Возможности:
- Немедленное реагирование на событие типа инцидент, в режиме реального времени, из пайплайна обработки событий
- Реагирование с подтверждением оператора, через Telegram
- Логирование всех операций с ротацией локально на сервере интеграции
- Передача логов в syslog
- Получение изменения состояния инцидента от инженера, через чат Telegram
- Хранение всех полученных событий и их состояния в SQLite для дальнейшего отчуждения
- Есть возможность добавить реагирование на endpoint узлах через RAT / EDR
- Есть возможность передачи состояний по API обратно в SIEM
ВАЖНО : Ваш сервер должен отвечать пайплайну максимально быстро, используйте потоки и кеширование!!!
