всем привет!
в чате наверняка много людей связанных с ИБ, либо тех, кто знает людей связанных с ИБ
очень интересует опыт тех, кто работал или работает с SIEM-системами, либо сам строил что-нибудь вроде агрегатора логов + анализатор с выявлением общих паттернов. интересно пообщаться о целесообразности покупки SIEM, реального прока от него, рыночных цен (кажется там что-то мягко говоря не дешевое), основных сценариев его полезного использования и т.д.
тут наверно не всем может быть интересно о таком общаться, поэтому если что пишите в личку

Спасибо за ответы :)

Уточню ещё пару моментов:
1. Не очень понятно, где на практике проходит водораздел после которого внедряется siem. Не теоретический про то, что когда цена ошибки становится дороже внедрения, а практический, на основе того как это сейчас работает в компаниях, которые его уже внедряли. Что служит триггером для его внедрения
2. Как раз про команду SOC. Предоставить себе SIEM без полноценной SOC команды невозможно? Если почитать то, что вендоры пишут у себя на сайтах, то кажется, что уровень автоматизации уже достаточно велик и будто для среднего размера компании выделять отдельную команду не нужно и может быть достаточно ИБ компетенций у текущей ИТ-команды

Понял, спасибо за ответ

Да, я про случай когда это делается не условно для прохождения pci dss, а для того, чтобы работало

То есть, насколько я понимаю, после внедрения становятся насущной проблемы ресурсы команды, которая с этим siem работает?

Это такой реверсивный подход, да :)
На самом деле я хочу понять как это работает на всех этапах. От принятия решения о внедрении до геморроя, который начинается после

Ну не совсем так всё-таки, хотя уверен часто так и бывает )

совет хороший, по крайней мере для понимания технических аспектов
но не уверен, что там будут ответы на все вопросы про то как это в суровых жизненных реалиях работает
грубо говоря, у меня перед глазами пример двух брокеров одного масштаба. у одних есть настоящий, работающий siem, у других он может и заявлен, но в жизни не работает. понятно, что ИБ-отдел у второго брокера тоже существует и как-то решает свои задачи, пусть и другими методами
и вот непонятно, говорит ли это о том, что первый брокер молодец, а второй нет, если результат один и тот же

да, про то, что это инструмент и при решении использовать его или нет нужно исходить из задачи я понимаю
если вернуться к началу, то сейчас я хочу понять как раз какие задачи и насколько успешно удается решить с помощью siem-систем компаниями, которые его внедрили и каждый день имеют с ним дело в реальном мире, а не в статьях в блогах вендоров таких систем, которые я, конечно, тоже почитал. чтобы дальше на основе их опыта можно было понять, подходит ли в том или ином случае siem для решения схожих задач или нет

но для того, чтобы решить подходит тебе такой сканер или нет, насколько он хорошо переводит бумагу в цифру и как, например, умеет работать с картинками и текстом на разных языках перед покупкой хорошо бы пообщаться с теми, кто его уже купил, а не ориентироваться на сайт производителя этих сканеров, верно ведь? 🙂

я уже понял, что видимо не особо угадал с формулировкой вопроса )
но в целом да – он общий и не подразумевает дискретного ответа

если уйти в сторону большей конкретики – на что обязательно нужно обратить внимание при внедрении и эксплуатации siem-системы? или тут тоже всё индивидуально? )