Całodobowa usługa Web Monitoring wykorzystuje różne sposoby identyfikowania ruchu związanego z botnetami w ramach sieci danej organizacji. Sposoby te, to m.in. przechwytywanie strumieni logów z ochronnych bram WWW (takich jak np. dostarczane przez Symantec, Blue Coat, Citrix czy Imperva) i analizowanie ich w Security Operation Center (SOC) Symantec. Usługa wykorzystuje specjalizowane urządzenia instalowane w sieci użytkownika, współdziałające również z SOC, i może także przechowywać logi z minimum 92 dni.

Botnety zazwyczaj próbują ukryć próby zwrotnego łączenia się ze swoimi centrami sterującymi w strumieniu HTTP wychodzącym z sieci zaatakowanej organizacji. Usługa Symantec Web Monitoring nastawiona jest na przechwytywanie pierwszej próby takiego połączenia, w celu natychmiastowego powiadomienia użytkownika i uruchomienia niezbędnego procesu naprawczego.