В статье Евгений Грязнов, Владислав Архипов и Алексей Дмитриев рассказывают, как в Yandex Cloud построили SOC as a Service (YCDR): изоляция и доступы через IAM, сбор событий через коллекторы и агенты, потоковая корреляция на собственной SIEM поверх YDB. Объясняют, зачем понадобился свой SIEM для обработки >500 тыс. событий/с и длительного хранения, и делятся планами (мультиклауд, детекты по Flow-логам, расширенный поиск).