Контакты
Подписка 2026

Использование функционала SIEM для практического построения SOC

Максим Степченков, 06/12/22

SOC (Security Operations Center) выступает как центр противодействия кибератакам на любом этапе инцидента, от разведки и выявления интереса злоумышленников к компании до реагирования и ликвидации последствий.

Автор: Максим Степченков, совладелец компании RuSIEM

Одно из важнейших преимуществ SOC заключается в осуществлении непрерывного контроля всей инфраструктуры компании. Ведь главный вопрос заключается не в том, взломают вас или нет, а в том, когда это произойдет. Рост количества информационных систем и сложность используемых технологий рождает проблему одновременного контроля множества каналов, а также организации централизованной обработки и хранения данных о вторжениях и киберугрозах. Атаки стали более комплексными, в связи с чем требуется введение определенных бизнес-процессов и увеличение их скорости – самые критичные активы необходимо защищать в первую, но не единственную очередь.

В настоящее время SOC бывают собственными, гибридными и аутсорсными. SOC – единый механизм, который держится на трех базовых принципах: команда, процессы (функционал), технологии.

Ключевые параметры базовых принципов SOC

Чем занимается команда:

  • первая линия – осуществляет анализ SIEM и первичный анализ;
  • вторая линия – проводит расследование инцидентов;
  • третья линия – осуществляет глубокий анализ инцидентов и артефактов;
  • аналитики SOC – занимаются написанием плейбуков, правил корреляции и т.д.;
  • Специалисты по реагированию на инциденты.

К процессам относятся:

  • мониторинг (Security Monitoring);
  • управление уязвимостями (Vulnerability Management);
  • реагирование на инциденты (отработка происшествий);
  • форензика (криминалистика);
  • Compliance (соответствие стандартам);
  • Threat Intelligence (киберразведка);
  • внутренний пентест (оценка защищенности);
  • Threat Hunting.

К технологиям относятся:

  • Security Information and Event Management (SIEM);
  • SOAR (IRP);
  • Knowledge Database;
  • Service Desk;
  • Vulnerability Management;
  • Threat Hunting Automation (+ EDR);
  • Threat Intelligence Feeds;
  • Threat Intelligence Platform;
  • Forensic Laboratory (Sandbox);
  • датчики (IDS/IPS, FW, e-mail, Proxy и т.д.).

К задачам можно отнести:

  • сбор событий с различных источников;
  • нормализацию;
  • поиск по событиям;
  • корреляцию;
  • управление инцидентами;
  • систему отчетности;
  • управление рисками;
  • аналитику;
  • UEBA;
  • управление активами;
  • управление уязвимостями;
  • многое другое.

Ядром SOC, как правило, выступает SIEM-система, так как решения именно этого класса позволяют анализировать огромные объемы данных в режиме реального времени. Для минимизации человеческого фактора при расследовании и реагировании на инциденты подходят IRP- и SOAR-системы. Они позволяют автоматизировать процесс реагирования на инциденты и предоставляют наборы плейбуков (шаблонов с рекомендациями по реагированию), которые существенно облегчают работу Incident Response – команды.

То есть в первую очередь нужно внедрить SIEM-систему, найти персонал для вашего SOC и правильно выстроить все бизнес-процессы. После того как этот этап будет выполнен в полном объеме, можно задумываться о дальнейшем развитии центра управления информационной безопасностью. Если в Security Operations Center правильно выстроены все процессы, наняты квалифицированные сотрудники, внедрена и корректно настроена SIEM-система, то такой SOC будет эффективен.

Говоря о повышении эффективности работы SOC, необходимо отметить, что одними из наиболее значимых инструментов являются SOAR-системы, так как они предлагают множество техник для автоматизации процесса реагирования.

Своевременное выявление инцидентов информационной безопасности и оперативное реагирование на них является важнейшей задачей для компаний из любой сферы деятельности. Финансовые организации, безусловно, больше подвержены хакерским атакам, так как представляют наибольший интерес для злоумышленников. Именно поэтому построение единого центра реагирования и управления информационной безопасностью может стать эффективным решением для финансовой организации.

На текущий момент на базе SIEM-системы RuSIEM построены несколько коммерческих SOC, предлагаемых на рынке ПАО "МегаФон", Эр-Телеком, Калуга Астрал и Информационный Центр. Решения внедрены у ряда заказчиков и успешно выполняют поставленные задачи.

 

Какие есть альтернативы?

Что касается полноценных альтернатив SOC, то их практически нет. Даже если заказчик внедряет SIEM-систему для выявления и расследования инцидентов ИБ – это уже не столько альтернатива, сколько первый шаг к построению своего SOC.

Существует несколько причин, почему наблюдается рост интереса именно к коммерческим SOC.

  1. Во-первых, найти квалифицированных специалистов в штат сложно, а содержать их дорого.
  2. Во-вторых, даже при использовании средств защиты ИБ нет 100% уверенности в защищенности конфиденциальных данных.
  3. В-третьих, большинство решений на рынке не обладают гибкостью и предназначены для крупных компаний с большим бюджетом.
  4. В-четвертых, необходимо соблюдение требований No 187-ФЗ об обязательном уведомлении об инцидентах ИБ.
  5. В-пятых, организация собственного SOC влечет за собой большие затраты (в среднем от 15 млн руб.).
  6. В-шестых, необходимо обеспечивать круглосуточный мониторинг и поддержку экспертов по информационной безопасности.

RuSIEM Monitoring

В ноябре 2022 г. компания RuSIEM официально выпустила новый модуль собственной разработки RuSIEM Monitoring, который позволяет контролировать работу ИТ-решений заказчиков. С его помощью можно следить за параметрами всех компонентов, оповещать специалистов, если их значения оказываются вне заданных рамок, детально анализировать производительность оборудования, оперативно устранять и предотвращать сбои в его работе.

Новый модуль позволяет заказчикам компании RuSIEM решать следующие задачи:

  • мониторинг и устранение неполадок узлов ИТ-инфраструктуры, включая серверы, сетевое оборудование и рабочие станции;
  • мониторинг приложений, работающих в режиме реального времени для обеспечения бесперебойной работы;
  • мониторинг информационных систем и бизнес-критичных серверов;
  • улучшение процесса управления ИТ-инфраструктурой за счет упрощения выявления узких мест, пропускной способности и других потенциальных проблемных точек в сетевой среде;
  • удаленный и защищенный доступ к управлению ИТ-инфраструктурой и, как результат, снижение затрат;
  • простое и удобное администрирование рабочих станций пользователей и серверов, включая удаленные, что стало очень актуальным в нынешнее время.

Модуль RuSIEM Monitoring прост во внедрении и использовании. Он не требует установки агентов на серверы (запуск системы в работу осуществляется за 10 минут), а подключение к серверам и сетевому оборудованию совершается в прямом смысле в один клик. Предусмотрена удаленная поддержка пользователей через внутреннюю систему HelpDesk с доменной авторизацией и подключением к пользователю в один клик из тикета.

Темы:SIEMSOCRuSIEmЖурнал "Информационная безопасность" №5, 2022
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Искусственный интеллект скоро начнет скрывать инциденты
    Ольга Гордеева, магистрант направления «Инноватика» ФГАОУ ВО Казанский (Приволжский) федеральный университет
    Событий в SOC становится все больше, а аналитиков больше не становится. Поэтому системы на базе ИИ уже сегодня помогают сортировать инциденты, расставлять приоритеты и отсеивать часть шума. Следующий логичный шаг – разрешить искусственному интеллекту самостоятельно закрывать часть инцидентов без участия человека. Но это значит, что система начнет решать не только на что обратить внимание аналитика, но и выбирать, что он вообще никогда не увидит.
  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
  • Ваш SOC или наш? Как не переплатить за кибербезопасность
    Константин Хитрово, менеджер GSOC компании “Газинформсервис”
    Делать SOC самостоятельно или передавать его внешнему провайдеру – дилемма многих организаций. Найти для себя наиболее оптимальный вариант можно, сравнив бюджеты, сроки запуска, качество аналитики и долгосрочные издержки.
  • От нейтрализации атак к их предотвращению
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Сегодня компании столкнулись с системным кризисом в кибербезопасности: они в подавляющем большинстве случаев знают о критических уязвимостях на своем внешнем периметре, но не могут их оперативно устранить. Между моментом обнаружения и моментом принятия мер образуется опасное окно возможностей, которое стало основным рабочим инструментом для злоумышленников.
  • Интеграция NGFW в SOC: особенности и нюансы
    Дмитрий Лебедев, ведущий специалист отдела продвижения продуктов “Кода Безопасности”, эксперт по сетевой безопасности
    Компании все меньше закупают модные, но одиночные ИБ-решения, и тщательнее продумывают сочетания продуктов, которые придают системе безопасности прочность, – комплексная система кибербезопасности становится все популярнее. Один из элементов комплексной организации защиты – интеграция NGFW в SOC.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...