Автор: Олейникова Анна, директор по продуктовому развитию Innostage

Предпосылки и решение

Современные центры мониторинга (SOC) сталкиваются с возрастающими требованиями к скорости и качеству реагирования на инциденты информационной безопасности. При этом, ключевые задачи по обогащению и анализу инцидентов во многом выполняются вручную, что снижает эффективность работы команд и увеличивает издержки бизнеса. Это приводит к ряду проблем для бизнеса:

●      Перегрузка аналитиков SOC

●      Фрагментированность инструментов и отсутствие автоматизации

●      Несоблюдение стандартов и регламентов информационной безопасности

●      Отсутствие времени на исторический анализ и работу над ошибками

Для решения этих проблем компания Innostage разработала собственный продукт Innostage Carmina AI. Это виртуальный помощник, объединяющий передовые технологии искусственного интеллекта, большие языковые модели (LLM) и машинное обучение (ML), предназначенный для специалистов центров мониторинга безопасности. Его главная цель – разгрузить специалистов от типовых операций, ускорить выявление угроз и обеспечить оперативное реагирование на киберинциденты. В отличие от классической платформы автоматизации и оркестрации операций по реагированию на инциденты (SOAR) и других аналогичных решений на рынке, Carmina AI предоставляет интеллектуальный, самосовершенствующийся уровень аналитики и принятия решений, что значительно расширяет возможности автоматизации SOC. По заявлениям разработчиков, применение такого ИИ-ассистента способно сократить затраты времени на базовые операции SOC до 40 %, что существенно повышает быстродействие и проактивность центра кибербезопасности. Кроме того, система обеспечивает единообразный подход к расследованию, а накопленный опыт и встроенные модели ИИ помогают даже менее опытным сотрудникам принимать правильные решения на основе лучших практик и стандартов.

Рис. 1: Пример интерфейса Carmina AI
Рис. 1: Пример интерфейса Carmina AI

Архитектура

Архитектура Carmina AI построена вокруг тесного взаимодействия внешних источников данных, моделей машинного обучения (ML), языковых моделей (LLM), механизма интеллектуального анализа данных (RAG) и ИИ-агентов. Работа системы организована в виде последовательного процесса, где каждый модуль дополняет и усиливает возможности других, обеспечивая комплексный подход к выявлению, анализу и закрытию инцидентов.

Процесс запускается при поступлении нового инцидента из систем IRP, SOAR или TDIR. Это может быть автоматическое срабатывание правила, поступление тревожного индикатора или внешнее уведомление. Одновременно ИИ-агент начинает сбор данных из различных внешних источников:

●      Открытых веб-ресурсов;

●      Потоков Threat Intelligence (TI-feeds);

●      Специализированных источников (например, отчеты исследовательских компаний)

Инструментальный модуль (Tools) обеспечивает первичную агрегацию и очистку полученной информации, передавая её дальше по конвейеру. Полученные данные поступают в централизованный модуль интеграции, где они анализируются и структурируются. Здесь запускается сразу несколько параллельных процессов:

●      Выполняется поиск по логам при помощи фильтров, с целью уточнить, затронута ли внутренняя инфраструктура;

●      Проводится сравнение с историей инцидентов, чтобы понять, сталкивались ли с подобными угрозами ранее;

●      Генерируются шаблоны запросов в SIEM и плейбуки (Playbooks) реагирования;

●      Производится оценка рисков и ложноположительных срабатываний (False Positive)

В этот момент активно работает языковая модель (LLM), которая формирует промежуточные выводы, рекомендации и даже автоматические ответы в рамках сценариев SOAR. Для повышения точности используется механизм Retrieval-Augmented Generation (RAG). LLM обогащается данными из графовой и векторной базы знаний и накопленных кейсов.

На основе сформированных выводов система предлагает сценарии реагирования:

●      Готовые плейбуки;

●      Рекомендации по харденингу и блокировкам

При необходимости, аналитик может взаимодействовать с ИИ-агентом напрямую, запрашивая уточнение информации, и формирование отчетов.

Параллельно с основным процессом задействуются ML-модели для оценки вредоносности Powershell, Bash, VBS, Python, HTA скриптов с обнаружением типа обфускации и выявления DGA доменов. Все результаты дополнительно используются как обучающие данные для последующих итераций. После завершения анализа и устранения угрозы происходит финализация кейса. Система автоматически:

●      Генерирует итоговый отчёт;

●      Формирует рекомендации по харденингу инфраструктуры;

●      Обновляет базу знаний и графовую БД;

●      Отправляет обратную связь в ML-модели и LLM (для будущих запросов и обучения)

Таким образом, архитектура реализует замкнутый цикл интеллектуального реагирования, в котором каждый инцидент становится источником знаний и улучшает работу системы в будущем. Гибкое взаимодействие AI, ML и LLM-модулей позволяет не только ускорить реа��ирование, но и повысить его качество за счёт глубокой автоматизации, накопления контекста и снижения уровня ложных срабатываний.

Рис. 2: Функциональная схема Carmina AI
Рис. 2: Функциональная схема Carmina AI

Ключевые возможности

●      Анализ инцидентов в режиме реального времени и их контекстное обогащение
Innostage Carmina AI интегрируется с SIEM, EDR, IRP, SOAR, TDIR и другими источниками, чтобы собирать и сопоставлять информацию об инцидентах безопасности. Благодаря этому он способен выявлять сложные угрозы, которые не очевидны при разрозненном анализе сигналов: ассистент находит “иголку в стоге сена” путем тщательной корреляции данных из различных систем. Используя технологии машинного обучения, Carmina AI обнаруживает аномалии на ранних стадиях без необходимости вручную прописывать правила под каждый случай, чем дополняет стандартные механизмы детектирования. Carmina AI обогащает инциденты внешними и внутренними данными и формирует полную картину инцидента от первичных артефактов до возможных следующих шагов злоумышленника.

●      Генерация отчетов и рекомендаций на естественном языке
Взаимодействие с Carmina AI происходит с помощью запросов на привычном человеческом языке, что делает работу с инструментом интуитивно понятной. Аналитик может формулировать вопросы и задания точно также, как своему коллеге. Например, “Проанализируй подозрительное поведение хоста X за последние 24 часа” или “Подготовь отчет по инциденту №123”. ИИ-ассистент понимает такие запросы и предоставляет развернутые ответы. Carmina AI способен подготовить отчет о цепочке атаки в виде структурированного текста, где описаны все этапы инцидента и меры реагирования. Это существенно облегчает документацию инцидентов и экономит время аналитиков на рутинном оформлении результатов расследований.

●      Советы по реагированию и устранению угроз
Carmina AI не ограничивается пассивным анализом, а предлагает конкретные шаги по устранению обнаруженных проблем. Получив информацию об инциденте, например, компрометации учетной записи или заражении узла, ассистент выдает рекомендации по локализации и нейтрализации угрозы. В его ответах могут содержаться указания, какие узлы изолировать, какие учетные записи сбросить, ссылки на соответствующие тикеты или базы знаний. Такой экспертный совет в режиме реального времени помогает даже менее опытным операторам оперативно предпринять правильные меры и соблюсти необходимые процедуры реагирования.

●      Бесшовная интеграция с SOC-инфраструктурой клиента
Решение гармонично встраивается в существующие процессы и инструментарий центра мониторинга. Carmina AI не требует перестройки текущих процессов, совместим с основными SIEM / SOAR-системами, легко масштабируется и внедряется в короткие сроки от одного до трех месяцев. Carmina AI синтезирует передовые технологий Threat Intelligence, Big Data-аналитику и инцидент-менеджмент в единый живой организм, что позволяет глубоко анализировать глобальные угрозы с высокой скоростью, недостижимой при ручном анализе. За счет обработки тысяч отчетов и актуального мирового контекста, ИИ-помощник выявляет скрытые взаимосвязи и принимает обоснованные решения с высокой точностью, существенно превосходя возможности традиционных методов.

●      Самообучение и самооптимизация
Главная инновация заключается в способности к самооптимизации. Carmina AI может не только генерировать код, но и полноценно участвовать во всех этапах обработки инцидентов, автоматически корректируя и совершенствуя правила детектирования, реализуя PDCA-циклы для постоянного улучшения системы без вмешательства человека. Она самостоятельно анализирует результаты, предлагает уточнения правил и улучшает свою работу в режиме реального времени.

Особенности внедрения

Для работы Carmina AI требуется подключение к источникам данных организации – системам мониторинга безопасности и другим. Однако, сам по себе он не хранит и не передает наружу конфиденциальную информацию, а анализирует её на лету. Применение алгоритмов машинного обучения дает ИИ-ассистенту возможность выявлять подозрительные закономерности и инциденты на ранней стадии без ручной настройки правил корреляции под каждый случай, тем самым дополняя правила, заложенные в SIEM-системах.

С точки зрения использования, Carmina AI - это элемент в интерфейсе IRP/SOAR/TDIR с возможностью реализации интерфейса чата. Аналитик получает унифицированную точку входа для взаимодействия, можно в естественной форме задавать вопросы ассистенту, просить выполнить определённые действия (поиск, анализ, отчет) и тут же получать результат. Ответы Carmina AI представлены в удобном текстовом формате. Более того, система способна автоматически подготовить отчет для руководства, с ключевыми деталями инцидента (точки входа, векторы развития, меры реагирования), что избавляет экспертов от необходимости вручную переводить технические детали на язык бизнес отчетности.

Отдельно стоит отметить, что при формировании ответов Carmina AI опирается на реальные данные из подключенных систем и приводит ссылки на эти источники. Каждая рекомендация или вывод могут сопровождаться указанием, откуда получена информация, например, идентификатором алерта SIEM, фрагментом журнала или URL отчёта Threat Intelligence. Такой подход повышает прозрачность работы ИИ, эксперт по безопасности может сразу проверить указанный источник и вручную верифицировать вывод ассистента. Это важное свойство, учитывая, что решения на базе ИИ пока не гарантируют абсолютной точности.

Конечно, Carmina AI не заменяет экспертов и не снимает ответственности с команды безопасности. Его рекомендации служат помощником, но критические решения остаются за людьми. В некоторых случаях ИИ может ошибаться или не обладать полной картиной без данных, которые не были ему доступны. Тем не менее, плюсы от использования такого инструмента уже сейчас перевешивают возможные риски. ИИ берет на себя вычислительную и аналитическую рутину, но финальные критические решения остаются за человеком, что соответствует лучшим практикам ответственного применения ИИ в кибербезопасности. Carmina AI становится ценным членом SOC-команды, который 24/7 мониторит инфраструктуру, учится на каждой атаке и помогает отражать угрозы быстрее и увереннее.

Сценарии использования

Консоль анализа инцидента

●      Визуализация графа инцидента и ключевых метрик

Рис. 3: Правила обработки инцидентов
Рис. 3: Правила обработки инцидентов

 

Интерактивный чат-бот

●      Виртуальный помощник предоставит информацию об APT-группировках

Рис. 4: Интерактивный чат-бот
Рис. 4: Интерактивный чат-бот

Заключение

Появление Carmina AI на рынке - это новый этап в процессе эволюции средств обеспечения информационной безопасности. Подобные разработки отражают общий тренд, а эксперты отмечают, что для противодействия современным угрозам критически важно внедрять решения, активно использующие машинное обучение для выявления атак и понимающие запросы, то есть фактически автономные системы, которые не только поддерживают принятие решений, но и частично принимают их самостоятельно. Carmina AI не просто продукт по автоматизации SOC, а объективные, предсказуемые и молниеносные решения, которые меняют правила игры на рынке кибербезопасности.

Архитектура решения построена как замкнутый цикл реагирования, каждый новый ��нцидент становится источником знаний для системы, повышая ее точность и эффективность. Интеграция с SIEM, SOAR, EDR, TDIR и другими платформами позволяет не только выявлять угрозы в реальном времени, но и дополнять их контекстом из внешних и внутренних источников. Таким образом, SOC получает единую интеллектуальную точку входа для анализа и принятия решений.

Ключевые возможности Carmina AI включают мгновенное обогащение инцидентов данными, генерацию отчетов и рекомендаций на естественном языке, поддержку операторов в реальном времени при устранении угроз и тесную интеграцию в существующую инфраструктуру. Важным преимуществом является способность к самообучению, система самостоятельно корректирует правила детектирования, анализирует ошибки и оптимизирует свою работу без участия человека.

При этом решение остается безопасным и прозрачным. Carmina AI работает с конфиденциальными данными в локальном контуре, опирается на реальные источники и всегда сопровождает рекомендации ссылками на исходную информацию, что позволяет аналитикам верифицировать выводы. Внедрение системы не отменяет роли человека, критические решения остаются за экспертами, а ИИ выступает помощником, который берет на себя рутинные и вычислительно сложные задачи.

Практический опыт показывает, что использование Carmina AI позволяет сократить затраты времени на типовые операции SOC до 40 %, повысить производительность и глубину анализа. Внедрение такого ассистента требует адаптации процессов и обучения персонала, однако выгоды от применения перевешивают риски. В итоге SOC трансформируется из центра рутинных операций в интеллектуальный хаб, способный быстрее и увереннее реагировать на сложные кибератаки, а сама Carmina AI становится ценным членом команды, который работает круглосуточно и непрерывно совершенствуется.