Среднее время обнаружения тормозит из‑за проблем доступа

Аналитики SOC тратят значительную часть времени не на анализ, а на сбор данных из разрозненных систем; инструменты вроде Databricks Genie в Lakewatch обещают ускорить расследования через агентную обработку и естественный язык.

Расследование инцидентов в SOC тормозит не из‑за нехватки квалификации, а из‑за времени, которое уходит на сбор данных из разрозненных источников — утверждает материал Тейлор Кейна. Это напрямую влияет на ключевые показатели безопасности, такие как среднее время обнаружения (MTTD) и среднее время восстановления (MTTR), и замедляет реакцию на угрозы. За последнее десятилетие метрики безопасности — MTTD, MTTR, уровень ложных срабатываний, загрузка аналитиков — стали измеряться с бизнес‑подходом. При анализе этих показателей выявляется закономерность: значительная доля рабочего времени аналитиков уходит не на интерпретацию событий, а на сбор и приведение в соответствие данных из разных систем.

Типичное расследование требует последовательности операций: извлечь логи из нескольких источников, сопоставить их с учётными записями пользователей, проверить данные об активах затронутых систем, просмотреть предыдущие оповещения по связанным сущностям и выстроить хронологию событий. Каждая такая проверка обычно требует отдельного запроса в отдельной системе с собственной синтаксической спецификой. Организации вкладывались в SIEM‑платформы, SOAR‑автоматизацию и интеграцию разведданных, и эти инструменты действительно улучшили рабочие процессы. Однако фундаментальная проблема фрагментации данных остаётся: когда «авторитетная» версия расследования требует объединения данных из систем, которые изначально не были рассчитаны на взаимодействие, роль интегратора часто ложится на плечи аналитика.

Последствие этого разрыва видно на практике: Level 2‑аналитик, который может задать любой вопрос по инциденту и получить ответ за секунды, выполняет в пять раз больше аналитической работы, чем коллега, которому для каждой части картины приходится опрашивать по три разные системы. Эта разница прямо влияет на эффективность использования аналитического ресурса и на скорость принятия решений. В качестве технического подхода к смягчению проблемы упоминается Databricks Genie в составе Lakewatch. Genie выступает агентным интерфейсом, использующим возможностей продвинутого рассуждения моделей Anthropic Claude, чтобы обеспечивать агентные операции по безопасности через естественноязыковые запросы. По заявлению автора, такое сочетание даёт возможность ускорить детекцию и реакцию «на скорости машины», сокращая время, утекающее на ручную интеграцию данных.

Для SOC это означает, что при успешной интеграции агентных интерфейсов и моделей продвинутого рассуждения можно перераспределить время аналитиков с рутинного сбора данных на собственно анализ и принятие решений, что должно улучшить MTTD, MTTR и утилизацию кадров. Однако пока ключевой узел остаётся — преодолеть фрагментацию источников, чтобы аналитики действительно могли работать с объединённой и оперативной картиной инцидента.