Правила умерли, да здравствуют правила?

Каждый год кто-нибудь обязательно выходит на конференцию в секции «SIEM-системы и как их правильно готовить» и хоронит правила корреляции. Слайды, графики, уверенный голос: «Машинное обучение всё решит, правила - динозавры, будущее за поведенческим анализом». Зал кивает. Потом те же люди возвращаются в офис и не трогают свои 600 правил, потому что без них наступают тишина и увольнение.

С другой стороны баррикад - специалисты, которые при слове «нейросеть» рефлекторно крестятся. Чёрный ящик? Необъяснимые срабатывания? Регулятор спросит, почему система подняла тревогу, - что отвечать? Нет уж, давайте по-человечески: с понятной логикой и аудитом.

Правы обе стороны, но лишь наполовину. Пока спор сводят к выбору одного инструмента, атаки никуда не исчезают.

Скальпель против радара

Правила корреляции - скальпель. Точный, холодный, безупречный в правильных руках. Попытка входа под заблокированной учётной записью? Правило. Срабатывание известного индикатора компрометации, или IoC? Правило. Нарушение политики соответствия требованиям? Правило, протокол, возможный штраф.

Логика прозрачна, результат воспроизводим, основание для реакции можно объяснить аудитору или регулятору. С 2022 по 2025 год количество правил корреляции из коробки в MaxPatrol SIEM выросло в 3,5 раза, с 483 до 1687. По данным Positive Technologies, система детектирует весь популярный хакерский инструментарий, который используют APT-группировки и хактивисты.

Злоумышленники изучают логику обнаружения и маскируют действия под штатную активность. Никакого перебора паролей в три часа ночи. Никаких кричащих сигнатур. Медленное перемещение данных, обращения к ресурсам в рабочее время, поведение, похожее на работу обычного системного администратора. Отдельное событие не вызывает тревоги: администратор обратился к серверу, служебная учётная запись запросила доступ, процесс выполнил привычную команду. Правило молчит, поскольку формального нарушения нет.

Скальпель не помогает, когда противник научился изображать хирурга.

Выходит ML. Аплодисменты, скептицизм, вопросы

Машинное обучение, или ML, решает другую задачу. Поведенческая модель отслеживает, как обычно действует конкретный пользователь, процесс или узел, и отмечает отклонения от привычного профиля. Служебная учётная запись всегда работала с одной базой, а теперь обращается к нескольким новым? Сервер внезапно запрашивает билеты Kerberos для необычного числа пользователей? Для модели важен не только факт события, но и его место в обычной картине работы.

MaxPatrol BAD, сокращение от Behavioral Anomaly Detection, то есть обнаружения поведенческих аномалий, работает в MaxPatrol SIEM как дополнительный слой к правилам корреляции. Модуль оценивает риск нетипичной активности пользователей и других сущностей инфраструктуры, чтобы аналитик мог быстрее выделить события, требующие проверки. Правило фиксирует известный признак инцидента, а BAD показывает, насколько поведение отклоняется от нормы для конкретного объекта.

К марту 2026 года в MaxPatrol BAD насчитывалось 87 моделей. В версии 27.6 появились модели для выявления признаков AS-REP Roasting и Kerberoasting, а также попыток несанкционированного доступа к базам ClickHouse и PostgreSQL. Производительность анализатора поведения выросла почти вдвое: с 15 до 25 тысяч событий в секунду.

С AS-REP Roasting и Kerberoasting нужна аккуратность. Такие атаки нельзя назвать полностью невидимыми для правил. Разработчик указывает другое: выявлять их только статическими правилами и сигнатурами неэффективно. Отдельные признаки можно описать формальной логикой, но в реальной инфраструктуре легитимные запросы, старые сервисы и привычный технический шум быстро превращают такую логику в поток тревог.

В таком сценарии ML не открывает принципиально невидимую угрозу. Модель помогает увидеть, что источник запросов повёл себя непривычно, собрать связанные отклонения и поднять подозрительную активность над фоновым потоком событий.

Финт, которого никто не ожидал

Самая интересная часть связки начинается там, где модель не просто дополняет правило оценкой риска, а помогает подготовить основу для новых сценариев обнаружения. В MaxPatrol SIEM 27.6 подозрительная активность процессов, которую обнаружил MaxPatrol BAD, регистрируется как исходные события. Затем такие события можно нормализовать и использовать в правилах корреляции.

В той же версии появилась кластеризация на базе ML. Система группирует однотипные события и автоматически строит регулярные выражения для каждого кластера. Аналитику не приходится вручную перебирать десятки похожих записей в поисках общего шаблона. Он получает заготовку, проверяет контекст и решает, подходит ли найденная закономерность для устойчивого сценария обнаружения.

Модель находит отклонение. Аналитик проверяет смысл. Правило сохраняет подтверждённый опыт для следующего случая.

Так экспертиза, полученная с помощью ML, не исчезает после расследования. После проверки аналитик переводит полезный признак в формальную логику, которую система сможет применять дальше. Правила и поведенческий анализ не вытесняют друг друга: один подход помогает находить новые сигналы, другой закрепляет уже проверенные.

TL;DR для тех, кому некогда

Спор «правила против ML» напоминает спор молотка с отвёрткой. Каждый инструмент решает свою задачу, а попытка выбрать единственного победителя только отвлекает от работы.

Правила быстро и прозрачно ловят известные сценарии. Поведенческие модели помогают заметить отклонения, для которых точного правила ещё нет или которые теряются в шуме обычной активности. Аналитик связывает оба сигнала с контекстом и решает, где перед ним атака, а где изменение штатной работы.

Машинное обучение не заменяет аналитика. Но специалист, у которого есть и правила, и ML, получает более полный набор инструментов, чем команда, пытающаяся строить мониторинг только на одном подходе. Проверять пользу такой связки придётся на собственной инфраструктуре, где ложные тревоги, устаревшие сервисы и реальные атаки всегда идут вперемешку.

Автор: Петр Ковчунов, заместитель руководителя отдела экспертизы MaxPatrol SIEM.