И дашборд!

о да) как без него то жить?))

Так. Наверное режим бояна сейчас включу. Но вброшу следующий вопрос: а нужна ли вообще вам, друзья, корреляция в сок? Объясню свой вопрос. Много общаюсь с коллегами по цеху, в том числе в разрезе use case.  И чем дальше тем больше вижу, что в среднем по больнице все инциденты которые запускают каждый из заказчиков в siem, работают каждый на своём источнике. Микрокорреляция событий антивируса, сборка событий WAF воедино, склеивание событий от контроллера домена. При этом сами источники, приобретая NG - окрас, сами умеют делать такую корреляцию на борту. В итоге на мой взгляд в среднем почти все реально не используют возможности корреляции.

А как дела обстоят у вас: сколько или какой процент сценариев использует сложную корреляцию с одного источника? А сколько прямо с нескольких?

*не на правах рекламы :)

Корреляцию на борту NG Security тоже кто-то должен прописать

К каждому посту, в качестве подписи :)))

Должен, но там за счёт типизации событий все чуть проще. И встроенных конструкторов хватает

Стёп, походу тема «нахуа вам SIEM, если можно сделать на LM то же самое» требует большей аудитории

С бутылки виски ты не съедешь)

Звучит неочень :)

Так изящно бутылкой мне ещё не угрожали 😅

Стёп, походу тема «нахуа вам SIEM, если можно сделать на LM то же самое» требует большей аудитории