SIEM

Security Information and Event Management (SIEM) — это центральная платформа аналитики журналов SOC. Она собирает логи и телеметрию с межсетевых экранов, конечных точек, систем идентификации, облачных API, приложений и сетевых датчиков, нормализует и хранит их, чтобы правила корреляции, статистические базовые линии и модели машинного обучения формировали приоритизированные оповещения. Современные SIEM (Splunk, Microsoft Sentinel, Elastic, Chronicle, QRadar) поддерживают подход detection-as-code, UEBA, обогащение данными threat intelligence и интеграцию с SOAR для автоматического реагирования. SIEM выступает источником правды при расследованиях инцидентов, отчётности по комплаенсу и долгосрочном хранении криминалистических данных.