 |
UDV Group: искусственный интеллект в SOC
Андрей Скороходов, руководитель исследовательских проектов UDV GROUP рассказывает о реальных возможностях искусственного интеллекта в SOC, где AI может заменить первую линию, а где без человека не обойтись.
Какие задачи первой линии SOC сегодня действительно лучше всего автоматизируются с помощью AI/ML — триаж алертов, дедупликация, приоритизация инцидентов или первичный контекстный анализ?
Прежде всего автоматизация с ML/AI хорошо интегрируется в процесс приоритезации или триажа инцидентов, поиска аномальных или связанных событий из различных источников. Кроме того, современные LLM модели могут достаточно хорошо справляться с помощью аналитикам как при общем анализе с использованием собственных знаний модели или базы знаний SOC, так и при формировании рекомендаций Заказчику или обогащении инцидента. Также решения с ML/AI могут успешно применяться для формирования отчетов, например, выполняя часть рутинной работы аналитика по сбору и анализу информации.
Насколько высок риск «уверенных ошибок» AI в SOC, когда модель ошибочно подтверждает легитимную активность как атаку, и как это влияет на нагрузку второй линии?
Риск ложных срабатываний моделей ML все еще достаточно велик, и без ограничивающих и корректирующих механизмов это естественным образом будет создавать дополнительную нагрузку на аналитиков, без учета того, что при таких частых сработках пропадет доверие к моделям и потребуется выделение отдельного ресурса для постоянной перепроверки. Можно сказать, что это обратная сторона медали использования моделей, когда за производительность приходится расплачиваться качеством. С другой стороны, если, например, модель обучена на нормальном поведении и выявляет аномальные события, это даст повышенную нагрузку на аналитиков, но позволит выявить атаки, не описанные статичными правилами. В любом случае, увеличение или снижение нагрузки на аналитиков будет напрямую зависеть от качества реализации ML/AI модуля.
Какие типы инцидентов и источники логов остаются принципиально сложными для AI без участия человека, несмотря на развитие LLM и UEBA?
Основная сложность заключается в большом разнообразии программного обеспечения и собственно источников событий, их синхронизации, а также в огромном потоке обрабатываемых событий, не везде программное обеспечение настроено на достаточный уровень логирования и т.д. Поэтому инциденты, оставляющие очень небольшой след в различных источниках, распределенные атаки или атаки, развивающиеся в течение длительного времени, все еще трудно детектировать при помощи представленных на рынке решений.
Как меняются требования к навыкам L1-аналитиков в SOC при внедрении AI: смещение в сторону контроля качества, обучения моделей и работы с false positive?
С применением технологий ML/AI аналитик хоть и не должен будет выполнять привычную работу, однако это не снимет с него требований к глубокому пониманию предметной области, в противном случае он не сможет качественно проверить результаты работы моделей. С другой стороны, при правильном построении процесса, за счет освобождения от рутинных операций у аналитика появится больше времени для улучшения своих навыков в предметной области.
При каких условиях AI может частично заменить первую линию SOC, а где его роль остается вспомогательной, а не замещающей?
AI уже при нынешнем развитии технологий может заменить первую линию SOC, оставив за аналитиками роль контролирующего органа. Что касается сложных комплексных инцидентов, растянутых во времени атак, здесь в ближайшее время все равно решение будет за человеком.
Контактное лицо: UDV Group
Компания: UDV Group
Добавлен: 19:58, 19.04.2026
Количество просмотров: 312
Страна: Россия
| Versta.io упростит возврат товаров для интернет-магазинов, Versta, 07:23, 29.06.2026, Россия67 |  |
| В личном кабинете цифрового логистического оператора versta.io B2B-заказчикам стала доступна отправка посылок Почтой России по штрихкоду. Теперь корпоративным клиентам – в первую очередь, интернет-магазинам – достаточно показать штрихкод, чтобы сдать или получить посылку в любом отделении Почты России в стране или с доставкой курьером. |
| «1С-Рарус» внедрил ERP-систему для производства высокотехнологичной электроники в ООО «КОНТИНЕНТ», 1С-Рарус, 07:14, 29.06.2026, Россия67 |
| Компания «1С‑Рарус» завершила в ООО «КОНТИНЕНТ» проект цифровой трансформации производства и сервисного обслуживания на базе «1С:ERP» и «1С:CRM». Время подбора оптимальной спецификации готового изделия сократилось с 1–2 недель до нескольких минут. Повысились качество и скорость обработки сервисных обращений. Улучшены показатели оборачиваемости и управляемости складских запасов. |
| «1С:CRM для Беларуси» ПРОФ и КОРП подтвердили статус «Совместимо!», 1С-Рарус, 06:56, 29.06.2026, Россия48 |
| CRM-решения для Беларуси, локализованные на базе «1С:CRM» разработки «1С-Рарус», прошли тестирование «Совместимо! Система программ 1С:Предприятие». Решения учитывают специфику учета и требования законодательства Республики Беларусь. Фирма «1С» подтверждает корректную работу этих совместных решений на платформе «1С:Предприятие 8.3». |
| В «маленьком Париже» Дона провели апгрейд сотовой сети, МегаФон, 06:49, 29.06.2026, Россия47 |
| Новые скорости мобильного интернета стали доступны жителям города Новочеркасск — показатель здесь достигает 80 Мбит/с. Обновленное оборудование МегаФона охватывает территорию, где суммарно проживает более 160 тысяч человек. |
| МегаФон улучшил связь для 80 тысяч белгородцев, МегаФон, 06:45, 29.06.2026, Россия38 |
| Оператор ускорил интернет в 12 населённых пунктах Белгородской области. Запуск новых телеком-объектов и модернизация существующей инфраструктуры помогли расширить покрытие мобильной сети четвёртого поколения и сделать надёжней связь даже в часы пиковой нагрузки для 80 тысяч белгородцев. |
|
|
