Что такое security monitoring и как его выстроить?

Security monitoring = непрерывный сбор, анализ и алертинг security-значимых событий. Слои: инфраструктура (CloudTrail, VPC Flow Logs, GuardDuty), контейнеры (Falco, Aqua, Sysdig), приложение (AppSec логи, auth events), endpoint (EDR). Централизация в SIEM или Datadog Security. Use cases для алертов: impossible travel (вход из двух стран за 5 мин), brute force, privilege escalation, data exfiltration patterns. Mean Time to Detect (MTTD) — ключевая метрика, цель < 1 часа.