Контакты
Подписка 2026

Анализ событий в SOC: что важно?

Андрей Дудин, 03/10/25

Компания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикл публикаций о ключевых аспектах функционирования SOC. Предыдущие две статьи были посвящены покрытию мониторингом ИТ-инфраструктуры и обнаружению угроз. В третьем материале цикла расскажем об анализе событий.

Автор: Андрей Дудин, эксперт по мониторингу и анализу инцидентов кибербезопасности BI.ZONE TDR

Video-Cover_1136х638-min

При его неверном выполнении анализе событий последующие действия с инцидентом в рамках SOC могут усугубить ситуацию и вместо предотвращения кибератаки на ранней стадии привести к более серьезному ущербу для бизнеса. От чего же зависит эффективность анализа событий?

Факторы, определяющие качество и скорость

BI.ZONE TDR ежедневно обрабатывает более 300 тыс. сырых событий кибербезопасности в секунду и за 2024 г. выявил более 13 тыс. инцидентов. У нас накопился обширный опыт анализа событий, поэтому мы можем поделиться практическими советами.Качество и скорость анализа инцидента зависят от того, насколько компетентны сотрудники центра мониторинга и доступны ли им профильные инструменты SOC, в том числе для сбора дополнительного контекста.

На компетенциях персонала не останавливаемся – этой теме будет посвящен один из следующих материалов. Поговорим об инструментах для сбора дополнительного контекста. Без него невозможно определить, насколько достоверно сработало правило обнаружения, какова природа выявленной активности, как она соотносится с актуальным ландшафтом угроз и какое влияние оказывает на бизнес-процессы.

Применение IRP/SOAR

Поток событий постоянно растет, и нам важно выполнять их анализ без потери качества. Для этого мы применяем средство класса SOAR (BI.ZONE SOAR). Это решение помогает выстраивать работу с событиями и инцидентами по единому алгоритму, избегать ошибок персонала, реализовывать сложные многосоставные задачи, получать автоматизированный контроль шагов (метрики) и т. д. Кроме того, SOAR позволяет аккумулировать информацию об активах и обогащать события и инциденты данными. В итоге аналитик SOC оперативно получает дополнительный контекст о событии или инциденте.

Приведем пример. На межсетевом экране обнаружено сканирование внутри сети – как правило, в SOC создается алерт, который содержит информацию о сетевых соединениях. Но этой информации может быть недостаточно, чтобы оперативно идентифицировать хост – инициатор сканирования. Благодаря обогащению в SOAR в карточку инцидента автоматически добавилась информация о VPN-подсети, которой принадлежит хост, а также об активном пользователе, которому этот адрес был выдан. В итоге сразу видно, в отношении какого сотрудника и актива осуществлять реагирование. Аналитик не тратит время на ручной сбор информации – это облегчает и ускоряет процесс.

Использование EDR

Чтобы идентифицировать инцидент среди событий безопасности, мы собираем дополнительный контекст с помощью специализированных средств. В арсенале SOC могут быть различные утилиты для сбора криминалистических артефактов (системные события, дампы оперативной памяти, журналы приложений и т. д.), помогающие детально изучить активность. Собирать необходимые данные также позволяет решение класса EDR (BI.ZONE EDR). Если оно используется в инфраструктуре компании, то даже внешний SOC по согласованию с клиентом сможет вести сбор нужных данных без привлечения сотрудников организации. Это значительно ускоряет процесс анализа активности.

В кейсе из нашей практики EDR-решение выявило событие, связанное с запуском подозрительного файла, который собирал информацию о системе. Нередко такое событие говорит о попытке компрометации хоста, но возможны варианты. Так, причиной активности может быть легитимный скрипт сотрудников ИТ-отдела, используемый для инвентаризации. С помощью EDR аналитики провели углубленный анализ: детально изучили дельта-окрестность события по поступающей телеметрии, а подозрительный файл выгрузили в SOC на анализ. В итоге удалось однозначно установить, что активность была вредоносной, а хост пытались скомпрометировать.

Данные от киберразведки

Киберразведданные позволяют превентивно реагировать на угрозы благодаря дополнительному контексту, например оперативно атрибутировать атакующего и соотнести его с кластером активности. А знание тактик, техник, процедур и инструментов злоумышленников позволяет быстро принимать решения о том, как реагировать в рамках инцидента.

Рассмотрим пример: на хосте сработал антивирус на подозрительное вложение в письме. Но лишь по этому событию трудно понять, что это за письмо и насколько можно верить антивирусу. Обогащение событий киберразведданными помогло оперативно обнаружить фишинговую атаку, поскольку хеш вложенного файла был в базе индикаторов компрометации на портале киберразведки.

Заключение

Ключевая задача аналитика SOC при анализе событий – установить правильный контекст активности. Перечисленные в статье инструменты и процессы позволяют сделать это точно и быстро. Они необходимы для качественного обнаружения угроз и своевременного реагирования.

 

Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjc7fgBQ


 

Темы:SOCBI.ZoneBI.ZONE SOC ConsultingЖурнал "Информационная безопасность" №4, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Искусственный интеллект скоро начнет скрывать инциденты
    Ольга Гордеева, магистрант направления «Инноватика» ФГАОУ ВО Казанский (Приволжский) федеральный университет
    Событий в SOC становится все больше, а аналитиков больше не становится. Поэтому системы на базе ИИ уже сегодня помогают сортировать инциденты, расставлять приоритеты и отсеивать часть шума. Следующий логичный шаг – разрешить искусственному интеллекту самостоятельно закрывать часть инцидентов без участия человека. Но это значит, что система начнет решать не только на что обратить внимание аналитика, но и выбирать, что он вообще никогда не увидит.
  • Контроль привилегированного доступа: как перейти на российскую ОС и не перегрузить инфраструктуру
    Артем Назаретян, руководитель BI.ZONE PAM
    Переход на российские операционные системы затрагивает не только базовую инфраструктуру, но и смежные контуры безопасности. Наиболее чувствительный среди них – управление привилегированным доступом. В нем пересекаются требования регуляторов, риски кибератак и устойчивость ИТ-среды.
  • DRP на практике: как BI.ZONE защищает бизнес вне периметра
    Григорий Бершацкий, руководитель группы аналитиков BI.ZONE DRP
    За пределами корпоративного периметра формируется множество рисков для бизнеса. Только за 2025 г. специалисты BI.ZONE Digital Risk Protection обнаружили 179 тыс. фишинговых ссылок – и это лишь часть ландшафта угроз. Злоумышленники все чаще распространяют вредоносные мобильные приложения, наращивают объем мошеннического контента в мессенджерах и соцсетях, используют персонализированный фишинг. Посмотрим на самые распространенные сценарии, с которыми сталкиваются организации, и о том, как защищаться от угроз вне периметра.
  • Управление киберрисками: как считать угрозы в рублях и строить зрелые процессы
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Регулирующие органы требуют от бизнеса перейти к количественным оценкам потерь от киберинцидентов. Теперь недостаточно перечислить возможные угрозы и заявить о наличии технических средств защиты. Компаниям необходимо рассчитывать конкретную сумму потенциального ущерба, выраженную в рублях. Это могут быть прямые финансовые потери, затраты на восстановление или репутационные издержки. Невыполнение требований грозит не только штрафами, но и приостановкой деятельности. Как же обосновать для бизнеса затраты на кибербезопасность?
  • Ваш SOC или наш? Как не переплатить за кибербезопасность
    Константин Хитрово, менеджер GSOC компании “Газинформсервис”
    Делать SOC самостоятельно или передавать его внешнему провайдеру – дилемма многих организаций. Найти для себя наиболее оптимальный вариант можно, сравнив бюджеты, сроки запуска, качество аналитики и долгосрочные издержки.
  • От нейтрализации атак к их предотвращению
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Сегодня компании столкнулись с системным кризисом в кибербезопасности: они в подавляющем большинстве случаев знают о критических уязвимостях на своем внешнем периметре, но не могут их оперативно устранить. Между моментом обнаружения и моментом принятия мер образуется опасное окно возможностей, которое стало основным рабочим инструментом для злоумышленников.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...