Добрый день!
Имеется тестовый стенд состоящий из SIEM (all in one), Windows 7 и ALT Linux.
1) Подскажите, пожалуйста, правильно ли я понимаю, что инциденты в таком наполнении тестового стенда я смогу создавать лишь в ручную, выбирая события и добавляя их к инциденту?
2) Пробовал проводить сетевое сканирование хоста Windows при помощи nmap, но в SIEM инцидент не появился, да и событий по этому поводу никаких не увидел. Правильно же понимаю что в тестовый стенд нужно добавить IDS/IPS и с него собирать события, чтобы в SIEM автоматически сгенерировался инцидент сетевого сканирования хоста?