PT Naira появилась в ответ на двойное давление на SOC-команды: атакующие автоматизируют атаки с помощью языковых моделей, а поток событий давно превысил возможности ручного разбора. По данным Positive Technologies, число киберпреступных техник с применением ИИ за последний год удвоилось. При этом через центр мониторинга в сутки проходит от 4 до 10 тыс. оповещений, и аналитики успевают изучить лишь около 37% из них.
Ассистент встроен непосредственно в рабочий процесс двух продуктов — MaxPatrol SIEM (начиная с версии 27.6) и PT BlackBox Scanner. В SIEM он избавляет аналитика от ручного сбора данных по событию, переключения между системами и составления запросов. В пилотных проектах это дало ускорение расследований на 50–60%. Отдельная функция — выявление замаскированных угроз: помощник может показать, что поведение процесса расходится с тем, каким он выглядит, — именно так злоумышленники маскируют инсайдерские атаки под легитимную активность.
| Продукт | Функция PT Naira | Эффект |
|---|---|---|
| MaxPatrol SIEM 27.6 | Автоматический сбор данных по событию, составление запросов, выявление маскировки угроз | Расследования быстрее на 50–60% |
| MaxPatrol SIEM 27.6 | Создание правил для подключения новых источников событий | Время подготовки правил у новичков сокращается почти на 90% |
| PT BlackBox Scanner | Объяснение найденных уязвимостей и план исправлений | Отчёт превращается в понятный чеклист действий |
Для PT BlackBox Scanner PT Naira решает другую задачу: сканер уязвимостей выдаёт объёмный технический отчёт, который специалисту ещё нужно интерпретировать. Ассистент объясняет найденные уязвимости и предлагает конкретный план исправлений, превращая сырой вывод инструмента в понятный чеклист.
Существенный эффект — снижение порога входа для начинающих. По запросу аналитика PT Naira создаёт с нуля правила для подключения новых источников событий в MaxPatrol SIEM и оценивает, насколько целесообразно собирать данные из конкретного источника. Время подготовки даже сложных правил сокращается до десятков минут, а у специалистов без опыта — почти на 90%.
С архитектурной точки зрения PT Naira отличается от универсальных LLM вроде ChatGPT: ассистент заточен под задачи кибербезопасности и использует накопленную экспертизу Positive Technologies, поэтому его ответы привязаны к реальному контексту события, а не носят общего характера. Технически продукт работает на open-source языковых моделях с собственным программным стеком и развёрнут в защищённом облаке компании с изоляцией клиентских контуров — без дополнительных точек доступа в сеть, что позволяет подключить его без отдельных согласований со службой безопасности.
Руководитель ML-группы анализа событий Positive Technologies Александр Мамылов описывает PT Naira не как отдельный продукт, а как элемент стратегии встраивания ИИ-архитектуры во всю продуктовую линейку. MaxPatrol SIEM и PT BlackBox Scanner выбраны первыми точками интеграции, поскольку именно здесь специалист сталкивается с наибольшей рутинной нагрузкой. В дальнейшем ассистент появится и в других продуктах компании.
