Андрей Шаляпин, 11/08/25
Во втором материале цикла расскажем о ключевой функции SOC – обнаружении угроз и киберинцидентов, ради которой и организуется постоянный мониторинг безопасности. Без эффективного обнаружения угроз все остальные процессы в рамках SOC лишены смысла. От чего же зависит эффективность обнаружения?
Автор: Андрей Шаляпин, руководитель BI.ZONE TDR
SOC работает круглосуточно или не работает вообще
Одна из первых и ключевых задач при создании SOC – организация команды и режима работы. Без правильно выстроенного графика невозможно обеспечить непрерывный мониторинг. SOC по определению должен функционировать в режиме 24/7. Именно это обеспечивает своевременное обнаружение угроз и реагирование на инциденты.
Непрерывность мониторинга имеет критически важное значение, поскольку атаки могут происходить в любой момент: ночью, в выходные и праздничные дни. Согласно статистике BI.ZONE, более половины критических киберинцидентов происходят в нерабочее время. Попытка запустить SOC в режиме 8/5 сводит его эффективность к минимуму, а любая задержка в реагировании может обернуться серьезными последствиями.
Даже в случае использования модели MSSP SOC, в компании должна быть организована внутренняя дежурная смена. Она необходима для оперативного взаимодействия с внешним провайдером, принятия управленческих решений, эскалации инцидентов, а также координации действий внутри компании, когда реализуются сценарии реагирования.
MSSP обеспечивает мониторинг и первичную обработку, но ответственность за активное реагирование, внутреннюю готовность к инцидентам и принятие решений лежит на владельце ИТ-инфраструктуры. На практике важность этого требования часто недооценивают или игнорируют. Это приводит к задержкам в реагировании и росту потенциального ущерба от инцидентов.
Слепые зоны: кто действительно видит злоумышленника?
Штатных подсистем аудита часто недостаточно, чтобы эффективно обнаруживать киберугрозы. Причина – ограниченная глубина видимости и контекста. В дополнение нужно использовать решения класса NTA. Они позволяют выявлять подозрительные паттерны на уровне сети, которые могут не фиксироваться в других типах событий, например атаки на сетевые протоколы или использование скрытых каналов коммуникации вредоносного ПО.
Еще один важный инструмент – EDR-решения. Они поставляют подробную телеметрию с конечных точек, на которых злоумышленник непосредственно выполняет свои действия. Системы EDR обеспечивают не только глубокую видимость, но и предоставляют инструменты активного реагирования на уже обнаруженные киберинциденты.
Оперативное обнаружение сложных и скрытых атак штатными подсистемами аудита без NTA и EDR зачастую невозможно. Только совместное использование всех трех источников данных для мониторинга позволяет построить эффективную систему обнаружения и реагирования, а также поддерживать процесс проактивного поиска угроз – Threat Hunting.
Логика обнаружения без TI – догадки вместо защиты
Эффективность обнаружения в первую очередь определяется качеством и полнотой детектирующей логики, которой располагает SOC. Разработка детектирующего контента начинается с понимания, какую именно вредоносную активность необходимо выявлять. Подробнее о процессе разработки детектирующей логики можно прочитать в отдельной статье [1].
Несмотря на кажущуюся универсальность ландшафта угроз, на практике он сильно варьируется. Опыт компании BI.ZONE, которая работает с заказчиками из разных стран и отраслей, доказывает, что и география, и сфера деятельности напрямую влияют на характер угроз, с которыми сталкивается организация. Наличие собственной киберразведки (Threat Intelligence, TI) в SOC позволяет получить релевантную информацию об угрозах в контексте конкретной организации, отрасли, территориальной принадлежности. А это, в свою очередь, помогает приоритизировать разработку детектирующих правил.
TI – это не только индикаторы компрометации (IoC), но и информация о тактиках, техниках и процедурах (TTP) атакующих. Именно TTP в первую очередь являются тем источником данных, которые нужны, чтобы приоритизировать разработку правил корреляции. А индикаторы компрометации помогают реагировать на уже известные угрозы: поток поступающих событий проверяется на наличие IoC. Без использования киберразведки есть риск создавать контент и правила обнаружения на основе нерелевантных или устаревших угроз. Это снижает эффективность защиты, приводит к ложным срабатываниям или пропуску реальных атак.
Оптимизация SOC: укрощение алертов
Некоторые компании расширяют команду аналитиков SOC в попытках справиться с растущим потоком алертов. Но в итоге такой подход приводит к перерасходу ресурсов и снижению общей эффективности. Необходимо фокусироваться на регулярной работе с исключениями, а также использовать автоматизацию и машинное обучение.
В BI.ZONE мы постоянно внедряем новые механизмы автоматизации, используя МО и ИИ, чтобы повысить эффективность работы. Среди таких решений алгоритм автоназначения алертов аналитикам, механизм выявления флуда правил, модель автоматического закрытия повторяющихся или схожих алертов, а также ассистент, объясняющий содержимое командной строки в Сейчас порядка 35% алертов в сервисе BI.ZONE TDR обрабатывается автоматизированно.
На правах рекламы. ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjdzojyp
Самооценка зрелости центров мониторинга
Бесплатно проверьте текущее состояние SOC и определите векторы его развития. Это займет примерно 15 минут
