Павел Пугач, 03/10/22
За последние годы SIEM-система из нишевого решения превратилась в “мастхэв”-продукт для многих компаний. Подстегивали этот процесс ФЗ-187 и постоянный рост киберугроз, которые невозможно контролировать вручную в большой ИТ-инфраструктуре. В 2022 г. компаниям добавляет проблем экстренное импортозамещение.
Автор: Павел Пугач, системный аналитик “СёрчИнформ”
Зачем нужны SIEM-системы и почему их значение сейчас возрастает?
С ИТ-рынка уже ушли ключевые вендоры (IBM, HP, Microsoft, Oracle, Fortinet), и до сих пор сохраняется риск того, что и некоторые другие зарубежные разработчики свернут свою деятельность в РФ. Эта ситуация создает для российских пользователей множество рисков, ведь у зарубежных поставщиков остается возможность удаленно отключать программный функционал. Другими словами, предоставление услуг может быть остановлено в одностороннем порядке, до истечения сроков лицензий.
Из-за активного использования VPN-сервисов, загрузка которых увеличилась на 1268%, наблюдается рост инсайдерских рисков. Кроме того, актуальными являются проблемы контроля обновления ПО в сочетании с риском, что это же обновление сделает из оборудования бесполезный кусок железа.
За что хвататься ИТ- и ИБ-специалисту? Сколько времени он должен тратить, переключаясь из консоли в консоль различных защитных решений?
В этой ситуации SIEM-системы приобретают особую актуальность, потому что позволяют объединить в себе функционал различных решений: работать со всеми логами из одного окна, видеть взаимосвязи между этими логами, распознавая в их цепочке инцидент и оповещая о нем ИБ-специалиста.
Какие задачи решает "СёрчИнформ SIEM"?
"СёрчИнформ SIEM" работает более чем с 30 типами источников информации, в том числе с DLP-системой "СёрчИнформ КИБ" и DCAP FileAuditor. Число коннекторов постоянно увеличивается. Для источников без коннекторов у нас есть простой и удобный Custom Connector, который решает проблему подключения SIEM к ПО, не отправляющему логи через Syslog, то есть к любой самописной программе. Коннектор к источнику можно написать самостоятельно на Windows PowerShell с помощью образцов.
С целью расширения возможностей контроля над различным оборудованием в "СёрчИнформ SIEM" реализована поддержка протокола SNMP.
Сканер сети в SIEM визуализирует весь состав инфраструктуры: компьютеры, роутеры, свитчи, принтеры и прочее оборудование. Благодаря ему можно обнаружить открытые порты и отследить попытки несанкционированного подключения новых устройств. В свою очередь, сканер уязвимостей, который подключен сразу к нескольким базам, в онлайн-режиме указывает на актуальные проблемы в инфраструктуре. Обнаруженные инциденты выводятся на настраиваемые дашборды, где из 13 готовых шаблонов можно собрать любое количество персональных виджетов. Особенно удобно пользоваться специальной вкладкой, на которой отображается количество инцидентов по всем правилам корреляции. Если требуется более подробное изучение инцидента, то в него можно погрузиться и рассмотреть все нюансы с помощью одного нажатия на кнопку.
Существует мнение, что в SIEM сложно писать свои правила, – мы облегчили эту задачу с помощью простого редактора.
В этом году в систему были добавлены несколько логических операторов, которые позволяют выявлять сложные корреляции. Например, если человек не проходил через СКУД, но работает за компьютером, то это повод разобраться, был ли ему предоставлен санкционированный доступ или же это вторжение.
Для компаний, которые относятся к субъектам КИИ (и других, подотчетных регуляторам) в нашей SIEM создана возможность отчитываться о выявленных инцидентах напрямую в ГосСОПКА. Отчет можно сформировать по итогам расследования из специального инструмента Task Management. Он помогает распределять задачи по обнаружению и реагированию на опасности, следить за ходом процесса и подводить итоги. Кроме ГосСОПКА, информацию об инцидентах можно отправлять в IRP R-Vision, чтобы централизованно решать проблемы в SOC.
Чтобы сэкономить на железе, систему можно развернуть в облаке, а если некому доверить работу с ней – отдать обслуживание на аутсорсинг. Программа лицензируется по количеству контролируемых хостов, поэтому нет риска, что поток событий превысит отпущенные по лицензии лимиты и работа системы будет внезапно приостановлена.
Как можно быстро внедрить SIEM?
Несмотря на то что рынок SIEM достаточно зрелый, иногда системы значительно отличаются друг от друга, поэтому нельзя выбирать первую попавшуюся. При легкомысленном подходе к выбору решения сюрпризы могут поджидать в момент расчета конечной стоимости, когда возникнет необходимость что-то докупать или нанимать отдельных специалистов.
"СёрчИнформ SIEM" может стать лучшим решением в ситуации, когда нужно быстро внедрить систему. Она была разработана в "коробочном" варианте, с возможностью развернуть ПО за один день.
Легко начать работу
Интерфейс "СёрчИнформ SIEM" понятен любому, кто хоть раз открывал "Ворд" или "Эксель". Мы вынесли создание правил в графический интерфейс – это просто и понятно для пользователя. Для работы с системой не нужно нанимать уникального специалиста.
Универсальные предустановленные правила
Универсальные предустановленные правила дают точку опоры на первом этапе, чтобы можно было организовать работу с первого дня внедрения. Администратор SIEM сразу покажет результат руководству и дальше продолжит настройку под нужды своей компании. "Из коробки" доступно больше 350 правил.
В наличии все необходимые коннекторы
Система имеет все самые нужные коннекторы, а также пользовательский Custom Connector, который позволяет с помощью простых скриптов подключить любой источник. Образцы этих скриптов, написанные на PowerShell script, вы также найдете "в коробке".
Не нужно докупать отдельные модули
В "СёрчИнформ SIEM" весь заявленный набор функций доступен в одном решении. Часто заказчики сталкиваются с противоположной ситуацией и просчитываются на старте, что приводит к увеличению суммы закупки.
Бесплатная помощь в настройке
Отдел внедрения "СёрчИнформ" состоит из специалистов, имеющих высокий уровень квалификации и обладающих значительным опытом работы, которые, как и инженеры техподдержки, берут на себя весомую часть задач по работе с заказчиками. Это позволяет успешно внедрять решения, даже если у вас в компании существует дефицит ИТ- или ИБ-специалистов.
Лучший способ убедиться в том, что решение подходит, – проверить его на практике. У нас это бесплатно. Заполните заявку на сайте и получите "СёрчИнформ SIEM" в полном функционале на 30 дней.
