Ты что-то сильно политкорректен)

ELK очень хорош, если у вас голое поле и нужно начать хоть с чего-то, и не менее хорош, если у вас есть команда, которая умеет и понимает какие фичи нужны для вашего SOC. Нам потребовалось около года, чтобы перелезть полностью на свой "набор SOCовода" (не говорю SIEM, т.к это только часть инфры) с ELK под капотом.

С чистого ELK?

В качестве основы был Arcsight.

ИБ хочет ELK, а ИТ ласково подталкивает в сторону Maxpatrol

Если вкратце о контексте :)

Вы же и аутсорсинговый SOC еще пробовали

Это сарказм?)

Нет. Немного в России компаний, которые юзали коммерческий стек у себя, аутсорсинговый SOC и допиленный под себя opensource

Прям крутой опыт. Я бы послушал о нем.

Может уже где-то рассказывали?

Да. Скоро все будет доступно

Хотя там не очень глубоко, но для начала норм. Остальное можно будет с авторами на SOC Forum перетереть

Супер!

А что конкретно вас интересует? Присылайте вопросы! Ну и да, на SOC Forum можно будет обсудить

Вопросы просты: 1. какой платный СИЕМ использовали, что в нем не нравилось настолько, что решили перейти на ELK. 2. сколько было людей, кто рулил платным СИЕМ. 3. сколько из них осталось работать с ELK. 3. Каков размер команды сейчас. 4. Если есть люди, кто фокусируется на поддержке работоспособности, то сколько их. Были ли эти роли и в команде, работющей с платным СИЕМ.  5. Каков сейчас EPS на входе в ELK. 6. Сколько правил корр. работает сейчас, сколько работало в платном СИЕМ. 7. Какой размер инсталляции ELK: сколько серверов/ВМ и какая конфигурация. Какой размер инсталляции был на платном СИЕМ. 8. Как сейчас выглядит инсталляция ES.

Цель всех вопросов сравнить apple-to-apple

Я уже слышал истории про платном СИЕМ на потоке 10К и то как перешли на ELK. Но команда стала х3, поток упал до 5К и по железу выросли на x2

поэтому хочется деталей в каждой такой success story

Ну вот хорошо же сидели, чего ты начинаешь-то? :))