Контакты
Подписка 2025

RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура

Даниил Вылегжанин, 05/11/24

Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.

Автор: Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM

Отечественная SIEM-система с уникальной микросервисной архитектурой

Вначале немного расскажу о самом продукте и его архитектуре. Как правило, схемы работы SIEM-систем строятся по схожему принципу:

  • сперва события собираются из источников в единую платформу;
  • затем происходит нормализация, то есть приведение к единому виду;
  • далее следуют процессы обогащения, корреляции и сохранения событий в базе данных.

Однако, если в большинстве решений все этапы обработки событий происходят в рамках единого монолитного компонента, то архитектура системы RuSIEM предполагает вынесение каждого из этапов в отдельный микросервис.

Микросервисы представляют собой полностью самостоятельные сущности, каждой из которых можно управлять независимо от других: обновлять, перезапускать, останавливать и возобновлять работу без необходимости перезапуска всей системы.

На каждом микросервисе располагается собственный мастер очереди, который обеспечивает гарантированную доставку событий в систему в случаях недоступности одного или даже нескольких микросервисов одновременно, например, при их обслуживании или масштабировании.

Если микросервис становится недоступен, события будут накапливаться в локальном мастере очереди. А как только микросервис вновь станет доступен, события из очереди передадутся ему на обработку, при этом очередь полностью разберётся, сохраняя весь контекст инцидента. Благодаря этим архитектурным особенностям RuSIEM можно масштабировать и обслуживать "на горячую", то есть без необходимости остановки сбора событий.

Что нового добавилось в 2024 году?

В начале 2024 г. разработчики RuSIEM выпустили крупное обновление флагманского продукта, в рамках которого полностью переработали веб-интерфейс системы.

Новая панель мониторинга

В RuSIEM появилась новая панель мониторинга с гибко настраиваемыми виджетами (см. рис. 1).

ris1-Nov-05-2024-09-08-17-5910-AMРис. 1. Обновленная панель мониторинга в RuSIEM

Обновился раздел "Источники", в котором можно получить информацию об источниках, присылающих события в систему. Например, можно узнать, какие продукты на источнике направляют события в SIEM, и какие парсеры используются для нормализации событий с того или иного продукта (см. рис. 2).

 

ris2-Nov-05-2024-09-09-43-8034-AMРис. 2. Работа с источниками в RuSIEM

Добавились новые метрики мониторинга системы. Помимо отслеживания состояния каждого микросервиса, стал доступен мониторинг нагрузки на систему: использование RAM, заполненность дискового пространства и загрузка процессоров. Причем эту информацию можно получить не только для головной ноды, но и для всех подчиненных в режиме мультитенантности. Из единого окна головной ноды также можно определить нагрузку на все подчиненные и при необходимости оперативно отреагировать на недостаток ресурсов на нодах, расположенных в филиалах предприятия.

Корреляция

Переработан раздел корреляции. Теперь при создании нового правила этапы описания логики выявления инцидента разбиты на логические разделы (см. рис. 3.).

ris3-Nov-05-2024-09-14-18-5331-AMРис. 3. Обновленный раздел корреляции в RuSIEM

Основные настройки инцидента

В разделе "Основные настройки" можно определить ключевые параметры для выявляемого инцидента: наименование, категорию, критичность и описание. Здесь же можно ограничить работу конкретного правила корреляции таким образом, чтобы оно отрабатывало сразу для всех поступающих в систему событий либо только для событий, поступающих по определенному транспорту, от источника конкретного производителя или даже от отдельно взятого продукта. Таким образом, правила корреляции будут работать только с теми событиями, которые подходят под логику их срабатывания, не нагружая систему бесполезными операциями.

Условия срабатывания

На вкладке "Условия срабатывания" определяется ключевая логика, по которой инцидент будет выявляться в автоматическом режиме. В этом разделе разработчики оставили понятный и полюбившийся многим заказчикам графический конструктор, с помощью которого можно создать новое правило корреляции всего за несколько минут без знания языков программирования. Подход No-code помогает снизить избыточные требования к операторам SIEM, позволяя сфокусироваться на логике создаваемых правил в наглядном виде.

Симптоматика

Для упрощения написания правил корреляции можно использовать симптомы – понятные русскоязычные описания, позволяющие проще и быстрее идентифицировать события в потоке.

Теперь нет необходимости писать паттерны текста событий в правилах корреляции. К примеру, существует целая категория симптомов "Неуспешный вход ssh": это могут быть события от Ubuntu, SunOS, Red Hat, SUSE, FreeBSD. А далее в RuSIEM можно оперировать фактом "неуспешного входа по ssh" в правилах для обнаружения неуспешных попыток доступа для критичных активов, служебных учетных записей, многочисленных распределенных по времени атак и т.п. (см. рис. 4).

ris4-Nov-05-2024-09-15-18-6965-AMРис. 4. Использование симптомов в RuSIEM

С симптоматикой достаточно сделать один или целую группу симптомов, характеризующих эти действия или воздействия, и уже к ним привязывать паттерны в зависимости от различных источников с разными форматами событий.

Использование симптомов и категорий в правилах корреляции позволяет сделать более универсальными и понятными. При этом при подключении к системе совершенно нового источника достаточно добавить новые условия в симптомы. События от нового источника начнут тегироваться данными симптомами, и старые правила корреляции будут работать с новым потоком событий.

В заключение

В 2024 г. в SIEM-систему RuSIEM было добавлено более 40 правил корреляций, 30 поддерживаемых источников событий и 15 новых возможностей. С более подробной информацией можно ознакомиться в разделе "История обновлений" [1] на нашем корпоративном сайте или по электронной почте info@rusiem.com.


  1. https://rusiem.com/ru/products/release_notes 
Темы:SIEMRuSIEmЖурнал "Информационная безопасность" №4, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.
  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...