Методика керування якістю алертів у SIEM на основі ризик-орієнтованого скорингу та зворотного зв’язку SOC (alert quality management)

Анотація

У роботі розроблено методику керування якістю алертів у системах управління подіями та інцидентами інформаційної безпеки (SIEM) на основі ризик-орієнтованого скорингу та замкненого контуру зворотного зв’язку від Security Operations Centre. Актуальність дослідження зумовлена проблемою перевантаження аналітиків SOC надмірною кількістю сповіщень, значна частина яких має низьку аналітичну цінність і не призводить до підтверджених інцидентів безпеки. На відміну від підходів, що зосереджуються переважно на вдосконаленні кореляції подій або підвищенні точності детекції, запропонована методика розглядає алерт як керований операційний об’єкт і формалізує його якість через інтегральний показник Alert Quality Index (AQI). Даний показник враховує корисність алерта для реагування, часову релевантність його обробки, рівень дублювання сповіщень та витрати аналітичних ресурсів SOC. Ризик-скоринг алертів коригується з урахуванням критичності активів, ролей користувачів і загрозового контексту, що забезпечує узгодження технічних сигналів SIEM з потенційним впливом інцидентів на бізнес-процеси підприємства. Для зменшення alert flood у роботі застосовано механізми дедуплікації та зшивання однотипних сповіщень у більш інформативні кейси на основі метрики подібності в заданому часовому вікні. Рішення аналітиків SOC (TP, FP, BENIGN, TUNE) використовуються як керуючий сигнал для адаптивного тюнінгу порогових значень і параметрів правил SIEM. Експериментальна перевірка у серії номінальних і стресових сценаріїв продемонструвала зниження частки хибнопозитивних спрацювань, скорочення MTTD і MTTR, зменшення навантаження на SOC та зростання середнього значення AQI, що підтверджує ефективність системного керування потоком алертів у реальних умовах експлуатації.