Контакты
Подписка 2025

От NG SIEM к платформам

Дмитрий Пудов, 31/10/24

Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.

Автор: Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab

Например, наш SIEM Alertix [1] в дополнение к классическим возможностям класса решений для построения мониторинга ИБ в организациях предоставляет комплекс инструментов, таких как управление инцидентами, поведенческая аналитика, элементы TIP, средства совместной работы для аналитиков и ряд других модулей. Платформа собирает и обрабатывает данные из различных источников, автоматизирует выявление и учет инцидентов ИБ, обеспечивает поддержку процессов расследования инцидентов и принятия решений о реагировании на них. Доступны также: изменение модели данных, подключение внешних хранилищ, корреляция без нормализации и другие уникальные возможности. Несмотря на богатый функционал, мы поддерживаем десятки встроенных интеграций с наиболее популярными решениями классов IRP, SOAR, TIP, VM, ITAM, BI, UEBA, которые позволяют заказчику легко выходить за рамки возможностей нашей платформы, если этого требуют стоящие перед ним задачи.

ris1-Oct-31-2024-03-55-47-5094-PM
Рис. Схема работы Alertix (SIEM)

Использование решений, обладающих набором дополнительных модулей, дает заказчикам преимущество в виде более плотной интеграции – не надо преодолевать сложности внедрения отдельных инструментов. Это более простой, с точки зрения реализации, проект по привлекательной стоимости на старте. Но все не так однозначно.

Когда дополнительных модулей становится недостаточно

Основной минус SIEM-систем, включающих множество дополнительных инструментов, это привносимые с каждым модулем сложность, архитектурные и лицензионные ограничения, которые становятся несовместимыми с потребностями клиентов. Кроме того, часто вендор предлагает дополнительные модули к основному продукту, но их функциональность, как правило, отстает от возможностей фокусных решений. А если нужно приобрести только один модуль, то приходится покупать и ядро (базовый продукт). Заменить потом такую систему очень сложно, ее трудно масштабировать, так как возрастающая на ядро нагрузка зависит от очень большого количества факторов.

От модуля к платформе на примере поведенческой аналитики

Несмотря на то, что вендоры закладывают в SIEM-решения набор правил выявления инцидентов, от специалистов ИБ все равно требуется постоянная проработка этих правил. В ИТ-инфраструктуре и во внешнем окружении постоянно происходят изменения – правила становятся неактуальными, их надо обновлять.

UEBA позволяет не тратить время и ресурсы на создание конкретных инструкций для поиска файлов, каталогов и т.д., а вместо прямых признаков учитывать набор косвенных, обнаруживаемых с помощью поведенческой аналитики. Имея в арсенале SIEM с функциями UEBA, ИБ-специалист может указывать только интересующие его аспекты, а также степень критичности для отклонений от нормального поведения по каждому из них. Так, модуль поведенческого анализа в Alertix дает возможность отслеживать около 50 типов аномалий, связанных с сетевым трафиком и пользовательской активностью. Инструмент обнаруживает аномалии, которые могут указывать на потенциальные угрозы, даже если они еще неизвестны специалистам по информационной безопасности.

Кроме того, фактор аномальности, обозначенный UEBA, можно использовать как контекст для снижения доли ложноположительных срабатываний правил SIEM.

Получается, что усиленное интегрированное решение ищет конкретные, уже известные вредоносные сущности с помощью SIEM, а UEBA позволяет находить угрозы и методы, которые еще неизвестны либо претерпели изменения. Благодаря этим преимуществам поведенческий анализ уже прочно вошел в арсенал средств защиты, а модули UEBA можно встретить во многих классах решений. Как правило, они предоставляют ограниченный набор профилей, подготовленных для узкого набора данных. Если бизнесу нужны средства поведенческого анализа с большей самостоятельностью и возможностями кастомизации, чем UEBA-модули используемых СЗИ, то стоит обратить внимание на платформенные решения.

Платформы имеют высокую автономность отдельных компонентов на архитектурном уровне и промежуточное программное обеспечение (middleware). Они дают возможность подключения внешних баз данных (даже собственных баз заказчиков) и других решений, предоставляя универсальный интерфейс для взаимодействия.

Слой приема информации и последующего хранения

В каждой SIEM и UEBA существует слой приема информации и последующего хранения. Неважно, как организован процесс обработки данных, их необходимо собрать и сохранить, а также можно распарсить, обогатить и нормализовать. С ними предстоит работать и после: искать (вручную или автоматизировано), визуализировать, составлять отчеты и т.д. Для хранения информации используются различные системы управления базами данных, каждая из которых имеет свои особенности, поэтому выбор конкретной СУБД для продукта определяет как возможности, так и ограничения.

В наших платформах Alertix (SIEM) и Dataplan [2] (UEBA) мы применяем NoSQL (нереляционные) СУБД. Они созданы для хорошей масштабируемости, возможности хранения неструктурированных данных, использования различных типов хранилищ. В платформе Alertix мы применяем schemaless-СУБД, что позволяет не приводить всю информацию к единой схеме данных, если в этом нет необходимости. Такая гибкость не всегда доступна в других SIEM. Иногда заказчику приходится писать инструкции строгого парсинга в используемую вендором модель данных, чтобы получить возможность поиска. Такие NoSQL-СУБД более требовательны к ресурсам. Для оптимизации потребления в Dataplan (UEBA) мы используем колоночную СУБД. Этот подход позволяет сэкономить на ресурсах подсистемы хранения и/или вычислительных мощностях.

Слой управления

Наиболее трудоемким для разработчика является слой управления – чем больше различных модулей, приложений и СУБД поддерживает платформа, тем сложнее он будет. Он охватывает и нефункциональные возможности, такие как управление, контроль состояния, выполнение регулярных операций и т.д. А также играет роль моста между слоем приема и хранения, слоем прикладной логики. Все процессы и процедуры стандартизированы, при этом midleware должен поддерживать большой спектр различных технологий и иметь коннектор к каждой из них. Причем, он должен быть универсальным и не ограничивать возможности системы.

Прикладные приложения

В самом верхнем слое находятся прикладные приложения, которые работают с хранимой информацией как в режиме близком к реальному времени, так и с историческими данными. Эти приложения должны взаимодействовать только с промежуточным ПО и получать данные доступным методом в зависимости от конфигурации выбранных СУБД. Платформы, благодаря своей гибкой архитектуре, открывают путь к формированию концепции маркетплейса, в котором даже сторонние разработчики смогут создавать собственные модули. При наличии стандартных интерфейсов и безопасного доступа к данным, угрозы для функционирования платформы не будет.

Особенности интеграции и развития платформ

Часто в компании уже реализовано решение, которое в ряду прочих имеется в продукте разработчика. Например, если у заказчика уже организован процесс LM (Log Management), то внедрение SIEM почти наверняка приведет к дублированию информации и, следовательно, к неэффективному использованию ресурсов. Еще хуже, если SIEM не сможет взаимодействовать с имеющимся хранилищем логов, тогда придется дублировать отправку информации на самих источниках событий, что увеличит нагрузку на них.

При использовании платформ такие ситуации обычно исключаются. Платформа позволяет использовать сторонние решения, которые выполняют необходимые функции, выступая в роли шины взаимодействия с ними. Например, в платформе Alertix (SIEM) мы можем подключать базы данных Elasticsearch или OpenSearch в качестве внешнего хранилища событий. Это дает возможность заказчику не дублировать информацию и не производить замену существующих систем, а использовать в качестве фундамента то, что у него уже есть.

Модульность платформ позволяет исключить эффект архитектурных тисков: каждый компонент является автономным и взаимодействует с другими компонентами и со слоем хранения через промежуточное ПО. Такой подход дает возможность разработчикам развивать отдельные компоненты, а не весь продукт целиком, избегая многомесячного регрессионного тестирования. Изолированные компоненты, взаимодействующие через промежуточное ПО, устраняют риск того, что изменения в одном приложении могут негативно повлиять на работоспособность других модулей.

Платформа расширяет рынок сбыта для вендора, так как она может быть полезной не только с точки зрения информационной безопасности, но и для решения ИТ- или бизнес-задач.

На основе данных платформы можно строить различные BI-решения, использовать ее как систему мониторинга доступности, планирования ИТ-ресурсов, их утилизации, а также для множества других задач. При этом используемые данные будут одними и теми же, а способы их представления — различными.

Будущее SIEM

Будущее SIEM – в переходе к комплексным платформенным решениям, которые позволяют качественно решать несколько задач одновременно, обеспечивают интеграцию различных функций и инструментов, а также дают возможность использовать имеющиеся в инфраструктуре технологии без необходимости их замены. Это позволяет организациям более эффективно управлять своими ресурсами и оперативно реагировать на вызовы в области информационной безопасности.

Комплексный подход способствует снижению затрат на поддержку и развитие систем, а также повышает гибкость и адаптивность бизнеса в условиях быстро меняющейся среды.

Что касается развития наших продуктов, то мы уже двигаемся в сторону их совмещения. Сейчас разрабочики отдельных наших платформ Alertix (SIEM) и Dataplan (UEBA) работают над универсальными компонентами, которые используются в обоих продуктах. Они не привязаны к конкретной СУБД и структуре данных каждого приложения.

Философия формирования нашей продуктовой линейки для поддержки TDIR проста: на начальном этапе достаточно модулей (NG SIEM), но по мере роста сложности задач имеет смысл рассматривать более специализированные инструменты и отдавать предпочтение сценарию интеграции платформ.

Мы не навязываем заказчику контур интеграции, а предоставляем выбор, поддерживая высокую интероперабельность платформ и развивая контентную составляющую вне зависимости от окружения.


  1. https://www.ngrsoftlab.ru/alertix 
  2. https://www.ngrsoftlab.ru/dataplan 
Темы:SIEMNG-SIEMЖурнал "Информационная безопасность" №4, 2024Alertix

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура
    Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
    Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.
  • Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS
    Вадим Порошин, руководитель отдела поддержки продаж Пангео Радар
    Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.
  • Зачем SIEM-системе машинное обучение: реальные сценарии использования
    Почему хорошая SIEM не может обойтись без машинного обучения? Какие модели уже применяются в реальных продуктах? И что ждет этот симбиоз в будущем?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...