Я много чего говорю, мало кто слушает ;-( Поэтому L1 у многих есть. Иногда на L1 и заканчивают построение SOCа

👍👍👍👍👍

Увы, всегда всё сходится к заинтересованности самого Заказчика. Кому действительно интересна практическая польза от СИЕМ и у него при этом есть хоть чуть-чуть времени сделать что-то самостоятельно, тем мы ("группа поддержки" одного вендора) очень пытаемся помочь. )

И нормализации:)))

Потому у нас как? Купили, поставили и вспоминаем когда документацию к ис пишем...

Фидбэков нет, развития нет...

Обучали бы еще писать это все...

Вот тут и по обучению - у меня даже глаз не дернулся. У нас с этим всё неплохо)

Обучают все вендоры... Вопрос в том, почему этого недостаточно

Ребята, я у вас учился...

Я не буду ничего говорить, ок?

Моя учеба по сиему кончилась на том как завести активы и как фильтровать события

У вас.. у нас... Я в этом чате не различаю.

Норм?

В пт

Я в целом, по отрасли

Я что учился что нет, за это еще и деньги берут

Меньше спать нужно было за партой. Вопросы написания контента - нормализации, корреляции и пр там хорошо рассматриваются.

Если заказчик заинтересован и может сам многое сделать, то может ему дорогие SIEM не нужны? Можно обойтись эластиком? Или оссимом? А дальше «все сам». А если заказчик платит кучу бабла, он хочет иметь (что логично) инструмент, который ему поможет выстроить SecOps и будет наполнен (и регулярно пополняться) базой аналитических правил. Вы же, когда покупаете AV или IDS не пишете для них свои сигнатуры? Чуть допиливаете? Да. Что-то свое добавляете? Да. Но костяк у вас от вендора. А иначе ничто не мешает взять tcpdump или wireshark и на их базе ваять систему анализа сетевого трафика.

Я не про деньги)