Контакты
Подписка 2025
Статьи по информационной безопасности

Чек-лист: как выбрать результативный SIEM

Олег Хныков, 24/10/25

Как может выглядеть один день из жизни аналитика SOC? Экран завален сотнями событий ИБ, мигают новые алерты, очередные срабатывания правил корреляций. В голове одна мысль: где-то прямо сейчас злоумышленник движется по инфраструктуре, а ты его не видишь, – в этой лавине даже опытный аналитик может пропустить главное.

Автор: Олег Хныков, руководитель группы продуктового маркетинга по инфраструктурной и сетевой безопасности, Positive Technologies

Но вот парадокс: выбрать правильную SIEM-систему оказывается не проще, чем найти атакующего среди миллионов строк в журнале. На демо любая система выглядит идеально, но настоящая проверка начинается спустя месяцы, в то время, когда хакеры становятся изобретательнее.

Решение класса SIEM – это не дополнительный софт, а критически важная часть инфраструктуры бизнеса. Потому к выбору SIEM нужно подходить как к решению на годы вперед.

Что действительно важно при выборе SIEM-системы [1]

Первое – поддерживаемые источники. У одного вендора – тысяча, у другого – полторы. Кажется, чем больше, тем лучше. Но цифра сама по себе ничего не гарантирует. Можно подключить сотни источников и не видеть сути, а можно десяток – и сразу поймать след злоумышленника.

Реальная ценность источников проявляется только тогда, когда SIEM умеет извлекать из них пользу. Одно и то же событие входа в систему может остаться сухой строкой "успешная аутентификация", а может превратиться в десятки индикаторов: нетипичная страна подключения, подозрительный процесс, необычное время. Для аналитика это – разница между "еще одной строчкой" и ключевой зацепкой.

Раскроем эту мысль на примере того, как MaxPatrol SIEM [2] обнаруживает атаку DCSync.

Атака DCSync – популярный способ компрометации учетных данных пользователей домена: злоумышленник выдает свою систему за контроллер домена и синхронизирует данные с настоящим. MaxPatrol SIEM выявляет не только саму атаку, но и ее подготовку:

  • Правило корреляции фиксирует добавление привилегий группе пользователей (это один из сценариев, как может разворачиваться атака и какую хакерскую активность детектирует MaxPatrol SIEM), см. рис. 1.
  • Если злоумышленник использует уже существующую учетную запись с необходимыми правами, MaxPatrol SIEM тоже среагирует. Для этого применяются готовые правила корреляции, поставляемые экспертным центром безопасности Positive Technologies – PT ESC.

ris1_w-Oct-23-2025-03-39-13-0709-PM
Рис. 1. Корреляция, выявляющая добавление привилегий группе пользователей

При этом продукт не ограничивается отдельными правилами для конкретных сценариев. MaxPatrol SIEM умеет коррелировать несвязанные между собой события и автоматически повышать приоритет инцидента, если совпадает несколько условий. Аналитик видит это сразу – система визуально подсвечивает уровень опасности с помощью понятных иконок. MaxPatrol SIEM также интегрируется с системой поведенческого анализа сетевого трафика PT NAD. PT NAD поставляет события в MaxPatrol SIEM, что позволяет быстрее и точнее выявлять сложные атаки.

ris2_w-Oct-23-2025-03-40-28-9037-PM
Рис. 2. Как аналитик видит атаку DCSync в интерфейсе MaxPatrol SIEM

Отсюда логично вытекает второй критерий – экспертиза. Поддерживать источник недостаточно, нужно уметь превращать журналы в историю атаки. Встроенные знания, готовые сценарии и накопленный опыт – именно они позволяют связать разрозненные события в цельную картину. Для этого вендоры выпускают регулярные обновления правил корреляции. Например, пользователи MaxPatrol SIEM получают свежие пакеты экспертизы дважды в месяц. Но есть сложность: хакеры изобретают новые методы атак, маскируются под стандартные паттерны поведения пользователей и все чаще используют ИИ. Поймать таких хакеров непросто, и классических правил корреляции может не хватать.

ris3_w-Oct-23-2025-03-41-43-5211-PM
Рис. 3. Интеграция MaxPatrol SIEM и PT NAD

Чтобы закрыть этот разрыв, вендоры внедряют новые технологии: поведенческий анализ, машинное обучение, AI-алгоритмы. Эти технологии помогают SIEM-системе находить то, что невозможно поймать простыми правилами: необычные перемещения внутри периметра, странные действия администратора (нетипичное время подключения или регион, смена нескольких регионов за короткое время, массовое копирование файлов), цепочки аномалий. Для аналитика это шанс понять, что система подсветила реальные действия атакующего, а не зарегистрировала десятки ложных срабатываний. Например, AI/ML-модуль MaxPatrol BAD в составе MaxPatrol SIEM помогает сфокусировать внимание аналитика на самом важном и сэкономить до 250 человеко-часов в неделю.

Но даже самая умная SIEM-система ничего не стоит, если она не выдерживает нагрузки. И мы переходим к третьему критерию. На старте любая система работает гладко, но через 2–3–6 месяцев накапливаются миллионы событий, сотни правил, десятки интеграций – и вот база захлебывается, интерфейс виснет, правила отключаются. Для SOC это новый кошмар – чинить инфраструктуру, вместо того чтобы ловить атакующих. Настоящая стабильность проверяется временем, и единственный честный критерий – это референсы и кейсы, подтверждающие, что система держит нагрузку. Например, мы в Positive Technologies следуем правилу: наши продукты должны работать в нашем проде. Поэтому, когда выходит новый релиз MaxPatrol SIEM, мы его тестируем на себе – можно сказать, в "собственном SOCу": проверяем, что работает, а что нет, буквально обкатываем в реальных условиях и помогаем устранять баги. По итогам тестирования в нашем SOC клиенты получают стабильный и технически продвинутый продукт, который прошел проверку внутри Positive Technologies.

Сколько стоит внедрение решения класса SIEM?

Новая SIEM-система для крупной компании обходится в десятки миллионов рублей. В среднем лицензия – от 40 до 70 млн руб. в год, интеграция и кастомизация – еще 20–50 млн руб., плюс оборудование или облако на 10–30 млн руб. На пересборку правил корреляции и дашбордов уходят тысячи часов работы инженеров – это еще 10–20 млн руб. только на зарплаты. SOC полгода или год держит два контура – старый и новый, что увеличивает затраты на людей и инфраструктуру на 20%–30%. Обучение команды – еще 4–10 млн руб.

В итоге даже средний бизнес тратит на внедрение не менее 3–6 месяцев и 15–40 млн руб. Крупный (Enterprise) – сотни миллионов (80–200 млн руб.) и 6–12 месяцев. И это в идеальных условиях, без накладок.

Теперь становится понятно, почему выбор системы SIEM – это выбор на годы вперед. Любая ошибка превращает процесс в многоуровневый кошмар: расследования ломаются, сделки останавливаются, бизнес теряет доверие к команде ИБ.

Поэтому грамотный CISO выбирает SIEM-систему не только по галочкам ("есть ли AI", "сколько коннекторов"), а ориентируется на стратегические вопросы: сколько есть успешных внедрений, в каких они отраслях; соответствует ли продукт бизнес-целям и требованиям регуляторов; что с масштабируемостью, производительностью и отказоустойчивостью; какова стоимость владения; насколько просто пользоваться продуктом; качество работы технической поддержки и т. д.

Для тех, кто дочитал до конца, ниже – короткий чек-лист. Эти вопросы стоит задать себе при выборе системы SIEM.

Короткий чек-лист для CISO при выборе SIEM-системы

  1. Дают ли полезную информацию подключенные к SIEM-системе источники или это просто длинный список коннекторов?
  2. Есть ли у вендора готовый контент и экспертиза, позволяющие связывать события в цельные сценарии атаки и быстро поставлять новые знания в продукт?
  3. Используются ли современные технологии (AI, ML, поведенческий анализ), которые закрывают разрыв между классическими правилами корреляции и атаками сегодняшнего дня?
  4. Подтверждена ли стабильность и производительность публичными кейсами, которые выдержали месяцы и годы под нагрузкой?
  5. Является ли SIEM-система решением "на вырост", вокруг которого можно построить единый контур управления ИБ для SOC, а не временной "коробкой", приобретенной для отчетности?

Если хотя бы на один вопрос был ответ "нет" – риск миграции на другое решение через год–два становится слишком высоким. И тогда речь пойдет о потере не только миллионов рублей, но и доверия бизнеса.

Итог: SIEM – это не просто продукт для сбора журналов, а стратегическое решение, от которого зависит устойчивость бизнеса.

  1. По оценке команды MaxPatrol SIEM
  2. https://www.ptsecurity.com/ru-ru/products/mpsiem/ 

Реклама: АО «Позитив Текнолоджиз». ИНН 7718668887. Erid: 2SDnjdQeLMV
Темы:Positive TechnologiesSIEMMaxPatrol SIEMЖурнал "Информационная безопасность" №4, 2025
ТБ Форум 2026
Только на ТБ Форуме. Планы регуляторов на 2026, практика ИБ: СЗИ, КИИ, РБПО, сертификация, аттестация
Формируем ландшафт российской ИБ: регистрируйтесь →

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Статьи по той же темеСтатьи по той же теме

  • Какая SIEM подойдет небольшой компании?
    Павел Пугач, системный аналитик “СёрчИнформ”
    Автоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удовольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье.
  • Могут ли ИБ- и ИТ-аудиторы использовать SIEM для аудита и контроля комплаенса?
    Илья Одинцов, менеджер по продукту NGR Softlab
    Аудит ИТ- и ИБ-систем – важнейшая задача, от которой во многом зависит информационная безопасность компаний. Нередко к процессу аудита относятся формально, используя устаревшие подходы и инструменты, что приводит к плачевным последствиям. Сделать проверку качественной, а не для галочки, можно с помощью SIEM, которая по своей природе является идеальной платформой для помощи аудиторам.
  • Прожектор перестройки SIEM
    SIEM похож на прожектор: он может выхватывать из темноты важные детали, а может ослепить тех, кто стоит у пульта управления. Один из главных вызовов для информационной безопасности сегодня – заглянуть в будущее и понять, какую реальную роль в нем должен играть SIEM. Именно из этого понимания выстраивается и его место в архитектуре безопасности здесь и сейчас. Чтобы наметить контуры этого будущего, мы попросили экспертов поделиться своим видением и опытом.
  • Когда свой – чужой: как вычислить злоумышленника под легитимной учеткой
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    Злоумышленники, использующие легитимные учетные записи – ключевая угроза сегодня для корпоративной инфраструктуры. Если атаки через вредоносный трафик может обнаружить система IDS, а вирусное ПО – антивирус, то действия хакера под видом обычного сотрудника выявить гораздо сложнее. Здесь на помощь приходит SIEM.
  • SIEM и приказ № 117: что изменится и что делать?
    Максим Степченков, совладелец компании RuSIEM
    Приказ № 117 ФСТЭК России вновь вывел в центр внимания тему информационной безопасности вообще и SIEM в частности. Он не стал революцией, но именно такие документы задают рамки и скорость развития рынка. Для крупных компаний это скорее уточнение правил игры, а, например, для муниципальных структур – серьезный повод для пересмотра подхода к информационной безопасности. Ведь теперь SIEM становится не просто желательным инструментом, а обязательным элементом инфраструктуры. Возникает главный вопрос: как внедрить решение, если денег и специалистов не хватает, а сроки уже определены?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум 2026
На ТБ Форуме 2026: СЗИ, РБПО, КИИ, сертификация
Регистрация открыта →

More...
ТБ Форум 2026
Безопасность АСУ ТП и КИИ на ТБ Форуме 2026
Регистрация открыта →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных