admin ไปเจอ open source อันนึงมา concept มันเจ๋งมาก คือการเทสว่า SIEM ของเรารับมือกับภัยคุกคามหรือ malware ได้มั้ย โดยเครื่องมือที่ว่าคือ ypsilon เป็นการรวมเอา SIEM (Splunk, ELK) + Malware Analysis(Cuckoo) + Automation Deployment (Ansible) มาผูกด้วยกัน โดยสิ่งที่ Ansible จะ deploy ไปยัง Malware Analysis, SIEM คือ malware และ Sigma ซึ่งเป็นภาษากลางที่เอาไว้แชร์กันระหว่าง SIEM ทั้งหลายนั่นเอง โดยส่วนตัว admin มองว่าเป็นความคิดที่ดีมากเลย หากใครทำ SoC อยู่แนะนำให้ลองเอาระบบนี้ไปปรับใช้กับองค์กรดูนะครับ การจะสร้าง use case ใหม่ๆแล้วทดสอบด้วย SIEM น่าจะทำได้ง่ายขึ้นมากเลย

Link