что значит подчиненные?) был стенд MP SIEM, был стенд PT DC

пока мы имеем определенные проблемы с настройкой интеграции, скажем честно

а версия какая?

19.1 шлют инциденты в 19.0, к которой должен быть подключен птвц

интеграция, насколько я помню, в два шага:
1. Синхронизация времени на машинах
2. Изменение конфигурационных файлов SIEM для открытия API

Насчет кейса с пересылкой событий между двумя Core ничего не могу сказать)

пересылка как раз заработала достаточно легко)

Тогда грешу на синхронизацию времени между PT DC и SIEM)

Владислав, у меня есть опыт разворачивания сиема в облаке Крока на незначительных ресурсах. Мой вариант стенда вполне работоспособен на 32Гб RAM и на 4 ядрах. Диск у меня 250Гб, но можно уменьшить до 150Гб (понадобятся дополнительные правки конфигов вотчдога). Но вы должны понимать, что это исключительно для нужд обучения и такая конфигурация умрет если завести на нее много EPS'ов или если в результате фолзов возникнут десятки тысяч инцидентов.
Секрет того, что у меня хоть что-то работает в том, что я ставлю AllInOne, а когда он устаканится, отдаю команду
mpxes set -p HeapSize 8192m

Есть вариант установки для высоконагруженных систем, он разбирается на курсе CP. Там надо править конфиги слегонца. Вся правка документирована и излагается в курсе, но это стенд совсем уж ничего кроме лабы не сдюжит. На память характеристики четырех машин я не помню, если оно вам понадобится - напишите в личку в понедельник.

Что же до гайда, ничего о нем не знаю. Мой скромный опыт на гайд ниаак не тянет.

Коллеги, напомню, что на партнерском портале лежит гайд по развертыванию MP в вирт среде для ознакомления и минимальных нагрузок

в хайлоад конфигурации:
Agent: 2 ядра, 4 ГБ, 150 ГБ
Core: 4 ядра, 32 ГБ, 250 ГБ
SIEM: 4 ядра, 16 ГБ, 250 ГБ
Storage: 4 ядра, 16 Гб, 250 ГБ (кластер: нода 2, нода 2, клиент 2, мастер 2)

у меня в такой конфигурации работал стенд.
крутились задачи инвентаризации нескольких подсетей, сбор логов с DNS сервера.

Как уже написал товарищ Gullible Beaver исключительно для нужд обучения)

Важно только понимать что все эксперименты и отступления от рекомендаций могут иметь последствия. Печальная история когда партнёры разворачивают SIEM на недожелезе из-за желания сэкономить или нежелания убеждать заказчика в необходимости соблюдать требования (стенды же норм работали), а потом недовольны работой продукта: все лагает, службы падают, события перестают поступать. В зависимости от релиза симптомы и проблемы будут разные.  В таких ситуациях крайним делают вендора. Для эффективного знакомства с продуктом нужно осознать что SIEM это большая система, которая весьма прожорлива. Должен был появиться упомянутый гайд с требованиями по минимальным нагрузкам - цифры там выше чем тут привели, остальные риски вы берете на себя. Имхо, без прямых рук и танцев будет непросто, особенно тем кто только знакомится с продуктом. Ну а для боевой эксплуатации соблюдение требований это гарантия поддержки и быстрой помощи

Я описал стенд который работает ровно три дня.

Свеженький док, совсем недавно появился

После этого складывается?

Конечно. Я ж написал: для учебных целей

из-за ластика?

Если серьезно, там начинаются тормоза из-за того что в ходе учебы заводится много инцидентов. Реляционная база ворочается намного сложнее эластика. В ходе обучения у нас в эластике образуется полтора-два миллиона событий. Существенных тормозов это не создает не смотря на уменьшенный HeapSize. А вот три десятка тысяч инцидентов, это для такого стенда проблема. Сейчас в учебное пособие включена новая лабораторная работа по борьбе с фолзами, но пока она ещё не отработана - рано говорить о результатах.

Было бы неплохо сделать очистку базы инцидентов по времени/количеству, а то ручное удаление это не круто(
Да и вообще организовать таки механизмы(включая эластик) не дополнительными скриптами, а через интерфейс(пусть даже на бекэнде и останутся скрипты🙈)

Сделайте задачу в кроне)