В Д
Так. Наверное режим бояна сейчас включу. Но вброшу следующий вопрос: а нужна ли вообще вам, друзья, корреляция в сок? Объясню свой вопрос. Много общаюсь с коллегами по цеху, в том числе в разрезе use case. И чем дальше тем больше вижу, что в среднем по больнице все инциденты которые запускают каждый из заказчиков в siem, работают каждый на своём источнике. Микрокорреляция событий антивируса, сборка событий WAF воедино, склеивание событий от контроллера домена. При этом сами источники, приобретая NG - окрас, сами умеют делать такую корреляцию на борту. В итоге на мой взгляд в среднем почти все реально не используют возможности корреляции.
А как дела обстоят у вас: сколько или какой процент сценариев использует сложную корреляцию с одного источника? А сколько прямо с нескольких?
Включил зануду - все корреляции о которых идет речь это всего лишь фильтр и агрегатор событий, по одному источнику, нескольким, по спискам, статистические, исторические и так далее. Используются самые простые фильтры, так как их проще поддерживать и отлаживать. Делать фильтры в разных консолях сзи неэффективно из за переключения контекста аналитика, да и выборки в этих консолях в глубину не сделаешь.
