У меня на "импортнуть самому" enricher сказал что все не пережует

вы сами ответили на свой вопрос. часть задач можно решать только "по месту". вливать в коробку вредно для нервной системы

У меня там где-то сохранен ответ ТП что нужно ждать решения из коробки )))

Не факт, в NAD это нормально работает

"у меня такая же нога и не болит" :D

граната не той системы

это довольно специфические сценарии. Например, ты можешь позволить себе 2 SOC-а (да, так тоже бывает). И одним сиемом все собираешь (там рулишь учётками, задачами и пр) вместе со своим IT. А в два других льешь собранные события, чтобы с ними там разбирались отдельные команды). возможно с дофильтрацией
в арксайте есть похожее

функциональность новая и будет развиваться
Но ориентировано это все на большой enterprise, конечно

Не той, но я не верю в скорость псевдокода

😂😭

возьмите уже базу и импортните сами

больно правда бывает иногда с ней..

только напрямую в сием, не в кб

ну в тс

Я это уже делал. Написал же краткий опыт. Очередь enricher через 20 минут была больше 50к

Фильтрацией лишнего на входе чуть получше, но в любом случае там много копилось

на каком потоке?

вы все события обогащали?

не умирает там энричер при обогащении даже всех событий с нелокальными адресами на потоках до 15к подходящих епс

смотря какое железо*

Нет конечно