Как приоритезировать события в SOC?

На последнем PHDays, где я вел секциюпо SIEM, все участники сошлись во мнении, что правила корреляции из коробки не работают и про них надо забыть сразу после покупки решения поуправлению событиями безопасности. С SOC ситуация ровно таже самая и перед нами встает вопрос не только о том, как создать правила корреляциисобытий, но и как приоритезировать эти события, попадающие в поле зрения SOC. Как отсечь ложные срабатывания от реальных инцидентов?