В плане бюджета это скорее про dedicated SOC команду которая будет за ивентами следить и постоянно день за днем подкручивать шаблоны анализаторов. Модули SIEM на любых ELK сервисах достаточно хороши и относительно не дорогие если речь про средний корпрорейт. Без хорошей SOC команды, любой siem превращается в назойливый белый шум
В среднем корпорейт siem нужен только для того, чтобы соответствовать регуляции. Реальная *нужда* в этом инструменте возникает в организациях от 10к эндпойнтов и выше. Естественно у сервис провайдеров другая история