Контакты
Подписка 2026

RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура

Даниил Вылегжанин, 05/11/24

Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.

Автор: Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM

Отечественная SIEM-система с уникальной микросервисной архитектурой

Вначале немного расскажу о самом продукте и его архитектуре. Как правило, схемы работы SIEM-систем строятся по схожему принципу:

  • сперва события собираются из источников в единую платформу;
  • затем происходит нормализация, то есть приведение к единому виду;
  • далее следуют процессы обогащения, корреляции и сохранения событий в базе данных.

Однако, если в большинстве решений все этапы обработки событий происходят в рамках единого монолитного компонента, то архитектура системы RuSIEM предполагает вынесение каждого из этапов в отдельный микросервис.

Микросервисы представляют собой полностью самостоятельные сущности, каждой из которых можно управлять независимо от других: обновлять, перезапускать, останавливать и возобновлять работу без необходимости перезапуска всей системы.

На каждом микросервисе располагается собственный мастер очереди, который обеспечивает гарантированную доставку событий в систему в случаях недоступности одного или даже нескольких микросервисов одновременно, например, при их обслуживании или масштабировании.

Если микросервис становится недоступен, события будут накапливаться в локальном мастере очереди. А как только микросервис вновь станет доступен, события из очереди передадутся ему на обработку, при этом очередь полностью разберётся, сохраняя весь контекст инцидента. Благодаря этим архитектурным особенностям RuSIEM можно масштабировать и обслуживать "на горячую", то есть без необходимости остановки сбора событий.

Что нового добавилось в 2024 году?

В начале 2024 г. разработчики RuSIEM выпустили крупное обновление флагманского продукта, в рамках которого полностью переработали веб-интерфейс системы.

Новая панель мониторинга

В RuSIEM появилась новая панель мониторинга с гибко настраиваемыми виджетами (см. рис. 1).

ris1-Nov-05-2024-09-08-17-5910-AMРис. 1. Обновленная панель мониторинга в RuSIEM

Обновился раздел "Источники", в котором можно получить информацию об источниках, присылающих события в систему. Например, можно узнать, какие продукты на источнике направляют события в SIEM, и какие парсеры используются для нормализации событий с того или иного продукта (см. рис. 2).

 

ris2-Nov-05-2024-09-09-43-8034-AMРис. 2. Работа с источниками в RuSIEM

Добавились новые метрики мониторинга системы. Помимо отслеживания состояния каждого микросервиса, стал доступен мониторинг нагрузки на систему: использование RAM, заполненность дискового пространства и загрузка процессоров. Причем эту информацию можно получить не только для головной ноды, но и для всех подчиненных в режиме мультитенантности. Из единого окна головной ноды также можно определить нагрузку на все подчиненные и при необходимости оперативно отреагировать на недостаток ресурсов на нодах, расположенных в филиалах предприятия.

Корреляция

Переработан раздел корреляции. Теперь при создании нового правила этапы описания логики выявления инцидента разбиты на логические разделы (см. рис. 3.).

ris3-Nov-05-2024-09-14-18-5331-AMРис. 3. Обновленный раздел корреляции в RuSIEM

Основные настройки инцидента

В разделе "Основные настройки" можно определить ключевые параметры для выявляемого инцидента: наименование, категорию, критичность и описание. Здесь же можно ограничить работу конкретного правила корреляции таким образом, чтобы оно отрабатывало сразу для всех поступающих в систему событий либо только для событий, поступающих по определенному транспорту, от источника конкретного производителя или даже от отдельно взятого продукта. Таким образом, правила корреляции будут работать только с теми событиями, которые подходят под логику их срабатывания, не нагружая систему бесполезными операциями.

Условия срабатывания

На вкладке "Условия срабатывания" определяется ключевая логика, по которой инцидент будет выявляться в автоматическом режиме. В этом разделе разработчики оставили понятный и полюбившийся многим заказчикам графический конструктор, с помощью которого можно создать новое правило корреляции всего за несколько минут без знания языков программирования. Подход No-code помогает снизить избыточные требования к операторам SIEM, позволяя сфокусироваться на логике создаваемых правил в наглядном виде.

Симптоматика

Для упрощения написания правил корреляции можно использовать симптомы – понятные русскоязычные описания, позволяющие проще и быстрее идентифицировать события в потоке.

Теперь нет необходимости писать паттерны текста событий в правилах корреляции. К примеру, существует целая категория симптомов "Неуспешный вход ssh": это могут быть события от Ubuntu, SunOS, Red Hat, SUSE, FreeBSD. А далее в RuSIEM можно оперировать фактом "неуспешного входа по ssh" в правилах для обнаружения неуспешных попыток доступа для критичных активов, служебных учетных записей, многочисленных распределенных по времени атак и т.п. (см. рис. 4).

ris4-Nov-05-2024-09-15-18-6965-AMРис. 4. Использование симптомов в RuSIEM

С симптоматикой достаточно сделать один или целую группу симптомов, характеризующих эти действия или воздействия, и уже к ним привязывать паттерны в зависимости от различных источников с разными форматами событий.

Использование симптомов и категорий в правилах корреляции позволяет сделать более универсальными и понятными. При этом при подключении к системе совершенно нового источника достаточно добавить новые условия в симптомы. События от нового источника начнут тегироваться данными симптомами, и старые правила корреляции будут работать с новым потоком событий.

В заключение

В 2024 г. в SIEM-систему RuSIEM было добавлено более 40 правил корреляций, 30 поддерживаемых источников событий и 15 новых возможностей. С более подробной информацией можно ознакомиться в разделе "История обновлений" [1] на нашем корпоративном сайте или по электронной почте info@rusiem.com.


  1. https://rusiem.com/ru/products/release_notes 
Темы:SIEMRuSIEmЖурнал "Информационная безопасность" №4, 2024
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
  • Формула действенного мониторинга и реагирования: SOAR и SIEM на единой платформе
    Максим Ежов, продакт-менеджер R-Vison SOAR
    Давайте посмотрим на ключевые проблемы, связанные с технологиями, процессами и людьми в SOC, а также на то, как их можно решить, используя платформенный подход к обнаружению и реагированию на инциденты.
  • SOC между ОСАГО и КАСКО
    Максим Степченков, совладелец компании RuSIEM
    Разговоры о том, что SOC вот-вот изменится, стали почти привычной частью сообщества информационной безопасности. Кажется, что рынок живет в состоянии постоянного ожидания прорыва: то появится новый инструмент анализа телеметрии, то крупный вендор представит модуль ИИ, то публикуется очередной отчет, обещающий революцию в мониторинге. И каждый раз кажется, что именно теперь все поменяется. Но проходит очередной год, и SOC продолжает работать примерно так же, как и работал.
  • Какая SIEM подойдет небольшой компании?
    Павел Пугач, системный аналитик “СёрчИнформ”
    Автоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удовольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье.
  • Могут ли ИБ- и ИТ-аудиторы использовать SIEM для аудита и контроля комплаенса?
    Илья Одинцов, менеджер по продукту NGR Softlab
    Аудит ИТ- и ИБ-систем – важнейшая задача, от которой во многом зависит информационная безопасность компаний. Нередко к процессу аудита относятся формально, используя устаревшие подходы и инструменты, что приводит к плачевным последствиям. Сделать проверку качественной, а не для галочки, можно с помощью SIEM, которая по своей природе является идеальной платформой для помощи аудиторам.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...