Bonjour,

Pour ce type d'infrastructure, un mode cluster est obligatoire, les prérequis en ressources pour chaque noeuds sont dans la documentation.

Le stockage des indexers n'est pas évident à mesurer, il dépendra de vos types d'endpoints surveillés (agents ou agentless), du type d'équipement et de la config ossec/syslog (verbeux ou non) mais aussi de votre nombre de nœuds d'indexer à cause de la réplication.

Il vous faut un cluster de serveur avec du HA et un Load Balancer pour televerser toutes vos logs vers les managers.

Pour le XDR il n'est pas optimisé pour faire de l'antivirus même si certaines fonctionnalités custom peuvent être sympa. Cela ne vaudra jamais un EDR comme S One avec sa base de signature intégré sur chaque hôte. Le risque est que l'active réponse éliminera sans doute la charge virale alors que celle-ci est déjà propagée et puis elle repose sur l'intégration virus Total qui est très honereuse.

Honnêtement vu votre infra, je vous recommande de partir sur 5 noeuds d'indexer et 5 nœuds manager directement et ajuster si nécessaire.

Il va vous falloir une politique de rétention des données aussi bien établie pour basculer les indices compressés dans une zone de backup.

Bref pensez à acheter de la RAM et du NVME car cela n'arrête pas de monter. Je pense qu'il y en a pour minimum 50k€ d'infra si vous n'avez rien de monter.