В статье описана разработанная для эффективной защиты от киберугроз и кибератак Security Operation System (SOS), которая предназначена для сбора, нормализации, корреляции и анализа событий в ИТ-инфраструктуре организации. Основное преимущество данной системы – это возможность получения информации о событиях из различных источников и их корреляционный анализ, так как современные кибератаки и киберугрозы можно обнаружить только по совокупности событий, происходящих в ИТ-инфраструктуре организации. Еще одно преимущество SOS – возможность добавления в аналитический модуль новых корреляционных правил, которые дописываются на основе собственного опыта эксплуатации системы по результатам анализа новых атак на ИТ-инфраструктуру организации и/или по получению таких корреляционных правил от других организаций.