Да...

Не определившиеся

Я вот не перешел. Дэн ты меня в какую категорию записал?

Нет к сожалению(

@vbengin а брось в меня объявой этой плз. Она в админ панели остаться должна была

Привет, кто может рассказать, какая по вашему оптимальная глубина хранения событий для SIEM и почему?

Тут же нет однозначного ответа

На это влияют
- требования регуляторов
- финансовые/аппаратные возможности
- размер инфры
- перечень логов (только ИБ или ИТ ещё)
- набор кейсов которые хочется по логам решать

Из операционной практики: логи старше 3 месяцев нужны достаточно редко

Но опять же от кейсов зависит

В отношении соблюдения закона о КИИ есть требования по сроку хранения?

Нет

Если вы хотите построить свой Центр ГосСОПКА, то должны обеспечить хранение трафика и всех событий ИБ, журналов и т.д., полученных в рамках инцидента на срок до 6 месяцев.
Т.е. вообще все логи хранить не надо, только те, которые относятся к инциденту.

Схожая мера защиты есть в требованиях 239 приказа ФСТЭК для ЗОКИИ 1 категории - "ИНЦ.6 Хранение и защита информации о компьютерных инцидентах". Только эта мера нигде не расписана вроде как.

Нужны, нужны. В архиве точно были кейсы и длиной в год.

Год дорого получается, кейсы того стоили?

Да, атака была растянута на год с копейками. С паузой в пол-года.

Долгое хранение помогло предотвратить ущерб или расследовать случившееся?

Не раз приходилось доставать архивные данные. В SIEM достаточно месяц держать,  если доступ в архив нормально организован.

Госсопка требует 6месяцев

Год в архивном хранилище,  месяц или даже меньше в оперативном.  Хранить пол года в сиеме дорого.