Контакты
Подписка 2025
Статьи по информационной безопасности

Топ-3 типовых сложностей при внедрении SIEM (и рецепты)

Редакция журнала "Информационная безопасность", 20/11/23

Редакция журнала "Информационная безопасность" попросила вендоров SIEM назвать топ-3 типовых сложностей, возникающих при внедрении систем этого класса в корпоративной инфраструктуре, и рецепт, как их преодолеть.

ris40

Сергей Сухоруков, Positive Technologies:

Непонимание компанией защищаемого ландшафта, отсутствие поддержки части важных источников, сложности настройки аудита событий на источниках, а также приема на стороне SIEM и контроля непрерывности их поступления на протяжении работы решения.

Рецепты преодоления этих сложностей:

  1. Пользуйтесь рекомендациями о том, какие источники событий обязательны для подключения, от экспертов-практиков, признанных на рынке услуг по расследованию инцидентов и проведению анализа защищенности, применяйте механизмы автообнаружения хостов в сложных гетерогенных сетях.
  2. Выбирайте SIEM с широким покрытием систем или закладывайте в проект затраты на разработку коннекторов и создание правил нормализации и корреляции. При этом оцените сроки и стоимость этой работы, чтобы понять целесообразность выбора эконом-решений.
  3. Работайте с SIEM, которая предоставляется вместе с качественной документацией, упрощенной массовой настройкой сбора событий и функциями мониторинга источников.

Евгения Лагутина, Лаборатория Касперского:

  1. Проектное управление: внедрение SIEM затрагивает большое количество систем, не относящихся напрямую к ИБ. Поэтому нужно выполнение большого количества настроек многими людьми. Причем для большинства из них это дополнительная лишняя нагрузка.
  2. Высокие требования к квалификации внедряющих: нужно знать особенности работы не только конкретной SIEM-cистемы, но и всех источников данных и сторонних систем, с которыми планируется интеграция.
  3. Высокие требования к квалификации аналитиков: чтобы писать контент, нужно быть в курсе актуальных атак и средств их выявления

Зачастую можно обойти эти проблемы, если привлекать для внедрения SIEM интеграторов, у которых уже накоплен необходимый для этого опыт.

Олег Акишев, NGR Softlab:

  1. Неизвестность или неточность требований. Важно заранее уточнить возможности кастомизации и масштабирования SIEM под возможные изменения и форс-мажоры.
  2. Сложность продукта для эксплуатации. Следует уточнить у вендора или интегратора о возможности проведения обучения сотрудников и сопровождения в течение вводного периода.
  3. Сложность интеграции. Если в компании уже есть устоявшаяся ИБ-инфраструктура, изучите вопрос удобства встраивания в нее SIEM-системы. Учтите возможные проблемы со стороны ИТ-департамента, которые могут затормозить внедрение и даже помешать ему.

Павел Пугач, СёрчИнформ:

  1. Непонимание, что делать после установки системы. Тут в помощь – руководство пользователя, вебинары и обучение. Мы в "СёрчИнформ" закрепляем за каждым клиентом персонального специалиста отдела внедрения, который поможет освоить ПО и получить от системы максимальный результат.
  2. Сложность с настройкой источников данных редко, но случатся. Решение – обратиться к вендору SIEM: мы в "СёрчИнформ" сделали инструкции по настройке всех наиболее распространенных источников. А если нужно что-то редкое, то подготовим по запросу.

Алексей Дашков, R-Vision:

  1. Сложность интеграции с разнообразными источниками данных. Чтобы преодолеть данную проблему, необходимо предварительно оценить источники данных, определить форматы событий и возможности их передачи. Облегчить путь интеграции может и развитый функционал самой SIEM за счет большого числа предустановленных адаптеров, а также гибкой и наглядной системы управления источниками.
  2. Сложность настройки правил и корреляции, поскольку стандартные правила детектирования не всегда соответствуют конкретным потребностям организации. Созданием эффективных правил могут заниматься только опытные специалисты, которые проведут работы по анализу инфраструктуры и настройки SIEM под задачи конкретной организации.
  3. Проблемы с масштабируемостью системы под потребности организации. Сбор и анализ большого количества событий может создать значительную нагрузку на инфраструктуру и замедлить производительность системы. Чтобы избежать подобных проблем, необходимо уделять внимание процессам Log Management, выстраивать иерархию сбора с использованием локальных коллекторов.

Вадим Порошин, Пангео Радар:

  1. Согласования, бесконечные согласования: открытие портов, настройка источников и пр. Особенно это актуально, когда внедрение проходит в организации с многочисленными дочерними структурами, расположенными по всей стране. Процессы согласования увеличивают время внедрения и пилотирования на несколько месяцев.
  2. Непонимание заказчиков, что они хотят от SIEM-системы. Как многократно говорилось в тематических спорах на AM Live, SIEM не равна SOC.
  3. Настройка и формирование контента под конкретного заказчика.

Константин Саматов, АРСИБ:

  1. Отсутствие должной квалификации у внедренцев. При самостоятельном внедрении нужно использовать расширенную поддержку вендора, при заказе внедрения – заказывать у самого вендора либо у партнера, за которого вендор отвечает.
  2. Системные требования меняются с момента проведения пилота до момента ввода в промышленную эксплуатацию. В итоге к завершению внедрения проявляется несоответствие мощностей, заложенных в технический проект, реальным. Решение: при проектировании закладывать резерв мощностей.
  3. Недостаток возможностей для кастомизации решения. Не для всех источников событий есть нормализаторы (Event Source Normalizers) из коробки. Решение – создание более гибкой архитектуры.

Лидия Виткова, Газинформсервис

Со стороны заказчика:

  1. Сложность с обоснованием необходимости внедрения SIEM и бюджета на закупку.
  2. Сложность с выбором между решениями, уменьшившееся количество вендоров за последние полтора года.
  3. Поиск команды, которая будет работать с SIEM (операторов).

Со стороны поставщика:

  • Сложность со сбором действительной информации об инфраструктуре.
  • Сложность с разнородностью источников данных и зоопарком СЗИ, с которыми требуется интеграция.
  • Возрастание потока алертов о событиях информационной безопасности с увеличением количества разнородных источников данных в инфраструктуре.

Александр Скакунов, VolgaBlob:

  1. Отсутствие процессов, связанных с реагированием на инциденты. Это вопросы методологической зрелости клиентов.
  2. Динамически меняющийся ИТ- и ИБ-ландшафт в рамках программ импортозамещения. В нашем подходе акцент сделан на универсальность платформы мониторинга, которая позволяет практически на лету подключать новые источники и включать их в существующие правила выявления инцидентов, ранее разработанные визуальные панели.
  3. Отсутствие единой базы знаний по информационной безопасности, которой могут пользоваться новые сотрудники и действующие члены команды SOC. Это особенно острый вопрос в условиях текучки кадров и передачи опыта.

Даниил Вылегжанин, RuSIEM:

  • Выделение вычислительных ресурсов для обработки и хранения больших объемов данных SIEM-системой.
  • Интеграция с множеством различных источников данных, которая зачастую требует ручной настройки.
  • Создание новых и настройка встроенных в SIEM-систему правил корреляции.

Большую помощь при внедрении SIEM может оказать вендор, предоставляя свою экспертизу и услуги по настройке. Отличным помощником станет встроенный графический конструктор для создания новых правил корреляции и редактирования существующих. Он позволяет быстро и удобно описывать логику выявления инцидентов без необходимости знания различных языков программирования. Выделение вычислительных ресурсов для SIEM всегда происходит на стороне заказчика, однако мы готовы помочь в расчете требований к виртуальной инфраструктуре для получения должного уровня производительности

Участники:

  • Олег Акишев, архитектор информационных систем NGR Softlab
  • Лидия Виткова, ведущий инженер-аналитик отдела технологий анализа компании “Газинформсервис”
  • Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
  • Алексей Дашков, директор Центра продуктового менеджмента R-Vision
  • Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, “Лаборатория Касперского”
  • Илья Маркелов, руководитель направления развития единой корпоративной платформы, “Лаборатория Касперского”
  • Вадим Порошин, и.о. директора по развитию бизнеса Пангео Радар
  • Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies
  • Павел Пугач, системный аналитик “СёрчИнформ”
  • Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
  • Александр Скакунов, основатель и генеральный директор компании VolgaBlob
  • Сергей Сухоруков, лидер продуктовой практики MaxPatrol SIEM, Positive Technologies
Темы:Круглый столSIEMЖурнал "Информационная безопасность" №4, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA
    Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"