Контакты
Подписка 2026

Российский TDIR – уже реальность

Дмитрий Чеботарев, 06/11/24

TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.

Автор: Дмитрий Чеботарев, менеджер по развитию UserGate SIEM

Вопрос обнаружения и реагирования на киберугрозы в условиях постоянно меняющегося ландшафта атак остается актуальной. Одна из ключевых проблем – недостаточная скорость реакции на инциденты. Учитывая, что атаки могут разворачиваться за считанные минуты, промедление даже на несколько часов может привести к значительным последствиям. Исторически для выявления инцидентов используются системы SIEM, но у этого класса есть свои ограничения.

С одной стороны, по мере увеличения объема как угроз, так и данных решениям SIEM все сложнее справляться с масштабами агрегации, анализа, хранения и выдачи данных.

С другой стороны, системы SIEM только выявляют инцидент, ориентируясь на поток событий от источников, но вопросы реагирования приходится решать интеграцией с продуктами других классов.

Эти предпосылки естественным образом подталкивают развитие SIEM в сторону более комплексного решения. Для него Gartner и придумала аббревиатуру TDIR.

Что такое TDIR?

Концептуально TDIR – это процесс выявления, оценки угроз и реагирования на них. Платформы TDIR, которые реализуют эту концепцию, могут использоваться для выявления действий злоумышленников и, главное, оперативно принимать решения о мерах реагирования до того, как инцидент затронул критические части инфраструктуры.

TDIR объединяет в единую систему широкий спектр технологий, процессов и классов решений, включая SIEM, TIP, IRP/SOAR и EDR, обеспечивая комплексный подход к управлению угрозами и инцидентами безопасности.

Создание платформ TDIR с нуля маловероятно из-за сложности разработки и огромных ресурсов, которые требуются для этого. Более вероятен сценарий, когда такие решения будут формироваться через интеграцию отдельных ИБ-продуктов со своей функциональностью в единую экосистему.

По такому пути пошла экосистема UserGate SUMMA. Она как раз и реализует подход к платформам TDIR за счет априорной интегрированности отдельных продуктов UserGate

SIEM – основа решения

Двигатель под капотом TDIR – это, безусловно, SIEM. Вопрос анализа событий и выявления инцидентов попрежнему остается ключевым.

В 2024 г. была представлена система UserGate SIEM, которая реализует классический функционал агрегации, нормализации, обогащения, корреляции событий и выявления инцидентов.

Система предлагает более 300 правил корреляции, разработанных экспертами UserGate и упорядоченных по матрице MITRE ATT&CK, что значительно облегчает их использование и повышает эффективность работы пользователей.

Важным аспектом является возможность отправки инцидентов в ГосСОПКА как в ручном, так и в автоматическом режиме для выполнения требований законодательства.

В том же 2024 г. компанией был запущен собственный SOC на базе продуктов UserGate SUMMA, включая SIEM.

scheme_siem

Важно отметить, что SIEM-система является полностью самостоятельной и может эффективно работать даже в тех инфраструктурах, где отсутствуют другие продукты экосистемы UserGate SUMMA.

EDR – контроль рабочих станций

Рабочие станции – один из наиболее уязвимых компонентов инфраструктуры. В том числе и потому, что именно здесь реализуются векторы атак, связанные с фишингом, да и вообще с человеческим фактором.

Важную роль в защите рабочих станций играет EDR. В экосистеме SUMMA эта функциональность реализована в продукте UserGate Client, который собирает и предоставляет детализированные данные о конечных устройствах, таких как компьютеры, ноутбуки и мобильные устройства. Данные включают информацию об их состоянии, конфигурации, установленных приложениях и активности пользователей. Таким образом строится полная картина информационной безопасности на конечных точках инфраструктуры: с помощью UserGate Client можно отслеживать устройства как внутри корпоративной сети, так и за ее пределами, учитывая современные гибридные и удаленные рабочие среды, где сотрудники могут использовать личные устройства или работать дистанционно. Контроль со стороны UserGate Client помогает убедиться, что устройства соответствуют корпоративным политикам безопасности, независимо от их местоположения.

В рамках концепции XDR (Extended Detection and Response) UserGate Client предоставляет возможности для обнаружения и реагирования на угрозы. Причем угрозы выявляются на самых ранних стадиях, что помогает предотвратить их распространение и минимизировать потенциальный ущерб.

UserGate Client нативно включен в экосистему SUMMA, то есть обеспечена интеграция с другими компонентами безопасности, что позволяет централизованно координировать действия по защите.

TI – управление данными киберразведки

Эффективность TDIR повышается благодаря использованию данных киберразведки. Важным инструментом для этого является функциональность для управления угрозами TI (Threat Intelligence), которая интегрирует информацию о киберугрозах. У UserGate она входит в состав SIEM.

TI играет важную роль в проактивном подходе к кибербезопасности. В отличие от традиционных методов, которые часто фокусируются на реагировании на уже произошедшие атаки, TI позволяет предвосхищать угрозы и принимать меры до того, как они станут трендовыми.

С другой стороны, обогащение данных о инцидентах с помощью TI снижает количество ложных срабатываний и повышает точность детектирования.

Компания UserGate опирается на собственную экспертизу, разработанную на базе Центра мониторинга и реагирования (MRC UG). С самого старта развития экосистемы, начиная еще с NGFW, накопился обширный опыт, который теперь активно используется для совершенствования всей экосистемы и особенно SIEM-системы.

IRP/SOAR для управления инцидентами и автоматизации реагирования

IRP/SOAR является неотъемлемой частью комплексного подхода к кибербезопасности, который предлагает TDIR. В то время как другие компоненты системы, такие как SIEM и TI, фокусируются на обнаружении угроз и управлении данными, IRP/SOAR обеспечивает четкий и скоординированный ответ на инциденты.

Предназначение IRP/SOAR – автоматизация процессов реагирования на ранее выявленные инциденты, а также для оркестрация действий различных систем. Основная цель состоит в том, чтобы упростить и ускорить реагирование на инциденты, минимизируя человеческое вмешательство.

Помимо этого, важной частью IRP/SOAR является создание и использование плейбуков – заранее определенных сценариев действий при различных типах инцидентов, что ускоряет реагирование и снижает риск ошибок.

UserGate SIEM включает в себя функциональность IRP/SOAR и таким образом обеспечивает полное управление жизненным циклом инцидентов – от их обнаружения и классификации до завершения и ретроспективного анализа.

В UserGate SIEM реализован широкий спектр возможностей для реагирования на инциденты прямо из интерфейса. Это можно делать как в автоматическом, так и в ручном режиме, не переключаясь между различными продуктами. Все управление инцидентами происходит в едином окне.

И не только! NGFW – контроль периметра

NGFW выполняет важнейшую функцию защиты периметра сети. Он служит первой линией обороны, фильтруя входящий и исходящий трафик и обеспечивая защиту от широкого спектра угроз.

Но в интеграции с другими компонентами TDIR образуются дополнительные преимущества – защита периметра становится проактивной. По данным, полученным от IRP/SOAR, NGFW может незамедлительно заблокировать выявленный подозрительный трафик до того, как он сможет причинить более ощутимый вред, а также автоматически обновить правила, чтобы исключить новый вектор атаки в будущем.

В качестве сенсора NGFW и сам передает события с подозрительной активностью в SIEM для дальнейшего анализа и выявления инцидентов на основе корреляции событий от других источников. А в самой SIEM можно долгосрочно хранить логи, передаваемые от NGFW.

Заключение

Атаки становятся все более массовыми, а риски для компаний – все более ощутимыми. В качестве решения UserGate предлагает комплексную экосистему SUMMA, которая не просто соответствует стандартам TDIR, но и задает новый уровень в области кибербезопасности.

UserGate SUMMA работает не просто как набор отдельных инструментов – это единая, слаженная система, где NGFW контролирует периметр, IRP/SOAR автоматизирует реагирование, SIEM собирает и анализирует данные, Threat Intelligence поставляет данные киберразведки, а EDR защищает конечные точки.

Каждое из этих решений работает как часть единого механизма, обеспечивая непрерывную защиту от самых сложных угроз и реализуя сценарии оперативного реагирования на инциденты.

Благодаря интеграции экосистемных решений в инфраструктуру облегчается и администрирование – больше не нужно поддерживать зоопарк из решений различных вендоров. Использование продуктов, входящих в экосистему, обеспечивает заказчику единую точку входа для решения любых вопросов клиентской и технической поддержки.

Простота управления и использования системы – еще одно важное преимущество. Сотрудники подразделений информационной безопасности быстро освоят ее, особенно если у них уже есть опыт работы с продуктами UserGate, например NGFW.

Темы:SIEMUserGateUserGate SummaЖурнал "Информационная безопасность" №4, 2024
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Архитектура сетевого доверия UserGate
    Ежегодная конференция UserGate Open Conf 2026 прошла с акцентом на архитектуру сетевого доверия. Причем речь шла не о новой линейке продуктов или очередной маркетинговой концепции – UserGate сформулировала подход к тому, как вообще должна строиться современная инфраструктура безопасности.
  • NGFW, который выдерживает масштаб ЦОД
    Кирилл Прямов, менеджер по развитию NGFW в компании UserGate
    Дата-центр – одна из немногих сред, где сетевые решения довольно быстро проверяются на прочность. То, что спокойно работает на корпоративном периметре, в ЦОД может начать создавать ограничения уже при первых попытках масштабирования инфраструктуры. Поэтому неизбежно возникает вопрос: какой межсетевой экран действительно рассчитан на работу в среде дата-центра, а какой изначально проектировался для совсем других условий.
  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
  • Формула действенного мониторинга и реагирования: SOAR и SIEM на единой платформе
    Максим Ежов, продакт-менеджер R-Vison SOAR
    Давайте посмотрим на ключевые проблемы, связанные с технологиями, процессами и людьми в SOC, а также на то, как их можно решить, используя платформенный подход к обнаружению и реагированию на инциденты.
  • SOC между ОСАГО и КАСКО
    Максим Степченков, совладелец компании RuSIEM
    Разговоры о том, что SOC вот-вот изменится, стали почти привычной частью сообщества информационной безопасности. Кажется, что рынок живет в состоянии постоянного ожидания прорыва: то появится новый инструмент анализа телеметрии, то крупный вендор представит модуль ИИ, то публикуется очередной отчет, обещающий революцию в мониторинге. И каждый раз кажется, что именно теперь все поменяется. Но проходит очередной год, и SOC продолжает работать примерно так же, как и работал.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...