про регулярки уровня "бох" и косяки в логике правил (идея правила ок, а вот реализация подкачала) я вообще молчу.
ну и корреляции, да. на несчастном однопоточном корреляторе. коробочный контент уронит сием раньше, чем не-специалист по мп сием успеет пофильтровать все корр сработки

и большая часть правил описана так же как у всех - никак.
как вариант: https://docs.splunksecurityessentials.com/content-detail/tt04/
Вопрос скилов то не в том, что продукт предоставляет коробочный контент, который сделает за аналитика всю работу. А в том, что нужно знать аналитику, чтобы с этим работать.
И когда для эффективной работы аналитику достаточно знать как работает сием (писать контент, расследовать инциденты, подключать источники и т.д.) - что в этом плохого? И имхо вполне правильно движение вендора в сторону того, чтобы для выполнения 99% задач людям для работы с сиемом не нужно было погружаться в питон, css, js и т.д.

вопрос в том, что на данный момент, оно позиционируется как готовое решение, для которого аналитику не требуются познания по тонкому тюнингу конкретного продукта и способности написать с нуля весь необходимый контент.

на предмет контента SES - можно поспорить, но, как минимум, SES под своим контентом на заявленном потоке не падает. в остальном - я бы сказал, что качество разное.

а насчет "отсутствия необходимости погружения в питон, css, js и т.п." это решается только наличием полноценного собственного языка, который позволял бы подключать источники, поддержка которых вендором не предоставляется. ну или отсутствием гибкости - нужна поддержка источника? пишите, мы добавим. когда-нибудь.

Так есть же езыг. Читать мануал, прикуривать нестандартные источники самостоятельно - никто не запрещает)

а я и не говорил, что запрещает)) но необходимость кодить никто не отменял

Коллеги, привет!
Нано-вопрос про агрегацию, не нашел в документации.
Если делаешь агрегацию по ключу, например в два часа.
Произошло событие, а через час ещё событие.
Инцидент будет создан при первом событии, а второе просто в него допишется или будет создан инцидент после истечения времени агрегации?

Первое

Мы не хотели разменивать скорость реакции на количество инцидентов. Иначе хватило бы агрегации на корреляторе с таймером

Спасибо👍

Коллеги, добрый день

А где можно посмотреть перечень всех инцидентов и их правил срабатываний

Есть это где то в документации?

Кажется удобнее в пткб

Поищу, спасибо

коллеги, всем привет. Кто знает, как выставить правильно переменную, чтобы системный контент можно было редактировать?

PS C:\Windows\system32> kbcfg get | findstr "Origins"
EditableOrigins = 'Local' (String)

PS C:\Windows\system32> kbcfg get | findstr "Origins"
EditableOrigins = 'Local' (String)

а на... зачем? чтобы потом выхватить проблем при применении обновлений?

чтобы удалить дубликаты правил системных

удалить в исходной базе и вкатить изменения поверх

ну это если у вас эталон той же версии, что и сием, на котором вы пытаетесь это сообразить