Команда VK SOC внедрила подход Detection as Code (DaC) для управления правилами корреляции в своей SIEM-системе, разработанной с нуля. Причиной послужили сложности с масштабированием — количество правил превысило 1K, управление через UI и Confluence стало неэффективным.

DaC позволяет описывать правила как код (на базе собственного DSL), хранить их в Git, автоматизировать ревью, тестирование, деплой и откат. Реализована полная CI/CD-инфраструктура с разделением на stage/prod кластеры, сборкой и тестированием правил до попадания в прод. Используются unit-тесты, метаинформация в YAML, трекинг TTP (MITRE), лог-источников, бизнес-юнитов и др.

В результате — контроль качества, масштабируемость, аналитика по правилам и высокая автоматизация. Отдельный фокус на метриках исполнения: на проде — 1.2M EPS, на stage — 10% логов. Основной минус — необходимость DevOps-ресурсов и культуры работы с Git у аналитиков. Команда продолжает развивать систему, планирует Copilot, UI-расширения и дальнейшую автоматизацию.