Автоматизировали треть рутинных задач ИБ‑специалистов с помощью ИИ‑агентов

В SOC задачи между ИИ‑помощниками распределяются автоматически. Один ассистент обрабатывает входящие алерты, а другой проверяет данные на достоверность. Это позволяет исключить ошибки и галлюцинации искусственного интеллекта. В мультиагентной системе ИИ‑помощники работают автономно, но при этом совместно анализируют данные и принимают решения. За счёт такой интеграции SOC‑аналитики могут автоматически отсеивать ложные срабатывания и фокусироваться на реальных инцидентах безопасности. В результате время, затрачиваемое на обработку некорректных оповещений, сократилось на 86%.

За два года мы прошли путь от пилотного внедрения ИИ в SOC до промышленного использования. Ключевую роль сыграло применение RAG‑технологий, которые обеспечили моделям доступ к актуальным документам и базе инцидентов. Мультиагентный подход позволил повысить точность ответов: задачи распределили между специализированными агентами, которые способны работать с глубоким контекстом крупных компаний.

Мультиагентная система безопасности доступна и во внешних сервисах: Yandex Cloud Detection and Response и Yandex Security Deck. Её уже используют компании из финтеха, ритейла, здравоохранения и страхования для автоматизации мониторинга информационной безопасности.

Встроенный в сервисы безопасности ИИ‑помощник помогает пошагово разбирать ИБ‑инциденты, анализировать IoC (индикаторы компрометации) и артефакты в контексте облачной инфраструктуры. ИИ‑помощник оперативно собирает дополнительную информацию об IP‑адресах, участвующих в инциденте, даёт рекомендации и конкретные действия для устранения угрозы — например, команды для отключения серийной консоли или других потенциально опасных точек доступа.