📊 SOC под давлением: почему алерты игнорируют

🚨 Причины шума

Ложные срабатывания в SIEM доходят до 80–90%. Чаще всего это результат копирования «готовых» правил без учёта контекста.

Бессмысленно держать правило brute-force для SSH в облаке, где SSH отключён.

Похожая ситуация с Mimikatz: правило на запуск lsass.exe с ключами sekurlsa сработало 12 раз за неделю. Только одна попытка была подозрительной, остальные вызваны штатным ПО резервного копирования.

🔎 Фильтрация алертов

Поведенческие модели и SOAR помогают отделить шум от угроз:

- baseline нормальной активности снижает количество ложных тревог

- enrichment данными из EDR и Threat Intelligence позволяет быстро понимать контекст

- приоритизация по риску даёт SOC-фильтрам фокус на критичных сценариях

Но даже «легитимные» обновления и CI/CD-трафик могут маскировать атаку, если фильтрация слишком поверхностная.

⚙️ Кастомизация MITRE и OWASP

MITRE ATT\&CK и OWASP дают каркас, но правила без адаптации перегружают SOC:

- исключения для легитимных процессов при credential dumping

- настройка веб-правил, чтобы CI/CD не выглядел как SQLi

- перестройка brute-force-правил под API-ключи в облаке снижает шум на 40–50%

🧩 Готовые или свои правила?

Готовые наборы хороши для старта. Но там, где важен бизнес-контекст, нужны свои правила. Это уменьшает шум и делает реагирование осмысленным, а не механическим.

📌 SOC не тонет в алертах из-за «злых хакеров». Он тонет из-за собственных шаблонов и нежелания тратить время на кастомизацию.

Все началось с того,что появилось чувство апатии. Новый день похож на вчерашний,состояние не продуктивности и самобичевания. В тот день мы встретились с друзьями. Я поделилась об этом с Настей и она предложила мне подработку на форуме. Почему бы и нет,подумала я.
Это был максимальный выход из зоны комфорта и привычного состояния.
Мы съездили на монтаж,осмотрели обстановку и во вторник должен был начаться форум.

Немного информации о самом мероприятии.

SOC-Форум одна из крупнейших специализированных конференций в области информационной безопасности и единственное в России мероприятие, полностью посвящённое вопросам создания и эксплуатации центров мониторинга, противодействию кибератакам, реагированию и расследованию компьютерных инцидентов.

14.11

• Подъем в 4:40
• Сборы
• Завтрак
• Отправление

Прибыли мы в центр международной торговли. Нас была команда из 4х человек. На стойке регистрации выдали бейджи,Настя дала и показала задания и мы разошлись по точкам.

Наша работа заключалась в том,что мы должно были фотографировать все. Даже самые мелкие детали. (Канцелярия,бейджи,реклама и т.д)
На основе этих фото мы делаем отчет и отправляем руководству.

Атмосфера,которая царила внутри 2х этажей,невероятная. Большое количество людей,конференции,спикеры. Лаунж зоны,кибер бар,где можно было сделать ставку и получить бесплатный коктейль. От такого разнообразия кружилась голова.

Ценность таких мероприятий- саморазвитие.
Ты просвещаешься максимально,общение с разными людьми тебе дает не только обмен знаниями,но и дальнейшие возможности.

Помимо всего этого,у нас была возможность подняться на 20й этаж,где открывались невероятные виды.
Это все заряжало энергетикой и давало почву для размышлений.

Также нас кормили шведским столом,а на 2й день раздавали бесплатный кофе. Вода и вкусняшки неограниченные🌚

Под конец дня я была уставшая,но счастливая ✨

Больше историй в моем блоге https://t.me/BlogNLV

Вот и я обновился, с Samsung A30s на Realme 10 4G.

Интересно же, как на новом чипсете SoC Mediatek Helio G99, будет работать Boinc