AI-система детекции угроз на базе SIEM
Классический SIEM тонет в событиях. Среднее enterprise-окружение генерирует 10–100 млрд log events в день. Написать правила корреляции на каждый значимый паттерн невозможно физически, а то, что написано — даёт тысячи false positives. Аналитики перестают читать алерты. AI-enhanced SIEM меняет соотношение сигнал/шум до рабочего уровня.
Где AI добавляет ценность в SIEM
Triaging алертов. ML-модель оценивает вероятность того, что алерт — реальный инцидент, а не false positive. Учитывает: контекст актива (критический сервер vs. тестовая машина), историческую точность правила, временной контекст, обогащение из threat intelligence. Analyst'ы видят сначала HIGH-priority алерты.
Correlating разрозненных событий. Одно событие — шум. Но: неудачный логин (event 1) + новый процесс (event 2) + DNS-запрос к редкому домену (event 3) + исходящий трафик (event 4) в течение 20 минут — это incident. UEBA + sequence analysis выстраивает такие цепочки автоматически.
Baseline и anomaly detection. Каждый пользователь, хост, сервис имеет профиль нормальной активности. SIEM с AI строит этот профиль автоматически и детектирует отклонения без написания правил.
Natural language query. Аналитик пишет «покажи все подозрительные активности сервисного аккаунта за последнюю неделю» — LLM транслирует в SPL/KQL/ESQL запрос. Снижает барьер работы с SIEM.
Интеграция с популярными SIEM-платформами
Splunk + ML Toolkit. Splunk MLTK предоставляет алгоритмы прямо в SPL: Isolation Forest, ARIMA для time series anomaly, k-means clustering. Custom ML модели через DSDL (Deep Learning Toolkit) или через API.
Microsoft Sentinel. UEBA встроен, ML-based anomaly scoring из коробки. Azure ML интеграция для кастомных моделей. Notebooks для threat hunting.
Elastic (OpenSearch) + ML. Anomaly detection jobs на основе датчиков без разметки. Поддержка ONNX моделей через Elastic ML node.
# Пример создания ML job в Elasticsearch для anomaly detection
ml_job = {
"analysis_config": {
"bucket_span": "15m",
"detectors": [
{
"function": "high_count",
"field_name": "failed_logins",
"over_field_name": "user.name",
"partition_field_name": "host.name"
}
]
},
"data_description": {"time_field": "@timestamp"},
"analysis_limits": {"model_memory_limit": "1gb"}
}
MITRE ATT&CK mapping
Эффективный AI SIEM привязывает детектированные аномалии к тактикам и техникам MITRE ATT&CK. Это даёт:
- Понимание в какой стадии kill chain находится атака
- Coverage analysis: какие техники покрыты текущими детекторами, а какие — нет
- Автоматическое обогащение алертов контекстом о типичном поведении атакующих, использующих данную технику
Практический кейс
Ритейл-компания, 300 хостов, Splunk как SIEM. Проблема: 2 400 алертов в неделю, команда из 2 аналитиков. 95%+ правил срабатывало как false positive. Аналитики фактически игнорировали SIEM.
Что внедрили:
- UEBA профили на всех пользователей и сервисные аккаунты
- ML-scoring алертов (LightGBM на features из Splunk: severity, rule_type, asset_criticality, historical_fp_rate)
- Автоматическая корреляция в цепочки инцидентов
- NLP-тriage: краткое summary каждого алерта с объяснением «почему это подозрительно»
Результат:
- 2 400 алертов → 34 приоритизированных инцидента в неделю для review
- Аналитики снова читают алерты — качество контекста достаточное для быстрого принятия решений
- 4 реальных инцидента выявлено за первые 2 месяца (2 из них были «живыми» до внедрения)
- MTTD снизился с «не знали» до 6 часов в среднем
Сроки: 4–8 недель для AI-enrichment существующего SIEM, 3–6 месяцев для полноценного AI SIEM с кастомными моделями и MITRE ATT&CK coverage.