Контакты
Подписка 2025

SIEM – сложно и дорого? Уже нет!

Александр Дорофеев, 22/10/24

Аббревиатуре SIEM около 20 лет и за это время технология явно созрела [1]. На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.

Автор: Александр Дорофеев, ССК, CISSP, CISA, CISM, АО “Эшелон Технологии”

Работа с SIEM-системой начинается с ее развертывания. В нашем случае продукт устанавливается менее чем за пять минут на один сервер с ОС Astra Linux 1.7/1.8, РЕД ОС 8 или ОС Альт 10 СП.

SIEM обрабатывает события из множества источников. В KOMRAD Enterprise SIEM легко подключить любой источник самым оптимальным способом. Сбор событий возможен без агентов как в пассивном режиме (Syslog, NetFlow, sFlow, SNMP, HTTP), так и в активном (SQL, SNMP, SSH, HTTP). Дополнительно имеются агенты для Windows (wmi) и Linux (eBPF, Auditd). Таким образом, практически любые ОС, СЗИ и сетевое оборудование могут стать объектами мониторинга за считанные минуты.

Поступающие события необходимо привести к нормализованному виду, чтобы можно было формировать унифицированные правила фильтрации и корреляции. Коллекторы KOMRAD Enterprise SIEM 4.5 автоматически разберут события, если они приходят в формате Syslog CEF/RFC5424/RFC3164, а для других форматов есть механизм встроенных плагинов-коннекторов (например, Auditd, Suricata, Zeek) и возможность создать свой плагин, используя такие открытые технологии как регулярные выражения, GROK, CEL, JSONPath и т.п. В продукт встроены эвристические анализаторы, позволяющие отладить правила нормализации на примере события прямо в интерфейсе. Таким образом, KOMRAD Enterprise SIEM 4.5 работает с событиями из любого источника.

Правила фильтрации и нормализации создаются с помощью графического конструктора, который превращает логические выражения в код на Luа (фильтры) или Yaml-файл (директивы корреляции). Lua был выбран из-за его простоты и широкого распространения в сфере кибербезопасности, он используется в Nmap, Suricata, Wireshark и др.

Применение открытых технологий позволяет упростить погружение в продукт новых членов команды. Пакеты экспертизы (плагины, фильтры, директивы корреляции) доступны как от центра кибербезопасности ГК "Эшелон", так и от наших партнеров, а также их можно легко создавать самостоятельно.

Отличительной особенностью KOMRAD Enterprise SIEM 4.5 стала возможность импорта открытых правил SIGMA, которых уже более 5 тыс. Созданные фильтры можно использовать как для отбора событий для корреляции, так и в режиме ретроспективного поиска угроз.

Срабатывание директив корреляции ведет к формированию карточки инцидента, которая при необходимости может быть отправлена в ГосСОПКА. Реализована возможность привязки к срабатыванию правила выполнение скрипта на Python или bash, что обеспечивает базовую автоматизацию реагирования.

Аналитические возможности KOMRAD Enterprise SIEM 4.5 расширены благодаря переработанной системе настраиваемых виджетов (см. рис.), а также включению в состав модуля Grafana, который визуализирует данные в любом разрезе. Простота развертывания и использование общепринятых стандартных технологий сделало SIEM доступной для специалистов, имеющих даже базовый ИТ-бэкграунд [2].

ris1-Oct-22-2024-12-10-49-6782-PM

Что касается доступности применения SIEM в части необходимого железа, то на текущий момент у KOMRAD Enterprise SIEM нет равных. Благодаря тому, что система изначально разрабатывалась для ОС Linux и использует самую последнюю версию СУБД ClickHouse, на обработку 1000 событий в секунду с использованием 100 потоковых фильтров затрачивается 1 Гбайт RAM и 1 ядро СPU.

Таким образом, KOMRAD Enterprise SIEM разворачивается и настраивается с минимальными затратами, а благодаря доступным пакетам экспертиз практически сразу обеспечивает прозрачность инфраструктуры.

Выполнить требования по обеспечению безопасности ГИС, ИСПДн, КИИ в текущей обстановке стало еще проще для компании любого масштаба, а время тяжеловесных SIEM, требующих дорогостоящего железа и постоянного общения с вендором, безвозвратно уходит.


  1. Марков А., Фадин А. Конвергенция средств защиты информации // Защита информации. Инсайд. – 2013. – № 4 (52). – С.80-81
  2. Дорофеев А.В., Марков А.С. Применение отечественных технологий для мониторинга информационной безопасности в условиях импортозамещения // Защита информации. Инсайд. – 2023. – № 3 (111). – С.20-26.
Темы:SIEMKOMRADЖурнал "Информационная безопасность" №4, 2024Вебмониторэкс

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.
  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • RuSIEM в 2024 году: новый веб-интерфейс и неизменная архитектура
    Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
    Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.
  • От NG SIEM к платформам
    Дмитрий Пудов, заместитель генерального директора и основатель NGR Softlab
    Системы SIEM являются одним из инструментов в центрах мониторинга кибербезопасности (SOC). Качественная интеграция множества решений в одну ИТ-инфраструктуру является дорогостоящей и сложной задачей. Как и многие другие классы решений, SIEM стали трансформироваться и дополняться функциями других систем, с которыми они обычно интегрируются. Такие обогащенные продукты называют NG SIEM (Next Generation SIEM), причем набор дополнительных функций каждый вендор определяет самостоятельно.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...