В общем в данный момент вы пытаетесь решить проект с хвоста. Типа мы счас сиэм затащим, людей под него научим( но эт не точно), а потом может быть поймем, нафига внедрили и чего с этим всем делать

Партия сказала, бюджет выделила - надо внедрять.

Ну не совсем так всё-таки, хотя уверен часто так и бывает )

Это такой реверсивный подход, да :) На самом деле я хочу понять как это работает на всех этапах. От принятия решения о внедрении до геморроя, который начинается после

Тогда стоит сходить и посмотреть фундаментальный курс какой нить по безопасности, от того же гугла. На многие вопросы будут ответы. Ну и да. Еще раз повторюсь. Дайте себе ответ на вопрос - какую вы задачу хотите всем этим решить?

совет хороший, по крайней мере для понимания технических аспектов но не уверен, что там будут ответы на все вопросы про то как это в суровых жизненных реалиях работает грубо говоря, у меня перед глазами пример двух брокеров одного масштаба. у одних есть настоящий, работающий siem, у других он может и заявлен, но в жизни не работает. понятно, что ИБ-отдел у второго брокера тоже существует и как-то решает свои задачи, пусть и другими методами и вот непонятно, говорит ли это о том, что первый брокер молодец, а второй нет, если результат один и тот же

Там про техничку как раз таки оч мало. Там скорее про то как это должно работать не с технической, а с орг точки зрения. Техничка тож есть но весьма мало. Так вот сильно зависит от подхода. Просто сиэм это инструмент. Вот и все. Нужен ли он, зависит от задач. Как я собственно писал выше уже дважды.

да, про то, что это инструмент и при решении использовать его или нет нужно исходить из задачи я понимаю если вернуться к началу, то сейчас я хочу понять как раз какие задачи и насколько успешно удается решить с помощью siem-систем компаниями, которые его внедрили и каждый день имеют с ним дело в реальном мире, а не в статьях в блогах вендоров таких систем, которые я, конечно, тоже почитал. чтобы дальше на основе их опыта можно было понять, подходит ли в том или ином случае siem для решения схожих задач или нет

Было недавно обсуждение про специализированный сканер, который кипы бумаг быстро переводит в цифру. Стоит дорого, работает шустро, но реально надо -- мало кому. Любой инструмент решает задачу. Если вы хотите понять, есть ли у вас задача, то вы не выберете правильный инструмент. Купите что-то, что будет плохо работать и не отвечать реальным запросам инфраструктуры. Такие штуки автоматизируются путём изменения процессов в компании, имхо 🤓

но для того, чтобы решить подходит тебе такой сканер или нет, насколько он хорошо переводит бумагу в цифру и как, например, умеет работать с картинками и текстом на разных языках перед покупкой хорошо бы пообщаться с теми, кто его уже купил, а не ориентироваться на сайт производителя этих сканеров, верно ведь? 🙂

Вопрос имеет сильно много переменных. В этом проблема

Не совсем. Это не масс-маркет, где по отзывам можно выбрать пылесос

правильный вопрос. когда вам надо выбрать сканер - да, имеет смысл задавать вопросы в такой формулировке. а когда вам непонятно, надо ли вам покупать сканер, робот-пылесос или вообще кофемашину и вы пытаетесь получить отзывы именно о сканере - с большой долей вероятности вы купите не то и потом будете сокрушаться, что "чота он херово сосет. да и кофе приходится у секретарши просить сварить"