По поводу MISP и Virustotal в самом IRIS рассматривал. Выбрал Cortex, из-за того, что там есть другие анализаторы + очень важное - это респондеры. Для Cortex уже много есть из коробки и удобнее писать самостоятельные.
У SIEM есть свои агенты, которые выполняют роль реагирования
По поводу MISP и Virustotal в самом IRIS рассматривал. Выбрал Cortex, из-за того, что там есть другие анализаторы + очень важное - это респондеры. Для Cortex уже много есть из коробки и удобнее писать самостоятельные.
У SIEM есть свои агенты, которые выполняют роль реагирования