В новом посте Тимур Лутфуллин, руководитель дежурных смен L1 в SOC, расскажет о том, как его команда перестала тонуть в потоке алертов. Десятки инцидентов в час, работа в разных системах, долгие расследования и лишние коммуникации — с этими вызовами знаком каждый, кто работает в дежурной смене. В материале — опыт внедрения ML в процессы, который изменил подход к обработке инцидентов и освободил время аналитиков. 🔹Наша команда работает 24/7, и нагрузка постоянно растёт: в пиковые периоды поток алертов идёт почти непрерывно, среднее число — десятки в час. Главные болевые точки были типичными: аналитик тратит время на переключение между разными системами: логи, доступы, обогащение, процесс расследования не стандартизирован, сложные кейсы затягиваются. Взаимодействие со смежными командами, например, антифродом, требует лишних коммуникаций; пользовательские подтверждения действий — боты-опросники — создают дополнительный шум. 🔹Чтобы решить эти проблемы, мы сделали ставку на SOAR-систему, которая позволила аналитику работать в едином окне. К нам приходят алерты, сразу обогащаются, и из этого же интерфейса можно проводить реагирование. 🔹Никаких копирований и поиска по разным вкладкам: вся информация о хосте, возможность проверить хэш, связаться с сотрудником в мессенджере или создать задачу в системе тикетинга — всё в одной карточке. 🔹Для ускорения расследования мы добавили встроенные плейбуки и подсказки от внутренней LLM. Нейросеть прямо в карточке алерта даёт описание события на понятном языке и предлагает вердикт. Так аналитик быстрее понимает контекст, особенно в сложных или объёмных срабатываниях. 🔹Следующий шаг — обучение ML-модели на наших данных. Мы отдаём ей все алерты, чтобы она обогащала новые срабатывания информацией из внутренних систем —должность сотрудника, история аналогичных событий — и помогала с предварительным вердиктом. Модель уже используется в нашем боте для подтверждения команд: если пользователь ранее запускал безопасные команды на хосте, ML это запомнит и больше не будет задавать вопросов, сокращая лишние взаимодействия. 🔹Отдельно автоматизировали взаимодействие с антифродом. Раньше приходилось вручную оформлять алерты и ждать ответа. Теперь из SOAR алерт автоматически уходит в общий чат с кнопками «True Positive» / «False Positive», коллеги ставят вердикт, и он возвращается обратно в SOAR — всё закрывается без лишних движений. 🔹Что это дало: 🔹Время жизни алерта — от прихода до полного расследования — сократилось и вышло на стабильные показатели даже при пиковых нагрузках. 🔹Аналитик работает в едином окне, не отвлекаясь на смежные системы. 🔹Реагирование стало унифицированным. Многие действия: блокировка хоста, антивирусная проверка, создание инцидента — выполняются прямо из карточки алерта по нажатию кнопки. 🔹Cнизилось количество ложных срабатываний и ручных подтверждений. 🔹Взаимодействие со смежными подразделениями переведено в автоматический режим — время согласования сократилось с часов до минут. Конечно, автоматизация не делается раз и навсегда. Мы постоянно дорабатываем правила, обучаем модели и расширяем возможности SOAR. Но полученный результат — наглядный пример того, как грамотное внедрение инструментов и пересмотр процессов помогает команде справляться с растущим потоком событий без потери качества. #SOC #эксперты #разбор VK Security | Буст этому каналу!