А как AI в расследованиях используете? Дисклеймер. Есть AI как общее понятие (чаще в разговорах подразумевается именно GenAI, генеративный искусственный интеллект, который способен на основе фундаментальных знаний создавать нечто релевантное), а есть ML как одна из его областей, цель которого изучать и выявлять паттерны из данных. Это два разных понятия Этот текст лежат у меня в заметках пару месяцев. За это время мы обсудили тему со многими, но от публикации что-то все равно останавливало меня. И я поняла что: компании наперебой заявляют о внедрении AI, это стало маркером прогрессивности, в то же время, я — та еще бабка-консерватор. Тот же ML давно и успешно задействован в процессах SOC, а нейросети помогают в отладке инструментов с условного GitHub. Вопрос в другом: где граница применимости в криминалистике, когда цена ошибки так высока? И я сейчас не про риски облачных инстансов. Давайте посмотрим, что у нас на практике: 👀 Обработка объемов. Да, AI справляется с гигабайтами логов быстрее человека. Но выявление аномалий без контекста инцидента, а мы еще и говорим про новые кейс/инфраструктуру в среднем каждые 2-3 недели, работает с перебоями. В итоге время на перепроверку съедает все выигранное. К тому же, данные на анализ чаще всего летят итерационно (все же активное реагирование != услуге из разряда compromise assessment) 🙂 Обогащение данных. Автоматическая агрегация из отдельных открытых источников звучит красиво. Но идея не нова и кто хотел, уже давно в каком-то виде реализовал, а для всего остального — есть TI. Ой, а какие мне ресерчи AI выдавал, и все со ссылками на источники. Закачаешься) 😏 Парсинг и нормализация. Тут выглядит перспективнее: генерация регулярок, конфиги для SIEM. Но, если говорить про полевые условия обработки данных, как показывает практика, может запросто накосячить с переводом какого-то произвольного unix timestamp. Оно нам надо, искать потом этот единственный таймстамп из десятков тысяч? 🪞 Интеграция с EDR, MCP-сервер уже доступен для всеми любимого Velociraptor. Идем в консоль с вопросом: а что подозрительного было в UserAssist? В целом, удобно. Только если даже исходные данные — не от туда? Или снова было найдено 5 подозрительных штук, а всего их 10? В общем, как будто бы в рамках DFIR пока что участие человека непомерно высоко: ведь машина не несет ответственности за свои ошибки — ответственность несет эксперт. Да, можно использовать чтобы подсобрать мысли в кучу или как продвинутый гугл, но и тут, как мы выяснили, тонкости в стиле этого вопроса уже не потянет Я пока присматриваюсь, вот даже тетя с последнего DFIR Summit меня не переубедила. А что думаете вы?