Контакты
Подписка 2025
Статьи по информационной безопасности

Почему SIEM-система больше не роскошь и как внедрить ее быстро

Павел Пугач, 03/10/22

За последние годы SIEM-система из нишевого решения превратилась в “мастхэв”-продукт для многих компаний. Подстегивали этот процесс ФЗ-187 и постоянный рост киберугроз, которые невозможно контролировать вручную в большой ИТ-инфраструктуре. В 2022 г. компаниям добавляет проблем экстренное импортозамещение.

Автор: Павел Пугач, системный аналитик “СёрчИнформ”

Зачем нужны SIEM-системы и почему их значение сейчас возрастает?

С ИТ-рынка уже ушли ключевые вендоры (IBM, HP, Microsoft, Oracle, Fortinet), и до сих пор сохраняется риск того, что и некоторые другие зарубежные разработчики свернут свою деятельность в РФ. Эта ситуация создает для российских пользователей множество рисков, ведь у зарубежных поставщиков остается возможность удаленно отключать программный функционал. Другими словами, предоставление услуг может быть остановлено в одностороннем порядке, до истечения сроков лицензий.

Из-за активного использования VPN-сервисов, загрузка которых увеличилась на 1268%, наблюдается рост инсайдерских рисков. Кроме того, актуальными являются проблемы контроля обновления ПО в сочетании с риском, что это же обновление сделает из оборудования бесполезный кусок железа.

За что хвататься ИТ- и ИБ-специалисту? Сколько времени он должен тратить, переключаясь из консоли в консоль различных защитных решений?

В этой ситуации SIEM-системы приобретают особую актуальность, потому что позволяют объединить в себе функционал различных решений: работать со всеми логами из одного окна, видеть взаимосвязи между этими логами, распознавая в их цепочке инцидент и оповещая о нем ИБ-специалиста.

Какие задачи решает "СёрчИнформ SIEM"?

"СёрчИнформ SIEM" работает более чем с 30 типами источников информации, в том числе с DLP-системой "СёрчИнформ КИБ" и DCAP FileAuditor. Число коннекторов постоянно увеличивается. Для источников без коннекторов у нас есть простой и удобный Custom Connector, который решает проблему подключения SIEM к ПО, не отправляющему логи через Syslog, то есть к любой самописной программе. Коннектор к источнику можно написать самостоятельно на Windows PowerShell с помощью образцов.

С целью расширения возможностей контроля над различным оборудованием в "СёрчИнформ SIEM" реализована поддержка протокола SNMP.

Сканер сети в SIEM визуализирует весь состав инфраструктуры: компьютеры, роутеры, свитчи, принтеры и прочее оборудование. Благодаря ему можно обнаружить открытые порты и отследить попытки несанкционированного подключения новых устройств. В свою очередь, сканер уязвимостей, который подключен сразу к нескольким базам, в онлайн-режиме указывает на актуальные проблемы в инфраструктуре. Обнаруженные инциденты выводятся на настраиваемые дашборды, где из 13 готовых шаблонов можно собрать любое количество персональных виджетов. Особенно удобно пользоваться специальной вкладкой, на которой отображается количество инцидентов по всем правилам корреляции. Если требуется более подробное изучение инцидента, то в него можно погрузиться и рассмотреть все нюансы с помощью одного нажатия на кнопку.

Существует мнение, что в SIEM сложно писать свои правила, – мы облегчили эту задачу с помощью простого редактора.

В этом году в систему были добавлены несколько логических операторов, которые позволяют выявлять сложные корреляции. Например, если человек не проходил через СКУД, но работает за компьютером, то это повод разобраться, был ли ему предоставлен санкционированный доступ или же это вторжение.

Для компаний, которые относятся к субъектам КИИ (и других, подотчетных регуляторам) в нашей SIEM создана возможность отчитываться о выявленных инцидентах напрямую в ГосСОПКА. Отчет можно сформировать по итогам расследования из специального инструмента Task Management. Он помогает распределять задачи по обнаружению и реагированию на опасности, следить за ходом процесса и подводить итоги. Кроме ГосСОПКА, информацию об инцидентах можно отправлять в IRP R-Vision, чтобы централизованно решать проблемы в SOC.

Чтобы сэкономить на железе, систему можно развернуть в облаке, а если некому доверить работу с ней – отдать обслуживание на аутсорсинг. Программа лицензируется по количеству контролируемых хостов, поэтому нет риска, что поток событий превысит отпущенные по лицензии лимиты и работа системы будет внезапно приостановлена.

Как можно быстро внедрить SIEM?

Несмотря на то что рынок SIEM достаточно зрелый, иногда системы значительно отличаются друг от друга, поэтому нельзя выбирать первую попавшуюся. При легкомысленном подходе к выбору решения сюрпризы могут поджидать в момент расчета конечной стоимости, когда возникнет необходимость что-то докупать или нанимать отдельных специалистов.

"СёрчИнформ SIEM" может стать лучшим решением в ситуации, когда нужно быстро внедрить систему. Она была разработана в "коробочном" варианте, с возможностью развернуть ПО за один день.

Легко начать работу

Интерфейс "СёрчИнформ SIEM" понятен любому, кто хоть раз открывал "Ворд" или "Эксель". Мы вынесли создание правил в графический интерфейс – это просто и понятно для пользователя. Для работы с системой не нужно нанимать уникального специалиста.

Универсальные предустановленные правила

Универсальные предустановленные правила дают точку опоры на первом этапе, чтобы можно было организовать работу с первого дня внедрения. Администратор SIEM сразу покажет результат руководству и дальше продолжит настройку под нужды своей компании. "Из коробки" доступно больше 350 правил.

В наличии все необходимые коннекторы

Система имеет все самые нужные коннекторы, а также пользовательский Custom Connector, который позволяет с помощью простых скриптов подключить любой источник. Образцы этих скриптов, написанные на PowerShell script, вы также найдете "в коробке".

Не нужно докупать отдельные модули

В "СёрчИнформ SIEM" весь заявленный набор функций доступен в одном решении. Часто заказчики сталкиваются с противоположной ситуацией и просчитываются на старте, что приводит к увеличению суммы закупки.

Бесплатная помощь в настройке

Отдел внедрения "СёрчИнформ" состоит из специалистов, имеющих высокий уровень квалификации и обладающих значительным опытом работы, которые, как и инженеры техподдержки, берут на себя весомую часть задач по работе с заказчиками. Это позволяет успешно внедрять решения, даже если у вас в компании существует дефицит ИТ- или ИБ-специалистов.

Лучший способ убедиться в том, что решение подходит, – проверить его на практике. У нас это бесплатно. Заполните заявку на сайте и получите "СёрчИнформ SIEM" в полном функционале на 30 дней.
Темы:SIEM"СёрчИнформ"ГосСОПКАЖурнал "Информационная безопасность" №4, 2022

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.
  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"