Розмір шрифта:
Метод зниження рівня хибних спрацювань (False Positives) при моніторингу технік Living off the Land у корпоративних мережах
Остання редакція: 2026-05-06
Анотація
У роботі досліджується проблема критичного перевантаження центрів моніторингу безпеки (SOC) хибними спрацюваннями (False Positives), що виникають під час спроб виявлення атак типу «Living off the Land» (LotL). Оскільки зловмисники використовують легітимні системні інструменти (PowerShell, WMI, PsExec), класичні сигнатурні правила SIEM-систем не здатні відрізнити шкідливу активність від рутинної роботи системних адміністраторів. Це призводить до явища «втоми від тривог» (Alert Fatigue) та пропуску реальних інцидентів. Для вирішення цієї проблеми запропоновано метод контекстного збагачення даних безпеки, який інтегрує технічні події з організаційними метаданими (роль користувача, профіль поведінки, критичність активу). Застосування методу дозволяє автоматизувати фільтрацію легітимної активності та суттєво знизити рівень інформаційного шуму.
A method for reducing false positives when monitoring Living off the Land techniques in corporate networks
Abstract
The paper investigates the critical problem of Security Operations Centers (SOC) being overloaded with false positives during attempts to detect "Living off the Land" (LotL) attacks. Since attackers utilize legitimate system tools (PowerShell, WMI, PsExec), classic signature-based SIEM rules cannot distinguish malicious activity from the routine work of system administrators. This leads to the phenomenon of "alert fatigue" and the missing of actual incidents. To address this issue, a method of contextual security data enrichment is proposed, which integrates technical events with organizational metadata (user role, behavioral profile, asset criticality). The application of this method automates the filtering of legitimate activity and significantly reduces the level of information noise.
A method for reducing false positives when monitoring Living off the Land techniques in corporate networks
Abstract
The paper investigates the critical problem of Security Operations Centers (SOC) being overloaded with false positives during attempts to detect "Living off the Land" (LotL) attacks. Since attackers utilize legitimate system tools (PowerShell, WMI, PsExec), classic signature-based SIEM rules cannot distinguish malicious activity from the routine work of system administrators. This leads to the phenomenon of "alert fatigue" and the missing of actual incidents. To address this issue, a method of contextual security data enrichment is proposed, which integrates technical events with organizational metadata (user role, behavioral profile, asset criticality). The application of this method automates the filtering of legitimate activity and significantly reduces the level of information noise.
Ключові слова
False Positives, Living off the Land (LotL), SIEM, SOC, Alert Fatigue, контекстно-орієнтований аналіз, інформаційна безпека.
Посилання
1. Lateral Movement, Tactic TA0008 - Enterprise | MITRE ATT&CK®. MITRE ATT&CK®. URL: https://attack.mitre.org/tactics/TA0008/ (дата звернення: 02.03.2026).
2. SP 800-137, Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations | CSRC. NIST Computer Security Resource Center | CSRC. URL: https://csrc.nist.gov/pubs/sp/800/137/final (дата звернення: 02.03.2026)
.
3. Rapid7. Rapid7. URL: https://www.rapid7.com/fundamentals/living-off-the-land-attack/ (дата звернення: 02.03.2026).
2. SP 800-137, Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations | CSRC. NIST Computer Security Resource Center | CSRC. URL: https://csrc.nist.gov/pubs/sp/800/137/final (дата звернення: 02.03.2026)
.
3. Rapid7. Rapid7. URL: https://www.rapid7.com/fundamentals/living-off-the-land-attack/ (дата звернення: 02.03.2026).
Повний текст:
PDF