Vogliamo costruire un SIEM con uno stack ELK, per un'azienda di software multi sito (10 sedi, 10k persone). È consigliato un motore di correlazione specifico per la sicurezza o non è necessario?
Come possibili motori di correlazione dedicati alla sicurezza, abbiamo identificato: CorEactive / Esper, Drools, NodeBrain, Prelude, SEC. Alcuni motori di correlazione recensioni raccomandano Esper come il miglior compromesso per prestazioni, flessibilità di configurazione e facilità di installazione. Ma non so se sia una buona idea usarne uno.