Читай хедекс, там все написано

А почему бы и нет?)

IDS/IPS не способна нормально хранить трафик. Выдернутый из сессии пакет ничем никому не поможет.
IDS/IPS не умеют в нормальный индекс трафика
IDS/IPS не могут в самые банальные механизмы детекта, кроме сигнатурного
IDS/IPS не понимают некоторые протоколы в принципе
IDS/IPS имхо полезна на периметре, но не внутри
IDS/IPS не помогает валидировать сработки
IDS/IPS из коробки не имеет нормального функционального гуя чтобы потыкать, поискать
IDS/IPS не умеют в хост менеджмент

Можно до бесконечности продолжать))

Lol wut

->IDS/IPS не способна нормально хранить трафик. Выдернутый из сессии пакет ничем никому не поможет.
Вполне нормально выкачиваются целые файлы из срабатываний

->IDS/IPS не умеют в нормальный индекс трафика
Не совсем понял про индекс. Если трекинг потоков трафика то это разве их обязанность а не ngfw и иже с ними?

->IDS/IPS не могут в самые банальные механизмы детекта, кроме сигнатурного
А как же отправка вытащенных образцов файлов в песочницу и последующее уведомление?

->IDS/IPS не понимают некоторые протоколы в принципе
Ну понятно что ВСЕ охватить невозможно. Вопрос разрешать ли непонятный протокол в сети это уже на усмотрение администратора.

->IDS/IPS имхо полезна на периметре, но не внутри
Т.е. сканы сети с ИП телефона нас не уже не особенно интересуют? :D

->IDS/IPS не помогает валидировать сработки
Валидация сработок задача сотрудника SOC. И делает он это не по одним логам IDS/IPS а по логам со всей инфры. IDS/IPS в данном случае просто еще один сенсор для корреляции.

->IDS/IPS из коробки не имеет нормального функционального гуя чтобы потыкать, поискать
Это смотря из какой коробки. Посмотрите IDS из top4 по Гартнеру, мне кажется там и моя бабушка трафик анализировать сможет.

->IDS/IPS не умеют в хост менеджмент
Кофе они тоже не варят. И то и то не является их прямой задачей. Те же ngfw на которых стоят ids/ips вполне спокойно это делают и даже репортят уязвимости конечных хостов

А если файлов не было в сессии?
Значит нет атаки?

Если была атака и файлов не было будет кусок сессии с атакой в виде pcap файла в котором можно посмотреть как атака проводилась

Такс, валидация задача сотрудника сок, отлично) а что если логов с хоста нету, или их отрубили во время атаки?) как узнать что ходило на с2 и что ушло?)

Тогда можно подписать на срабатывания IDS стажера с 3 курса и пусть он без SIEM и корреляторов разгребает все логи :D

Ну например малварь сделанная по fileless, файла как такового нет на тачке, а запросы с keep alive летят. И непонятно что кроме них есть ещё. Рул сработает на пакет, выдернет пакет. Но как узнать всё что было с с2, но на что не сработал олерт?

Но это же рождение галеры 😄

Зато опыт и дружный коллектив! 👌👍

Например? DNS тоннель? Вполне можно по запросам оттрекать. Да и норм IDS показывают тип атаки если задетектили и причину если проблема не в самом содержимом трафика а, например, в том что он идет на well-known botnet cnc

Ну да, покажет, но как в трафик то посмотреть что ушло и как свалилировать что сработка не ложная ?)

Отсюда проблема в том что надо хранить сырой вид трафика, а эт дорого(

Так там прям ссылка на описание дается. Типа вот такой то хост от вас принимает кипелайвы и он в списке злых ботнетов. Вот такой-то хост ему трафик шлет. Может нам ему что-то плохое сделать?

Ну это да, вопрос что на с2 то ушло из данных. Пароли, доки, Почта?

Без сырого трафика это сложно восстановить

Ой ли дорого? Когда жестячок на террабайт стоит 100 долларов а окошко для трекинга трафика нужно в 2-3 недели максимум (а после кто там за ним полезет вообще)?