Здравствуйте.
Только начинаю разбираться в системах ИБ и возникло недопонимание в вопросе - что может SIEM система.
Читаю про них на просторах Интернета и, получается, что это исключительно управление, мониторинг (как IDS) и корреляция событий. Но при этом она не умеет предотвращать атаки (как IPS), хотя в некоторых статья прослеживается то, что система  IPS "входит" в SIEM.
Так все такие может ли SIEM система работать как IPS?

Не может. Она может быть компонентом модных аббревиатур со словом response в составе

То есть SIEM - это единый организм, позволяющий не только просто смотреть и показывать это админу, но и говорить "я нашел атаку и ее устранил"?

Нет

Немного не так
"Я (siem) нашел атаку, а теперь твоя очередь работать, иди и устрани последствия. (А ещё на всякий случай проверь кого ещё задело и проведи расследование)

Уяснила. Пойду разбираться дальше. Спасибо

я (siem) нашел атаку известную мне (меня научил разработчик или ты), теперь посмотри false или нет etc....

😁очень длинный список до последствий)

а ты, если научил сием, не разработчик?)

нет же)

а кто?

страдалец

😁

эксперт

иксперд, тогда уж)))

совмещает оба понятия

с легким привкусом слабоумия и отваги

вы мне лучше скажите...писал кто нибудь на чем нибудь скрипты для разбора xml отчетов патрола?

в условный json может...

речь про какие отчеты?