Тема центров мониторинга киберугроз и реагирования на инциденты у меня в блоге является если не самой основной, то одной из них. Множество заметок, видео, подкастов, статей посвящено различным аспектам проектирования и функционирования SOC. И вот грядет очередная порция материалов, которые приурочены к проходящему в Москве и в онлайне 7-8 декабря SOC Forum 2021.
Во-первых, в журнале BIS Journal, бумажная версия которого будет распространяться на SOC Forum, у меня вышло сразу две статьи. Первая, «Что надо знать, если вы решили применить машинное обучение при мониторинге угроз?«, является кратким введением в тему искусственного интеллекта в деятельности SOCов. Какие сценарии применения ML в SOC существуют? Как формируется датасет для обучения ML и можно ли его найти в Интернете? Как и зачем размечиваются данные для работы ML? Какие признаки (атрибуты) могут быть при анализе вредоносности файла или анализе сетевого трафика или анализе DNS-запросов и ответов? Как выбираются модели ML? Можно ли самостоятельно создать подсистему ML в своем SOC и какие неудобные вопросы надо задавать ИБ-вендору, который заявляет о том, что у него ИИ в полный рост применяется в решениях по ИБ? Про это и многое другое я попробовал рассказать в статье. Дополнительно к статье, я бы рекомендовал еще посмотреть видео, которые записано по результатам моего выступления по этой теме на Уральском форуме по банковской ИБ.
![Проблема датасетов в машинном обучении для ИБ](https://lukatsky.ru/wp-content/uploads/2021/12/screenshot-2021-12-02-at-06.35.12.png)
Вторая статья, «Какую модель функционирования SOC выбрать?«, является расширенной версии моего выступления на прошлогоднем SOC Forum LIVE, видео которого тоже можно посмотреть у меня на сайте. Ее идея заключается в том, что очень часто противопоставляются две модели организации SOC – целиком собственный и внешний, коммерческий, которому функция мониторинга передаётся на аутсорсинг. Но ведь существуют и иные популярные модели. Это и использование облачной SOC-платформы, с которой работают ваши аналитики, и применение чужих рук для приобретенного уже технологического стека SOC. У каждой из этих моделей есть свои преимущества и свои недостатки, свои особенности и нюансы. Участвуя в проектирование и аудите SOCов в России и странах СНГ, я могу сказать, что сегодня нет явного лидера в какой-то из моделей. Разве что модель «Managed SIEM» популярна менее остальных, но есть примеры ее применения и у нас.
![Модели функционирования SOC](https://lukatsky.ru/wp-content/uploads/2021/12/bis43_27_lukatsky_03.jpeg)
А в следующей заметке я напишу о тех выступлениях, которые у меня будут на SOC Forum завтра и послезавтра и которые будут транслироваться онлайн (для тех, кто не сможет присутствовать на мероприятии очно).