Risorse Software di risposta agli incidenti

Ho cercato di capire quali piattaforme di risposta agli incidenti si integrano effettivamente bene con i SIEM invece di vivere nel loro silo. Idealmente, mi piacerebbe una piattaforma che possa centralizzare tutto, collegarsi al monitoraggio esistente e rendere più facile l'esecuzione dei playbook. Guardando la griglia di G2, eccone alcune che si distinguono:

• KnowBe4 PhishER/PhishER Plus:  Molto forte nella gestione degli incidenti di phishing, con un certo supporto per l'allerta più ampio, ma meno frequentemente citato per integrazioni profonde con i SIEM al di fuori dei flussi di lavoro focalizzati sulle email.
• Dynatrace: grande sull'osservabilità, sembra un adattamento naturale per collegare gli incidenti con i dati di monitoraggio/SIEM.
• Datadog: già forte nel monitoraggio, quindi curioso di sapere quanto bene collega i flussi di lavoro degli incidenti agli avvisi SIEM.
• Tines: orientato all'automazione, i revisori spesso sottolineano come estrae avvisi dai SIEM e avvia i playbook.
• Torq: spazio simile a Tines, presentato come flussi di lavoro flessibili che si sovrappongono agli strumenti esistenti.
• Cynet: si presenta come consolidato, quindi mi chiedo quanto bene si integri con i dati SIEM.
• ServiceNow Security Operations: sembra popolare nelle imprese per collegare i flussi di lavoro IR al resto dello stack IT.
• Palo Alto Cortex XSIAM: Costruito per i flussi di lavoro SOC, si integra bene con l'ecosistema di Palo Alto e può collegarsi ai SIEM.
• IBM Instana:  posizionato più sull'osservabilità ma curioso di sapere quanto bene si integri con gli strumenti SIEM esistenti.
• CYREBRO: emerge come un hub centralizzato, potrebbe essere utile per raccogliere avvisi SIEM.

Da quello che posso dire, Tines, Torq e ServiceNow sono quelli che la maggior parte delle persone menziona per le integrazioni SIEM, ma mi piacerebbe sentire esperienze dirette.

Qualcuno qui li usa quotidianamente con Splunk, Sentinel o un altro SIEM? Quale piattaforma rende effettivamente il passaggio fluido invece di aggiungere più rumore?

Come si modifica un modello dopo che è stato creato e salvato? Non sono sicuro se sia possibile, ma spero di sì.

How long does it take to set up an integration in GreyMatter?