Автономный SOC — это новый уровень центров мониторинга информационной безопасности. Ключевые процессы обнаружения, расследования и реагирования в нем автоматизированы с помощью алгоритмов и искусственного интеллекта.
По определению Gartner, автономный SOC — это система, где роль человека минимальна. Аналитики сосредоточены на разработке политик, моделей и анализе сложных, нестандартных ситуаций. Такой подход помогает организациям справляться с растущим объемом событий, нехваткой специалистов и стремительной скоростью современных атак.
В прямом эфире мы расскажем, как устроен автономный SOC. Мы покажем, как технологии SIEM, SOAR, UEBA, Threat Intelligence и ML объединяются в единую интеллектуальную систему. Эта система работает быстро, последовательно и предсказуемо, без человеческого вмешательства. Однако создание такой системы требует не только новых инструментов, но и изменения архитектуры, процессов и подхода к реагированию внутри компании.
- Что такое автономный SOC
- Что такое автономный SOC и чем он отличается от традиционного SOC?
- Почему усиливается спрос на автономность в контексте SOC?
- Как изменяется роль человека в SOC при автоматизации — он тренирует ИИ или контролирует его?
- Какие роли и процессы в SOC никогда не станут автономными, не будут работать без участия человека?
- Какие существуют уровни автономности SOC?
- Технологии и практика автоматизации SOC
- Какие компоненты и технологии лежат в основе автономного SOC?
- Какова роль SOAR в автономном SOC?
- Как именно машинное обучение, LLM или GenAI применяются в автономном SOC?
- Чем отличается “автономный SOC” на ML от SOC, использующего LLM и GenAI?
- Где взять Data set для ML-модели? И как проверить его качество?
- Какие подходы к автоматическому обогащению инцидентов дают лучший результат?
- Предполагает ли автономный SOC автоматизированное реагирование
- C помощью каких продуктов и технологий можно автоматизировать расследование инцидентов?
- Каким должен быть масштаб SOC, чтобы стало возможным применение в нем моделей ML или GenAI?
- Кто должен обеспечивать тюнинг моделей: сам ИБ или силами внешних ML-инженеров?
- Как балансировать скорость и контроль: когда стоит вмешиваться в работу ИИ?
- Как проверять надёжность и обновлять модели ИИ в SOC (“AI Patch Management”)?
- Можно ли использовать low-code/no-code для создания сценариев реагирования и корреляции для автономного SOC?
- Какие ошибки чаще всего совершаются при внедрении AI/ML в SOC?
- Итоги и прогнозы
- Как изменится рынок SOC в ближайшие 3–5 лет — где автоматизация станет стандартом?
- Когда мы увидим зрелые автономные SOС у российских заказчиков?
- Какие технологии станут драйверами автономности SOC в 2026–2028 годах: LLM, GenAI, Threat Intelligence Ops?
- Какие регуляторные требования и стандарты могут появиться для автономных SOC в России?
- Останется ли аналитик в контуре решений или возможен полностью самостоятельный SOC?
Приглашенные эксперты:
|
|
Владимир Зуев Techlead RED Security SOC, RED Security |
|
|
Демид Балашов Руководитель по развитию продуктов кибербезопасности, МегаФон ПроБизнес |
|
|
Максим Степченков Совладелец компании, RuSIEM |
|
|
Николай Гончаров Директор департамента мониторинга кибербезопасности, Security Vision |
Модераторы:
|
|
Алексей Лукацкий Chief Evangelist Officer, Positive Technologies |
