👍

Так чьи костыли лучше? 🙃

по разному бывает)

А это хорошая тема для отдельного исследования )

Всем большое спасибо за то, что ответили на мои вопросы

Странно, что никто не написал, что любой продукт это всего лишь инструмент, с которым работают люди.
ИМХО, разницу (фактическую пользу от любого продукта) приносят именно люди. Поэтому, очень важны вопросы удобства (да и просто привычки), умение использовать продукт конкретными людьми для решения конкретных задач.

Красивый (дорогой коммерческий продукт) не гарантирует вам ровным счетом ничего (кроме возможности обращения к вендору). Его нужно уметь правильно установить, настроить, поддерживать и анализировать то, что он генерирует. + поставляемая в продукте экспертиза всегда вызывала у меня вопросы и необходимость потратить много времени на её доработку.  

Упрёки в сторону опенсорс, что он чего-то не может - знаю несколько организаций, где ребята неплохо справляются практически только опенсорс средствами для решения конкретных задач. Например, мне вспомнился доклад Данила Бородавкина на PHD 2017, где он рассказал про свой опыт создания песочницы на базе опенсорс (http://2017.phdays.ru/program/231392/).
Опенсорс СИЕМ не пережевывает большой поток - можно грамотно масштабировать инстансы и накрутить верхнеуровневую агрегацию детектов (правда я так ещё не делал в проде).

Если действительно хочется разобраться в вопросе, то лучше поучаствовать в нескольких больших проектах с интересующими вас системами (внедрение или уже эксплуатация в рамках процессов SOC). Если есть ресурсы, то можно развернуть и посмотреть на некоторые опенсорс проекты:
https://securityonionsolutions.com/software
https://github.com/Cyb3rWard0g/HELK
https://github.com/philhagen/sof-elk

и триалки дорогих продуктов:
https://www.ibm.com/community/qradar/trial/
https://www.splunk.com/en_us/download.html
...

ага - причем смотришь сколько воды утекло и функционала добавилось, а самое главное игроков )

Думаю, что UEBA для анализа трафика сотрудников идущего через периметр - одно из лучших решений. Приведу пример: допустим сотруднику разрешен Яндекс.Диск и он обычно скачивал оттуда файлы, а тут вдруг отправил туда 2 гигабайта - это явный признак риска, на который отреагирует аномальная система защиты и человек в SOC, даже если трафик зашифрован.
Так, для примера, ломали ФОИВы - об этом как раз выступал Солар и НКЦКИ  - пользовались российскими файлообменниками специально, чтобы не вызывать подозрений. Если бы в ФОИВ стоял UEBA или NTA или XDR (внутри XDR есть UEBA) на периметре, то это было бы замечено.
А если бы они расшифровывали этот трафик на периметре, то они бы могли даже узнать имена файлов и тип файлов и даже ограничить эти типы или подключить DLP для понимания финансовые это или юридические документы хотя бы. Так что UEBA для анализа действий пользователей в Интернет - очень даже подходит.

Знаю вендора, у которого ML определяет zero-day с точностью 95%. Так что такие системы уже есть и используются повсеместно

ML применяется сегодня в ИБ для следующих задач:
- определение и блокировка DGA доменов
- обнаружение новых фишинговых сайтов
- категоризация сайтов (дополнение к стандартной URL фильтрации)
- распознавание типа IoT устройства
- обнаружение zero-day в новых файлах, которые приходят в компанию из Интернет

... ок

Спасибо, Денис! Уже выбрал себе тему для дипломной работы. У меня направление разведка-расследования, в направлении разведки и выбрал. После к расследованиям подберусь. Уже задумок много. Semper in motu

А вот интересно, как, с такой высокой вероятностью, можно утверждать, что система выявляет то, чего, теоретические, ещё никто не знает

Это и есть определение 0дей

Меня смущают 95 процентов

очевидно: провели тесты - получили такое значение.

То есть нужно было как минимум 20 0-day.

Я бы почитал полный отчёт

чтобы меня не обвинили в рекламе, прислал в личку