РОЗРОБКА АГЕНТА ДЛЯ АНАЛІЗУ СПОВІЩЕНЬ НА ОСНОВІ ШТУЧНОГО ІНТЕЛЕКТУ З ВИКОРИСТАННЯМ ПРОГРАМНИХ ЗАСОБІВ N8N ТА ELASTIC SECURITY
DOI:
https://doi.org/10.28925/2663-4023.2025.31.1031Ключові слова:
автоматизація SOC; n8n; великі мовні моделі; Elastic Security; оркестрація інцидентів; кібербезпека; SIEM; LLM-агент.Анотація
У даній статті розглядається питання підвищення ефективності реагування на інциденти у центрах операцій безпеки шляхом впровадження автоматизованої системи аналізу подій, що поєднує платформу оркестрації робочих процесів n8n та великі мовні моделі. Застосування такого підходу враховує актуальні виклики кібербезпеки, зокрема безперервне зростання обсягу сповіщень, ускладнення інфраструктурних середовищ, обмеженість людських ресурсів та зниження ефективності ручного аналізу подій. Запропонована архітектура включає SIEM-систему Elastic Security як основне джерело подій, платформу n8n як оркестратор, LLM-агентів для природномовної інтерпретації інцидентів, а також зовнішні сервіси збагачення даних (AbuseIPDB, VirusTotal). Ключові функції системи охоплюють автоматизоване отримання, нормалізацію та збагачення подій безпеки, визначення рівня ризику, класифікацію інцидентів, формування коротких аналітичних звітів у форматі 5W (Who, What, When, Where, Why) та генерацію релевантних рекомендацій для реагування. Для оцінювання працездатності розробленого підходу проведено комплексне експериментальне дослідження, що включало моделювання реальних сценаріїв SOC, генерування типових інцидентів, виконання автоматизованого конвеєра аналізу та порівняння результатів із роботою аналітиків першого рівня підтримки. Окрему увагу приділено оцінюванню стабільності роботи LLM-агента за умов зміни формату подій, різноманітності джерел системних журналів та варіативності якості вхідних даних. Додатково досліджено поведінку системи у випадках неоднозначних або частково відсутніх атрибутів інцидентів, а також протестовано механізми компенсації впливу неповних або шумових даних. Результати аналізу засвідчили, що інтегрований підхід дозволяє автоматизувати значну частину рутинних операцій, забезпечує високу повторюваність прийнятих рішень, усуває суб’єктивність, притаманну ручному аналізу, та сприяє формуванню уніфікованих вердиктів. Окремо оцінено якість формування аналітичних висновків, відповідність опису події її реальному контексту, здатність LLM-класифікатора визначати ключові сутності, причини події та початкові рекомендації щодо дій реагування. Також перевірено сумісність системи з операційною інфраструктурою SOC та її здатність до масштабування за умов зростання кількості подій без зниження продуктивності. Отримані результати підтверджують, що запропонована система підвищує швидкість і якість реагування на інциденти, створює основу для переходу від реактивної до проактивної моделі SOC та зменшує когнітивне навантаження на аналітиків. Завдяки модульності оркестратора n8n і гнучкості LLM-агентів система може адаптуватися до нових типів загроз, розширювати функціонал без значних витрат та інтегруватися з широким спектром корпоративних сервісів. Таким чином, розроблене рішення формує технологічне підґрунтя для подальшого впровадження інтелектуальної автоматизації в інцидент-менеджмент і підтримує розвиток SOC наступного покоління.
Завантаження
Посилання
n8n.io. (n.d.). GitHub - n8n-io/n8n: Fair-code workflow automation platform with native AI capabilities. GitHub. Retrieved from https://github.com/n8n-io/n8n
Reddy, A. R. P. (2025). Zero Trust Architecture: An AI-driven framework for modern cybersecurity challenges. FMDB Transactions on Sustainable Intelligent Networks, 2(1), 10–21. https://doi.org/10.69888/ftsin.2025.000366
Elastic. (n.d.). Elastic Security overview. Retrieved from https://www.elastic.co/guide/en/security/current/index.html
IBM. (n.d.). What is SOAR (security orchestration, automation and response)? Retrieved from https://www.ibm.com/think/topics/security-orchestration-automation-response
Matseniuk, Y., & Partyka, A. (2024). The concept of automated compliance verification as the foundation of a fundamental cloud security model. Computer Systems and Network, 6(1), 108–123. https://doi.org/10.23939/csn2024.01.108
Cloud Security Alliance. (2025). Agentic AI Threat Modeling Framework: MAESTRO. Retrieved from https://cloudsecurityalliance.org/blog/2025/02/06/agentic-ai-threat-modeling-framework-maestro
Khoma, V., Abibulaiev, A., Piskozub, A., & Kret, T. (2024). Comprehensive approach for developing an enterprise cloud infrastructure. In CEUR Workshop Proceedings (Vol. 3654, pp. 201–215). Retrieved from https://ceur-ws.org/Vol-3654/paper17.pdf
Vakhula, O., Kurii, Y., Opirskyi, I., & Vitalii, S. (2024). Security-as-code concept for fulfilling ISO/IEC 27001:2022 requirements. In CEUR Workshop Proceedings (Vol. 3654, pp. 59–72). Retrieved from https://ceur-ws.org/Vol-3654/paper6.pdf
International Organization for Standardization. (2022). ISO/IEC 27001:2022. Retrieved from https://www.iso.org/standard/27001
Deineka, O., Harasymchuk, O., Partyka, A., Obshta, A., & Korshun, N. (2024). Designing data classification and secure store policy according to SOC 2 Type II. In 11CEUR Workshop Proceedings (Vol. 3654). Retrieved from https://ceur-ws.org/Vol-3654/paper7.pdf
Volotovskyi, O., Banakh, R., Piskozub, A., & Brzhevska, Z. (2024). Automated security assessment of Amazon Web Services accounts using CIS benchmark and Python 3. In CEUR Workshop Proceedings (Vol. 3826). Retrieved from https://ceur-ws.org/Vol-3826/short29.pdf
Cloud Security Alliance. (n.d.). Security Guidance for Critical Areas of Focus in Cloud Computing. Retrieved from https://cloudsecurityalliance.org/artifacts/security-guidance-v4
Banakh, R., Piskozub, A., & Stefinko, Y. (2016). External elements of honeypot for wireless network. In Modern Problems of Radio Engineering, Telecommunications and Computer Science (pp. 480–482). https://doi.org/10.1109/TCSET.2016.7452093
Siam, A., Alazab, M., Awajan, A., Hasan, M. R., Obeidat, A., & Faruqui, N. (2025). IP Safeguard — An AI-driven malicious IP detection framework. IEEE Access, 1–13. https://doi.org/10.1109/ACCESS.2025.3569289
Tykholaz, D., Banakh, R., Mychuda, L., Piskozub, A., & Kyrychok, R. (2024). Incident response with AWS detective controls. In CEUR Workshop Proceedings (Vol. 3826, pp. 190–197).
Center for Internet Security. (n.d.). CIS Amazon Web Services Benchmarks. Retrieved from https://www.cisecurity.org/benchmark/amazon_web_services
Stefinko, Y., Piskozub, A., & Banakh, R. (2016). Manual and automated penetration testing: Benefits and drawbacks; modern tendency. In Modern Problems of Radio Engineering, Telecommunications and Computer Science (pp. 488–491). https://doi.org/10.1109/TCSET.2016.7452095
Microsoft. (n.d.). Microsoft Sentinel Documentation. Retrieved from https://learn.microsoft.com/en-us/azure/sentinel/
Dai, R., Lv, P., Gui, Y., Lv, Q., Qiao, Y., Wang, Y., Sun, D., Huang, W., Li, Y., & Wang, X. (2025). An automated attack investigation approach leveraging threat-knowledge-augmented large language models. arXiv. https://arxiv.org/abs/2509.01271
OWASP Foundation. (n.d.). OWASP Top 10 Security Risks. Retrieved from https://owasp.org/www-project-top-ten/
TNO. (2017). Human Factors in Cyber Incident Response: Needs, collaboration and The Reporter. Retrieved from https://publications.tno.nl/publication/34626339/5qnMkv/TNO-2017-R11575.pdf
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2025 Олександр Волотовський, Роман Банах, Андріян Піскозуб
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
