То есть по сути в системе SIEM есть минимум 2 базы PTKB (сущности), а в правильном исполнеии - их не менее 3:
- база самого SIEM
- база PTKB, которая работает с обновлениями (pt_content) - в нее приходят все обновления
- ваша база MyBranch, заточенная под вашу инфраструктуру (скорее всего это записи в той же базе, что и систечной, просто помеченные вашими, у которых есть пометка группы)
- обновления прилетают всегда в pt_content
- если у вас нет своей версии базы, то вы работаете с ней и устанавливаете (синхронизируете) базы между PTKB и SIEM-сервером
- если есть своя и в ней группы, то работаете уже не с базой, а с группами и устанавливаете объекты из них

Но возможно, что я ошибаюсь - лучше дождитесь совета экпертов...

Три базы-то зачем?

pt_content системная с правилами от производителя

editable (имя для примера) форкнутая от нее для пользовотельских правок

больше и не надо

да, да. дождитесь экспертов.. с 21 релиза pt_content, разделилась на siem и VM

с 21.1 которая вродеб еще не для прода?

Нет, не три физических базы. Это сущности (то есть виртуальные объекты).
Физически база скорее всего одна - PTKB (в ней есть сущность - pt_content).
Из нее все правила, формулы и таблицы передаются и устанавливаются в каком-то виде в сам SIEM (тут в каком-то виде сожержатся все правила - 2-я сущность ).
Если вы создаете свою копию базы pt_content - ветку MyBranch - рождаете 3-ю сущность.
Объяснил сумбурно, да и сущностей наплодил по дороге... 😁

Сколько уже не спали нормально-то?

😀 уже и не помню когда это было

Ну в общем в терминологии ptkb pt_content это системная база данных

какбы мы говорим не на уровне субд, а тем как оно в ptkb зовется

Не путайте базу в СУБД и базу в PTKB. Маппинг одного в другое в реализациях для mssql и Postgresql разный

Йопт

vm content реально появился

и редактируемая с ошибкой встала, блин

С 19.1 на 21.1 можно обновиться напрямую? Без обновления на 20?

можно

Спасибо