Редакция журнала "Информационная безопасность", 30/10/25
SIEM похож на прожектор: он может выхватывать из темноты важные детали, а может ослепить тех, кто стоит у пульта управления. Один из главных вызовов для информационной безопасности сегодня – заглянуть в будущее и понять, какую реальную роль в нем должен играть SIEM. Именно из этого понимания выстраивается и его место в архитектуре безопасности здесь и сейчас. Чтобы наметить контуры этого будущего, мы попросили экспертов поделиться своим видением и опытом.
Эксперты:
- Даниил Вылегжанин, начальник отдела технического сопровождения продаж, RuSIEM
- Александр Дорофеев, генеральный директор АО “Эшелон Технологии”
- Екатерина Едемская, инженер-аналитик, компания “Газинформсервис”
- Николай Лишке, директор центра кибербезопасности АО “Эшелон Технологии”
- Денис Лобанов, руководитель продукта MaxPatrol SIEM
- Виктор Никуличев, руководитель продукта R-Vision SIEM
- Роман Овчинников, директор департамента внедрения Security Vision
- Илья Одинцов, Product Manager Alertix, NGR Softlab
- Алексей Павлов, директор по развитию продуктов Positive Technologies
- Артем Проничев, руководитель по ML в MaxPatrol SIEM
- Иван Прохоров, руководитель продукта MaxPatrol IM/SIEM
- Павел Пугач, системный аналитик “СёрчИнформ”
- Максим Тумаков, руководитель направления SIEM и SOAR, BI.ZONE
- Дмитрий Чеботарев, менеджер по развитию продукта UserGate SIEM
Должен ли SIEM оставаться центральным элементом управления безопасностью в корпоративной инфраструктуре, или рациональнее строить архитектуру вокруг XDR/EDR, оставив SIEM на вспомогательной роли?
Илья Одинцов, NGR Softlab
SIEM – это мощная и гибкая система которая подходит для крупных заказчиков со зрелыми командами. XDR хорошо подойдет небольшим командам в сегменте МСБ.
Павел Пугач, "СёрчИнформ"
На вопрос об архитектуре отвечу как архитектор (пусть и бывший). XDR и EDR – это превосходные, высокотехнологичные кирпичи. Они обеспечивают исключительную защиту на конечных точках. Но нельзя строить здание без плана. Вам нужен проект, который определит, что и где должно быть. Это роль SIEM. XDR/EDR поставляют ей сырые данные и исполняют ее команды. Без централизованного управления даже самые продвинутые инструменты работают разрозненно, оставляя беззащитными слепые зоны для атакующего.
Иван Прохоров, Positive Technologies
SIEM незаменим как единая платформа для корреляции событий из всех источников, включая XDR/EDR, сеть и другое ПО. Можно сказать, что XDR/EDR – это эксперты по эндпоинтам, а SIEM – стратег, связывающий их данные с угрозами во всей инфраструктуре. Рациональная архитектура обеспечения ИБ должна строиться на синергии продуктов ИБ, где SIEM обеспечивает детект, контекст и помощь в расследовании, а XDR/EDR – скорость реагирования на атаки.
Екатерина Едемская, "Газинформсервис"
SIEM по-прежнему должен оставаться центральным элементом управления безопасностью, поскольку он интегрирует данные из множества источников и предоставляет комплексную картину угроз на уровне всей инфраструктуры. В идеальной архитектуре SIEM и XDR/EDR должны работать в тесной связке, где SIEM выполняет роль централизованного хаба для агрегации данных, а XDR/EDR становятся дополнительными инструментами для детального анализа и быстрого реагирования на инциденты.
Максим Тумаков, BI.ZONE
SIEM и XDR/EDR не конкурируют, а дополняют друг друга. SIEM позволяет работать с широким спектром источников и решает задачу по длительному хранению и корреляции событий от разных источников, в то время как решения класса XDR/EDR сконцентрированы на том, чтобы дать большую глубину детекта на конечных точках, а также предоставить возможности для быстрого реагирования на угрозы через все доступные СЗИ. Поэтому данные решения должны работать в комплексе, а не замещаться друг другом.
Николай Лишке, "Эшелон Технологии"
Интеграция EDR с SIEM помогает точно детектировать атаки на рабочие станции, но без дополнительной корреляции с логами Active Directory или облачных решений можно остаться слепым к сложным атакам. Можно сказать, что XDR/EDR – глаза и уши, но SIEM – мозг. Не стоит забывать о необходимости хранения логов и инцидентов. Использование исключительно XDR/EDR не позволяет выполнять данные требования.
Виктор Никуличев, R-Vision
Все зависит от задач организации. Если все ваши ключевые активы – это конечные станции, то EDR будет важным для вас решением. Но на деле для большинства бизнесов это не так: критичных систем несоразмерно много. Каждая такая система требует индивидуального подхода к мониторингу. Они закрываются большим числом СЗИ. SIEM же – место агрегации всех событий безопасности для централизованной работы с ИБ компании.
Даниил Вылегжанин, RuSIEM
Идеальным вариантом было бы использование платформы, сочетающей в себе функции SIEM, UEBA, SOAR, XDR, NDR, ITDR и AI в рамках единого решения. Это позволило бы исключить возможные слепые зоны, сохраняя полный контекст инцидента. К слову, на мировом рынке ИБ такой подход уже используется рядом вендоров, хотя и требует большого количества вычислительных ресурсов, к чему не всегда готовы заказчики. Если же предстоит выбирать только между XDR/EDR и SIEM, то в большинстве случаев именно SIEM будет наиболее предпочтителен за счет более широкого охвата и централизации логов различных источников в едином хранилище. Но лучше всего использовать и то, и другое в связке.
Роман Овчинников, Security Vision
Управление безопасностью должно включать процессы как мониторинга, так и управления и реагирования на инциденты информационной безопасности. SIEM является основой мониторинга и сбора, обрастая скриптами и инструментарием вокруг этой задачи. Для реализации всех процессов требуются дополнительные инструменты. Поэтому можно сделать вывод, что SIEM не является центральным элементом, но выполняет функции одного из ряда ключевых элементов. К примеру, если в управлении главная задача не наблюдение, а реагирование – нужно выдвигать вперед R (Response) в виде EDR XDR, SOAR.
Дмитрий Чеботарев, UserGate SIEM
Крайне дискуссионный вопрос. Я уверен, что современный, экосистемный SIEM, включающий в себя функциональность IRP/SOAR станет центральным элементом любой корпоративной инфраструктуры. Ведь классический SIEM уже не удовлетворяет требования заказчиков. Именно поэтому мы развиваем свой современный, идущий в ногу со временем продукт. UserGate совершенствует также и свой EDR, который тесно взаимодействует со всей экосистемой, включая SIEM. Именно благодаря этому решению мы готовы предоставлять заказчикам услуги XDR и MDR.
Может ли искусственный интеллект в SIEM уже сегодня реально сокращать время реакции на инциденты, или это скорее маркетинговый шум, отвлекающий от настоящих рабочих инструментов?
Александр Дорофеев, "Эшелон Технологии"
Технологии ИИ могут применяться в SIEM для детектирования аномалий, для объяснения логов, для генерации правил, резюмирования данных по инциденту и т. п. Тем не менее классические статистические методы очень хорошо выявляют аномалии, и необходимость включать ИИ-ассистента в состав SIEM – вопрос тоже дискуссионный. Возможно, что имеет смысл использовать уже развернутые в организации LLM либо задействовать облачные, обеспечив, конечно, качественную фильтрацию чувствительных данных, передаваемых через запросы.
Даниил Вылегжанин, RuSIEM
Однозначно может. Уже сейчас ИИ может использоваться для автоматизации процесса анализа событий, выявления поведенческих аномалий методами машинного обучения, которые классическими правилами корреляции достаточно трудно описать, помогать в приоритизации и расследовании инцидентов, снижать нагрузку на аналитиков, уменьшая количество ложных срабатываний и т. д.
Павел Пугач, "СёрчИнформ"
Потенциал у технологии огромный, однако всегда есть "но". Все могущество ИИ упирается в качество и достоверность данных, с которыми он работает. В этом и заключается главная проблема: злоумышленник целенаправленно искажает исходные данные, маскируя свою активность под легитимную. В такой ситуации обманутый ИИ начинает давать катастрофически высокий процент ложных срабатываний или, что хуже, пропусков. В момент, когда требуется максимальная точность, инструмент может дезориентировать аналитиков.
Артем Проничев, Positive Technologies
ИИ в SIEM уже сокращает время реакции на киберугрозы. Машинное обучение анализирует огромные объемы данных, выявляя сложные кибератаки, которые ускользают от традиционных способов обнаружения. Ключевое преимущество – автоматизация рутины и приоритизация инцидентов, что позволяет аналитикам SOC фокусироваться на реальных угрозах, а не на шумных сработках. Однако эффективность ML-решений зависит от качества и полноты данных и грамотной интеграции в процессы SOC. ИИ – это мощный мультипликатор, а не замена фундаментальных практик.
Максим Тумаков, BI.ZONE
На опыте нашего SOC мы убедились, что при правильном использовании GenAI-инструменты могут давать существенный прирост в производительности команды. В хранилище телеметрии, которое используется в BI.ZONE SIEM и BI.ZONE EDR, мы уже сделали ассистента: он понимает запросы на обычном языке и сам превращает их в SQL-запросы для поиска нужных событий. Теперь можно быстрее находить вредоносную активность.
Дмитрий Чеботарев, UserGate SIEM
Важно понимать, что ИИ не является панацеей. По сути, сегодня ИИ – это помощник, к услугам которого иногда можно обратиться. Каждый вендор имеет собственный модуль ИИ, а то и несколько, но ни один из них пока не произвел фурор на рынке отечественных SIEM. Остаются также и вопросы к практическому применению. UserGate работает над собственными решениями и пишет свой модуль ИИ, который мы планируем представить рынку уже в следующем году.
Виктор Никуличев, R-Vision
Реальных исследований по домену ИБ пока нет. Однако исследования в смежных областях однозначно говорят, что, например, разработчик с ИИ работает медленнее, чем без него. Гарантий в скорости и качестве решения задач ИИ не может дать. Но при этом ИИ является очень удобным инструментом для погружения и изучения предметной области. Он здорово справляется с суммаризацией информации, обогащением контекстом, классификацией сработок и выделением важного.
Илья Одинцов, NGR Softlab
Надо разделять команды. Для небольших команд и компаний с низкой зрелостью ИБ – ИИ может помогать, но не стоит забывать о передаче информации третьим лицам. Для зрелых команд встроенный ИИ скорее мешает, для консультации можно использовать сторонние более новые решения, например: описать логику детектирования.
Екатерина Едемская, "Газинформсервис"
Искусственный интеллект в SIEM имеет реальный потенциал для сокращения времени реакции на инциденты. Алгоритмы ИИ могут эффективно анализировать огромные объемы данных и выявлять паттерны, которые человеку было бы сложно заметить. Но важно понимать, что ИИ пока не заменяет полностью человеческий интеллект и не может гарантировать идеальную точность. Поэтому он должен использоваться в качестве инструмента для усиления рабочих процессов, а не как единственная опора в реагировании на инциденты.
