Анотація

У роботі досліджено специфіку виявлення етапу горизонтального переміщення (Lateral Movement) в умовах використання зловмисниками легітимних інструментів адміністрування (Living off the Land). Проаналізовано ключові недоліки класичних правил кореляції SIEM-систем порівняно з контекстно-орієнтованими підходами, зокрема нездатність розрізняти дії зловмисників та легітимних адміністраторів при використанні валідних облікових записів. Визначено проблему «контекстної сліпоти» та «втоми від тривог» (Alert Fatigue), що виникає через високий рівень помилкових спрацювань і ускладнює роботу центрів моніторингу безпеки (SOC). На основі аналізу технік MITRE ATT&CK запропоновано метод оптимізації правил кореляції, що базується на синтезі технічних подій із організаційним контекстом (роль користувача, критичність активу, часові рамки) та динамічній оцінці ризику.