СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Астрал.Безопасность
3 часа назад
#Статьи #ИБ#ИИ

ИИ для поиска редких событий в журналах SIEM: построение профилей нормы, обнаружение длинных хвостов аномалий и снижение шума

ИИ для поиска редких событий в журналах SIEM: построение профилей нормы, обнаружение длинных хвостов аномалий и снижение шума

В 21 веке, особенно в очень крупных компаниях, SOC работает как мясорубка и выдаёт тысячи алёртов в сутки. По понятным причинам, правила здесь уже не выглядят спасательным кругом, сам хвост тащит до 90% фолзов или событий низкой критичности. При этом, реальные инциденты маскируются под «редкие», но легитимные действия: единичный вход в 3 часа ночи, необычный аргумент PowerShell, один запрос к малоизвестному домену. Именно эти события плывут в «длинном хвосте» логов.

Поэтому запрос на применение ИИ в SIEM сегодня — это не модный тренд (как лабуба на рюкзаках детей на ИТ-мероприятиях), а необходимость.

А теперь давайте попробуем разобраться, как наш «чудо-миксер с голосовым помощником Алиса» может быть полезен. Но главное — как оно примерно выглядит под капотом.

Построение профилей нормы: как ИИ учится отличать «своих» от «чужих»

Современные UEBA-решения (User and Entity Behavior Analytics) строят динамические профили для каждого пользователя и сущности — хоста, сервиса, учётной записи. Вместо статических порогов («больше 5 неудачных входов = алерт») система изучает паттерны:

  • Временные паттерны: когда офисный планктон работает, как часто меняет устройства.
  • Контекстуальные признаки: из каких географических зон, через какие приложения, к каким ресурсам обращается.
  • Последовательности действий: типичные цепочки событий (логин → доступ к файлу → отправка почты).

Наш железный дровосек уверенно будет сравнивать содержимое логов с исторической базой, выделяя семантически необычные сообщения, даже если их частота не изменилась. Однако его всё равно придётся немного откалибровать, чтобы он понимал разные сущности и их «нормальность». Например, типичные действия для бухгалтерии или для DevOps.

Кстати, из коробки такие истории уже умеют: например, в Solar SIEM который строится на собственной дообученной ИИ-модели, обещают выстраивать поведенческие профили уже к концу 2025 года. А в новой KUMA 4.0 от Kaspersky появилась AI-подсистема, которая анализирует все загружаемые библиотеки и находит атаки типа DLL Hijacking — там, где классические правила просто не знают, на что смотреть.

«Длинные хвосты» в контексте SIEM

В распределении событий «жирная голова» — это частые, предсказуемые события (успешные логины, плановые задачи). «Длинный хвост» — редкие, уникальные события, которые могут быть как безобидными (единичный тестовый запуск), так и критичными (первое использование украденного токена).

ИИ особенно полезен здесь в двух сценариях:

  1. Обнаружение ранее неизвестных паттернов атак (zero-day, целевые APT-кампании), для которых нет сигнатур.
  2. Выявление медленной эксфильтрации, когда данные утекают малыми порциями через разрешённые каналы.

Однако есть ряд фундаментальных ограничений. Например, концептуальный дрейф. Поведение пользователей и инфраструктуры меняется. Модель, обученная на данных квартальной давности, может начать флажить легитимные изменения как аномалии. Добро пожаловать снова.

И конечно, интерпретируемость: аналитику сложно доверять алерту, если система не может объяснить, почему событие сочтено аномальным.

Что это значит на практике? Придётся добавить в рутину процессы постоянного обслуживания нашего кремниевого друга. Но в любом случае лавины алёртов он сможет подхватить.

Что действительно снижает шум? (кроме переезда весёлых соседей с фанком в 2 ночи)

  • Контекстное обогащение: алерт «необычный вход» становится информативным, если система знает, что пользователь в отпуске, а устройство не зарегистрировано в MDM.
  • Иерархия алертов: вместо плоского списка — приоритизация по критичности актива, вероятности инцидента, потенциальному ущербу.
  • Автоматизация рутины: низкорисковые алерты автоматически закрываются или эскалируются через SOAR-плейбуки, освобождая аналитиков для сложных расследований.

Кстати UserGate со своим LogAn ещё один достойный игрок на поле. Хотя там акцент чуть больше на классической корреляции и SIGMA-правилах, система активно используется в российских SOC и постоянно обогащается сигнатурами под актуальные угрозы (тот же недавний Mamont-троян — 30 тысяч заражений в месяц только в России, UserGate его ловит первыми) .

Заключение

ИИ определённо способен принести значительную помощь в этом направлении. Особенно если учесть, что у «плохих ребят» уже давно появился свой новый «тамагочи» для атак.

Однако это будет непростой путь и для компании, которая решит внедрять такие решения, и для интеграторов. Здесь будет всё: инженеры по данным, красные глаза SOC-аналитиков, архитекторы на успокоительном и многое другое. Потому что это в первую очередь проект симбиоза. Где наш железный дровосек работает с объёмами, находит паттерны, снижает шум, а человек задаёт контекст, интерпретирует результаты и принимает решение. А если у вас еще остались вопросы, «Астрал. Безопасность» всегда готова вам с этим помочь!

Автор статьи: Мицюк Максим, специалист по информационной безопасности.

Астрал.Безопасность
Автор: Астрал.Безопасность
ГК “Астрал” — российская IT-компания, с 1993 года создает и внедряет прогрессивное программное обеспечение и решения на базе искусственного интеллекта. Астрал помогает коммерческим организациям и государственным структурам по всей России выбрать оптимальное ИТ-решение под их бизнес-задачи, бюджет и сроки.
Комментарии: