Yandex Cloud, входящая в бизнес‑группу Yandex B2B Tech, объявила о внедрении мультиагентной ИИ‑системы в собственный центр мониторинга и реагирования на инциденты (SOC). Новая архитектура позволяет существенно сократить долю рутинной работы аналитиков и повысить скорость реакции на угрозы в корпоративных инфраструктурах.
Как ИИ меняет работу SOC
Мультиагентная система построена на ИИ‑ассистентах, созданных с использованием технологий Yandex AI Studio. По данным компании, автоматизировано 39% рутинных операций, которые ранее занимали до трети рабочего времени специалистов по информационной безопасности. В первую очередь это мониторинг инцидентов, первичный анализ алертов и поиск дополнительной информации в корпоративных базах и документах. Изначально решения создавались для внутренних задач SOC, но теперь доступны для внешних заказчиков через сервисы безопасности Yandex Cloud.
Внутри SOC задачи распределяются между несколькими ассистентами с разной специализацией. Один агент принимает и обрабатывает входящий поток оповещений, другой отвечает за проверку их достоверности и отсеивание очевидных ложных срабатываний. Ассистенты работают независимо, но синхронизируют выводы и формируют сводную картину инцидента для аналитиков. Такой подход позволил сократить время обработки ложных алертов на 86% и освободить специалистов от значительной части монотонной проверки событий.
RAG и мультиагентный подход
Переход от пилотного проекта к промышленной эксплуатации занял около двух лет. Ключевым технологическим элементом стали RAG‑подходы (retrieval‑augmented generation), которые дают моделям доступ к актуальным корпоративным документам, регламентам и базе данных инцидентов. Вместо одной «универсальной» модели используется набор специализированных агентов: одни ориентированы на поиск и сопоставление фактов, другие — на построение гипотез и формирование рекомендаций по реагированию. Это позволило повысить точность ответов и глубину контекста при разборе сложных случаев.
Директор по информационной безопасности Yandex Cloud Евгений Сидоров отмечает, что мультиагентная система ускорила обнаружение угроз и автоматизировала операции, связанные с обогащением данных киберразведки и аналитикой инцидентов. На фоне этого меняются требования к специалистам SOC: кроме классических компетенций в кибербезопасности, от них ожидается умение эффективно взаимодействовать с ИИ‑инструментами, формулировать корректные запросы и оценивать качество получаемых рекомендаций.
Доступные сервисы и сценарии применения
Мультиагентная система безопасности уже встроена в сервисы Yandex Cloud Detection and Response и Security Deck. Этими продуктами пользуются компании из финансового сектора, ритейла, здравоохранения и страхования, которые стремятся снизить нагрузку на собственные команды ИБ и сократить среднее время реакции на инциденты. Для таких организаций облачные сервисы выполняют роль внешнего SOC с расширенной автоматизацией.
Интегрированная система помогает поэтапно разбирать инциденты: анализирует индикаторы компрометации (IoC), связывает артефакты с конкретными элементами облачной инфраструктуры и предлагает конкретные шаги по реагированию. Ассистенты оперативно собирают технические детали — например, сведения об IP‑адресах, задействованных в атаке, или о подозрительной активности в отдельных сервисах. На основе этого формируются рекомендации: блокировка проблемных IP, отключение серийной консоли и других уязвимых точек доступа, изменение политик доступа или запуск дополнительных проверок.