Step Security Data Lake

Основная статья: Security Information and Event Management (SIEM)

2025

Внедрение ИИ-агента для выполнения сценариев реагирования на инциденты ИБ

Команда STEP LOGIC разработала AI-агента для выполнения сценариев реагирования на инциденты информационной безопасности и встроила его в платформу STEP Security Data Lake. Об этом компания сообщила 9 декабря 2025 года.

AI-агент создает и выполняет индивидуальные сценарии реагирования для каждого инцидента, повышая точность и результативность ответных мер, а функциональность SIEM и IRP позволяет получить необходимый контекст и реализовать полный цикл процесса обработки инцидента.

Правила обнаружения обеспечивают выявление и регистрацию подозрительной активности. AI-агент мгновенно анализирует карточку инцидента, цель и вектор атаки. Для нейтрализации угрозы ИИ формирует наиболее эффективный плейбук с учетом специфики инцидента и инфраструктуры организации. Выполнение сценария осуществляется автоматически, а при необходимости система эскалирует инцидент с готовым планом действий ИБ-специалистам.

Решение построено на интеграции больших языковых моделей (LLM), механизма рассуждений (Reasoning Engine) и специализированного фреймворка, позволяющего настраивать поведение и параметры интерпретации контекста, выбирать наилучшие методы защиты. AI-агент действует строго в рамках заданных инструментов и политик безопасности, критичные действия могут требовать дополнительной проверки аналитиком.

Ключевые плюсы STEP AI SOAR – производительность и эффективность. Если раньше разработка и внедрение сценариев реагирования занимали часы, то AI-агент способен формировать и выполнять эти задачи за секунды, экономя время и ресурсы. А его экспертная помощь в диалоге с аналитиком информационной безопасности позволяет снизить количество ложных срабатываний и не пропустить значимый инцидент, сказал Станислав Прищеп, руководитель направления систем управления информационной безопасностью STEP LOGIC.

Добавление модуля SDL Content Manager

Специалисты STEP LOGIC реализовали подход к управлению конфигурациями контента в высоконагруженных и мультитенантных SOC. В STEP Security Data Lake появился модуль SDL Content Manager, обеспечивающий максимальную гибкость, наглядное представление и контролируемое изменение параметров услуг SOC. Об этом компания сообщила 15 апреля 2025 года.

Программный продукт STEP Security Data Lake является собственной разработкой STEP LOGIC для центров кибербезопасности (SOC). Решение поддерживает мультитенантность на уровне хранения и представления данных, объединяет функции мониторинга событий и выявления инцидентов (SIEM), реагирования и расследования (IRP), автоматизации и оркестрации (SOAR).

В качестве контента в STEP Security Data Lake выступают правила обнаружения инцидентов, интеграции для новых источников, действия по реагированию, плейбуки, дашборды, визуализации, другие спецификации и алгоритмы. В каждом SOC этот контент уникален и настраивается индивидуально под услуги и объекты мониторинга.

Подход заключается в том, что контент теперь представлен в виде настраиваемых шаблонов. Их можно объединять в группы и применять в качестве эталонов для отдельных сетевых сегментов, ролей пользователей, объектов мониторинга, пакетов услуг в SOC. При этом остается возможность индивидуальной настройки каждого параметра для любой группы.

В результате сокращается время на развертывание, внесение изменений и тиражирование, упрощается администрирование контента и услуг SOC. Теперь не важно сколько в инсталляции параметров, управлять ими можно централизовано с помощью одного шаблона.

Сам модуль SDL Content Manager может быть интегрирован с центральным репозиторием, чтобы автоматизировать совместную разработку контента, синхронизацию, управление версиями и контроль изменений сразу в нескольких инсталляциях.

Теперь управление контентом в SOC на базе STEP Security Data Lake стало проще и удобнее. Данный модуль позволяет увидеть все параметры контента системы в одном месте, даже если речь идет об инсталляциях с тысячами правил обнаружения и десятками клиентов. Благодаря новому подходу на базе эталонных шаблонов нам удалось решить задачу тиражирования и контроля конфигурации нашей системы, – отметил руководитель направления систем управления ИБ STEP LOGIC Станислав Прищеп.

2024: Добавление генеративного ИИ

Специалисты STEP LOGIC расширили функционал технологической платформы класса TDIR Security Data Lake. Для помощи в проведении расследований, поиске инцидентов и событий информационной безопасности в решение был встроен генеративный искусственный интеллект на базе локально-развертываемой языковой модели – GPT-ассистент. Об этом разработчик сообщил 29 марта 2024 года.

Программный продукт Security Data Lake является собственной разработкой STEP LOGIC для центров кибербезопасности (SOC) с общим пользовательским интерфейсом, данными и процессами, объединяющей в себе функции мониторинга событий и выявления инцидентов (SIEM), реагирования и расследования (IRP), а также автоматизации и оркестрации этих процессов (SOAR).

GPT-ассистент представляет собой дополнительный программный модуль, который может интегрироваться как с локальной, так и публичной моделью платформы.

Аналитик SOC в специальном окне задаёт вопросы боту-аналитику по событиям, связанными с данными из расследуемого инцидента информационной безопасности, и получает его интерпретацию ответа на получившийся запрос.

На март 2024 года нейро-ассистент может обрабатывать несколько типов запросов, связанных с поиском данных в системе. Он выводит списки сводных данных, считает количественные значения, определяет время действия, а также может отвечать на вопросы по функционированию платформы в свободной форме.

Мы предоставили возможность аналитикам и руководителям центров кибербезопасности использовать генеративную модель ИИ при расследовании инцидентов. С помощью нейро-помощника можно быстро определить, когда пользователь, принимавший участие в инциденте, последний раз входил в систему, какие события случались с ним за последние сутки, количество инцидентов в расследовании с заданными параметрами и т.д., – подчеркнул руководитель направления систем управления информационной безопасностью STEP LOGIC Станислав Прищеп. – При этом, утечка данных исключена. Модель ИИ статична, она уже обучена и осуществляет только поиск по данным, не передавая их вовне.

2023: Включение в реестр российского ПО

Согласно поручению Министерства цифрового развития, связи и массовых коммуникаций России, технологическая платформа для автоматизации анализа данных и расследования инцидентов Security Data Lake включена в Реестр российского ПО (реестровая запись №20657 от 25.12.2023) по классу «02.08 Средства мониторинга и управления». Об этом Step Logic (Стэп Лоджик) сообщил 23 января 2024 года.

Программный продукт Security Data Lake является собственной разработкой STEP LOGIC для центров кибербезопасности (SOC), объединяющей в себе функции мониторинга событий и выявления инцидентов (SIEM), реагирования и расследования (IRP), а также автоматизации и оркестрации этих процессов (SOAR).

Интерфейс Security Data Lake не только предоставляет аналитику кибербезопасности максимально полный контекст инцидента, но и обладает настраиваемыми инструментами автоматизации реагирования.

Особенностью платформы является использование для анализа событий, инцидентов, расследований и активов единых языка поисковых запросов и конструктора визуализаций, общих правил корреляции и автоматизации. Как показывает практика, такой подход сокращает время реагирования на инциденты и снижает эксплуатационные расходы в 2 раза, по сравнению с решениями на базе комплекса интегрированных между собой SIEM, IRP и SOAR-систем.

Платформа предназначена для построения инсорсных или публичных управляемых сервисов по кибербезопасности. В ней реализованы возможности создания отдельных рабочих пространств, разделения доступа к данным между объектами защиты, имеется большой спектр аналитических инструментов.

В отличии от коробочных решений, контент и конфигурация Security Data Lake адаптированы под реализацию подхода Infrastructure-as-Code (IaC) и Configuration-as-Code (CaC). В состав решения входят инструменты автоматизации администрирования и разработки. Это позволяет обеспечить контроль вносимых в систему изменений, снизить трудоёмкость подключения новых источников и создания собственных сценариев мониторинга.

Первое промышленное внедрение Security Data Lake было проведено в 2021 году. На январь 2024 года наша разработка нашла применение уже в нескольких центрах кибербезопасности, как публичных, так и корпоративных. Масштаб инсталляций достигает 25000 событий в секунду, при подтверждённой в тестовой среде производительности более 50000 EPS, – рассказал руководитель направления систем управления информационной безопасностью STEP LOGIC Станислав Прищеп. – Со своей стороны мы обеспечиваем полный цикл внедрения продукта и его техническую поддержку, систематически обновляем сценарии мониторинга и реализуем интеграции для подключения новых источников. Помимо этого, в рамках внедрения платформы наши специалисты оказывают консалтинговую поддержку при организации рабочих процессов SOC.