Источник вдохновения — статья «Глубины SIEM: корреляции „из коробки“».

Цель: разработать программную систему (типа Security information and event management), демонстрирующую возможности сбора и анализа событий безопасности (логи МЭ, АВ) с элементами слабого ИИ.

Требования к системе:
— модульность (внешний API);
— в основе конечных автоматов (ДРАКОН-схемы);
— в основе система управления знаниями (вместо правил ЕСЛИ, ТО);
— анализ поведения пользователя (выявление аномальной активности на хосте) [тут];
— активация правил МЭ;
— сигнатуры и поддержка SIGMA правил;
— интеграция алгоритмов машинного обучения и неглубоких нейронных сетей;
— прогнозная аналитика;
— веб-интерфейс (Flask, Django);
— elastic stack (noSQL);
— ... на этом фантазия пока закончилась.

Язык реализации: Python 3.7 и выше.

Платформа: ОС Debian

Кодовое название системы: pySIEM

Аналоги в РФ (буду следить за успехами):
— Ankey ASAP;
— кто-то еще.

Пишут, что можно за 1 день разработать SIEM.

Более подробное описание системы будет в Вики.

Сравнение SIEM-систем:
— Сравнение SIEM-систем. Часть 1
— Сравнение SIEM-систем. Часть 2