Корреляционные правила вида «5 неудачных входов плюс успешный вход равно подозрение на компрометацию» десятилетиями служили ядром SOC. Сегодня этот подход перестаёт справляться: злоумышленники используют легитимные инструменты в рамках техники Living-off-the-Land, имитируют нормальную активность пользователей и растягивают цепочку атаки на месяцы. Искандер Тиморшин, владелец продукта Innostage TDIR, систематизирует три архитектурных направления, в которых ИИ уже работает как операционный инструмент.
Проблема не только в качестве детектирования, но и в объёме. Среднестатистический SOC фиксирует до 10 миллионов событий в сутки; после фильтрации остаётся от тысячи до десяти тысяч алертов, из которых 70–90% — ложные срабатывания. Аналитики первой линии превращаются в операторов, механически закрывающих false positive, что порождает профессиональное выгорание — так называемый Alert fatigue.
Первый подход — поведенческий анализ на базе машинного обучения. Вместо статических правил система строит поведенческий профиль каждого пользователя, хоста и приложения, непрерывно обновляя его и отслеживая статистически значимые отклонения. Пример из текста: не просто «вход в 3:00 ночи», а «бухгалтер Мария, работающая с 9 до 18 только с офисными документами, скачала 50 ГБ исходного кода на внешний облачный аккаунт, к которому никогда ранее не обращалась». В этом сегменте работают Darktrace, Vectra AI, CrowdStrike Falcon и платформы класса XDR и UEBA.
Поведенческий анализ строит «цифровую ДНК» пользователей и хостов вместо статических правил корреляции.
Второй подход — детектирование как поиск по данным. Все логи консолидируются в едином хранилище, а детекты описываются запросами на языках KQL, SPL или YARA-L, выполняемыми по расписанию. В российском контексте автор упоминает Yandex Data Platform, решения «Сбера» на базе Hadoop, Spark, Kafka и ClickHouse, а также связку ClickHouse с Python-скриптами для аналитики непосредственно на данных.
Третий подход — платформы расследований класса SOAR. Они не занимаются первичным детектированием, но агрегируют уведомления из любых источников, обогащают их контекстом, строят временные линии и запускают playbook-сценарии. В качестве примера приводится IBM Resilient: уведомление от CrowdStrike о подозрительном процессе автоматически проверяется по потокам данных об угрозах, ищет связанные события в Chronicle за последние 30 дней, собирает артефакты с затронутого сервера и эскалирует инцидент аналитику уже с готовым контекстом.
Ни один из трёх подходов в отдельности не решает проблему перегрузки первичными алертами. Именно здесь появляется роль ИИ-ассистента как слоя автоматизированного триажа. Он фильтрует заведомо ложные срабатывания, обогащает подозрительные события контекстом и расставляет приоритеты на основе поведенческого анализа и истории угроз — до того, как инцидент попадёт к аналитику. Функция, традиционно требовавшая значительных ручных усилий L1, передаётся машине.
Ключевой тезис автора: ИИ не замещает аналитика, а снижает его когнитивную нагрузку, превращая хаос сырых уведомлений в структурированные задачи для экспертов. Это смещает роль человека от разбора очевидного шума к работе с действительно неоднозначными и критичными угрозами.
