Контакты
Подписка 2025

Как разгрузить SIEM, уже работающую в инфраструктуре?

Редакция журнала "Информационная безопасность", 18/02/25

Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.

ris64

 

Евгения Лагутина, Лаборатория Касперского:

Есть два основных направления:

  1. Технический – максимально проработать контент и процесс работы над ним, детально продумывать скоуп действительно полезных в корреляции источников и необходимых данных от них, настроить фильтрацию и сроки хранения событий.
  2. Процессный – непрерывно актуализировать список источников и правил, исходя из актуальных для конкретной инфраструктуры сценариев атак, обучать новых аналитиков грамотно писать контент.

Но! Очень важно соблюсти баланс: разгружая таким образом SIEM-систему, мы нагружаем команду. И если в случае с перегрузкой SIEM достаточно просто масштабировать систему, то команда – актив гораздо более ценный и более чувствительный к перегрузкам.

Дмитрий Пудов, NGR Softlab:

Лучшие практики уже достаточно давно известны, они заключаются в поступательном наращивании возможностей SOC. Попытка сбора избыточных данных и работы с ними без методологической основы и процессной модели – основная причина избыточной нагрузки как на SIEM, так и на персонал. Мы рекомендуем отказаться от хранения сырых событий для части источников, использовать нормализацию только для необходимых в корреляции, а контекстную информацию хранить в ненормализованном виде с точечной настройкой сроков и правил архивации, распределять нагрузку, используя агентский сбор там, где это возможно.

Павел Пугач, СёрчИнформ:

Если достигнут предел производительности, и нет ресурсов, чтобы оперативно заменить оборудование или докупить лицензии, нашу SIEM можно масштабировать горизонтально. Часть мощностей переносится на другое, даже более слабое железо, там система может хранить данные или производить миноритарные аналитические операции. Во-вторых, можно исключить из лога источников события нормальной работы – это снизит поток данных на несколько порядков и оставит в фокусе только сбои и угрозы. Так потеряется детализация, необходимая в расследованиях, но в качестве крайней или временной меры это допустимо.

Дмитрий Шамаев, Газинформсервис:

Для правильной разгрузки уже функционирующей SIEM-системы необходимо:

  1. Проанализировать настройки подсистем логирования различных источников событий и избавиться от бесполезных, с точки зрения информационной безопасности, событий. То есть более тонко настроить логирование событий на источниках.
  2. Проанализировать, как часто и какие именно срабатывают правила корреляции. Возможно, получится оптимизировать логику правил корреляции. Дополнительно можно принять организационно-технические меры для снижения количества срабатываний правил. Если корректные правила корреляции срабатывают слишком часто, значит в ИТ-инфраструктуре заказчиков много проблем.

Виктор Никуличев, R-Vision:

Не требуется оптимизация SIEM, если правильно настроены система, правила корреляции и источники. В иных случаях необходимо проанализировать все процессы SIEM. Например, для снижения нагрузки можно использовать LM-решение для глубокого/холодного хранения и второстепенных логов, которые не подлежат корреляции. В SIEM следует оставлять только события, необходимые для корреляции и оперативного расследования оповещений. При создании правил корреляции и нормализации рекомендуется использовать продвинутые возможности среды разработки и оптимизировать разрабатываемые правила. Например, можно использовать инструмент бенчмаркинга в R-Vision R-Object для замера скорости работы правила.

Павел Гончаров, Positive Technologies:

Мы рекомендуем проанализировать работу SIEM-системы с самого начала, в частности, с подключения и мониторинга источников. Во время запуска MaxPatrol SIEM версии 8.2 этим летом мы выдавали нашим пользователям специальный гайд, в котором рассказали, какие источники и в каком порядке нужно подключать, как их настраивать. На основе собранной информации мы уже можем определить, какая экспертиза в системе требуется, какие правила и табличные списки можно отключить. Кроме того, нашим клиентам мы предлагаем мигрировать на LogSpace, что позволит высвободить ресурсы под выполняемые задачи.

Даниил Вылегжанин, RuSIEM:

Следует начать с настройки глубины логирования источников, чтобы собирать и обрабатывать только нужные события. Не менее важна настройка дополнительных правил фильтрации и агрегации событий, а также оптимизация существующих правил корреляции для повышения точности выявления инцидентов и снижения вероятности ложноположительных срабатываний. В части хранения и ускорения поиска событий поможет настройка индексов и использования горячих, теплых или холодных нод для оперативного хранения событий, а также архивов – для экономии дискового пространства при хранении исторических данных.

Станислав Каменский, Эшелон Технологии:

Можно применить несколько приемов.

  1. В случае высокой нагрузки, по возможности, использовать варианты распределенной инсталляции системы, создание кластера БД. Использовать оптимизированные SIEM, например KOMRAD Enterprise SIEM.
  2. Настроить журналирование в системах и определить перечень событий, подлежащих отправке в SIEM, исходя из самых вероятных сценариев действий злоумышленников в контролируемой инфраструктуре.
  3. Актуализировать оценку критичности имеющихся активов и обрабатывать события от активов с высоким уровнем критичности.

Вадим Порошин, Пангео Радар:

Во-первых, необходимо сегментировать активы в инфраструктуре, выделяя действительно важные. Во-вторых, предфильтрация событий: избавляться от мусорных данных до начала их обработки. В-третьих, выбирать SIEM-решения с максимальной возможной степенью сжатия событий не только на хранении, но и на всех этапах передачи, чтобы сократить нагрузки на каналы связи.

Темы:Круглый столSIEMЖурнал "Информационная безопасность" №4, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.
  • Обмануть, чтобы не быть обманутым. Эксперты о развитии технологии Deception
    И на общемировом, и на российском рынках ИБ заметна тенденция на превращение Deception в важный инструмент защиты, способный не только обнаруживать угрозы, но и активно влиять на стратегии кибербезопасности. Редакция журнала "Информационная безопасность" поинтересовалась у экспертов о практике применения этой технологии и перспективах ее развития в ближайшие годы.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...