Спасибо за ответы :) Уточню ещё пару моментов: 1. Не очень понятно, где на практике проходит водораздел после которого внедряется siem. Не теоретический про то, что когда цена ошибки становится дороже внедрения, а практический, на основе того как это сейчас работает в компаниях, которые его уже внедряли. Что служит триггером для его внедрения 2. Как раз про команду SOC. Предоставить себе SIEM без полноценной SOC команды невозможно? Если почитать то, что вендоры пишут у себя на сайтах, то кажется, что уровень автоматизации уже достаточно велик и будто для среднего размера компании выделять отдельную команду не нужно и может быть достаточно ИБ компетенций у текущей ИТ-команды

Для начала ответьте себе на вопрос какую задачу вы хотите решить при помощи Siem системы. Т.е не в духе стильно модно молодежно, а конкретно какую применительно к своей компании/инфре/етц

1. На этапе, когда возможностей edr и прочих хостовых/облачных средств защиты недостаточно, появляются риски например в бизнес логике (критичные кастомные сервисы типа биллингов, сложные процессы в ad, куча взаимосвязанных сервисов), которые нужно митигировать Upd. Иногда оно внедряется чисто для комплаенсу, но це моветон 2. Можно нанять коммерческий soc в качестве l1-l2, если компетенций и возможностей для реагирования у it достаточно, но качество таких соков обычно так себе. К нам на собесы приходят чуваки из таких соков, и качество у них зачастую почредственное. То что вы говорите это скорее про сыязку siem-soar, оно действительно хорошо автоматизирует и упрощает процессы, но все равно нужны спецы, которые ее будут настраивать, внедрять и обслуживать, иначе это пустая трата огромных денег

Понял, спасибо за ответ Да, я про случай когда это делается не условно для прохождения pci dss, а для того, чтобы работало То есть, насколько я понимаю, после внедрения становятся насущной проблемы ресурсы команды, которая с этим siem работает?