Не в нашим силах здесь что то изменить . Наверно некоторые из нас могут помочь активной обратной связью

Не понял

Попросят, и ещё как ))
Это же отражено в регламенте. Или как он называется

До этого установка осуществлялась в стиле запусти, поправь конфиг и т.д. дока по установке 18.0 для распределенных систем.

Гибко, делай, что хочешь. Кластер не кластер. Проблема во множестве конфигов и настроек. И их согласованности.

Требования для госсопки превышают возможности заказчика.
Из серии "а давайте дампить весь трафик". Со всеми вытекающими.
Ясно, что когда делаешь анализ событий думаешь, что было бы не плохо.... Но это из серии "знал бы прикуп жил бы в Сочи"

Как показывает моя практика - установить и первично настроить любую систему СИЕМ (в том числе и MP SIEM) это не самая сложная задача. Куда важнее, что после того, как от этого процесса отключается адекватный интегратор/вендор, КПД СИЕМ падает в разы сразу же и деградирует с течением времени.
И зачастую проблема не в продукте, а в "пользователях".

А это да. Согласен. Но мы честно говорим как минимум  не скрывая. :) И есть ещё пару вещей.
1. Siem очень требователен с точки зрения рынка. Открываем конкурсные документы и видим там 100 страниц требований включая резервирование и ещё какую нибудь важную УЕБУ. И тебе (если ты вендор) просто необходимо сделать так чтоб продукт это умел. И не важно что скорее всего это никому не нужно будет и что из-за этого тот же инсталлятор будет Овер квалифай.

2. Давайте будем честны. Внедрение siem в 90% делает партнёр за сумму  с шестью нулями. И наверно странно если этот  партнёр начинает говорить что почему у него система не ставиться как обновление яблока? Все таки за такие деньги можно и в консоль поступить и  с вендором пообщаться.
Да мы пытаемся спрыгнуть с этого чтоб как минимум партнеру было приятнее с нами работать, но исходно ведь вот так.

Выше Ответ на это.

Вот именно, что кто в лес и по дрова, что происходит может сказать только человек который ставил. Даже не интегратор. А документация ему дарует долю фантазии.

Не соглашусь: лучше делать что-то одно, но качественно, чем кучу всего, но посредственно

Я как бы это описал на примере при переходе с 18 на 19 версию. И при миграции эластика с одно узловой конфигурации.

Если взять qradar, то там тупо переписываются все конфиги. Пользовательские настройки имеют строго определенное место.

Осталось выбрать то самое одно)))

Так определитесь уже😂

Интеграцию за сумму с каким-то нулями не видел. Видел как ставили перед фактом - должен работать.

Я спросил себя, не сходить ли к психиатру - мнения разделились
Это про будни продуктового планирования

Наши коммерсанты стараются обходить стороной данный вопрос, так как больше вопросов чем ответов.

Ребята из Positive, нужно отдать вам должное, что вы открыты для общения, это мега большое достижение, хочется верить, что это не «добровольно, принудительно» и вам действительно важно мнение сообщества.

Нам важно. И мы хотим срезать часть длинной цепочки коммуникаций по стандартному пути