Контакты
Подписка 2025
Статьи по информационной безопасности

Какая SIEM подойдет небольшой компании?

Павел Пугач, 19/11/25

Автоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удовольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье.

Автор: Павел Пугач, системный аналитик “СёрчИнформ”

Задачи по обеспечению информационной безопасности стоят перед компаниями разного размера: у всех есть оборудование и ПО, которое может выйти из строя или подвергнуться атаке, что поставит бизнес под угрозу. ИТ-инфраструктура требует контроля, обеспечить его можно с помощью систем класса SIEM. Они в реальном времени собирают данные из всех источников в периметре, отображая их в одном окне, для оперативного устранения возникшей проблемы.

Почему именно SIEM?

Разберемся, чем SIEM так незаменимы. На первый взгляд, их задачи довольно просты:

  • Собрать данные. Для этого SIEM задействуют коннекторы к оборудованию, ПО и средствам защиты, получают по ним информацию о состоянии и событиях на источнике в реальном времени.
  • Выделить события безопасности. SIEM выделяют в потоке данных те, что касаются безопасности. Внутри систем это называется правилами корреляции, а по сути – это фильтры, которые помогают системе сфокусироваться на потенциальных угрозах.
  • Обнаружить инциденты. Среди ИБ-событий системе нужно определить штатные и нештатные, например отличить разовую ошибку пользователя при вводе пароля от настоящей попытки взлома. Кроме того, SIEM должны вынести вердикт об инциденте, если разные штатные события в инфраструктуре вместе выглядят подозрительно. За это отвечает кросс-корреляция.

За всем этим стоит обработка больших массивов информации и сложная аналитика, которые требуют большой вычислительной нагрузки и тонкой настройки, вплоть до самостоятельного написания алгоритмов обработки данных. Именно эти сложности часто становятся барьером для закупки SIEM в МСБ.

Для решения каждой задачи у SIEM есть доступные с виду альтернативы. Например, вычитку данных от источников доверяют лог-менеджерам. Они не приоритизируют события с точки зрения потенциальной опасности, зато сводят логи "в одно окно". С другой стороны, есть сканеры уязвимостей, которые указывают на потенциальные опасности, но фокусируются на состоянии инфраструктуры, а не на происходящем в ней, то есть не отслеживают реальную динамическую картину.

Что до выявления угроз, то тут просто нет универсального средства: классические решения вроде антивирусов, файрволов или DLP работают каждое на своем фронте, а специальные инструменты типа EDR/XDR или IPS заточены под серьезные инциденты и пропускают зреющие проблемы. Так что одним средством не обойтись, а закупать и обслуживать все – непосильная задача для небольшой компании.

У SIEM как класса нет полноценной альтернативы. К тому же некоторым компаниям, например субъектам КИИ (а принадлежность к КИИ зависит от отрасли и задач, а не от размера организации), регулятор прямо предписывает применять именно SIEM для защиты инфраструктуры. Поэтому возникает следующий вопрос: как и какую SIEM-систему выбрать небольшой компании?

Пять критериев выбора

Рынок российских SIEM-систем достаточно зрелый, но продукты значительно отличаются друг от друга по функционалу и стоимости. Компаниям МСБ при выборе решения необходимо обращать внимание на условия внедрения и удобство эксплуатации. Вот несколько важных критериев.

Скорость внедрения

Часто именно внедрение, настройка и кастомизация системы требуют самых больших трудозатрат. Чтобы вписать SIEM в инфраструктуру, нужно подключить все источники, добиться совместимости с ними, а также настроить правила вычитки событий и нормализовать их, то есть включить корреляцию. Большинство систем поставляются с готовыми коннекторами и правилами корреляции к ним, но на деле их часто нужно дописывать вручную. Порой на это уходят месяцы.

В условиях нехватки специалистов МСБ лучше подойдут преднастроенные системы. Например, в "СёрчИнформ SIEM" всю нормализацию и предварительную обработку событий мы реализовали на этапе написания коннекторов. Поэтому их запуск сводится к вводу адресов для обмена данными на источнике и в системе. К каждому коннектору есть набор правил корреляции, которые включаются автоматически: они фокусируются на событиях, базово актуальных в любой инфраструктуре. В итоге весь процесс внедрения может уместиться в рабочий день, без остановки бизнес-процессов и конфликтов с ИТ-инфраструктурой.

Размер "коробки"

Многие вендоры предлагают едва ли не сотни коннекторов и правил к ним в своих системах. На практике это разнообразие нужно не всегда, особенно небольшим компаниям, но такая экспертиза вендора стоит денег. Оптимально выбрать решение, которое поддерживает нужную "базу": ОС, оборудование, бизнес- и защитное ПО, которые реально используются в компании."СёрчИнформ SIEM" поставляется с персонализированными коннекторами к типовому оборудованию и ПО, наиболее популярному у среднего заказчика. Если их не хватит, есть универсальные коннекторы под сетевые протоколы и стандарты – по ним можно подключить большинство других источников. А для самых сложных случаев, например самописного ПО или выборочной вычитки данных, есть возможность создать кастомный коннектор по шаблону на PowerShell или подключить систему прямо к БД источника. Таким образом, заказчик получает все инструменты, чтобы укомплектовать систему под себя, и не платит за то, чем не будет пользоваться.

Стоимость владения и лицензирование

SIEM-система должна обладать понятной системой лицензирования, чтобы заказчики могли оптимизировать бюджеты на защиту инфраструктуры. "СёрчИнформ SIEM" лицензируется по хостам, поэтому сразу будет понятно, в какую сумму обойдется внедрение решения. Это безопаснее, чем высчитывать EPS (пиковые объемы трафика), а потом потерять данные или "попасть" на серьезную доплату, если лимит будет превышен.

Дополнительно стоит обратить внимание на архитектуру решения и требуемые под него оборудование и ПО. Компактная система не потребует большого количества серверов и СХД – разве что широкий сетевой канал. А если вдобавок она работает на опенсорсных серверных ОС и СУБД, то это снизит сопутствующие расходы. "СёрчИнформ SIEM" для этого адаптирована: при желании ее можно развернуть на бесплатных Ubuntu и PostgreSQL.

Простота эксплуатации

Вряд ли все нужные правила поиска инцидентов удастся настроить с первого включения. Особенно это касается кросс-корреляции: часто взаимосвязи событий из разных источников вскрываются по следам расследования и добавляются в правила, чтобы впредь заметить угрозу на подходе. Поэтому стоит оценить, как устроен процесс доработки правил: придется ли писать алгоритмы вручную, запрашивать их у вендора или интегратора. В идеале это должно быть реализовано просто, чтобы оператор SIEM справился быстро и без посторонней помощи. Например, в "СёрчИнформ SIEM" правила кросс-корреляции задаются в графическом конструкторе, где все необходимые параметры сопоставления можно выбрать из меню.

Дополнительные возможности

Почти все SIEM сегодня шагнули за рамки прямых задач своего класса и, помимо мониторинга событий ИБ, предлагают глубокое расследование, прогнозирование, реагирование на инциденты. Но как альтернативы не заменяют SIEM, так и SIEM не справится с "не своими" задачами лучше профильных продуктов. Поэтому не стоит ожидать, что SIEM с функциями условного IRP позволит компании получить два полноценных ИБ-инструмента в одном. Зато обойдется дороже.

Впрочем, SIEM может качественно выполнять некоторые задачи смежных классов, когда это вписывается в логику ее работы. Например, сканер сети в "СёрчИнформ SIEM" во время мониторинга инфраструктуры заодно проверяет хосты на уязвимости по девяти БДУ. Такое совмещение удобно, но не требует дополнительных затрат ни от вендора (на разработку нетипичного функционала), ни от заказчика при внедрении.

ris1_w-Nov-18-2025-03-29-32-9486-PM
Рис. Сканер сети в "СёрчИнформ SIEM"

Вывод

Качественная защита от ИБ-угроз может быть доступна не только крупным корпорациям, но и небольшим компаниям. Внедрение "СёрчИнформ SIEM" способно закрыть сразу несколько "болей" заказчиков в МСБ: автоматизировать контроль безопасности, выполнить требования регуляторов и сэкономить бюджет на ИБ. При этом у нее невысокие аппаратные требования и понятное лицензирование, она быстро внедряется и проста в эксплуатации.

Попробуйте, как это работает: на 30 дней "СёрчИнформ SIEM" бесплатно доступна в полном функционале.

Реклама: ООО "СёрчИнформ". ИНН 7704306397. Erid: 2SDnjcyfh5q
Темы:SearchInformSIEMЖурнал "Информационная безопасность" №4, 2025SearchInform SIEMСМБ

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Защищенный удаленный доступ: технологии безопасной дистанционной работы
Материалы конференции Форума ITSEC 2025 →
Статьи по той же темеСтатьи по той же теме

  • Могут ли ИБ- и ИТ-аудиторы использовать SIEM для аудита и контроля комплаенса?
    Илья Одинцов, менеджер по продукту NGR Softlab
    Аудит ИТ- и ИБ-систем – важнейшая задача, от которой во многом зависит информационная безопасность компаний. Нередко к процессу аудита относятся формально, используя устаревшие подходы и инструменты, что приводит к плачевным последствиям. Сделать проверку качественной, а не для галочки, можно с помощью SIEM, которая по своей природе является идеальной платформой для помощи аудиторам.
  • Прожектор перестройки SIEM
    SIEM похож на прожектор: он может выхватывать из темноты важные детали, а может ослепить тех, кто стоит у пульта управления. Один из главных вызовов для информационной безопасности сегодня – заглянуть в будущее и понять, какую реальную роль в нем должен играть SIEM. Именно из этого понимания выстраивается и его место в архитектуре безопасности здесь и сейчас. Чтобы наметить контуры этого будущего, мы попросили экспертов поделиться своим видением и опытом.
  • Чек-лист: как выбрать результативный SIEM
    Олег Хныков, руководитель группы продуктового маркетинга по инфраструктурной и сетевой безопасности, Positive Technologies
    Как может выглядеть один день из жизни аналитика SOC? Экран завален сотнями событий ИБ, мигают новые алерты, очередные срабатывания правил корреляций. В голове одна мысль: где-то прямо сейчас злоумышленник движется по инфраструктуре, а ты его не видишь, – в этой лавине даже опытный аналитик может пропустить главное.
  • Когда свой – чужой: как вычислить злоумышленника под легитимной учеткой
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    Злоумышленники, использующие легитимные учетные записи – ключевая угроза сегодня для корпоративной инфраструктуры. Если атаки через вредоносный трафик может обнаружить система IDS, а вирусное ПО – антивирус, то действия хакера под видом обычного сотрудника выявить гораздо сложнее. Здесь на помощь приходит SIEM.
  • SIEM и приказ № 117: что изменится и что делать?
    Максим Степченков, совладелец компании RuSIEM
    Приказ № 117 ФСТЭК России вновь вывел в центр внимания тему информационной безопасности вообще и SIEM в частности. Он не стал революцией, но именно такие документы задают рамки и скорость развития рынка. Для крупных компаний это скорее уточнение правил игры, а, например, для муниципальных структур – серьезный повод для пересмотра подхода к информационной безопасности. Ведь теперь SIEM становится не просто желательным инструментом, а обязательным элементом инфраструктуры. Возникает главный вопрос: как внедрить решение, если денег и специалистов не хватает, а сроки уже определены?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Материалы конференции →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Материалы конференции →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных