У того же вендора есть подшивка презентаций с их ежегодной конференции, так вот про матстат (что-то интересное) я находил только одну презентацию.

Здесь минимум 2-3 источника.
Windows Security + что-то кастомное на мониторинг системных файлов.

того же вендора - SPlunk? они матстат называют, извините, ML. вот туда если посмотреть - есть довольно много интересных заходов

Здесь минимум 2-3 источника.
Windows Security + что-то кастомное на мониторинг системных файлов.

не считая ML и прочего

Более того, мне кажется корреляцию, в контексте темы, можно сделать и на одном событии

Ага, например на винде

Накидайте человеку event id с security журнала винды, которые перечислили )

Винда, скоррелировать события от входа пользователя, запуска процесса, изменения системного файла - конечно не корреляция, но что тогда?

4624 - вход - его с AD берём
4688 - новый процесс, локальный лог
4663, 567 - кастомно вроде мониторинг включается.

Я к тому, что даже на олном событии винды)

Шо значит кастомно? Не по умолчанию включён?)

а накидайте ка этот самый простейший фильтр. Вот просто ради интереса. Хотя бы логин и запуск процесса

давай я щас hosts поменяю, я точно увижу это в логах?

Так. Наверное режим бояна сейчас включу. Но вброшу следующий вопрос: а нужна ли вообще вам, друзья, корреляция в сок? Объясню свой вопрос. Много общаюсь с коллегами по цеху, в том числе в разрезе use case.  И чем дальше тем больше вижу, что в среднем по больнице все инциденты которые запускают каждый из заказчиков в siem, работают каждый на своём источнике. Микрокорреляция событий антивируса, сборка событий WAF воедино, склеивание событий от контроллера домена. При этом сами источники, приобретая NG - окрас, сами умеют делать такую корреляцию на борту. В итоге на мой взгляд в среднем почти все реально не используют возможности корреляции.

А как дела обстоят у вас: сколько или какой процент сценариев использует сложную корреляцию с одного источника? А сколько прямо с нескольких?