Kaspersky MDR: ML-«автоаналитик» для автоматической фильтрации алертов SOC

«Лаборатория Касперского» разработала ML-компонент «автоаналитик» для своего коммерческого MDR-сервиса (Managed Detection and Response). Система обучена методом Supervised Learning на размеченном историческом массиве алертов SIEM в паре с вердиктами аналитиков SOC. Цель обучения — уверенно идентифицировать ложноположительные срабатывания без участия человека. В основе — библиотека CatBoost (градиентный бустинг). «Автоаналитик» обрабатывает входящий поток предупреждений и передаёт аналитикам только те, вероятность инцидента по которым превышает заданный порог. Около 10% вердиктов «автоаналитика» проверяется вручную для контроля качества и дообучения.

Инфраструктура клиентов MDR генерирует миллиарды событий ежедневно. В 2023 году из них было сформировано 431 512 предупреждений о потенциально вредоносной активности, из которых лишь 32 294 (7,5%) оказались связаны с реальными инцидентами. От 30 до 70% поступающих алертов аналитики классифицировали как ложные срабатывания — колоссальная нагрузка, отвлекающая от расследования реальных угроз.

• Автоматически отфильтровывать ложноположительные срабатывания без участия аналитика

• Снизить нагрузку на команду SOC и перераспределить ресурсы на расследование сложных угроз

• Обеспечить масштабируемость MDR-сервиса при росте числа клиентов без пропорционального роста штата

• Финансы

• Масштабирование MDR-сервиса без пропорционального роста численности аналитиков SOC

• Снижение стоимости MDR-сервиса для клиентов за счёт автоматизации рутинной обработки алертов Время

• Ложноположительные алерты закрываются «автоаналитиком» немедленно, без очереди к аналитику

• В 2024 году число серьёзных инцидентов снизилось на 34% по сравнению с 2023-м — аналитики тратят больше времени на каждый инцидент (среднее время расследования выросло на 48%) Качество и эффективность

• ~30% всех предупреждений обрабатываются «автоаналитиком» автоматически без участия человека

• В 2023 году ML-модуль закрыл более 100 000 алертов без вмешательства аналитика SOC

• В 2024 году около 26% всех алертов обработаны технологиями машинного обучения

• Ложноотрицательные вердикты модели (False Negative) не превышают 2% — критерий качества для дообучения Нагрузка и масштаб

• Сервис обрабатывает 15 000 событий на хост в сутки (данные MDR 2024)

• В среднем выявляется 2 серьёзных инцидента в день по всей клиентской базе

• Система работает 24/7 по всей глобальной клиентской сети MDR Надёжность

• 10% вердиктов «автоаналитика» проверяется вручную для контроля качества

• При превышении порога ошибок (>2% False Negative) — автоматическое переобучение модели

• Архитектура Supervised Learning на реальных данных SOC обеспечивает высокую специфичность Импортозамещение и compliance

• Собственная разработка «Лаборатории Касперского» на базе российской ML-экспертизы (CatBoost — библиотека Яндекса, open source)

• MDR-сервис полностью управляется из российских SOC Качественный эффект: ML-«автоаналитик» позволил Kaspersky MDR масштабировать обработку сотен тысяч алертов в год без пропорционального роста штата. Автоматическое закрытие 30% алертов (100 000+ в год) фактически освобождает аналитиков для расследования сложных угроз — в том числе целевых атак, управляемых человеком, число которых в 2024 году выросло на 74%.