может и дутый, но в моей практике чаще IT Sec не дорабатывает, чем SIEM.

Если просто не лениться, и тратить усилия на работу с SIEM, то она начинает давать результат:
- случился инцидент - добавь report, макрос или алерт, подготовь use case
- добавил новый датасорс, не ленись - сделай для него нормализацию
- появился хороший источник для Asset Management - потрать время, добавь его в SIEM
- проходит pentest - поищи события в SIEM. Устрой "развлечение" для blue team
- есть возможность - поделись логами с разрабами и DevOps

Но это я рассуждаю с позиции среднестатестической компании.

Есть время - организуй какой-нибудь BOTS

Прекрасное сравнение тёплого с мягким.
Как связано «it sec» и «siem»?
Какие «report» у вас в «siem»?
Siem у вас и для «asset menegment», а только ли она или это часть источников для «asset menegment»?
«pentest» и «siem» ( опять тёплое и круглое) как взаимосвязано?
Какими логами из «siem» нужно делиться с указанными категориями?
Что есть BOTS?

boss of the soc

Splunk - не siem

Вот плюсую!

да, Splunk - платформа анализа данных, на которой, помимо прочего, можно собрать и SIEM.

Ничего себе у вас тут насиемлено, хоть топор вешай. Даже неудобно с моим тупым вопросом, но все же задам: the hive и demisto free никто на практике не сравнивал? Плюсы, минусы, подводные камни?

Чтобы TheHive стала irp, а не тикитнецей ее еще допилить сильно нужно

По демисто сейчас позову

Free. Ключевое тут будет, наверняка

Пальто очь демократично. Я им сегодня за фри stix2 bundles спасибо сказал

Ну мы кагбэ все тут пилим, так что проблемой скорее будет ограничения в допиливании при необходимости у бесплатной версии коммерческого продукта.

Особенно ру офис

Не так. Не все можно допилить. Проплевался вчера от opencti, например. Допилить на их стеке - анриал

@ksiva2 тут твои знания нужны

Опа

м?)

Ну Денис и тут уже)