В понедельник 9:15 в очереди SIEM — 2 847 алертов за выходные. 2 300 из них — FP от трёх правил корреляции. Пока аналитики разгребали шум три дня, lateral movement через скомпрометированный сервисный аккаунт закрыли «как FP». Данные ушли.Статические правила корреляции бьют...
Снижение false positives в SOC: ML-детекторы и автоматизация триажа от алерта до тикета
Источник: codeby.net