Контакты
Подписка 2026

SIEM – мастхэв в защите организации: разбираем на примере задач

Павел Пугач, 29/09/23

SIEM – мастхэв-инструмент для обнаружения потенциальных угроз. Система полезна крупному бизнесу, субъектам КИИ, операторам ПДн и другим организациям. В некоторых отраслях внедрение SIEM-системы – требование регуляторов. На примере “СёрчИнформ SIEM” расскажем, какие задачи поможет решить внедрение этого класса защитных решений.

Автор: Павел Пугач, системный аналитик “СёрчИнформ”

В условиях беспрецедентного роста кибератак одна из главных задач служб ИБ – выявление событий безопасности в цифровой инфраструктуре. Отслеживать эти события в ручном режиме проблематично, ведь даже в небольшой компании ИТ-инфраструктура генерирует миллионы событий. Поэтому большинству организаций сегодня не обойтись без мощной системы "наблюдения", которая в режиме реального времени будет выявлять подозрительные события, атаки и неполадки в ИТ-инфраструктуре.

Что такое SIEM?

SIEM (Security Information and Event Management) – система для обработки потока событий, выявления ИБ-инцидентов и реагирования на них. SIEMсистемы собирают данные из таких источников в корпоративной сети, как ПК сотрудников, серверы, СХД, маршрутизаторы, роутеры, принтеры – словом, почти с любого оборудования и ПО, установленных в организации.

Логика работы "СёрчИнформ SIEM"

"СёрчИнформ SIEM" аккумулирует информацию из различных источников, анализирует ее, фиксирует подозрительные события, атаки, сбои и оповещает о них ответственных лиц. SIEM постоянно "сканирует" ИТ-инфраструктуру на уязвимости, дыры в защите, риски в безопасности, выявляет эти и подобные им угрозы, чтобы ИБ-специалист мог оперативно на них реагировать.

Сложный механизм работы системы сводится к нескольким действиям простого алгоритма

  1. Сбор информации и событий. По умолчанию в "СёрчИнформ SIEM" доступно больше 30 коннекторов, которые получают информацию из самых распространенных источников данных, от железа до ПО:
    - ОС (Windows, Linux);
    - почтовых серверов (Exchange, Domino); l баз данных (PostgreSQL, MS SQL, Oracle);
    - антивирусов (Kaspersky, McAfee, ESET, Symantec, DrWeb и др.);
    - оборудования (Fortigate, PaloAlto, Cisco и пр.);
    - виртуальных сред (VMware);
    - ПО для бизнеса (DLP, 1C);
    - сканеров уязвимостей (RedCheck);
    - систем физической безопасности (СКУД RusGuard);
    - EventLog, Syslog и др.

    Если же заказчику не хватает предустановленных коннекторов, то в "СёрчИнформ SIEM" есть пользовательский Custom Connector для донастройки системы и подключения дополнительных устройств.
  2. Приведение разнородных данных к общему виду. Для этого в SIEM используются стандартные операторы, при этом система обогащает события недостающей информацией, выделяет значимую информацию о произошедшем в отдельные поля.
  3. Анализ данных и выявление потенциальных угроз. Система делает это автоматически, с помощью встроенных правил корреляции.
  4. Фиксация инцидентов и оповещение в реальном времени. "СёрчИнформ SIEM" оповещает ответственных лиц об инцидентах и дает информацию, необходимую для проведения расследования.

Какие задачи помогает решить "СёрчИнформ SIEM"?

Выявить угрозы информационной безопасности и предупредить о них

Система определяет инциденты в потоке событий благодаря предустановленным правилам корреляции. Администратор SIEM уже на этапе внедрения получит информацию о ситуации в ИТ-инфраструктуре. Встроенное описание поможет определить события, которые действительно являются инцидентами и требуют дополнительного расследования. "СёрчИнформ SIEM" выявит и оповестит о резком скачке количества событий.

События, подходящие под правила корреляции, будут собраны во вкладке "Инциденты" и рассортированы по правилам за выбранный период (вчера, неделю назад). Это поможет ИБ-специалисту удобно и быстро получить информацию и отреагировать на подозрительные активности.

ris1-Sep-29-2023-07-31-11-7747-AM
Рис. 1. Вкладка "Инциденты"

В SIEM от "СёрчИнформ" есть дашборд с редактируемыми виджетами (в системе 12 типов шаблонов). Их можно тонко настроить: выбрать отчетный период, частоту обновлений, источник данных, коннекторы, правила и/или пользователей, по которым система показывает данные, а также вид графического представления (круговая диаграмма, график, гистограмма и т.п.). Благодаря гибким настройкам отчетов, основываясь на имеющихся шаблонах, можно настроить сотни уникальных виджетов для каждой ситуации, требующей отдельного мониторинга. И в итоге ИБспециалист увидит полную картину в удобном для него формате.

ris2-Sep-29-2023-07-31-44-5520-AM
Рис. 2. Дашборд с настраиваемыми виджетами

В 2023 г. в "СёрчИнформ SIEM" появился функционал, который позволяет не только выявлять, но и устранять угрозы, – запуск автоматической реакции на инциденты. ИБ-специалист может прописать сценарий действий, который запустит в SIEM устранение угрозы. Эта возможность встроена прямо в интерфейс системы.

Например, если идет брутфорс (подбор методом перебора) пароля значимой учетной записи (главбуха или директора), SIEM может автоматически запустить скрипт, который осуществит блокировку данной учетной записи, давая время службе ИБ выяснить обстоятельства и принять адекватные меры.

ris3-Sep-29-2023-07-32-14-5593-AM
Рис. 3. Блокирование учетной записи по скрипту

Выполнить требования регуляторов

Есть целый ряд требований регуляторов, которые обязывают организации отслеживать определенные события в ИТ-инфраструктуре. Одно из таких требований – мониторинг входов в учетную запись и распределения прав доступа. "СёрчИнформ SIEM" осуществляет подобный мониторинг в автоматическом режиме, основываясь на готовых (предустановленных, комплектных) правилах корреляции – в системе их встроено около 400.

К таким требованиям относятся, например, технические меры, перечисленные в ГОСТ Р 57580.1–2017. В данном ГОСТе указана необходимость контроля незаблокированных учетных записей, установления фактов неиспользования прав на осуществление логического доступа, регистрация данных о событиях защиты от различных ИС (информационных систем) и пр. Для реализации значимой части списка данных требований "СёрчИнформ SIEM" выступает в качестве основного инструмента, а для многих прочих – в качестве дополнительного.

Кроме того, "СёрчИнформ SIEM" отвечает требованиям регуляторов в части готовности к контролю импортозамещенной инфраструктуры – поддерживает множество отечественных источников, ПО и оборудования.

Из последних обновлений: "СёрчИнформ SIEM" интегрирована в систему с сетевым шлюзом безопасности VipNet от отечественного производителя "ИнфоТекс", а также совместима с промышленным компьютером ELEUM 02.450.2U.R от "РАДИУС IT".

Проводить расследования и составлять отчетность

Таск-менеджер с "СёрчИнформ SIEM" – удобный функционал для расследования инцидентов: специалист по безопасности может координировать процесс, не подключая дополнительные инструменты, такие как Jira, CRM или Сonfluence. Таск-менеджер позволяет отследить жизненный цикл инцидента, объединить в одно расследование несколько событий, назначить ответственных сотрудников ИБ-отдела, а также присвоить статусы хода расследования, добавлять комментарии и подводить итоги. По результатам расследований можно создавать новые правила кросс-корреляции.

Из таск-менеджера "СёрчИнформ SIEM" можно экспортировать отчеты об инцидентах в ГосСОПКА. Это упрощает взаимодействие с регулятором компаниям, которые попадают под действие Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".

ris4-3
Рис. 4. Встроенная форма отчета в НКЦКИ

Контролировать работоспособность оборудования

На одного системного администратора в компании, как правило, может приходиться 20–30 единиц оборудования, которое нуждается в постоянном мониторинге. Важно отслеживать его работоспособность, настройки конфигурации, обновления.

"СёрчИнформ SIEM" позволяет все это мониторить одновременно, а также выявлять значения, выходящие за рамки допустимого. Например, в системе есть готовые правила корреляции, которые помогают заказчику контролировать оборудование Cisco (отказ системы охлаждения, ошибки питания, ошибки маршрутизации, изменение конфигурации).

В "СёрчИнформ SIEM" встроен сканер сети, который визуализирует ИТ-инфраструктуру – компьютеры, роутеры, свитчи, принтеры и прочее оборудование. С его помощью администратор системы без труда обнаружит открытые порты и отследит попытки нелегитимного подключения новых устройств. Сканер использует данные из девяти баз уязвимостей, включая базу ФСТЭК России, и выдает информацию по актуальным угрозам, связанным с каждым элементом корпоративной сети.

ris5-3
Рис. 5. Сканер сети в «СёрчИнформ SIEM»

В "СёрчИнформ SIEM" реализован мониторинг работоспособности ПО. К примеру, многие компании возлагают большие надежды на антивирусную защиту, особенно когда необходимо снизить риски механических утечек из-за вирусов и т.п. SIEM оповещает, если антивирусная защита отключена, и таким образом снижает риски ИБ.

Попробуйте "СёрчИнформ SIEM" бесплатно: вендор предоставит ПО без ограничений по пользователям и функциональности на 30 дней.

Попробуйте «СёрчИнформ SIEM» бесплатно: вендор предоставит ПО без ограничений по пользователям и функциональности на 30 дней.

 

Темы:SearchInformSIEMГосСОПКАЖурнал "Информационная безопасность" №4, 2023
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
  • Формула действенного мониторинга и реагирования: SOAR и SIEM на единой платформе
    Максим Ежов, продакт-менеджер R-Vison SOAR
    Давайте посмотрим на ключевые проблемы, связанные с технологиями, процессами и людьми в SOC, а также на то, как их можно решить, используя платформенный подход к обнаружению и реагированию на инциденты.
  • SOC между ОСАГО и КАСКО
    Максим Степченков, совладелец компании RuSIEM
    Разговоры о том, что SOC вот-вот изменится, стали почти привычной частью сообщества информационной безопасности. Кажется, что рынок живет в состоянии постоянного ожидания прорыва: то появится новый инструмент анализа телеметрии, то крупный вендор представит модуль ИИ, то публикуется очередной отчет, обещающий революцию в мониторинге. И каждый раз кажется, что именно теперь все поменяется. Но проходит очередной год, и SOC продолжает работать примерно так же, как и работал.
  • Какая SIEM подойдет небольшой компании?
    Павел Пугач, системный аналитик “СёрчИнформ”
    Автоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удовольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье.
  • Могут ли ИБ- и ИТ-аудиторы использовать SIEM для аудита и контроля комплаенса?
    Илья Одинцов, менеджер по продукту NGR Softlab
    Аудит ИТ- и ИБ-систем – важнейшая задача, от которой во многом зависит информационная безопасность компаний. Нередко к процессу аудита относятся формально, используя устаревшие подходы и инструменты, что приводит к плачевным последствиям. Сделать проверку качественной, а не для галочки, можно с помощью SIEM, которая по своей природе является идеальной платформой для помощи аудиторам.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...