Контакты
Подписка 2026

Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS

Вадим Порошин, 28/10/24

Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.

Автор: Вадим Порошин, директор по развитию “Пангео Радар"

Эти условия носят объективный характер, поэтому команда разработчиков SIEM-решения "Платформа Радар" провела детальную оценку возможностей системы на предмет соответствия им. По результатам анализа было принято решение о переработке значительной части компонентов платформы для улучшения ее функциональных характеристик и высокой степени соответствия требованиям отечественных организаций.

Рассмотрим, какие компоненты были улучшены, и какие новые возможности в "Платформу Радар" при этом добавились.

Новый коррелятор и кластеризация

Разрабочики значительно расширили возможности коррелятора, переработав его на языке Go, дополнив возможности графическим конструктором и гибкими правилами корреляции на языке скриптов Lua. Это позволило существенно повысить удобство работы, давая возможность редактировать правила как через графический интерфейс, так и непосредственно в коде.

Внедрение кластеризации и возможность выноса избранных модулей на отдельные виртуальные машины позволили коррелятору легко обрабатывать объемы данных в сотни тысяч событий в секунду (EPS). Но достигнув таких показателей, разработчики не стали останавливаться: был произведен дополнительный рефакторинг компонентов системы для дальнейшего повышения ее эффективности и масштабируемости.

Новая база хранения событий OpenSearch

На российском рынке информационной безопасности стандартом де-факто для организации внутренней поисковой системы в продуктах долгое время оставался ElasticSearch. Однако с развитием технологий появились более современные решения. Одним из них является OpenSearch, который предлагает не только более эффективное сжатие данных, но и значительно ускоряет работу с архивными запросами благодаря использованию механизмов снапшотов памяти, что превосходит традиционные методы архивации.

Полная переработка обработчика событий позволила повысить его производительность в семь раз, а внедрение компонента сжатия событий дополнительно обеспечило более эффективную передачу данных внутри системы и их глубокое хранение, снизив нагрузку на каналы связи в пять раз.

Реальная инсталляция на 500 тысяч EPS

В одном из практических внедрений "Платформы Радар" заказчиком была поставлена задача обработки потока событий мощностью 500 тыс. EPS. При проектировании системы рассматривались два варианта размещения серверов: несколько инсталляций с отдельным администрирование каждой из них либо одна "боевая" установка, на которой обрабатываются все события крупной инфраструктуры.

Оба сценария возможны и реализуемы в "Платформе Радар" благодаря новой возможности верхнеуровневой корреляции и межинстансному поиску.

Верхнеуровневая корреляция позволяет отправлять любые события с определенными фильтрами в головную инсталляцию и настраивать правила корреляции, общие для всех инстансов.

При этом, в новом просмотрщике событий можно создавать поисковые запросы с многоуровневой агрегацией и группировкой на все нижестоящие инстансы. Например, можно проверить тот или иной IP-адрес или Hash-сумму, гуляющую между дочерними структурами.

Глобальный рефакторинг и изменение большинства компонентов позволили реализовать такую инсталляцию и радикально повысить мощность "Платформы Радар", сделав ее одной из самых производительных SIEM-систем в России. Аппаратные характеристики для инсталляции в 500 тыс. EPS приведены в табл. 1.

table1-4
Таблица 1. Аппаратные характеристики для инсталляции в 500 тыс. EPS, исходя из 7 дней оперативного хранения (архив рассчитывается по запросу)

Новая графическая подсистема

Разработчики провели комплексную модернизацию графического компонента "Платформы Радар": были обновлены дашборды и отчетность, чтобы обеспечить более удобное представление данных для пользователей и улучшить понимание состояния информационной безопасности (см. рис. 1 и 2).

ris1-Oct-28-2024-11-13-45-0120-AM
Рис. 1. Дашборды в “Платформе Радар”

ris3-Oct-28-2024-11-14-14-0059-AM
Рис. 2. Дашборды в “Платформе Радар”

Улучшенная интеграция

Теперь "Платформа Радар" может получать отчеты от сканеров уязвимости, таких как MaxPatrol, RedCheck, OpenVAS, NMAP, что позволяет заказчикам более детально видеть свою ИТ-инфраструктуру и выстраивать процесс управления уязвимостями. Предусмотрена возможность отправки выявленных инцидентов в ГосСОПКА и в российские IRP-системы.

"Из коробки" в "Платформе Радар" доступны подключения к бесплатным TI-системам и готовые правила корреляция для нахождению IoC в поступающих в систему событиях от источников.

Лицензирование

Для удобства заказчиков лицензия на "Платформу Радар" сделана бессрочной, поэтому после окончания срока технической поддержки все функции системы продолжат работать, а события не будут теряться. Лицензирование системы производится по среднему входящему потоку событий. При этом в расчете учитываются средние показатели за неделю использования платформы, а значит события не будут отбрасываться даже при достижении пиковых значений EPS.

Отдельно лицензируются модуль коллектора событий и режим мультиарендности.

Сертификаты

"Платформа Радар" – это полностью российский продукт, разработка, исходный код и техподдержка которого располагаются в России. Система зарегистрирована в Едином реестре отечественного ПО и сертифицирована ФСТЭК России по УД4.

Заключение

Во многих организациях SIEM является центром управления информационной безопасностью, и внутренняя архитектура систем этого класса становится важным фактором, либо повышающим качество ИБ-процессов , либо, напротив, тормозящим их развитие. Задача вендоров SIEM – совершенствовать свои решения, понимая эти условия.

Разработчиками "Платформы Радар" проделана большая работа по учету требований со стороны российских заказчиков для улучшения функциональности и удобства работы, а полный рефакторинг большинства компонентов приблизил "Платформу Радар" к цели – стать наиболее высокопроизводительной SIEM-системой в России.

Темы:SIEMЖурнал "Информационная безопасность" №4, 2024Пангео Радар
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
  • Формула действенного мониторинга и реагирования: SOAR и SIEM на единой платформе
    Максим Ежов, продакт-менеджер R-Vison SOAR
    Давайте посмотрим на ключевые проблемы, связанные с технологиями, процессами и людьми в SOC, а также на то, как их можно решить, используя платформенный подход к обнаружению и реагированию на инциденты.
  • SOC между ОСАГО и КАСКО
    Максим Степченков, совладелец компании RuSIEM
    Разговоры о том, что SOC вот-вот изменится, стали почти привычной частью сообщества информационной безопасности. Кажется, что рынок живет в состоянии постоянного ожидания прорыва: то появится новый инструмент анализа телеметрии, то крупный вендор представит модуль ИИ, то публикуется очередной отчет, обещающий революцию в мониторинге. И каждый раз кажется, что именно теперь все поменяется. Но проходит очередной год, и SOC продолжает работать примерно так же, как и работал.
  • Какая SIEM подойдет небольшой компании?
    Павел Пугач, системный аналитик “СёрчИнформ”
    Автоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удовольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье.
  • Могут ли ИБ- и ИТ-аудиторы использовать SIEM для аудита и контроля комплаенса?
    Илья Одинцов, менеджер по продукту NGR Softlab
    Аудит ИТ- и ИБ-систем – важнейшая задача, от которой во многом зависит информационная безопасность компаний. Нередко к процессу аудита относятся формально, используя устаревшие подходы и инструменты, что приводит к плачевным последствиям. Сделать проверку качественной, а не для галочки, можно с помощью SIEM, которая по своей природе является идеальной платформой для помощи аудиторам.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...