🚨 Ложные срабатывания в SIEM доходят до 80–90%. Чаще всего это результат копирования «готовых» правил без учёта контекста. Бессмысленно держать правило brute-force для SSH в облаке, где SSH отключён.  Похожая ситуация с Mimikatz: правило на запуск lsass.exe с ключами sekurlsa сработало 12 раз за неделю. Только одна попытка была подозрительной, остальные вызваны штатным ПО резервного копирования.  🔎 Фильтрация алертов Поведенческие модели и SOAR помогают отделить шум от угроз:  — baseline нормальной активности снижает количество ложных тревог  — enrichment данными из EDR и Threat Intelligence позволяет быстро понимать контекст  — приоритизация по риску даёт SOC-фильтрам фокус на критичных сценариях  Но даже «легитимные» обновления и CI/CD-трафик могут маскировать атаку, если фильтрация слишком поверхностная.  ⚙️ Кастомизация MITRE и OWASP MITRE ATT&CK и OWASP дают каркас, но правила без адаптации перегружают SOC:  — исключения для легитимных процессов при credential dumping  — настройка веб-правил, чтобы CI/CD не выглядел как SQLi  — перестройка brute-force-правил под API-ключи в облаке снижает шум на 40–50%  🧩 Готовые или свои правила? Готовые наборы хороши для старта. Но там, где важен бизнес-контекст (банковский шлюз vs. R&D-среда), нужны свои правила. Это уменьшает шум и делает реагирование осмысленным, а не механическим.  📌 SOC не тонет в алертах из-за «злых хакеров». Он тонет из-за собственных шаблонов и нежелания тратить время на кастомизацию. https://t.me/scontrols  #SOC #SIEM #SOAR #MITRE #OWASP #кибербезопасность #инфобез #SOC