Контакты
Подписка 2025

SIEM "Платформа Радар": 600 000 событий в секунду с новым коррелятором

Вадим Порошин, 03/11/23

Уход из России крупных западных производителей ПО вынуждает искать достойную замену среди российских решений. Рынок SIEM не стал исключением. Заказчики, широко использовавшие решения западных вендоров, в большинстве имеют крупную распределенную инфраструктуру. У многих из них количество событий, поступающих в обработку, исчисляется многими десятками тысяч в секунду, зачастую превышая показатель в 300 тыс. EPS.

Автор: Вадим Порошин, руководитель отдела поддержки продаж Пангео Радар

Понимая важность импортозамещения для предприятий критической инфраструктуры и крупного бизнеса, критически оценив возможности "Платформы Радар", мы решительно приступили к рефакторингу некоторых компонентов системы.

Гибкие правила корреляции

Правила корреляции играют фундаментальную роль в работе SIEM. Они представляют собой набор логических условий и шаблонов, которые позволяют SIEM анализировать и сопоставлять данные разнообразных событий из множества источников информации. Главная цель правил корреляции – выявление скрытых угроз, которые могли бы остаться незамеченными при обычном мониторинге.

Правила корреляции позволяют SIEM определять необычную или подозрительную последовательность событий, которая может указывать на реализующиеся в настоящий момент кибератаки, внутренние инциденты безопасности или другие потенциальные проблемы. Они помогают сводить данные в логически связанные сценарии и оповещать администраторов о нештатных ситуациях, ускоряя реакцию на угрозы.

"Платформа Радар" – это современное решение класса SIEM, поэтому кроме большого количества правил корреляции, доступных из коробки, пользователи могут создавать собственные правила корреляции.

Читатели, знакомые с "Платформой Радар", помнят, что правила корреляции в нашей системе пишутся на языке Python. Этот же язык был использован при создании коррелятора. Многие рассматривали это как преимущество: гибкость Python позволяет реализовать практически любое правило.

Но SIEM-системы с их сложными алгоритмами и многочисленными источниками данных могут быть довольно трудными в настройке и поддержке. В этом контексте подход Low-Code, предусматривающий управление сложной логикой при минимальной необходимости писать программный код, позволяет существенно упростить и ускорить процесс создания и настройки правил корреляции.

В новом корреляторе в "Платформе Радар" правила можно создавать в графическом конструкторе или сразу на языке Lua, более интуитивном и понятном конечному пользователю в сравнении с Python.

Lua менее требователен к синтаксису, что делает код более читаемым, а процесс освоения – более простым и быстрым. К тому же Lua наверняка давно знаком многим благодаря его широкому распространению в качестве встраиваемого языка в некоторых ИБ-системах, например Nginx.

С помощью графического конструктора специалисты по безопасности и аналитики могут оперативно создавать и модифицировать правила без глубоких знаний программирования. Это увеличивает доступность SIEM-технологии для широкого круга сотрудников, снижая зависимость от узкоспециализированных разработчиков. Правила, создаваемые в графическом конструкторе, система переводит в код на языке Lua. Это добавляет процессу создания правил гибкости, поскольку редактировать такие правила можно не только в конструкторе, но и непосредственно в коде.

Более того, графический конструктор позволяет проводить более гибкое тестирование и адаптацию правил корреляций, что важно для оперативной реакции на новые угрозы и изменения в инфраструктуре. Это сокращает временные и ресурсные затраты на обслуживание SIEM и повышает ее эффективность в обеспечении информационной безопасности организации.

Радикальное повышение производительности

Скорость работы системы SIEM имеет критическое значение для успешного обеспечения безопасности в организации. Высокая производительность позволяет быстро обнаруживать и реагировать на потенциальные угрозы, минимизируя временные задержки между событием и его анализом.

В новой версии "Платформы Радар" много внимания было уделено повышению производительности.

Важнейшая из особенностей нового коррелятора – его способность обрабатывать огромные потоки данных. Пропускная способность до 600 тыс. событий в секунду делает его одним из самых производительных корреляторов на российском рынке.

Это стало возможным прежде всего ввиду пересмотра технологии обработки, за счет использования лучших практик потоковой обработки больших данных.

Серьезный вклад в быстродействие внес компилируемый язык Go, на котором написано ядро коррелятора. Одной из ключевых особенностей Go являются механизмы, которые позволяют создавать тысячи и даже миллионы параллельных задач. Компилятор Go также оптимизирован для эффективного выполнения кода на множестве ядер процессора. Это делает язык идеальным для обработки множества одновременных соединений в высоконагруженных системах.

Использование Go, а также перевод правил на Lua не только обеспечили высокую пропускную способность, но и существенно снизили требовательность коррелятора к ресурсам.

ris2-Nov-03-2023-08-46-35-9777-AM

Развертывание и масштабирование

SIEM играет важную роль в обеспечении безопасности информации и быстром выявлении угроз в организации. Чтобы эффективно выполнять свои функции, SIEM должна быть гибкой и простой в установке и настройке.

Удобство развертывания позволяет минимизировать временные и ресурсные затраты при внедрении SIEM и сокращает вероятность возникновения проблем и ошибок при ее запуске.

Масштабируемость SIEM обеспечивает способность системы расти вместе с организацией. Постоянно увеличивающийся объем данных и сложность угроз требуют расширяемости системы без необходимости пересмотра всей архитектуры.

Система "Платформа Радар" разработана с учетом возможности масштабирования практически под любые задачи и под любую инфраструктуру.

Многие заказчики на этапе проектирования ошибаются в прогнозе целевого потока событий. И количество подключенных систем, и потоки событий ИБ от ранее подключенных событий зачастую кратно нарастают в процессе использования системы. "Платформа Радар" позволяет добавлять новые виртуальные машины в веб-интерфейсе действующей системы, после чего в полуавтоматическом режиме на них устанавливаются необходимые пакеты и новые ВМ включаются в пайплайн обработки событий.

ris5-4

Гибкость масштабирования обеспечивается также режимами Multitenancy/Multiinstance, когда к головной SIEM можно подключать фактически неограниченное количество подсистем, которые работают независимо друг от друга. Это особенно полезно для сервисных ИБ-компаний, которые поддерживают обслуживание сразу нескольких организаций. Отмечу, что в этом случае также крайне ценна производительность, которую реализует новый коррелятор.

ris3-Nov-03-2023-08-48-10-4554-AM

Гибкая масштабируемость позволяет SIEM адаптироваться к изменяющимся потребностям и объемам данных, что делает "Платформу Радар" надежным инструментом для обеспечения информационной безопасности в долгосрочной перспективе.

Сертификатыи лицензирование

"Платформа Радар" зарегистрирована в едином реестре отечественного ПО (No 4791), сертифицирована ФСТЭК России по УД-4 (No 4210). Это полностью российский продукт: разработка, исходный код и техподдержка располагаются в России.

"Платформа Радар" имеет возможность отправки инцидентов в НКЦКИ и в российские IRP-системы.

"Платформа Радар" также может забирать отчеты от сканеров уязвимости, таких как MaxPatrol 8, RedCheck, OpenVAS, NMAP, и позволяет еще более подробно видеть ИТ-инфраструктуру заказчика и выстраивать процесс Vulnerability Management.

Лицензия на "Платформу Радар" является бессрочной. После окончания срока технической поддержки все функции системы будут работать, а события не будут теряться. Лицензирование системы производится по среднему входящему потоку событий (EPS). При этом учитываются средние показатели за неделю использования платформы, поэтому при достижении пиковых значений EPS события не будут отбрасываться.

Дополнительно лицензируются модуль коллектора событий и режим мультиарендности.

Заключение

Выпуском нового коррелятора, способного обрабатывать поток в 600 тыс. событий в секунду, "Платформа Радар" подтверждает свою репутацию мощной и конкурентной отечественной SIEM. Выдающаяся производительность, гибкость и масштабируемость позволяют нашим заказчикам не задумываться о проблемах обработки растущих объемов событий ИБ.

За прошедшие годы подходы к архитектуре системы безопасности претерпели значительные изменения. Сегодня в типичной корпоративной среде существует такое количество устройств и систем, влияющих на безопасность, что проблема заключается уже не в неспособности обнаружить, а в неспособности оценить все обнаруженные сигналы и выявить в них признаки инцидентов.

Другими словами, безопасность сегодня – это проблема, лежащая в плоскости обработки больших данных. Множество решений для обеспечения безопасности предоставляют информацию в различных форматах и в разном временном режиме. В центре этого потока информации находятся платформы управления информацией и событиями безопасности класса SIEM, ярким представителем которой является "Платформа Радар".

Темы:SIEMЖурнал "Информационная безопасность" №4, 2023Платформа РадарПангео Радар

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.
  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура
    Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
    Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.
  • От NG SIEM к платформам
    Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab
    Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.
  • Расчет инсталляции и возможностей SIEM на скорости 500 тысяч EPS
    Вадим Порошин, руководитель отдела поддержки продаж Пангео Радар
    Важность импортозамещения решений в области информационной безопасности для предприятий критической инфраструктуры и крупного бизнеса сложно переоценить. Причем требования к функциональности и производительности, которые заказчики предъявляют к российским системам, соответствуют мировому уровню.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...