ЛОКАЛЬНА ПЛАТФОРМА З ВІДКРИТИМ ВИХІДНИМ КОДОМ ДЛЯ МОНІТОРИНГУ ТА РЕАГУВАННЯ НА КІБЕРІНЦИДЕНТИ З ВИКОРИСТАННЯМ ШТУЧНОГО ІНТЕЛЕКТУ ЯК АЛЬТЕРНАТИВА РІШЕННЯМ EDR/XDR
DOI:
https://doi.org/10.28925/2663-4023.2026.33.1211Ключові слова:
кіберінцидентне реагування, моніторинг безпеки кінцевих точок, аналітика безпеки, системи виявлення загроз, платформа безпеки з відкритим вихідним кодом, аналіз із використанням штучного інтелекту, операції SOCАнотація
У статті представлено підхід до проєктування локальної платформи моніторингу кібербезпеки та реагування на інциденти на основі технологій з відкритим вихідним кодом із інтегрованою підтримкою штучного інтелекту. Актуальність дослідження зумовлена зростаючою складністю кіберзагроз, збільшенням кількості кінцевих точок у сучасних інфраструктурах, а також необхідністю безперервного моніторингу та оперативного реагування в межах центрів операцій безпеки (SOC). Традиційні рішення класу EDR та XDR забезпечують високий рівень автоматизації та можливостей виявлення, однак базуються на підпискових моделях, що створюють довгострокові операційні обмеження та знижують гнучкість управління інфраструктурою. У дослідженні розглянуто функціональні ролі EDR, XDR, SIEM та SOC в корпоративних середовищах і визначено ключові виклики, пов’язані з масштабованістю, володінням даними та залежністю від пропрієтарних платформ. Особливу увагу приділено обмеженням централізованих комерційних рішень при їх застосуванні в розподілених інфраструктурах із сотнями керованих кінцевих точок. У роботі запропоновано модель локальної платформи кібербезпеки, що об’єднує моніторинг кінцевих точок, кореляцію подій та управління журналами в межах єдиної архітектури. Запропоноване рішення базується на використанні Wazuh для функцій виявлення загроз на кінцевих точках і SIEM, індексації подій із сумісністю з OpenSearch для зберігання та аналітики, а також локальних систем зберігання даних для забезпечення безпечного та масштабованого зберігання журналів. Введено окремий локальний рівень аналізу на основі штучного інтелекту для підтримки процесів SOC, який забезпечує автоматичне узагальнення сповіщень, кореляцію пов’язаних подій, формування гіпотез щодо джерел інцидентів і допомогу аналітикам у прийнятті рішень без передачі чутливих даних до зовнішніх сервісів. Результати дослідження включають опис архітектури системи, апаратної конфігурації, процесів обробки даних та стратегій зберігання. Запропонований підхід акцентує увагу на прозорості, гнучкості та адаптивності до специфічних вимог організації. Крім того, модель передбачає використання структурованої методології proof-of-concept для оцінки покриття виявлення, продуктивності системи та ефективності процесів із використанням штучного інтелекту. Дослідження демонструє, що інтеграція інструментів з відкритим вихідним кодом із локальними можливостями штучного інтелекту дозволяє підвищити ефективність операцій кібербезпеки, зберігаючи контроль над даними та інфраструктурою. Запропонована платформа є практичною альтернативою традиційним рішенням класу EDR/XDR у сценаріях, де критичними є кастомізація, передбачуваність витрат та суверенність даних.
Завантаження
Посилання
MITRE Corporation. (2024). MITRE ATT&CK® framework. https://attack.mitre.org
National Institute of Standards and Technology (NIST). (2022). Security and privacy controls for information systems and organizations (SP 800-53 Rev. 5). https://doi.org/10.6028/NIST.SP.800-53r5
National Institute of Standards and Technology (NIST). (2023). Guide to cyber threat information sharing (SP 800-150). https://doi.org/10.6028/NIST.SP.800-150
Srinivas, S., et al. (2025). AI-augmented SOC: A survey of LLMs and agents for cybersecurity operations. https://www.mdpi.com/2624-800X/5/4/95
Sharma, A. (2025). Explainable artificial intelligence in cybersecurity: A comprehensive review. https://www.sciencedirect.com/science/article/pii/S2405959525001584
Mohamed, N. (2025). Cutting-edge advances in AI and machine learning for cybersecurity. https://www.tandfonline.com/doi/full/10.1080/23311975.2025.2518496
Aboudrar, Y., Bouragba, K., & Ouzzif, M. (2025). AI-driven firewall log analysis: Enhancing threat detection with deep learning techniques. https://thesai.org/Downloads/Volume16No7/Paper_79-AI_Driven_Firewall_Log_Analysis.pdf
Binbeshr, F. (2025). The rise of cognitive SOCs: A systematic literature review. https://www.computer.org/csdl/journal/oj/2025/01/10858372
Singh, R., et al. (2025). LLMs in the SOC: An empirical study of human-AI collaboration in security operations centres. https://arxiv.org/abs/2508.18947
Sahay, R., et al. (2026). Policy-guided threat hunting: An LLM-enabled framework with SOC triage. https://arxiv.org/abs/2603.23966
Omar, M. (2024). Integrative approaches in cybersecurity and artificial intelligence. https://arxiv.org/abs/2408.05888
Schneuwly Purdie, M. (2025). AI-powered SOC operations: Cybersecurity incident response and management. https://www.researchgate.net/publication/389350761
Microsoft. (2024). Security Copilot: AI for cybersecurity. https://www.microsoft.com/security/copilot
Vectra AI. (2024). AI-driven threat detection platform overview. https://www.vectra.ai
Gartner Research. (2025). Continuous threat exposure management (CTEM) framework overview. https://www.gartner.com
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2026 Ганна Гринкевич, Володимир Василенко, Дмитро Рудін
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
