Вот так всегда бывает: вчера ты только добавил нового админа. А сегодня уже решают что может Сием нам и нафиг не нужен.

Как, так то!? :)

Часто ли мы коррелируем между разными источниками -  Не часто (надо сделать голосовалку)

Однако мы ведь очень часто коррелируем в одном источнике. (у меня таких примеров тонна +1). Да есть кейсы на одиночные события но и тут есть масса вопросов:

А без сиема мы чё с фидами и другими списками делать будем. Последовательно интегрировать с каждым СЗИ?

А что делать с системами не СЗИ?  Тут ещё пролетало ЛМ. Умеет ЛМ нормализовывать? Нет? И много у нас специалистов способных читать сырые логи 20 разных систем? (не с целью расследования а именно реагирования по 100 раз в день)

А нужен консенсус?

все равно люди останутся при своем мнении,просто эта площадка дает высказаться без очереди

Чет тебя коротнуло то так? Пошутил же просто.

Это же всё вопрос зрелости SIEM. Незрелая SEIM = LM. Метрики, зрелость SIEM:
- % покрытия систем
- % нормализованных данных/источников
- % покрытия searches/correlation searches/reports/dashboards хорошо задокументированными use case'ами
- коэф. связности источников.

хотя наверное кто-то уже давно это придумал и подготовил метрики.

Значит я сам фигню придумал:)
это мои мечты, иметь 100% покрытие security логов, нормализовать все значимые дата сорсы, для всего критичного иметь описанные кейсы в confluence

красивая картинка:)

/зануда_моде_он

Забыл выключить))))

И? Как это относится к вашей практике? Что она дает(картинка) и ещё 1001 дурацких вопросов

Я к тому что SIEM или LM, есть нормализация или нет, пишешь use case или нет - это вопрос зрелости.