Мы внедрили в свой SOC мультиагентную систему. Благодаря ИИ‑помощникам на базе технологий Yandex AI Studio удалось автоматизировать 39% рутинных задач — раньше они могли занимать до трети рабочего времени ИБ‑специалистов.
В SOC задачи между ИИ‑помощниками распределяются автоматически. Один ассистент обрабатывает входящие алерты, а другой проверяет данные на достоверность. Это позволяет исключить ошибки и галлюцинации искусственного интеллекта. В мультиагентной системе ИИ‑помощники работают автономно, но при этом совместно анализируют данные и принимают решения. За счёт такой интеграции SOC‑аналитики могут автоматически отсеивать ложные срабатывания и фокусироваться на реальных инцидентах безопасности. В результате время, затрачиваемое на обработку некорректных оповещений, сократилось на 86%.
Решения, изначально разработанные для внутренних нужд, теперь доступны и внешним компаниям в наших сервисах безопасности.
За два года мы прошли путь от пилотного внедрения ИИ в SOC до промышленного использования. Ключевую роль сыграло применение RAG‑технологий, которые обеспечили моделям доступ к актуальным документам и базе инцидентов. Мультиагентный подход позволил повысить точность ответов: задачи распределили между специализированными агентами, которые способны работать с глубоким контекстом крупных компаний.
Внедрение мультиагентной системы в наш центр мониторинга безопасности позволило не только ускорить обнаружение угроз, но и автоматизировать обогащение данных киберразведки, поиск по внутренним базам и анализ схожих инцидентов. Современные SOC‑команды должны не только разбираться в кибербезопасности, но и уметь работать с ИИ‑инструментами.
Мультиагентная система безопасности доступна и во внешних сервисах: Yandex Cloud Detection and Response и Yandex Security Deck. Её уже используют компании из финтеха, ритейла, здравоохранения и страхования для автоматизации мониторинга информационной безопасности.
Встроенный в сервисы безопасности ИИ‑помощник помогает пошагово разбирать ИБ‑инциденты, анализировать IoC (индикаторы компрометации) и артефакты в контексте облачной инфраструктуры. ИИ‑помощник оперативно собирает дополнительную информацию об IP‑адресах, участвующих в инциденте, даёт рекомендации и конкретные действия для устранения угрозы — например, команды для отключения серийной консоли или других потенциально опасных точек доступа.
.
Источник: https://yandex.cloud/ru/blog/ai-soc
