Я вот делал и видел как работает

Делал прототип на python своего NTA, понимаю какие камни есть и там

Не пытайтесь мне продать NTA ;)

Зачем это делать в SIEM, который это делает неоптимально и с большим оверхедом, если это можно сделать специфическим инструментом? Можно выкопать котлован сапёрной лопаткой, кто спорит, но экскаватор подходит лучше.

Стоимость NTA - отличный мотиватор

Стоимость вообще отличный мотиватор )

Так и вижу график: кривая стоимости решения и кривая желания накостылять самому. Они пересекаются в определенной точке

Прототип на питоне чего, простите? NTA - это в первую очередь мат. модели, данные для обучения, классификаторы. На чём его писать - ну кто на чём умеет и что лучше подходит. Некоторые на R пишут, и хорошо работает. И важно как сделано хранение, потому что надо делать быстрый поиск по разным срезам, табличное хранение SIEM для этого не подходит (hint - немного помогают колоночные базы типа ClickHouse, Apache HBase, Vertica и иже с ними).

Вы в курсе что у них у всех kv-движки под капотом? И у табличных списков некоторых вендоров

Вопрос в персистентности и индексной обвязке

Что КХ, что HB колоночные, плоские структуры и ни о каких мего срезах в них речи не идет

Это не многомерные СУБД

Николай, а как ключ-значение, пардон, помогает в вопросе поиска по 17 заранее не известным параметрам, например? А если параллельно у нас граф взаимосвязей с весами строится - с ним как быть, тоже на питоне наваяете, в "real-time", как вы любите писать?

Ну так я открою тайну - хранение колоночное, а вот всё остальное - нет.

Искать по заранее неизвестным параметрам????

И это - не многомерные СУБД, вы путаете с OLAP-анализом

Представляете, да.

Тип поиска - "найти поведение, похожее на модель"

Там вообще СУБД это назвать нельзя