тут внезапно все сильное серьёзнее чем в прошлый раз.

Бюрократический интерьер :)

Алексей, я дальше начал кусок дискуссии на тему :) смотря что называть L1 и L2

Вот тут начал :)

Ну и из банального. Когда у заказчика в 9 вечера пятницы перед отправкой рейса на АРМ КБР установилась новая системная служба, кто-то должен увидеть это глазами и дозвониться.  Именно обязательно дозвониться по списку из 7 телефонов и начать эскалацию, если не получилось , а не написать автоматически письмо /отправить сообщение в телеграмм/ отправить сигнал в стратосферу (нужное подчеркнуть).  Казалось бы инцидент легко автоматизацию пройдёт.  Но без 24*7 не сработает. А в головах большинства клиентов 24*7 и наличие l1 почти слова-синонимы.

Кейс синтетический, в жизни хватает других, но логику объясняет

Владимир, добрый день. А можно чуть больше информации - почему именно не сработает, если придёт автоматическое уведомление? У меня есть гипотеза что вы говорите о ситуации, когда тот, кого нужно уведомить фактически 24*7 НЕ работает, но если его кто-то "напряжет", то сделает нужные действия. И в роли этого "напрягатора" у вас должен сработать "звонящий", работающий 24*7. Я правильно понял ваши предположения?

Судя по тому что написал Владимир - ситуация ровно обратная. Вы не верно прочитали сообщение. 24/7 как раз для того чтобы уведомить тех на кого эскалировать

Ибо они не читают почту/уведомления у них в фильтрах/они выпивают на праздниках и не смотрят в уведомления и т.д.

Доброго дня. В целом сейчас мне кажется  примерно об одном написали. Действительно incident response manager крайне редко в состоянии быть 24*7.  Дорого, неудобно, непонятно зачем. Я вот например сейчас,  как одна из точек эскалации по нашим инцидентам, вроде и нахожусь недалеко, в пределах второго бетонного кольца Москвы, но интернет у меня только в выбранной точке территории. Поэтому мне надо обязательно позвонить.  Дальше я смогу все функции выполнить, но сигнал только голосовой.  И это в нашей цифровой Москве.

Но повторюсь, это только самый очевидный вопрос в сторону наличия дежурной смены /1-й линии. По сути и задача сложнее, и вопросов много больше

Автодозвонщик + голосовое сообщение?

Народ, прекратите превращать эту группу в балаган! 250 сообщений за два дня и 80% не по существу. Спам и избыточные вопросы! Надо спросить у конкретного человека - в личку пишите, свои домыслы и убеждения для конкретных людей - пишите в личку и разводите там хоть вселенский флейм!

А если я, как заказчик, привёл цепочку эскалации: двадцать минут звонить сюда, если не дозвонился - то руководителю,  а если не выходит - то картбланш на изоляцию рабочей станции силами ИТ при определённых инцидентах? Конечно можно на скриптах и магии и такую последовательность записать,  но ещё раз - это просто базовый пример, видимо не самый удачный, учитывая ваши вопросы.

Основная мысль - 24*7 в онлайн нужен мыслящий человек от иб, а не роботы и скрипты :)

Последние сутки все нормально же!? Мне вот интересно было почитать

Это «личные выяснялы»

Не обращай внимания

Я мысль понял, и примеры вроде тоже. И мне кажется что формулировка "24*7 нужен мыслящий человек" согласен, но вот в SOC он нужен или в эксплуатации? Насколько я понял- ваше предложение-  в сок. Мне кажется - в эксплуатацию. Согласитесь ли с нижеприведенными аругментами? Имхо в эксплуатацию, потому что задача доставки информации о событии различными способами и путями - мне не кажется и для интегратора/вендора и для заказчика rocket science (число заинтересованных конечно и исчислимо, число способов доставки - тоже). Да, могут быть нюансы вида "а у нас принято оповещения в slack/jabber", но это решаемо обычно во вменяемые сроки. Согласны, или я что-то упустил? А вот задача реагирования (как раз "карт-бланш на..." о котором в вашем втором примере) - обычно в себя включает столько нюансов причем для каждого заказчика, что автоматизации "от интегратора/вендора"" поддается задороговато (много нюансов-много времени, значит дорого будет) И вот тут нужен человек на собственно анализ-расследование-реагирование. И объяснять заказчику почему в его сетке не сработает универсальный механизм реагирования - гораздо нагляднее имхо. На вашем же примере: " и вот после обнаружения новой службы мы этот арм кбр автоматически моментально от сети отключаем "до выяснения". Уважаемый  заказчик, такие действия вас никаких бизнес-процеесов на критическое время не порушат? Ведь после такого отключения те, кто будет с проблемой разбираться подключатся не сразу (комп найти, включить, пароли ввести- минут 15 в выходной точно уйдет, если не больше) - у вас так допустимо?".

Мне кажется что тут управленческую задачу "человек не решает поставленную ему задачу, аругментируя тем что "не знал"" предлагают решить ЕДИНСТВЕННЫМ методом "а мы сделаем 24"7 смену кто точно сделает чтобы ЗНАЛ", упуская  альтернативные варианты. А имхо - они есть и разные.