И я об этом. А теперь вопрос - где ретро, если не в СИЕМ?

я бы поспорил. Скорее не надо каждый час гонять миллионы иоков. это да. подходить надо умно. но это как раз  задача SIEM

потому что больше негде

Мы свой пилим на Кликхаусе

тягайте агрегаты из сием во внешнюю базу и обрабатывайте там

не стоит спорить я тебя бенчмарками СУБД закидаю :) и описанием физики процессов в СУБД )))

вы события параллельно в клик пишите?

Смотри, все потребности что ты перечислил есть почти везде (ттл мне кажется вам совсем не нужен).
Дальше вопрос интеграции - суибы сами забирают или тип в них пуляет или третий сервис-управлялка это делает - это уже как вы захотите. Api почти везде сейчас есть
Основной вопрос что вы хотите делать сами, а что получить из коробки/чтобы вам сделал интегратор.
Функционал классических ТИПов почти везде одинаков и подпадает под ваши хотелки

ты конечно прав, спору нет. Но давайте признаем это история только для избранных

Во второй сием

выжимки из событий

ip,domainname, hash?

И источник

по каждому типу индикатора минимально необходимый объем данных, по которому можно сказать "где и когда он найден или не найден"

+url+registry

🙈

дальше если найден - при желании можно прицельно дергать все событие

как вариант :) В котором будет сильно меньше данных и никакой "левой" нагрузки

Не вздумай ставить это ко мне в разработку)

я и не собирался :)