Интеграция инструментов искусственного интеллекта (ИИ) в работу центров мониторинга информационной безопасности (SOC или Security Operations Center) стала важной вехой в развитии современных систем киберзащиты. Из-за стремительно растущего объема данных и все более изощренных методов атак перед специалистами SOC стоит задача не просто быстро реагировать на угрозы, но и предугадывать их, а также действовать максимально эффективно в условиях ограниченных ресурсов. Именно здесь ИИ демонстрирует свою ценность.
В этой статье расскажем, как внедрение инструментов искусственного интеллекта в работу SOC помогает автоматизировать обработку инцидентов, повысить точность обнаружения угроз и выстроить эффективный конвейер данных — от сбора событий до реагирования.
Как ИИ меняет работу SOC
Одно из основных преимуществ применения ИИ в SOC — это автоматизация рутинных и ресурсоемких процессов. Анализ уже существующего опыта применения ИИ в таких задачах показывает заметное снижение трудозатрат на обработку инцидентов. Анализ логов, корреляция событий, выявление аномалий — все это раньше отнимало у аналитиков массу времени. Теперь же эти задачи берут на себя инструменты машинного обучения и ИИ, обрабатывая большие объемы информации значительно быстрее, чем человек. Это позволяет команде сосредоточиться на сложных инцидентах, где требуется глубокая экспертная оценка и нестандартное мышление. Особенно сильно это ощущается на уровне первой линии аналитики, где ИИ помогает фильтровать «шум» и отделять реальные угрозы от ложных срабатываний.
В наших первых попытках внедрения ИИ-моделей мы столкнулись с низкой точностью прогнозов — результаты требовали постоянной перепроверки. Аналитики, не доверяя результатам, были вынуждены вручную перепроверять каждую рекомендацию, сводя на нет потенциальную экономию времени и ресурсов. Лишь глубокая настройка алгоритмов, обучение на релевантных данных и кропотливая работа с моделью позволили вывести ИИ на уровень, при котором его применение в аналитике стало по-настоящему эффективным. Только так технологии смогли не просто дополнить, но и значительно усилить экспертов, сократив трудозатраты без потери качества.
От сбора логов до блокировки атаки: как работает конвейер данных с ИИ в SOC
Искусственный интеллект должен не просто помогать, а стать частью процесса анализа событий — от получения информации до автоматического реагирования. Весь процесс можно разбить на этапы: сбор, приведение к общему виду, добавление контекста, хранение, анализ с помощью машинного обучения ML/AI, автоматическое реагирование и улучшение моделей.
Сначала в систему попадают разные данные: логи сети и систем, события с устройств пользователей, данные от систем обнаружения вторжений, почтовые фильтры, облачные сервисы и данные об угрозах извне. Весь процесс обработки событий в SOC с использованием ИИ можно представить в виде конвейера на изображении ниже.

Все это нужно для машинного анализа. Первое, что важно обеспечить:
точное время;
отсутствие потерь информации, иначе анализ будет некорректным.
Нормализация информации:
выделение главного;
унификация адресов и идентификаторов.
Корреляция событий:
связывание событий между собой;
объединение событий в инциденты;
выявление цепочек атак и этапов компрометации.
Обогащение данных дополнительными источниками:
репутация IP-адресов и доменов;
сведения о владельцах;
результаты проверок в песочницах;
информация о тактиках злоумышленников.
Это нужно, чтобы получить релевантный набор данных для машинного анализа.
Хранение событий обычно реализовано в двух уровнях: «горячем» для быстрых поисков и корреляции и «холодном» для долговременной аналитики и обучения моделей. При этом полезно сохранять и исходную, и нормализованную, и обогащенную версии событий для отладки и расследований.
На этапе конструирования признаков из данных извлекаются агрегаты по пользователям или хостам, временные интервалы, частотные показатели, профили нормального поведения, репутационные и критичные метки активов, а также характеристики атак по MITRE. Грамотный выбор временного окна и методов агрегации помогает снижать уровень ложных срабатываний.
Выбор алгоритмов зависит от того, что вы хотите сделать. Для поиска аномалий используют Isolation Forest, One-Class SVM и автоэнкодеры, в том числе LSTM. Если нужно классифицировать угрозы, то применяют Random Forest, XGBoost, LightGBM и логистическую регрессию. Для анализа связей между событиями и предсказаний используют LSTM и Transformer. Чтобы сгруппировать похожие случаи и понять, как все связано, используют кластеризацию и графовые нейросети.
Стратегии поиска бывают разными. Но, как правило, часто делают так: сначала алгоритм ищет что-то странное, потом классификатор решает, что важно, а в конце смотрит уже аналитик.
Главные трудности возникают, когда нормальных событий намного больше, чем аномальных, когда меняется поведение пользователей и систем, а также когда мало размеченных данных. Чтобы это исправить, балансируют выборки, создают искусственные примеры, часто переобучают модели и используют полуавтоматическую разметку с помощью экспертов.
Когда оценивают качество, смотрят не только на точность и полноту, но и на то, сколько раз система ошибается, какой процент атак реально находит, и как быстро обнаруживает (MTTD) и реагирует (MTTR). Результаты идут в системы оркестрации (SOAR), которые, в зависимости от ситуации, показывают аналитику — какие действия надо выполнить (блокировать IP, отключать устройства или сообщать специалистам).
Советуем автоматизировать все постепенно: начинать с выдачи рекомендаций, переходить к полуавтоматическим действиям и внедрять полную автоматизацию лишь при достижении высокой уверенности модели.
Отдельный важный элемент — обратная связь. Это помогает алгоритмам учиться и подстраиваться под новые угрозы и особенности системы. При этом важно учитывать требования к защите данных: они обезличиваются, шифруются и обрабатываются с учетом разграничения доступа. При необходимости используются синтетические наборы данных, не содержащие чувствительной информации.
Благодаря этому, ИИ становится не просто способом быстрого анализа, а важной частью системы безопасности. Он помогает повысить точность детектирования, скорость реагирования и устойчивость к киберугрозам.
Алгоритмы машинного обучения в SOC: опыт, эффективность и подводные камни
Отдельного внимания заслуживают алгоритмы, работающие с информацией внутри конвейера данных. Они помогают справляться с данными на разных стадиях.
Сначала в дело вступают методы без учителя, вроде Isolation Forest, One-Class SVM или автоэнкодеров, включая LSTM. Они убирают лишнее и находят необычные выбросы в данных, даже если нет готовых примеров. Isolation Forest хорош для быстрой обработки больших объемов, но нужно внимательно настраивать его, чтобы он не реагировал на обычные изменения. Автоэнкодеры помогают увидеть сложные закономерности, а LSTM учитывает, что происходит во времени, это полезно для анализа последовательностей.
Когда есть старые данные с разметкой, лучше использовать алгоритмы классификации — Random Forest, XGBoost, LightGBM или CatBoost. Они хорошо работают с таблицами, помогают понять, какие признаки важнее, и дают точные результаты, если правильно подготовить данные для обучения. Важно добавлять в признаки данные за разные периоды времени, а еще информацию о контексте, например, репутацию IP-адреса или роль сервера. Если каких-то данных слишком мало, нужно это учитывать, чтобы не пропустить важные события.
Для распознавания сложных атак, которые развиваются постепенно, применяют модели, работающие с последовательностями — LSTM, GRU и Transformer. Они изучают цепочки действий, находят аномалии и могут предсказать, что будет дальше. Для таких моделей нужно много качественных данных, правильная подготовка последовательностей и мощные компьютеры. LSTM и GRU проще в использовании, а Transformers лучше видят, что происходит на большом расстоянии, но их сложнее и дороже обучать.
Чтобы найти связи между разными элементами и увидеть, как злоумышленник перемещается по системе, используют графовые методы и кластеризацию. Графовые нейросети помогают анализировать связи между пользователями, компьютерами и процессами, но нужно постоянно обновлять граф, а это нелегко. Кластеризация помогает объединять похожие инциденты и выявлять целые кампании атак — это полезно для анализа и поиска угроз.
Серьезной проблемой при обучении моделей остается дисбаланс классов: нормальные события сильно преобладают над аномальными. Для решения используют генерацию синтетических примеров, активное обучение с привлечением аналитиков, методы изменения функции потерь и выбор стратегий разметки, ориентированных на наиболее критичные события. Валидировать модели в SOC необходимо на временных срезах, чтобы оценка отражала реальную работу в продакшене. При проверке качества учитывают не только технические метрики, вроде precision, recall или AUC, но и операционные показатели, частоту ложных срабатываний, среднее время обнаружения угрозы и среднее время реагирования. Порог срабатывания настраивается с учетом допустимого объема оповещений в сутки, чтобы аналитическая команда могла их обработать без перегрузки.
Доверие аналитиков к автоматизированной системе повышают методы интерпретации — например, SHAP, который показывает вклад каждого признака в итоговое решение модели. Это позволяет в карточке инцидента указывать, какие именно факторы привели к срабатыванию, и облегчает проверку выводов ИИ.
В эксплуатации моделей учитывают и риски атак на них: обход обнаружения (evasion), отравление обучающих данных (poisoning) или попытки восстановления модели по внешним запросам. Для защиты модели тестируются на контролируемых сценариях, ограничивается доступ к API, отслеживаются аномалии в распределении входных данных. При выявлении отклонений возможен переход на резервные механизмы детектирования, основанные на сигнатурных правилах или заранее определенных корреляционных сценариях, а также временное отключение модели.
Внедрение моделей в реальную эксплуатацию выполняется поэтапно. На первом этапе модель работает в режиме наблюдения и не влияет на процессы обработки инцидентов. Далее она подключается к обработке ограниченной доли событий или инцидентов. При подтверждении стабильного качества модель переводится в полноценный режим эксплуатации.
Важным элементом является мониторинг работы модели. Отслеживаются как классические метрики качества (precision, recall, уровень ложных срабатываний), так и операционные показатели (нагрузка на аналитиков, MTTD, MTTR), а также признаки деградации модели, связанные с изменением распределения данных (data drift). Это позволяет своевременно принимать решения о переобучении или корректировке модели.
Работа с данными для обучения должна соответствовать требованиям конфиденциальности, хранение в нескольких представлениях с разграничением доступа, обезличивание или псевдонимизация, а для обмена опытом — использование синтетических наборов, не содержащих реальной чувствительной информации.
Как должен выглядеть конвейер данных SOC с ИИ?
Разберем полный цикл от сбора до реагирования. Общая архитектура обработки событий в SOC с использованием ИИ представлена на рисунке ниже.

Учитывая наш опыт внедрения и работы с инструментами ИИ на различных этапах процесса мониторинга и основную идею сбора процесса обработки данных в виде конвейера данных, то последовательность этапов можно представить в следующем виде.
В работе современного SOC поток данных начинается с множества различных источников. Это и системные журналы операционных систем, и сетевые логи, и телеметрия от EDR/XDR-решений. Сюда попадают отчеты систем обнаружения вторжений (IDS/IPS), события с почтовых шлюзов и облачных сервисов, данные из баз репутаций (Threat Intelligence feeds), а также результаты анализа в песочницах. Формат поступающих данных бывает разным — от строго структурированного до свободного текста — и приходят они как в режиме реального времени, так и пакетами.
Далее идет стадия сбора и объединения информации. События из всех источников направляются в общий приемный контур — чаще всего это SIEM или специализированная шина для событий. На этом этапе важно обеспечить гарантированную доставку каждого сообщения, синхронизировать временные метки и распределить поток по категориям, чтобы подготовить его к дальнейшей обработке.
После сбора данные приводят к единому виду. Нормализация убирает различия форматов и выделяет ключевые параметры: IP-адреса, имена хостов, учетные записи, время события. Затем срабатывает корреляция: система связывает между собой записи, относящиеся к одному и тому же инциденту или этапу атаки.
Обогащение данных. На этом этапе события дополняются сведениями из внешних и внутренних источников: репутацией IP-адресов и доменов, информацией о владельцах активов, таксономиями MITRE ATT&CK, географическим расположением узлов и критичностью систем. В отличие от корреляции, которая связывает события между собой, обогащение добавляет контекст, необходимый для более точной интерпретации и последующего анализа. Эти данные используются как в сигнатурных и корреляционных механизмах, так и при формировании признаков для моделей машинного обучения.
Далее подключается аналитика на основе методов машинного обучения. В зависимости от задачи используются как методы поиска аномалий, так и классификации. Они позволяют выявлять отклонения от нормального поведения, фильтровать шум и отбрасывать очевидно безопасные события, снижая нагрузку на аналитиков. Для этой роли подходят различные библиотеки: например, PyOD предлагает десятки алгоритмов (от Local Outlier Factor и HBOS до DeepSVDD и ECOD), а River и ADTK позволяют работать с потоковыми данными и временными рядами. Для сложных паттернов применяются нейросетевые подходы, такие как вариационные автоэнкодеры (VAE) или GANomaly, а для выявления структурных зависимостей — методы кластеризации, например, DBSCAN и HDBSCAN.
Когда данные прошли первичный фильтр, их обрабатывают модели с учителем. Такие модели обучаются на исторических данных SOC и используют размеченные события или алерты для обучения. Они позволяют оценивать вероятность того, что событие связано с формированием инцидента, классифицировать его по типу угрозы и определять приоритет обработки. Это позволяет аналитикам концентрироваться на действительно значимых и потенциально опасных событиях информационной безопасности.
Отдельный класс моделей занимается прогнозированием. Они смотрят, как развиваются события, и предсказывают, что злоумышленник сделает дальше. Для этого берут специальные методы, например, LSTM или Transformers. Получается, что SOC может действовать на опережение, а не только реагировать, когда уже что-то случилось.
Данные анализа отправляются в системы SOAR. Они, в свою очередь, могут сами блокировать адреса, отключать рабочие станции, приостанавливать аккаунты или запускать проверку. Все это делается автоматически на основе заданных правил.
В конце процесса реализуется механизм обратной связи. Результаты обработки инцидентов фиксируются, включая решения аналитиков и эффективность принятых мер реагирования. Эти данные используются для последующего анализа качества работы системы. На основе накопленной информации формируются обучающие выборки, которые проходят дополнительную проверку и валидацию. После этого данные могут использоваться для переобучения моделей в контролируемом режиме. Таким образом, улучшение моделей происходит не напрямую в продуктивной среде, а через итеративный процесс анализа, валидации и последующего обновления, что позволяет обеспечить стабильность и надежность работы системы.

Заключение
Практика внедрения подобных решений показывает, что автоматизация процессов анализа событий и реагирования позволяет снижать операционные издержки SOC за счет оптимизации процессов, уменьшения объема ручного труда и сокращения времени на расследование инцидентов.
При этом важно понимать, что внедрение ИИ — это не просто установка новой системы. Это комплексный процесс, включающий подготовку и настройку источников данных, выбор и обучение моделей, а также выстраивание эффективного взаимодействия между ИИ-решениями, инфраструктурой и специалистами SOC. ИИ не является заменой человека — наоборот, он усиливает его способности, дополняет экспертные знания, позволяя быстрее принимать обоснованные решения. Особенно это актуально сегодня, когда остро ощущается нехватка квалифицированных специалистов в области информационной безопасности.
Автор:
Кирилл Лисовский, руководитель группы аналитиков первой линии
