Подбор и внедрение SIEM-систем

Что такое SIEM-система

SIEM (Security Information and Event Management) — это технологическая платформа, которая централизованно отслеживает, анализирует и реагирует на события, происходящие в ИТ-инфраструктуре. В ее работе реализованы два подхода:

• SIM (Security Information Management) — управление информацией о безопасности;
• SEM (Security Event Management) — управление событиями информационной безопасности.

SIEM в режиме реального времени выявляет потенциальные угрозы и инциденты, сопоставляет данные из множества источников: серверов, рабочих станций, сетевых устройств, приложений, облаков и других компонентов IT-инфраструктуры.

Функции SIEM-систем в информационной инфраструктуре

Даже средние по размеру IT-инфраструктуры производят значительные объёмы событий информационной безопасности. Это процедуры авторизации, запросы доступа к файлам и службам, изменение конфигураций, сетевые запросы, данные IDS/IPS, срабатывания антивирусов и так далее — все, что отражается в логах.

Система SIEM аккумулирует и анализирует происходящие события, а именно:

• SIEM упорядочивает сбор логов из разных источников и приводит их к единому, пригодному для обработки формату;
• SIEM выявляет подозрительные корреляции событий информационной безопасности (например, логин в нехарактерное для бизнес-процессов время с неизвестного IP-адреса), сопоставляя с правилами, поведенческими моделями и алгоритмами ИИ;
• SIEM немедленно реагирует через оповещения, скрипты, другие автоматические действия и интеграции, например, передает управление системам автоматизированного реагирования (SOAR);
• SIEM помогает управлять инцидентами через встроенные инструменты: предоставляет сведения для расследований, координирует работу команды (расстановка приоритетов, улучшение коммуникации, повышение осведомленности, единая база знаний);
• SIEM обеспечивает аудит действий пользователей, формирует настраиваемые отчеты и хранит логи согласно нормативным требованиям (например, PCI DSS, GDPR).

SIEM помогает организациям не только защищаться от киберугроз, но и понимать, что происходит внутри их цифровой среды — в режиме реального времени. В современных IT-инфраструктурах SIEM-система не дополнительный инструмент, а ключевая составляющая зрелой стратегии в области информационной безопасности.

Где применяются SIEM-системы

SIEM применяют в корпоративных IT-инфраструктурах, если стандартных средств информационной безопасности недостаточно. Наибольшая актуальность продукта — для среднего и крупного бизнеса.

Особенно востребованы такие системы, когда цифровые среды сложны, включают множество пользователей и работают в условиях высокого риска целенаправленных атак. Это, в частности:

• банковский и финансовый секторы;
• государственные учреждения и предприятия;
• провайдеры телекоммуникационных услуг;
• компании критической информационной инфраструктуры (КИИ).

Кроме того, SIEM необходима компаниям, которые должны соответствовать нормативным требованиям по защите информации: например, законам №152-ФЗ (о персональных данных), №187-ФЗ (о безопасности КИИ), регламентам ФСТЭК и указаниям Банка России. В число норм для таких субъектов входят: постоянный мониторинг, аудит, хранение логов, обнаружение инцидентов и предоставление отчетности — задачи, которые система берет на себя.

Особенно оправдано использование SIEM в сложных IT-инфраструктурах, в средах, в которых важно централизованное обеспечение безопасности, например, в распределённых инфраструктурах.

SIEM востребованы при создании или наличии центра мониторинга безопасности (SOC), когда в приоритете автоматизация реакций на инциденты и скорость принятия решений. Незаменимы такие системы и в случаях, когда есть риски значительных штрафов за несоблюдение требований информационной безопасности.

В результате внедрения и эксплуатации SIEM бизнес и государственные компании управляют рисками осознанно и проактивно, что приносит значительные и легко измеримые преимущества:

• Распознавание атак на этапе запуска или, в крайнем случае, минимизация ущерба посредством сокращения времени реакции на инциденты до минут в сравнении с часами или днями.
• Агрегация и централизованное представление данных информационной безопасности, что повышает прозрачность и управляемость IT-инфраструктурой.
• Соблюдение нормативных требований без лишней бюрократии. Как следствие, готовность к проверкам регуляторов в любое время и отсутствие штрафов.

Таким образом, SIEM-системы — это инвестиция в устойчивость, снижение рисков в сфере информационной безопасности, в минимизацию потерь от инцидентов и соответствие требованиям.

Внедрение SIEM

Внедрение SIEM-системы не просто и не столько инсталляция коробочного продукта и далеко не разовая настройка системы. Это многонаправленный и многоуровневый проект, затрагивающий IT, информационную безопасность и бизнес-процессы. Более того, в ходе эксплуатации SIEM эволюционирует вместе с инфраструктурой и угрозами.

Чтобы система стала и оставалась полезным инструментом, а не дорогим архиватором логов, к внедрению подходят пошагово и осмысленно. Рассмотрим этапы, обязательные для качественного внедрения системы SIEM «под ключ».

Подготовка инфраструктуры и лог-источников

Работу начинают с ревизии. Выявляют критические для информационной безопасности системы, изучают, где и как хранятся логи, какие протоколы и форматы используются.

Настраивают аудит на операционных системах, БД, гипервизорах, сетевых устройствах. Для этого открывают нужные порты, обеспечивают маршрутизацию логов, оценивают нагрузку на сеть и серверы, определяют, какие события нужно отслеживать — исключительно технические или с учётом бизнес-логики.

Инсталляция SIEM

На старте выбирают модель размещения: on-premise («на месте»), облачная или гибридная. Ключевой момент – сотрудничество ИТ-специалистов и команды информационной безопасности: вторые задают требования, а первые готовят инфраструктуру.

Согласно проекту разворачивают следующие компоненты:

• сервер управления, который предоставляет интерфейс и обеспечивает логику;
• коллекторы логов,
• обработчики событий,
• хранилище.

Команда максимизирует отказоустойчивость SIEM-системы, настраивает резервное копирование, рассчитывает объёмы хранения, реализует требования по защите персональных данных и проводит мониторинг работоспособности.

Подключение источников событий

Суть процесса — тонкое конфигурирование под каждый тип устройства. Например, для Windows — это настройка аудита, установка агента. Для Linux — отправка логов через rsyslog/auditd. Для файрволов и сетевых устройств — через syslog, API или экспорт.

Важно убедиться, что SIEM-система получает, корректно структурирует и интерпретирует события. Проверку проводят вручную, особенно при нестандартных форматах логов.

Настройка оповещений и реакций

Если система не реагирует, а только хранит логи — это не SIEM, а просто лог-менеджер. Поэтому ключевая ценность SIEM — адекватное реагирование. В системе настраивают:

• правила корреляции для SIEM (например, серия неуспешных логинов и внезапно удавшийся);
• уровни критичности инцидентов;
• куда поступают оповещения от системы: почта, мессенджеры, тикет-система;
• сценарии автоматического реагирования, если SIEM интегрирована с SOAR: блокировка, отчёт, уведомление.

Назначение ответственных лиц и распределение ролей

Эффективная работа SIEM — следствие четкого разграничения полномочий среди IT-специалистов и специалистов информационной безопасности:

• следит за событиями, пишет правила, разбирает инциденты – оператор SOC;
• отвечает за техническую сторону — администратор;
• принимает решения, эскалирует инциденты — руководитель отдела информационной безопасности.

Роли закрепляют документально, что повышает прозрачность работы и снижает риски.

Обучение персонала и тестирование

SIEM нельзя отнести к интуитивно понятным инструментам. Сотрудников необходимо обучить обращению с интерфейсом системы, чтению логов, поиску и анализу инцидентов.

Тестируют систему на реальных кейсах: вход с подозрительного IP, скачивание конфиденциальной информации, массовое изменение паролей. Такой подход помогает выявить пробелы и отладить реагирование.

Регулярные аудит и улучшение

Можно сказать, SIEM — это живой организм. Система должна развиваться, чтобы оставаться адекватной самым новым вызовам. Поэтому сотрудники информационной безопасности регулярно пересматривают правила, отслеживают новые угрозы, проверяют источники. Появились ли «слепые зоны», так ли эффективно как прежде все функционирует. По ходу изменений обязательно ведут журнал улучшений и доработок.

Внедрение SIEM-системы нельзя свести к установке программного обеспечения и подключению устройств. Только грамотный пошаговый подход дает реальную отдачу: система отслеживает атаки, предотвращает инциденты и помогает команде информационной безопасности реагировать быстрее.

Обзор российских систем SIEM

Для примера рассмотрим несколько самых популярных российских SIEM‑решений, которые имеют сертификат ФСТЭК и активно применяются в критически важных системах.

KOMRAD Enterprise SIEM от ГК «Эшелон»

Продукт сертифицирован на 4‑м уровне доверия ФСТЭК России. Подходит для объектов КИИ 1 категории, государственных систем 1 класса и ИСПДн 1 уровня.

Преимущества:

• невысокие аппаратные требования SIEM;
• быстрое развертывание SIEM — несколько минут;
• SIEM имеет распределенную архитектуру, горизонтально и вертикально масштабируется;
• аналитика основана на ClickHouse, в наличии визуальный конструктор правил, Lua‑скрипты;
• поддерживаются Elastic Common Schema и ArcSight схемы;
• доступны интеграция SIEM с ГосСОПКА и подключение внешних систем с поддержкой API и формата CEF;
• в SIEM предусмотрены встроенные средства визуализации, отчёты, агрегированная корреляция и экспертиза инцидентов.

Недостатки:

• система нуждается в квалифицированном персонале для настройки и сопровождении;
• в масштабных проектах существенно вырастает стоимость поддержки и обучения.

SIEM KOMRAD подходит для объектов под госрегулированием, с акцентом на лёгкость развёртывания и минимальные ресурсы.

MaxPatrol SIEM от Positive Technologies

Одна из самых зрелых российских систем SIEM. Широко представлена в банках, госсекторе и критической инфраструктуре. Бесшовно интегрируется с продуктами Positive Technologies: MaxPatrol VM, PT EDR, PT NGFW. Поддерживает MITRE ATT&CK, UEBA и автоматизацию.

Преимущества:

• значительный арсенал функций системы: корреляция событий, поведенческий анализ (UEBA), визуализация и отчёты;
• система поддерживает российское ПО, локальные промышленные протоколы и оборудование;
• архитектура системы оптимальна для крупных SOC и организаций среднего масштаба;
• в системе реализованы собственный язык PDQL, механизм задач и оповещений.

Недостатки:

• высокая стоимость лицензий и внедрения;
• настройка сложна и обучение требует уже имеющейся высокой квалификации у будущего специалиста.

MaxPatrol — выбор, если критичен продвинутый функционал, необходимы аналитика, поведенческие сценарии и есть сложная инфраструктура.

SearchInform (СёрчИнформ) SIEM от одноименной компании

Эта российская система SIEM также имеет сертификацию ФСТЭК.

Преимущества:

• система соответствует нормативным требованиям РФ;
• помимо глубокой интеграции с другими продуктами SearchInform SIEM предлагает локальную поддержку.

Недостатки:

• в сравнении с другими большими и комплексными системами эта SIEM располагает лишь базовыми функциями и возможностями;
• у системы ограничена масштабируемость и меньше готовых коннекторов.

SearchInform — система номер один, если нужно проверенное отечественное решение с локальной поддержкой и дополнительными функциями в умеренном количестве.

Kaspersky Unified Monitoring and Analysis Platform (KUMA)

Система «Лаборатории Касперского», интегрируется с Endpoint Security, EDR и Threat Intelligence. Подходит для компаний среднего масштаба.

Преимущества:

• интерфейс системы знаком большинству специалистов по другим продуктам компании;
• систему предоставляют с исчерпывающей документацией и стабильной поддержкой;
• система поддерживает интеграцию не только с продуктами Kaspersky, но и с внешними источниками.
• в системе доступны автоматизация и корреляции на основе правил.

Недостатки:

• система уступает по количеству встроенных коннекторов MaxPatrol;
• масштабирование системы может значительно увеличить стоимость лицензирования;
• система слабо ориентирована на использование в промышленности и госрегулировании.

KUMA подойдёт тем, кому важны интеграция с Kaspersky-экосистемой и привычный интерфейс.

Преимущества обращения в УЦ ПРОФИ

SIEM — не просто система, это фундамент, на котором строят зрелую кибербезопасность IT-инфраструктуры. Система организует осмысленную защиту, предвидит и распознает угрозы и быстро на них реагирует.

Наша компания имеет многолетний успешный опыт в сфере информационной безопасности и статус официального партнера ведущих российских разработчиков SIEM-систем, поэтому мы можем помочь в решении самых нетривиальных и сложных задач.

Как и средства для кибератак, SIEM-системы непрерывно эволюционируют. Сейчас развитие ориентировано на интеграцию с SOAR, повышение масштабируемости, улучшение интерфейсов и охват новых сфер, таких как IoT и DevSecOps. Особенно активно совершенствуется автоматизация на базе искусственного интеллекта и машинного обучения. Наши эксперты готовы к вызовам современных технологий и адаптируют SIEM-систему под задачи компании с учетом всех актуальных тенденций в сфере кибербезопасности.