básica em rede
Esta condição se aplica quando não houver atividade ou incidente de rede perceptível e atividade de código malicioso com grau de risco severo ou moderado. Nessas condições, somente as medidas de segurança de rotina criadas para combater ameaças comuns da rede são garantidas. Devem ser utilizados sistemas automatizados e mecanismos de alerta.

ThreatCon Nível 2
Médio: Alerta crescente
Esta condição se aplica quando atividades de ataque são constatadas ou esperadas sem a ocorrência de eventos específicos ou quando o código malicioso atinge um grau de risco moderado. Nessas condições, é recomendável a verificação cuidadosa dos sistemas expostos e vulneráveis, a atualização das aplicações de segurança com as novas assinaturas e/ou regras assim que estas estiverem disponíveis e o monitoramento rigoroso dos registros de eventos. Não são necessárias alterações na infra-estrutura.

ThreatCon Nível 3
Alto: Ameaça conhecida
Esta condição se aplica quando uma ameaça isolada à infra-estrutura de computação está em operação ou quando um código malicioso atinge um grau de risco severo. Nessas condições, o aumento do monitoramento é necessário, as aplicações de segurança devem ser atualizadas com as novas assinaturas e/ou regras assim que estas estiverem disponíveis e a redistribuição e a reconfiguração dos sistemas de segurança são recomendadas. As pessoas devem procurar manter essas medidas durante algumas semanas, visto que as ameaças surgem freqüentemente.

ThreatCon Nível 4
Extremo : Alerta total
Esta condição se aplica quando uma atividade extrema de incidente de rede global estiver em andamento. A implementação de medidas nessas condições de ameaça por mais de um período curto provavelmente criará dificuldades e afetará as operações normais da infra-estrutura de rede.