Раффаэль Марти, довольно известная личность в ИБ-сообществе, представил свою модель оценки зрелости SIEM и AI SOC, которая призвана объективно оценить зрелость платформ безопасности, прежде всего, опираясь на архитектурные и операционные возможности, исключая классический подход на основе списка функций, дорожных карт и маркетинговых обещаний. Основная цель новой модели — понять, насколько система способна работать автономно и адаптироваться к изменениям. Фреймворк использует систему оценки от 1 (Legacy/Manual) до 5 (Autonomous/AI-driven) для различных категорий, сгруппированных по четырем доменам: 🔘Данные и управление 🟢Федерализация данных 🟢Оптимизация конвейера 🟢Осведомленность о данных 🟢Производительность 🟢Современный ИИ 🔘Детектирование и обучение 🟢Поиск гипотез 🟢Автоматическая настройка 🟢Адаптивное детектирование 🟢Память детектирования 🔘Риски и контекст 🟢Осведомленность об активах 🟢Оценка риска в реальном времени 🟢Контекст риска 🟢Бизнес-контекст 🔘Операционная реальность 🟢Интерфейс запросов 🟢Автоматизация триажа 🟢Обнаружение слепых зон 🟢Готовность к применению мер в режиме реального времени. По итогам оценки категорий автор рекомендует обращать внимание не на общий средний балл, а на разрывы между оцениваемыми доменами, т.к. это позволит выявить структурные слабости используемого решения: например, высокий балл за ИИ-функционал, но низкий за качество данных означает, что ИИ будет принимать решение на основе ненадежных данных. Подробнее про домены и категории можно почитать в блоге автора, оценить используемый SIEM можно на сайте фреймворка или здесь скачать эксельку для оффлайн оценки. #framework #maturity #soc #siem #ai