Контакты
Подписка 2025

RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура

Даниил Вылегжанин, 05/11/24

Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.

Автор: Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM

Отечественная SIEM-система с уникальной микросервисной архитектурой

Вначале немного расскажу о самом продукте и его архитектуре. Как правило, схемы работы SIEM-систем строятся по схожему принципу:

  • сперва события собираются из источников в единую платформу;
  • затем происходит нормализация, то есть приведение к единому виду;
  • далее следуют процессы обогащения, корреляции и сохранения событий в базе данных.

Однако, если в большинстве решений все этапы обработки событий происходят в рамках единого монолитного компонента, то архитектура системы RuSIEM предполагает вынесение каждого из этапов в отдельный микросервис.

Микросервисы представляют собой полностью самостоятельные сущности, каждой из которых можно управлять независимо от других: обновлять, перезапускать, останавливать и возобновлять работу без необходимости перезапуска всей системы.

На каждом микросервисе располагается собственный мастер очереди, который обеспечивает гарантированную доставку событий в систему в случаях недоступности одного или даже нескольких микросервисов одновременно, например, при их обслуживании или масштабировании.

Если микросервис становится недоступен, события будут накапливаться в локальном мастере очереди. А как только микросервис вновь станет доступен, события из очереди передадутся ему на обработку, при этом очередь полностью разберётся, сохраняя весь контекст инцидента. Благодаря этим архитектурным особенностям RuSIEM можно масштабировать и обслуживать "на горячую", то есть без необходимости остановки сбора событий.

Что нового добавилось в 2024 году?

В начале 2024 г. разработчики RuSIEM выпустили крупное обновление флагманского продукта, в рамках которого полностью переработали веб-интерфейс системы.

Новая панель мониторинга

В RuSIEM появилась новая панель мониторинга с гибко настраиваемыми виджетами (см. рис. 1).

ris1-Nov-05-2024-09-08-17-5910-AMРис. 1. Обновленная панель мониторинга в RuSIEM

Обновился раздел "Источники", в котором можно получить информацию об источниках, присылающих события в систему. Например, можно узнать, какие продукты на источнике направляют события в SIEM, и какие парсеры используются для нормализации событий с того или иного продукта (см. рис. 2).

 

ris2-Nov-05-2024-09-09-43-8034-AMРис. 2. Работа с источниками в RuSIEM

Добавились новые метрики мониторинга системы. Помимо отслеживания состояния каждого микросервиса, стал доступен мониторинг нагрузки на систему: использование RAM, заполненность дискового пространства и загрузка процессоров. Причем эту информацию можно получить не только для головной ноды, но и для всех подчиненных в режиме мультитенантности. Из единого окна головной ноды также можно определить нагрузку на все подчиненные и при необходимости оперативно отреагировать на недостаток ресурсов на нодах, расположенных в филиалах предприятия.

Корреляция

Переработан раздел корреляции. Теперь при создании нового правила этапы описания логики выявления инцидента разбиты на логические разделы (см. рис. 3.).

ris3-Nov-05-2024-09-14-18-5331-AMРис. 3. Обновленный раздел корреляции в RuSIEM

Основные настройки инцидента

В разделе "Основные настройки" можно определить ключевые параметры для выявляемого инцидента: наименование, категорию, критичность и описание. Здесь же можно ограничить работу конкретного правила корреляции таким образом, чтобы оно отрабатывало сразу для всех поступающих в систему событий либо только для событий, поступающих по определенному транспорту, от источника конкретного производителя или даже от отдельно взятого продукта. Таким образом, правила корреляции будут работать только с теми событиями, которые подходят под логику их срабатывания, не нагружая систему бесполезными операциями.

Условия срабатывания

На вкладке "Условия срабатывания" определяется ключевая логика, по которой инцидент будет выявляться в автоматическом режиме. В этом разделе разработчики оставили понятный и полюбившийся многим заказчикам графический конструктор, с помощью которого можно создать новое правило корреляции всего за несколько минут без знания языков программирования. Подход No-code помогает снизить избыточные требования к операторам SIEM, позволяя сфокусироваться на логике создаваемых правил в наглядном виде.

Симптоматика

Для упрощения написания правил корреляции можно использовать симптомы – понятные русскоязычные описания, позволяющие проще и быстрее идентифицировать события в потоке.

Теперь нет необходимости писать паттерны текста событий в правилах корреляции. К примеру, существует целая категория симптомов "Неуспешный вход ssh": это могут быть события от Ubuntu, SunOS, Red Hat, SUSE, FreeBSD. А далее в RuSIEM можно оперировать фактом "неуспешного входа по ssh" в правилах для обнаружения неуспешных попыток доступа для критичных активов, служебных учетных записей, многочисленных распределенных по времени атак и т.п. (см. рис. 4).

ris4-Nov-05-2024-09-15-18-6965-AMРис. 4. Использование симптомов в RuSIEM

С симптоматикой достаточно сделать один или целую группу симптомов, характеризующих эти действия или воздействия, и уже к ним привязывать паттерны в зависимости от различных источников с разными форматами событий.

Использование симптомов и категорий в правилах корреляции позволяет сделать более универсальными и понятными. При этом при подключении к системе совершенно нового источника достаточно добавить новые условия в симптомы. События от нового источника начнут тегироваться данными симптомами, и старые правила корреляции будут работать с новым потоком событий.

В заключение

В 2024 г. в SIEM-систему RuSIEM было добавлено более 40 правил корреляций, 30 поддерживаемых источников событий и 15 новых возможностей. С более подробной информацией можно ознакомиться в разделе "История обновлений" [1] на нашем корпоративном сайте или по электронной почте info@rusiem.com.


  1. https://rusiem.com/ru/products/release_notes 
Темы:SIEMRuSIEmЖурнал "Информационная безопасность" №4, 2024

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • От NG SIEM к платформам
    Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab
    Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.
  • Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS
    Вадим Порошин, руководитель отдела поддержки продаж Пангео Радар
    Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.
  • Зачем SIEM-системе машинное обучение: реальные сценарии использования
    Почему хорошая SIEM не может обойтись без машинного обучения? Какие модели уже применяются в реальных продуктах? И что ждет этот симбиоз в будущем?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...