Ezt a puff neki hozzáállást nem érti meg a kolléga, hogy így nem lehet ... A másik, hogy jelenleg csak én követem a működő SIEM-ünk bejegyzéseit is, tehát csak azért, hogy ott neki legyen egy Dashboard, de igazából az Icinga-t sem figyelik, hogy melyik szerveren melyik szolgáltatás hasal el, vagy melyik szerver állt le, ez is felesleges (a Wazuh-t azért akarja, mert szerinte akkor nagyobb biztonságban leszónk, hamarabb kapunk értesítést az incidensekról, meg hogy az mihez kapcsolódó kontrollt takar), csinálok benne lekérdezéseket, stb. Ahhoz bele kell jobban ásni magát a Windows lelki világába, eldönteni, hogy mit akar és hogyan védeni. A mostani SIEM adatait nézve másodpercenként ennyi gépnál is iszonyatos mennyiségű információ esik be.
Az Symantec EDR-t meg nem bírtam életre kelteni, mint máshol írtam (ESXi hiányában sem Proxmox alatt, sem fizikai vasra téve).
Amíg a kliens gépek (nem vírusvédelemre gondolok, mert az van, de finomhangolva nincsenek a gépek), vagy az épületben lévő hálózat nincsenek megfelelően belülről védve, én először azzal foglalkoznék, mert jelentősen lehetne vala naplózandó eseményt és problémát csökkenteni ...