Костюк, Юлія Володимирівна та Складанний, Павло Миколайович та Рзаєва, Світлана Леонідівна (2025) Методика керування якістю алертів у SIEM на основі ризик-орієнтованого скорингу та зворотного зв’язку SOC (alert quality management) Безпека інформації, 31 (3). с. 151-163. ISSN 2225-5036
![[thumbnail of Kostiuk_Y_Skladannyi_P_ Rzaeva_S_BI_3_31_2025_FITM.pdf]](https://elibrary.kubg.edu.ua/style/images/fileicons/text.png) |
Текст
Kostiuk_Y_Skladannyi_P_ Rzaeva_S_BI_3_31_2025_FITM.pdf Download (957kB) |
Анотація
У роботі розроблено методику керування якістю алертів у системах управління подіями та інцидентами інформаційної безпеки (SIEM) на основі ризик-орієнтованого скорингу та замкненого контуру зворотного зв’язку від Security Operations Centre. Актуальність дослідження зумовлена проблемою перевантаження аналітиків SOC надмірною кількістю сповіщень, значна частина яких має низьку аналітичну цінність і не призводить до підтверджених інцидентів безпеки. На відміну від підходів, що зосереджуються переважно на вдосконаленні кореляції подій або підвищенні точності детекції, запропонована методика розглядає алерт як керований операційний об’єкт і формалізує його якість через інтегральний показник Alert Quality Index (AQI). Даний показник враховує корисність алерта для реагування, часову релевантність його обробки, рівень дублювання сповіщень та витрати аналітичних ресурсів SOC. Ризик-скоринг алертів коригується з урахуванням критичності активів, ролей користувачів і загрозового контексту, що забезпечує узгодження технічних сигналів SIEM з потенційним впливом інцидентів на бізнес-процеси підприємства. Для зменшення alert flood у роботі застосовано механізми дедуплікації та зшивання однотипних сповіщень у більш інформативні кейси на основі метрики подібності в заданому часовому вікні. Рішення аналітиків SOC (TP, FP, BENIGN, TUNE) використовуються як керуючий сигнал для адаптивного тюнінгу порогових значень і параметрів правил SIEM. Експериментальна перевірка у серії номінальних і стресових сценаріїв продемонструвала зниження частки хибнопозитивних спрацювань, скорочення MTTD і MTTR, зменшення навантаження на SOC та зростання середнього значення AQI, що підтверджує ефективність системного керування потоком алертів у реальних умовах експлуатації.
| Тип елементу : | Стаття |
|---|---|
| Ключові слова: | SIEM; SOC; alert fatigue; керування якістю алертів; ризик-орієнтований скоринг; інциденти безпеки; дедуплікація; зворотний зв’язок |
| Типологія: | Статті у періодичних виданнях > Фахові (входять до переліку фахових, затверджений МОН) |
| Підрозділи: | Факультет інформаційних технологій та математики > Кафедра комп'ютерних наук Факультет інформаційних технологій та математики > Кафедра інформаційної та кібернетичної безпеки ім. професора Володимира Бурячка |
| Користувач, що депонує: | Павло Миколайович Складанний |
| Дата внесення: | 06 Трав 2026 09:10 |
| Останні зміни: | 06 Трав 2026 09:10 |
| URI: | https://elibrary.kubg.edu.ua/id/eprint/57325 |
Actions (login required)
 |
Перегляд елементу |