SIEM – это мощная и гибкая система которая подходит для крупных заказчиков со зрелыми командами. XDR хорошо подойдет небольшим командам в сегменте МСБ.
На вопрос об архитектуре отвечу как архитектор (пусть и бывший). XDR и EDR – это превосходные, высокотехнологичные кирпичи. Они обеспечивают исключительную защиту на конечных точках. Но нельзя строить здание без плана. Вам нужен проект, который определит, что и где должно быть. Это роль SIEM. XDR/EDR поставляют ей сырые данные и исполняют ее команды. Без централизованного управления даже самые продвинутые инструменты работают разрозненно, оставляя беззащитными слепые зоны для атакующего.
SIEM незаменим как единая платформа для корреляции событий из всех источников, включая XDR/EDR, сеть и другое ПО. Можно сказать, что XDR/EDR – это эксперты по эндпоинтам, а SIEM – стратег, связывающий их данные с угрозами во всей инфраструктуре. Рациональная архитектура обеспечения ИБ должна строиться на синергии продуктов ИБ, где SIEM обеспечивает детект, контекст и помощь в расследовании, а XDR/EDR – скорость реагирования на атаки.
SIEM по-прежнему должен оставаться центральным элементом управления безопасностью, поскольку он интегрирует данные из множества источников и предоставляет комплексную картину угроз на уровне всей инфраструктуры. В идеальной архитектуре SIEM и XDR/EDR должны работать в тесной связке, где SIEM выполняет роль централизованного хаба для агрегации данных, а XDR/EDR становятся дополнительными инструментами для детального анализа и быстрого реагирования на инциденты.
SIEM и XDR/EDR не конкурируют, а дополняют друг друга. SIEM позволяет работать с широким спектром источников и решает задачу по длительному хранению и корреляции событий от разных источников, в то время как решения класса XDR/EDR сконцентрированы на том, чтобы дать большую глубину детекта на конечных точках, а также предоставить возможности для быстрого реагирования на угрозы через все доступные СЗИ. Поэтому данные решения должны работать в комплексе, а не замещаться друг другом.
Интеграция EDR с SIEM помогает точно детектировать атаки на рабочие станции, но без дополнительной корреляции с логами Active Directory или облачных решений можно остаться слепым к сложным атакам. Можно сказать, что XDR/EDR – глаза и уши, но SIEM – мозг. Не стоит забывать о необходимости хранения логов и инцидентов. Использование исключительно XDR/EDR не позволяет выполнять данные требования.
Все зависит от задач организации. Если все ваши ключевые активы – это конечные станции, то EDR будет важным для вас решением. Но на деле для большинства бизнесов это не так: критичных систем несоразмерно много. Каждая такая система требует индивидуального подхода к мониторингу. Они закрываются большим числом СЗИ. SIEM же – место агрегации всех событий безопасности для централизованной работы с ИБ компании.
Идеальным вариантом было бы использование платформы, сочетающей в себе функции SIEM, UEBA, SOAR, XDR, NDR, ITDR и AI в рамках единого решения. Это позволило бы исключить возможные слепые зоны, сохраняя полный контекст инцидента. К слову, на мировом рынке ИБ такой подход уже используется рядом вендоров, хотя и требует большого количества вычислительных ресурсов, к чему не всегда готовы заказчики. Если же предстоит выбирать только между XDR/EDR и SIEM, то в большинстве случаев именно SIEM будет наиболее предпочтителен за счет более широкого охвата и централизации логов различных источников в едином хранилище. Но лучше всего использовать и то, и другое в связке.
Управление безопасностью должно включать процессы как мониторинга, так и управления и реагирования на инциденты информационной безопасности. SIEM является основой мониторинга и сбора, обрастая скриптами и инструментарием вокруг этой задачи. Для реализации всех процессов требуются дополнительные инструменты. Поэтому можно сделать вывод, что SIEM не является центральным элементом, но выполняет функции одного из ряда ключевых элементов. К примеру, если в управлении главная задача не наблюдение, а реагирование – нужно выдвигать вперед R (Response) в виде EDR XDR, SOAR.
Крайне дискуссионный вопрос. Я уверен, что современный, экосистемный SIEM, включающий в себя функциональность IRP/SOAR станет центральным элементом любой корпоративной инфраструктуры. Ведь классический SIEM уже не удовлетворяет требования заказчиков. Именно поэтому мы развиваем свой современный, идущий в ногу со временем продукт. UserGate совершенствует также и свой EDR, который тесно взаимодействует со всей экосистемой, включая SIEM. Именно благодаря этому решению мы готовы предоставлять заказчикам услуги XDR и MDR.
Технологии ИИ могут применяться в SIEM для детектирования аномалий, для объяснения логов, для генерации правил, резюмирования данных по инциденту и т. п. Тем не менее классические статистические методы очень хорошо выявляют аномалии, и необходимость включать ИИ-ассистента в состав SIEM – вопрос тоже дискуссионный. Возможно, что имеет смысл использовать уже развернутые в организации LLM либо задействовать облачные, обеспечив, конечно, качественную фильтрацию чувствительных данных, передаваемых через запросы.
Однозначно может. Уже сейчас ИИ может использоваться для автоматизации процесса анализа событий, выявления поведенческих аномалий методами машинного обучения, которые классическими правилами корреляции достаточно трудно описать, помогать в приоритизации и расследовании инцидентов, снижать нагрузку на аналитиков, уменьшая количество ложных срабатываний и т. д.
Потенциал у технологии огромный, однако всегда есть "но". Все могущество ИИ упирается в качество и достоверность данных, с которыми он работает. В этом и заключается главная проблема: злоумышленник целенаправленно искажает исходные данные, маскируя свою активность под легитимную. В такой ситуации обманутый ИИ начинает давать катастрофически высокий процент ложных срабатываний или, что хуже, пропусков. В момент, когда требуется максимальная точность, инструмент может дезориентировать аналитиков.
ИИ в SIEM уже сокращает время реакции на киберугрозы. Машинное обучение анализирует огромные объемы данных, выявляя сложные кибератаки, которые ускользают от традиционных способов обнаружения. Ключевое преимущество – автоматизация рутины и приоритизация инцидентов, что позволяет аналитикам SOC фокусироваться на реальных угрозах, а не на шумных сработках. Однако эффективность ML-решений зависит от качества и полноты данных и грамотной интеграции в процессы SOC. ИИ – это мощный мультипликатор, а не замена фундаментальных практик.
На опыте нашего SOC мы убедились, что при правильном использовании GenAI-инструменты могут давать существенный прирост в производительности команды. В хранилище телеметрии, которое используется в BI.ZONE SIEM и BI.ZONE EDR, мы уже сделали ассистента: он понимает запросы на обычном языке и сам превращает их в SQL-запросы для поиска нужных событий. Теперь можно быстрее находить вредоносную активность.
Важно понимать, что ИИ не является панацеей. По сути, сегодня ИИ – это помощник, к услугам которого иногда можно обратиться. Каждый вендор имеет собственный модуль ИИ, а то и несколько, но ни один из них пока не произвел фурор на рынке отечественных SIEM. Остаются также и вопросы к практическому применению. UserGate работает над собственными решениями и пишет свой модуль ИИ, который мы планируем представить рынку уже в следующем году.
Реальных исследований по домену ИБ пока нет. Однако исследования в смежных областях однозначно говорят, что, например, разработчик с ИИ работает медленнее, чем без него. Гарантий в скорости и качестве решения задач ИИ не может дать. Но при этом ИИ является очень удобным инструментом для погружения и изучения предметной области. Он здорово справляется с суммаризацией информации, обогащением контекстом, классификацией сработок и выделением важного.
Надо разделять команды. Для небольших команд и компаний с низкой зрелостью ИБ – ИИ может помогать, но не стоит забывать о передаче информации третьим лицам. Для зрелых команд встроенный ИИ скорее мешает, для консультации можно использовать сторонние более новые решения, например: описать логику детектирования.
Искусственный интеллект в SIEM имеет реальный потенциал для сокращения времени реакции на инциденты. Алгоритмы ИИ могут эффективно анализировать огромные объемы данных и выявлять паттерны, которые человеку было бы сложно заметить. Но важно понимать, что ИИ пока не заменяет полностью человеческий интеллект и не может гарантировать идеальную точность. Поэтому он должен использоваться в качестве инструмента для усиления рабочих процессов, а не как единственная опора в реагировании на инциденты.