Восстание машин: возможно ли заменить аналитика SOC искусственным интеллектом

В ходе доклада поговорим о применении ИИ в SOC: какое место занимает, а также для чего ИИ лучше всего применять. Обсудим, почему в детектировании угроз ML не лучший инструмент (так как атакующие постоянно меняют паттерны поведения, используют новые техники и инструменты). Спикер расскажет об опыте применения ML в ЛК, способах борьбы с FP, работе и обучении автоаналитика. Разберет примеры процесса принятия решения у робота, важные нюансы работы с ним, а также ошибки, которые совершает робот, и то, как их минимизировать. Расскажет также, для чего еще помимо фильтрации FP в ЛК используется ML, почему этот инструмент лучше всего подходит для поиска аномалий, разберет примеры применения и use cases, где ML показывает себя лучше всего (поиск логонов пользователя с новых адресов, детектирование при сканировании файловых ресурсов на основе входящих SMB-соединений; как ловить закэшированные билеты Kerberos чужих пользователей). Подведем итоги и обсудим, почему не везде необходим ML и почему будущее за тем, чтобы ИИ давал полный контекст, необходимый аналитику, а не заменял его. Глеб Иванов «Лаборатория Касперского»