Триаж (Triage)

16 марта, 2026, 23:31

Триаж (Triage, Сортировка инцидентов) — это процесс первичной обработки и классификации событий информационной безопасности, поступающих от различных источников (SIEM, EDR, почтовые шлюзы, сообщения от пользователей). Цель триажа — быстро оценить критичность каждого инцидента, отделить реальные угрозы от ложных срабатываний (false positives) и определить приоритетность реагирования для эффективного распределения ограниченных ресурсов команды SOC (Security Operations Center). Термин заимствован из военной медицины, где производится сортировка раненых.

Этапы и возможности процесса триажа:

  • Сбор и агрегация оповещений (Alert Intake): Консолидация всех срабатываний (алертов) из различных систем безопасности (SIEM, EDR, Firewall, антивирус) в единую очередь для обработки.
  • Первичная проверка и валидация (Initial Triage): Быстрый анализ оповещения для подтверждения факта инцидента. Проверка индикаторов компрометации (IoC), изучение контекста (затронутый хост, пользователь), обращение к базам знаний.
  • Обогащение данными (Enrichment): Автоматическое или ручное дополнение инцидента информацией из внешних и внутренних источников: данных кадрового учета (кто владелец хоста), Threat Intelligence (репутация IP-адреса), уязвимостей на атакуемой системе.
  • Классификация и приоритизация (Classification & Prioritization): Присвоение инциденту категории (например, «вредоносное ПО», «фишинг», «несанкционированный доступ») и уровня критичности (Critical, High, Medium, Low) на основе потенциального воздействия на бизнес и контекста атаки. Например, срабатывание на сервере баз данных будет иметь более высокий приоритет, чем на гостевом Wi-Fi.
  • Принятие решения о дальнейших действиях: На основе приоритета инцидент либо передается для глубокого расследования группе реагирования (CSIRT/IR), либо закрывается как ложное срабатывание с внесением правок в правила корреляции для снижения «шума».

Эффективный триаж критически важен для работы SOC, особенно в условиях большого потока событий (до миллионов в день). Ошибки на этом этапе могут привести к пропуску серьезной атаки (false negative) или к бесполезной трате ресурсов аналитиков на ложные тревоги. Автоматизация триажа с помощью правил корреляции и SOAR-платформ (которые могут автоматически обогащать данные и даже запускать простые сценарии реагирования) позволяет значительно сократить время первичной реакции (MTTR — Mean Time to Respond) и снизить нагрузку на людей. Ключевая метрика качества триажа — количество инцидентов, ошибочно переданных на следующий уровень (эскалированных), и время, затраченное на сортировку.

Metascan запускает свою первую конференцию «Периметр»

Упоминания