Контакты
Подписка 2025

Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS

Вадим Порошин, 28/10/24

Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.

Автор: Вадим Порошин, директор по развитию “Пангео Радар"

Эти условия носят объективный характер, поэтому команда разработчиков SIEM-решения "Платформа Радар" провела детальную оценку возможностей системы на предмет соответствия им. По результатам анализа было принято решение о переработке значительной части компонентов платформы для улучшения ее функциональных характеристик и высокой степени соответствия требованиям отечественных организаций.

Рассмотрим, какие компоненты были улучшены, и какие новые возможности в "Платформу Радар" при этом добавились.

Новый коррелятор и кластеризация

Разрабочики значительно расширили возможности коррелятора, переработав его на языке Go, дополнив возможности графическим конструктором и гибкими правилами корреляции на языке скриптов Lua. Это позволило существенно повысить удобство работы, давая возможность редактировать правила как через графический интерфейс, так и непосредственно в коде.

Внедрение кластеризации и возможность выноса избранных модулей на отдельные виртуальные машины позволили коррелятору легко обрабатывать объемы данных в сотни тысяч событий в секунду (EPS). Но достигнув таких показателей, разработчики не стали останавливаться: был произведен дополнительный рефакторинг компонентов системы для дальнейшего повышения ее эффективности и масштабируемости.

Новая база хранения событий OpenSearch

На российском рынке информационной безопасности стандартом де-факто для организации внутренней поисковой системы в продуктах долгое время оставался ElasticSearch. Однако с развитием технологий появились более современные решения. Одним из них является OpenSearch, который предлагает не только более эффективное сжатие данных, но и значительно ускоряет работу с архивными запросами благодаря использованию механизмов снапшотов памяти, что превосходит традиционные методы архивации.

Полная переработка обработчика событий позволила повысить его производительность в семь раз, а внедрение компонента сжатия событий дополнительно обеспечило более эффективную передачу данных внутри системы и их глубокое хранение, снизив нагрузку на каналы связи в пять раз.

Реальная инсталляция на 500 тысяч EPS

В одном из практических внедрений "Платформы Радар" заказчиком была поставлена задача обработки потока событий мощностью 500 тыс. EPS. При проектировании системы рассматривались два варианта размещения серверов: несколько инсталляций с отдельным администрирование каждой из них либо одна "боевая" установка, на которой обрабатываются все события крупной инфраструктуры.

Оба сценария возможны и реализуемы в "Платформе Радар" благодаря новой возможности верхнеуровневой корреляции и межинстансному поиску.

Верхнеуровневая корреляция позволяет отправлять любые события с определенными фильтрами в головную инсталляцию и настраивать правила корреляции, общие для всех инстансов.

При этом, в новом просмотрщике событий можно создавать поисковые запросы с многоуровневой агрегацией и группировкой на все нижестоящие инстансы. Например, можно проверить тот или иной IP-адрес или Hash-сумму, гуляющую между дочерними структурами.

Глобальный рефакторинг и изменение большинства компонентов позволили реализовать такую инсталляцию и радикально повысить мощность "Платформы Радар", сделав ее одной из самых производительных SIEM-систем в России. Аппаратные характеристики для инсталляции в 500 тыс. EPS приведены в табл. 1.

table1-4
Таблица 1. Аппаратные характеристики для инсталляции в 500 тыс. EPS, исходя из 7 дней оперативного хранения (архив рассчитывается по запросу)

Новая графическая подсистема

Разработчики провели комплексную модернизацию графического компонента "Платформы Радар": были обновлены дашборды и отчетность, чтобы обеспечить более удобное представление данных для пользователей и улучшить понимание состояния информационной безопасности (см. рис. 1 и 2).

ris1-Oct-28-2024-11-13-45-0120-AM
Рис. 1. Дашборды в “Платформе Радар”

ris3-Oct-28-2024-11-14-14-0059-AM
Рис. 2. Дашборды в “Платформе Радар”

Улучшенная интеграция

Теперь "Платформа Радар" может получать отчеты от сканеров уязвимости, таких как MaxPatrol, RedCheck, OpenVAS, NMAP, что позволяет заказчикам более детально видеть свою ИТ-инфраструктуру и выстраивать процесс управления уязвимостями. Предусмотрена возможность отправки выявленных инцидентов в ГосСОПКА и в российские IRP-системы.

"Из коробки" в "Платформе Радар" доступны подключения к бесплатным TI-системам и готовые правила корреляция для нахождению IoC в поступающих в систему событиях от источников.

Лицензирование

Для удобства заказчиков лицензия на "Платформу Радар" сделана бессрочной, поэтому после окончания срока технической поддержки все функции системы продолжат работать, а события не будут теряться. Лицензирование системы производится по среднему входящему потоку событий. При этом в расчете учитываются средние показатели за неделю использования платформы, а значит события не будут отбрасываться даже при достижении пиковых значений EPS.

Отдельно лицензируются модуль коллектора событий и режим мультиарендности.

Сертификаты

"Платформа Радар" – это полностью российский продукт, разработка, исходный код и техподдержка которого располагаются в России. Система зарегистрирована в Едином реестре отечественного ПО и сертифицирована ФСТЭК России по УД4.

Заключение

Во многих организациях SIEM является центром управления информационной безопасностью, и внутренняя архитектура систем этого класса становится важным фактором, либо повышающим качество ИБ-процессов , либо, напротив, тормозящим их развитие. Задача вендоров SIEM – совершенствовать свои решения, понимая эти условия.

Разработчиками "Платформы Радар" проделана большая работа по учету требований со стороны российских заказчиков для улучшения функциональности и удобства работы, а полный рефакторинг большинства компонентов приблизил "Платформу Радар" к цели – стать наиболее высокопроизводительной SIEM-системой в России.

Темы:SIEMЖурнал "Информационная безопасность" №4, 2024Пангео Радар

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Кибербезопасность инфраструктуры, информационных систем, данных и приложений | 7 марта 2025
Регистрация на конференцию →
Статьи по той же темеСтатьи по той же теме

  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.
  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура
    Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
    Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.
  • От NG SIEM к платформам
    Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab
    Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
6 марта | Отечественные ИT-платформы и ПО для объектов КИИ | Онлайн
Регистрация →

More...
ТБ Форум 2025
6 марта | Отечественные ИT-платформы для объектов КИИ
Жми, чтобы участвовать

More...