Systrace erzwingt Systemaufruf-Richtlinien für Anwendungen durch Beschränkung der Zugriffsrechte der Anwendung auf das System. Die Richtlinie wird interaktiv erzeugt. Operationen, die nicht von der Richtlinie abgedeckt sind, lösen einen Alarm aus, der es dem Anwender erlaubt, die aktuell konfigurierte Richtlinie zu verfeinern. Nachdem eine Richtlinie ausreichend konstruiert wurde, deuten weitere Alarme oft auf Sicherheits-Probleme hin. Richtlinien können für Sandbox-Zwecke auch automatisch generiert werden.