Open Source SOC: реальность или утопия?

Иногда встречаю запросы на импортонезависимость в ИБ и желание заменить коммерческий SOC на open source решения. Сегодня слушал интересное выступление Ивана Дьячкова из Wildberries про построение SOC на Open Source.

🛠 Как SOC на Open Source выглядит на практике:

Замена платным SIEM: ElasticSearch/OpenSearch, ClickHouse, Hadoop, Tenzir, OpenObserve (хранение); Logstash, Vector, Kafka Streams, Apache Flink, NiFi (обработка); Kibana, ElastAlert, Flink, Custom Engine (корреляция/алерты).

Замена платным EDR: osquery, wazuh, Velociraptor, Elastic Agent.

Замена платным NDR/NTA: Arkime (Moloch), Zeek — выявление атак по сетевому трафику, Suricata — IDS/IPS, TheHive — обработка инцидентов.

Замена платным IRP / SOAR: TheHive, IRIS DFIR, Catalyst, Cortex, Shuffle, n8n, Airflow, Node-Red, Tracecat, NiFi, DIY-подход.

Threat Intelligence: MISP, YETI, OpenCTI, ELK (Enterprise).

Honeypot/Deception: Иван дал отличную ссылку на список Honeypot.

Плюсы: — Импортонезависимость — Экономия на лицензиях — Гибкость и масштабируемость — Можно подстраивать под свои задачи

Минусы: — Нет единой консоли, всё разрозненно — Все кейсы, корреляции, автоматизацию нужно разрабатывать самому — Требуются сильные инженеры (DevOps/SOC/IR). Очень сильные. Экстремально сильные. И дорогие. — Проблемы с аудитом, поддержкой, комплаенсом — Риски “брошенных” проектов OSS, слабая поддержка

Резюмирую: Да, Open Source SOC реален для тех, кто готов инвестировать в сборку и эксплуатацию собственной системы SOC/SIEM/EDR/NDR/IRP/TI на OSS. Отличный вариант для импортонезависимости и гибкости, но требует ресурсов, компетенций и времени на настройку, интеграцию и сопровождение. Не подходит для малого и среднего бизнеса.

А вы уже внедряли или пилотировали Open Source SOC? С какими затыками столкнулись? Готов обсудить детали, поспорить по архитектуре и поделиться опытом!