Контакты
Подписка 2025
Статьи по информационной безопасности

SIEM – мастхэв в защите организации: разбираем на примере задач

Павел Пугач, 29/09/23

SIEM – мастхэв-инструмент для обнаружения потенциальных угроз. Система полезна крупному бизнесу, субъектам КИИ, операторам ПДн и другим организациям. В некоторых отраслях внедрение SIEM-системы – требование регуляторов. На примере “СёрчИнформ SIEM” расскажем, какие задачи поможет решить внедрение этого класса защитных решений.

Автор: Павел Пугач, системный аналитик “СёрчИнформ”

В условиях беспрецедентного роста кибератак одна из главных задач служб ИБ – выявление событий безопасности в цифровой инфраструктуре. Отслеживать эти события в ручном режиме проблематично, ведь даже в небольшой компании ИТ-инфраструктура генерирует миллионы событий. Поэтому большинству организаций сегодня не обойтись без мощной системы "наблюдения", которая в режиме реального времени будет выявлять подозрительные события, атаки и неполадки в ИТ-инфраструктуре.

Что такое SIEM?

SIEM (Security Information and Event Management) – система для обработки потока событий, выявления ИБ-инцидентов и реагирования на них. SIEMсистемы собирают данные из таких источников в корпоративной сети, как ПК сотрудников, серверы, СХД, маршрутизаторы, роутеры, принтеры – словом, почти с любого оборудования и ПО, установленных в организации.

Логика работы "СёрчИнформ SIEM"

"СёрчИнформ SIEM" аккумулирует информацию из различных источников, анализирует ее, фиксирует подозрительные события, атаки, сбои и оповещает о них ответственных лиц. SIEM постоянно "сканирует" ИТ-инфраструктуру на уязвимости, дыры в защите, риски в безопасности, выявляет эти и подобные им угрозы, чтобы ИБ-специалист мог оперативно на них реагировать.

Сложный механизм работы системы сводится к нескольким действиям простого алгоритма

  1. Сбор информации и событий. По умолчанию в "СёрчИнформ SIEM" доступно больше 30 коннекторов, которые получают информацию из самых распространенных источников данных, от железа до ПО:
    - ОС (Windows, Linux);
    - почтовых серверов (Exchange, Domino); l баз данных (PostgreSQL, MS SQL, Oracle);
    - антивирусов (Kaspersky, McAfee, ESET, Symantec, DrWeb и др.);
    - оборудования (Fortigate, PaloAlto, Cisco и пр.);
    - виртуальных сред (VMware);
    - ПО для бизнеса (DLP, 1C);
    - сканеров уязвимостей (RedCheck);
    - систем физической безопасности (СКУД RusGuard);
    - EventLog, Syslog и др.

    Если же заказчику не хватает предустановленных коннекторов, то в "СёрчИнформ SIEM" есть пользовательский Custom Connector для донастройки системы и подключения дополнительных устройств.
  2. Приведение разнородных данных к общему виду. Для этого в SIEM используются стандартные операторы, при этом система обогащает события недостающей информацией, выделяет значимую информацию о произошедшем в отдельные поля.
  3. Анализ данных и выявление потенциальных угроз. Система делает это автоматически, с помощью встроенных правил корреляции.
  4. Фиксация инцидентов и оповещение в реальном времени. "СёрчИнформ SIEM" оповещает ответственных лиц об инцидентах и дает информацию, необходимую для проведения расследования.

Какие задачи помогает решить "СёрчИнформ SIEM"?

Выявить угрозы информационной безопасности и предупредить о них

Система определяет инциденты в потоке событий благодаря предустановленным правилам корреляции. Администратор SIEM уже на этапе внедрения получит информацию о ситуации в ИТ-инфраструктуре. Встроенное описание поможет определить события, которые действительно являются инцидентами и требуют дополнительного расследования. "СёрчИнформ SIEM" выявит и оповестит о резком скачке количества событий.

События, подходящие под правила корреляции, будут собраны во вкладке "Инциденты" и рассортированы по правилам за выбранный период (вчера, неделю назад). Это поможет ИБ-специалисту удобно и быстро получить информацию и отреагировать на подозрительные активности.

ris1-Sep-29-2023-07-31-11-7747-AM
Рис. 1. Вкладка "Инциденты"

В SIEM от "СёрчИнформ" есть дашборд с редактируемыми виджетами (в системе 12 типов шаблонов). Их можно тонко настроить: выбрать отчетный период, частоту обновлений, источник данных, коннекторы, правила и/или пользователей, по которым система показывает данные, а также вид графического представления (круговая диаграмма, график, гистограмма и т.п.). Благодаря гибким настройкам отчетов, основываясь на имеющихся шаблонах, можно настроить сотни уникальных виджетов для каждой ситуации, требующей отдельного мониторинга. И в итоге ИБспециалист увидит полную картину в удобном для него формате.

ris2-Sep-29-2023-07-31-44-5520-AM
Рис. 2. Дашборд с настраиваемыми виджетами

В 2023 г. в "СёрчИнформ SIEM" появился функционал, который позволяет не только выявлять, но и устранять угрозы, – запуск автоматической реакции на инциденты. ИБ-специалист может прописать сценарий действий, который запустит в SIEM устранение угрозы. Эта возможность встроена прямо в интерфейс системы.

Например, если идет брутфорс (подбор методом перебора) пароля значимой учетной записи (главбуха или директора), SIEM может автоматически запустить скрипт, который осуществит блокировку данной учетной записи, давая время службе ИБ выяснить обстоятельства и принять адекватные меры.

ris3-Sep-29-2023-07-32-14-5593-AM
Рис. 3. Блокирование учетной записи по скрипту

Выполнить требования регуляторов

Есть целый ряд требований регуляторов, которые обязывают организации отслеживать определенные события в ИТ-инфраструктуре. Одно из таких требований – мониторинг входов в учетную запись и распределения прав доступа. "СёрчИнформ SIEM" осуществляет подобный мониторинг в автоматическом режиме, основываясь на готовых (предустановленных, комплектных) правилах корреляции – в системе их встроено около 400.

К таким требованиям относятся, например, технические меры, перечисленные в ГОСТ Р 57580.1–2017. В данном ГОСТе указана необходимость контроля незаблокированных учетных записей, установления фактов неиспользования прав на осуществление логического доступа, регистрация данных о событиях защиты от различных ИС (информационных систем) и пр. Для реализации значимой части списка данных требований "СёрчИнформ SIEM" выступает в качестве основного инструмента, а для многих прочих – в качестве дополнительного.

Кроме того, "СёрчИнформ SIEM" отвечает требованиям регуляторов в части готовности к контролю импортозамещенной инфраструктуры – поддерживает множество отечественных источников, ПО и оборудования.

Из последних обновлений: "СёрчИнформ SIEM" интегрирована в систему с сетевым шлюзом безопасности VipNet от отечественного производителя "ИнфоТекс", а также совместима с промышленным компьютером ELEUM 02.450.2U.R от "РАДИУС IT".

Проводить расследования и составлять отчетность

Таск-менеджер с "СёрчИнформ SIEM" – удобный функционал для расследования инцидентов: специалист по безопасности может координировать процесс, не подключая дополнительные инструменты, такие как Jira, CRM или Сonfluence. Таск-менеджер позволяет отследить жизненный цикл инцидента, объединить в одно расследование несколько событий, назначить ответственных сотрудников ИБ-отдела, а также присвоить статусы хода расследования, добавлять комментарии и подводить итоги. По результатам расследований можно создавать новые правила кросс-корреляции.

Из таск-менеджера "СёрчИнформ SIEM" можно экспортировать отчеты об инцидентах в ГосСОПКА. Это упрощает взаимодействие с регулятором компаниям, которые попадают под действие Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".

ris4-3
Рис. 4. Встроенная форма отчета в НКЦКИ

Контролировать работоспособность оборудования

На одного системного администратора в компании, как правило, может приходиться 20–30 единиц оборудования, которое нуждается в постоянном мониторинге. Важно отслеживать его работоспособность, настройки конфигурации, обновления.

"СёрчИнформ SIEM" позволяет все это мониторить одновременно, а также выявлять значения, выходящие за рамки допустимого. Например, в системе есть готовые правила корреляции, которые помогают заказчику контролировать оборудование Cisco (отказ системы охлаждения, ошибки питания, ошибки маршрутизации, изменение конфигурации).

В "СёрчИнформ SIEM" встроен сканер сети, который визуализирует ИТ-инфраструктуру – компьютеры, роутеры, свитчи, принтеры и прочее оборудование. С его помощью администратор системы без труда обнаружит открытые порты и отследит попытки нелегитимного подключения новых устройств. Сканер использует данные из девяти баз уязвимостей, включая базу ФСТЭК России, и выдает информацию по актуальным угрозам, связанным с каждым элементом корпоративной сети.

ris5-3
Рис. 5. Сканер сети в «СёрчИнформ SIEM»

В "СёрчИнформ SIEM" реализован мониторинг работоспособности ПО. К примеру, многие компании возлагают большие надежды на антивирусную защиту, особенно когда необходимо снизить риски механических утечек из-за вирусов и т.п. SIEM оповещает, если антивирусная защита отключена, и таким образом снижает риски ИБ.

Попробуйте "СёрчИнформ SIEM" бесплатно: вендор предоставит ПО без ограничений по пользователям и функциональности на 30 дней.

Попробуйте «СёрчИнформ SIEM» бесплатно: вендор предоставит ПО без ограничений по пользователям и функциональности на 30 дней.

 
Темы:SearchInformSIEMГосСОПКАЖурнал "Информационная безопасность" №4, 2023
ТБ Форум 2026
Только на ТБ Форуме. Планы регуляторов на 2026, практика ИБ: СЗИ, КИИ, РБПО, сертификация, аттестация
Формируем ландшафт российской ИБ: регистрируйтесь →

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Статьи по той же темеСтатьи по той же теме

  • Какая SIEM подойдет небольшой компании?
    Павел Пугач, системный аналитик “СёрчИнформ”
    Автоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удовольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье.
  • Могут ли ИБ- и ИТ-аудиторы использовать SIEM для аудита и контроля комплаенса?
    Илья Одинцов, менеджер по продукту NGR Softlab
    Аудит ИТ- и ИБ-систем – важнейшая задача, от которой во многом зависит информационная безопасность компаний. Нередко к процессу аудита относятся формально, используя устаревшие подходы и инструменты, что приводит к плачевным последствиям. Сделать проверку качественной, а не для галочки, можно с помощью SIEM, которая по своей природе является идеальной платформой для помощи аудиторам.
  • Прожектор перестройки SIEM
    SIEM похож на прожектор: он может выхватывать из темноты важные детали, а может ослепить тех, кто стоит у пульта управления. Один из главных вызовов для информационной безопасности сегодня – заглянуть в будущее и понять, какую реальную роль в нем должен играть SIEM. Именно из этого понимания выстраивается и его место в архитектуре безопасности здесь и сейчас. Чтобы наметить контуры этого будущего, мы попросили экспертов поделиться своим видением и опытом.
  • Чек-лист: как выбрать результативный SIEM
    Олег Хныков, руководитель группы продуктового маркетинга по инфраструктурной и сетевой безопасности, Positive Technologies
    Как может выглядеть один день из жизни аналитика SOC? Экран завален сотнями событий ИБ, мигают новые алерты, очередные срабатывания правил корреляций. В голове одна мысль: где-то прямо сейчас злоумышленник движется по инфраструктуре, а ты его не видишь, – в этой лавине даже опытный аналитик может пропустить главное.
  • Когда свой – чужой: как вычислить злоумышленника под легитимной учеткой
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    Злоумышленники, использующие легитимные учетные записи – ключевая угроза сегодня для корпоративной инфраструктуры. Если атаки через вредоносный трафик может обнаружить система IDS, а вирусное ПО – антивирус, то действия хакера под видом обычного сотрудника выявить гораздо сложнее. Здесь на помощь приходит SIEM.
  • SIEM и приказ № 117: что изменится и что делать?
    Максим Степченков, совладелец компании RuSIEM
    Приказ № 117 ФСТЭК России вновь вывел в центр внимания тему информационной безопасности вообще и SIEM в частности. Он не стал революцией, но именно такие документы задают рамки и скорость развития рынка. Для крупных компаний это скорее уточнение правил игры, а, например, для муниципальных структур – серьезный повод для пересмотра подхода к информационной безопасности. Ведь теперь SIEM становится не просто желательным инструментом, а обязательным элементом инфраструктуры. Возникает главный вопрос: как внедрить решение, если денег и специалистов не хватает, а сроки уже определены?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум 2026
На ТБ Форуме 2026: СЗИ, РБПО, КИИ, сертификация
Регистрация открыта →

More...
ТБ Форум 2026
Безопасность АСУ ТП и КИИ на ТБ Форуме 2026
Регистрация открыта →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных