Z
Стандартная ситуация — покупают SIEM в огромную контору, где:
— вообще нет специалиста, который будет с ней сидеть;
— есть, но формальный;
— есть, но у него куча других задач.
У меня лично не было ещё ни одного внедрения где количество безопасников было бы >1. Я вот Вас постоянно читаю и складывается впечатление, что лично Вы от SIEMа вообще не отрываетесь, и я вам гарантирую, это случай единичный.
Я не понимаю, как интегратору, асболютно не знающего инфраструктуру заказчика, интегратору, который воюет за доступы, учетки, настройки источников для SIEMа с эксплуатацией (ИТ), найти ещё время на разработку чудесного SIEMа и сдать его под ключ, в срок, и чтобы там ещё чуть ли не машинное обучение было. Ведь у вендора все из коробки работает!
Сорян, наболело.