Контакты
Подписка 2026

Как разгрузить SIEM, уже работающую в инфраструктуре?

Редакция журнала "Информационная безопасность", 18/02/25

Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.

ris64

 

Евгения Лагутина, Лаборатория Касперского:

Есть два основных направления:

  1. Технический – максимально проработать контент и процесс работы над ним, детально продумывать скоуп действительно полезных в корреляции источников и необходимых данных от них, настроить фильтрацию и сроки хранения событий.
  2. Процессный – непрерывно актуализировать список источников и правил, исходя из актуальных для конкретной инфраструктуры сценариев атак, обучать новых аналитиков грамотно писать контент.

Но! Очень важно соблюсти баланс: разгружая таким образом SIEM-систему, мы нагружаем команду. И если в случае с перегрузкой SIEM достаточно просто масштабировать систему, то команда – актив гораздо более ценный и более чувствительный к перегрузкам.

Дмитрий Пудов, NGR Softlab:

Лучшие практики уже достаточно давно известны, они заключаются в поступательном наращивании возможностей SOC. Попытка сбора избыточных данных и работы с ними без методологической основы и процессной модели – основная причина избыточной нагрузки как на SIEM, так и на персонал. Мы рекомендуем отказаться от хранения сырых событий для части источников, использовать нормализацию только для необходимых в корреляции, а контекстную информацию хранить в ненормализованном виде с точечной настройкой сроков и правил архивации, распределять нагрузку, используя агентский сбор там, где это возможно.

Павел Пугач, СёрчИнформ:

Если достигнут предел производительности, и нет ресурсов, чтобы оперативно заменить оборудование или докупить лицензии, нашу SIEM можно масштабировать горизонтально. Часть мощностей переносится на другое, даже более слабое железо, там система может хранить данные или производить миноритарные аналитические операции. Во-вторых, можно исключить из лога источников события нормальной работы – это снизит поток данных на несколько порядков и оставит в фокусе только сбои и угрозы. Так потеряется детализация, необходимая в расследованиях, но в качестве крайней или временной меры это допустимо.

Дмитрий Шамаев, Газинформсервис:

Для правильной разгрузки уже функционирующей SIEM-системы необходимо:

  1. Проанализировать настройки подсистем логирования различных источников событий и избавиться от бесполезных, с точки зрения информационной безопасности, событий. То есть более тонко настроить логирование событий на источниках.
  2. Проанализировать, как часто и какие именно срабатывают правила корреляции. Возможно, получится оптимизировать логику правил корреляции. Дополнительно можно принять организационно-технические меры для снижения количества срабатываний правил. Если корректные правила корреляции срабатывают слишком часто, значит в ИТ-инфраструктуре заказчиков много проблем.

Виктор Никуличев, R-Vision:

Не требуется оптимизация SIEM, если правильно настроены система, правила корреляции и источники. В иных случаях необходимо проанализировать все процессы SIEM. Например, для снижения нагрузки можно использовать LM-решение для глубокого/холодного хранения и второстепенных логов, которые не подлежат корреляции. В SIEM следует оставлять только события, необходимые для корреляции и оперативного расследования оповещений. При создании правил корреляции и нормализации рекомендуется использовать продвинутые возможности среды разработки и оптимизировать разрабатываемые правила. Например, можно использовать инструмент бенчмаркинга в R-Vision R-Object для замера скорости работы правила.

Павел Гончаров, Positive Technologies:

Мы рекомендуем проанализировать работу SIEM-системы с самого начала, в частности, с подключения и мониторинга источников. Во время запуска MaxPatrol SIEM версии 8.2 этим летом мы выдавали нашим пользователям специальный гайд, в котором рассказали, какие источники и в каком порядке нужно подключать, как их настраивать. На основе собранной информации мы уже можем определить, какая экспертиза в системе требуется, какие правила и табличные списки можно отключить. Кроме того, нашим клиентам мы предлагаем мигрировать на LogSpace, что позволит высвободить ресурсы под выполняемые задачи.

Даниил Вылегжанин, RuSIEM:

Следует начать с настройки глубины логирования источников, чтобы собирать и обрабатывать только нужные события. Не менее важна настройка дополнительных правил фильтрации и агрегации событий, а также оптимизация существующих правил корреляции для повышения точности выявления инцидентов и снижения вероятности ложноположительных срабатываний. В части хранения и ускорения поиска событий поможет настройка индексов и использования горячих, теплых или холодных нод для оперативного хранения событий, а также архивов – для экономии дискового пространства при хранении исторических данных.

Станислав Каменский, Эшелон Технологии:

Можно применить несколько приемов.

  1. В случае высокой нагрузки, по возможности, использовать варианты распределенной инсталляции системы, создание кластера БД. Использовать оптимизированные SIEM, например KOMRAD Enterprise SIEM.
  2. Настроить журналирование в системах и определить перечень событий, подлежащих отправке в SIEM, исходя из самых вероятных сценариев действий злоумышленников в контролируемой инфраструктуре.
  3. Актуализировать оценку критичности имеющихся активов и обрабатывать события от активов с высоким уровнем критичности.

Вадим Порошин, Пангео Радар:

Во-первых, необходимо сегментировать активы в инфраструктуре, выделяя действительно важные. Во-вторых, предфильтрация событий: избавляться от мусорных данных до начала их обработки. В-третьих, выбирать SIEM-решения с максимальной возможной степенью сжатия событий не только на хранении, но и на всех этапах передачи, чтобы сократить нагрузки на каналы связи.

Темы:Круглый столSIEMЖурнал "Информационная безопасность" №4, 2024
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • 1С перемещается в контур ИБ. Круглый стол экспертов
    Переход с иностранных ERP на 1С принес в продакшен крупные, глубоко доработанные системы, от которых напрямую зависят финансовые, кадровые и производственные процессы. При этом во многих организациях 1С по-прежнему остается на периферии внимания ИБ. Мы предложили экспертам обсудить, как меняется роль 1С в инфраструктуре, какие риски накапливаются и что в ближайшие годы придется пересматривать в подходах к ее безопасности и надежности.
  • Что мы сегодня понимаем под защищенностью АСУ ТП? Круглый стол экспертов
    Разговор о кибербезопасности АСУ ТП уверенно смещается с уровня технологий и мер на уровень интерпретаций и границ. Что считать защищенностью, где проходят зоны ответственности, какие допущения остаются незамеченными – эти вопросы все чаще оказываются важнее конкретных СЗИ. Именно их мы вынесли в фокус обсуждения.
  • Тень атаки на песке. Круглый стол экспертов
    Песочницу часто воспринимают как "запустили – посмотрели – решили". На практике все сложнее: поток объектов потенциально бесконечный, часть атак в ней не раскрывается, обходы стали нормой, а выбор между быстрым и глубоким анализом – это всегда компромисс. Где у динамического анализа реальные границы и какое место ему отвести рядом с EDR и поведенческой аналитикой – об этом мы и спросили экспертов.
  • От защиты сети к защите бренда
    Еще несколько лет назад инцидентом считалось то, что происходит внутри инфраструктуры. Сегодня многие атаки вообще ее не затрагивают, а разворачиваются вокруг бренда и клиентов. Мы обсудили с экспертами, как меняется понимание этих угроз и роль Digital Risk Protection.
  • Шесть тревожных сигналов из жизни ЦОДа. Круглый стол экспертов
    В инфраструктуре ЦОДов многие проблемы безопасности проявляются через обычные на первый взгляд ситуации. Но за такими эпизодами часто стоят системные архитектурные проблемы. Мы предложили экспертам разобрать несколько подобных сценариев и объяснить, какие риски и ошибки инфраструктуры они могут скрывать.
  • Падение курса биткоина и его последствия для ландшафта атак
    Падение курса биткоина в начале 2026 года, вероятно, поменяет экономику киберпреступности: снизится предсказуемость доходов, усложнится обналичка, вырастут операционные риски. Возможно, трансформируется не только набор тактик, но и сама структура киберпреступных группировок – их устойчивость, склонность к консолидации, переквалификации или выходу из игры. Не исключено и повышение рискованности атак с вытекающим ростом ошибок и потерь. Мы пригласили экспертов дать свой прогноз на ближайшие полгода – чтобы можно было сопоставить ожидания с тем, как ландшафт атак изменился на практике.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...