Контакты
Подписка 2025

Топ-3 типовых сложностей при внедрении SIEM (и рецепты)

Редакция журнала "Информационная безопасность", 20/11/23

Редакция журнала "Информационная безопасность" попросила вендоров SIEM назвать топ-3 типовых сложностей, возникающих при внедрении систем этого класса в корпоративной инфраструктуре, и рецепт, как их преодолеть.

ris40

Сергей Сухоруков, Positive Technologies:

Непонимание компанией защищаемого ландшафта, отсутствие поддержки части важных источников, сложности настройки аудита событий на источниках, а также приема на стороне SIEM и контроля непрерывности их поступления на протяжении работы решения.

Рецепты преодоления этих сложностей:

  1. Пользуйтесь рекомендациями о том, какие источники событий обязательны для подключения, от экспертов-практиков, признанных на рынке услуг по расследованию инцидентов и проведению анализа защищенности, применяйте механизмы автообнаружения хостов в сложных гетерогенных сетях.
  2. Выбирайте SIEM с широким покрытием систем или закладывайте в проект затраты на разработку коннекторов и создание правил нормализации и корреляции. При этом оцените сроки и стоимость этой работы, чтобы понять целесообразность выбора эконом-решений.
  3. Работайте с SIEM, которая предоставляется вместе с качественной документацией, упрощенной массовой настройкой сбора событий и функциями мониторинга источников.

Евгения Лагутина, Лаборатория Касперского:

  1. Проектное управление: внедрение SIEM затрагивает большое количество систем, не относящихся напрямую к ИБ. Поэтому нужно выполнение большого количества настроек многими людьми. Причем для большинства из них это дополнительная лишняя нагрузка.
  2. Высокие требования к квалификации внедряющих: нужно знать особенности работы не только конкретной SIEM-cистемы, но и всех источников данных и сторонних систем, с которыми планируется интеграция.
  3. Высокие требования к квалификации аналитиков: чтобы писать контент, нужно быть в курсе актуальных атак и средств их выявления

Зачастую можно обойти эти проблемы, если привлекать для внедрения SIEM интеграторов, у которых уже накоплен необходимый для этого опыт.

Олег Акишев, NGR Softlab:

  1. Неизвестность или неточность требований. Важно заранее уточнить возможности кастомизации и масштабирования SIEM под возможные изменения и форс-мажоры.
  2. Сложность продукта для эксплуатации. Следует уточнить у вендора или интегратора о возможности проведения обучения сотрудников и сопровождения в течение вводного периода.
  3. Сложность интеграции. Если в компании уже есть устоявшаяся ИБ-инфраструктура, изучите вопрос удобства встраивания в нее SIEM-системы. Учтите возможные проблемы со стороны ИТ-департамента, которые могут затормозить внедрение и даже помешать ему.

Павел Пугач, СёрчИнформ:

  1. Непонимание, что делать после установки системы. Тут в помощь – руководство пользователя, вебинары и обучение. Мы в "СёрчИнформ" закрепляем за каждым клиентом персонального специалиста отдела внедрения, который поможет освоить ПО и получить от системы максимальный результат.
  2. Сложность с настройкой источников данных редко, но случатся. Решение – обратиться к вендору SIEM: мы в "СёрчИнформ" сделали инструкции по настройке всех наиболее распространенных источников. А если нужно что-то редкое, то подготовим по запросу.

Алексей Дашков, R-Vision:

  1. Сложность интеграции с разнообразными источниками данных. Чтобы преодолеть данную проблему, необходимо предварительно оценить источники данных, определить форматы событий и возможности их передачи. Облегчить путь интеграции может и развитый функционал самой SIEM за счет большого числа предустановленных адаптеров, а также гибкой и наглядной системы управления источниками.
  2. Сложность настройки правил и корреляции, поскольку стандартные правила детектирования не всегда соответствуют конкретным потребностям организации. Созданием эффективных правил могут заниматься только опытные специалисты, которые проведут работы по анализу инфраструктуры и настройки SIEM под задачи конкретной организации.
  3. Проблемы с масштабируемостью системы под потребности организации. Сбор и анализ большого количества событий может создать значительную нагрузку на инфраструктуру и замедлить производительность системы. Чтобы избежать подобных проблем, необходимо уделять внимание процессам Log Management, выстраивать иерархию сбора с использованием локальных коллекторов.

Вадим Порошин, Пангео Радар:

  1. Согласования, бесконечные согласования: открытие портов, настройка источников и пр. Особенно это актуально, когда внедрение проходит в организации с многочисленными дочерними структурами, расположенными по всей стране. Процессы согласования увеличивают время внедрения и пилотирования на несколько месяцев.
  2. Непонимание заказчиков, что они хотят от SIEM-системы. Как многократно говорилось в тематических спорах на AM Live, SIEM не равна SOC.
  3. Настройка и формирование контента под конкретного заказчика.

Константин Саматов, АРСИБ:

  1. Отсутствие должной квалификации у внедренцев. При самостоятельном внедрении нужно использовать расширенную поддержку вендора, при заказе внедрения – заказывать у самого вендора либо у партнера, за которого вендор отвечает.
  2. Системные требования меняются с момента проведения пилота до момента ввода в промышленную эксплуатацию. В итоге к завершению внедрения проявляется несоответствие мощностей, заложенных в технический проект, реальным. Решение: при проектировании закладывать резерв мощностей.
  3. Недостаток возможностей для кастомизации решения. Не для всех источников событий есть нормализаторы (Event Source Normalizers) из коробки. Решение – создание более гибкой архитектуры.

Лидия Виткова, Газинформсервис

Со стороны заказчика:

  1. Сложность с обоснованием необходимости внедрения SIEM и бюджета на закупку.
  2. Сложность с выбором между решениями, уменьшившееся количество вендоров за последние полтора года.
  3. Поиск команды, которая будет работать с SIEM (операторов).

Со стороны поставщика:

  • Сложность со сбором действительной информации об инфраструктуре.
  • Сложность с разнородностью источников данных и зоопарком СЗИ, с которыми требуется интеграция.
  • Возрастание потока алертов о событиях информационной безопасности с увеличением количества разнородных источников данных в инфраструктуре.

Александр Скакунов, VolgaBlob:

  1. Отсутствие процессов, связанных с реагированием на инциденты. Это вопросы методологической зрелости клиентов.
  2. Динамически меняющийся ИТ- и ИБ-ландшафт в рамках программ импортозамещения. В нашем подходе акцент сделан на универсальность платформы мониторинга, которая позволяет практически на лету подключать новые источники и включать их в существующие правила выявления инцидентов, ранее разработанные визуальные панели.
  3. Отсутствие единой базы знаний по информационной безопасности, которой могут пользоваться новые сотрудники и действующие члены команды SOC. Это особенно острый вопрос в условиях текучки кадров и передачи опыта.

Даниил Вылегжанин, RuSIEM:

  • Выделение вычислительных ресурсов для обработки и хранения больших объемов данных SIEM-системой.
  • Интеграция с множеством различных источников данных, которая зачастую требует ручной настройки.
  • Создание новых и настройка встроенных в SIEM-систему правил корреляции.

Большую помощь при внедрении SIEM может оказать вендор, предоставляя свою экспертизу и услуги по настройке. Отличным помощником станет встроенный графический конструктор для создания новых правил корреляции и редактирования существующих. Он позволяет быстро и удобно описывать логику выявления инцидентов без необходимости знания различных языков программирования. Выделение вычислительных ресурсов для SIEM всегда происходит на стороне заказчика, однако мы готовы помочь в расчете требований к виртуальной инфраструктуре для получения должного уровня производительности

Участники:

  • Олег Акишев, архитектор информационных систем NGR Softlab
  • Лидия Виткова, ведущий инженер-аналитик отдела технологий анализа компании “Газинформсервис”
  • Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM
  • Алексей Дашков, директор Центра продуктового менеджмента R-Vision
  • Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, “Лаборатория Касперского”
  • Илья Маркелов, руководитель направления развития единой корпоративной платформы, “Лаборатория Касперского”
  • Вадим Порошин, и.о. директора по развитию бизнеса Пангео Радар
  • Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies
  • Павел Пугач, системный аналитик “СёрчИнформ”
  • Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
  • Александр Скакунов, основатель и генеральный директор компании VolgaBlob
  • Сергей Сухоруков, лидер продуктовой практики MaxPatrol SIEM, Positive Technologies
Темы:Круглый столSIEMЖурнал "Информационная безопасность" №4, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Один бюджет, один приоритет: как вложиться в безопасность контейнеров?
    Что делать, если есть только один бюджет, а направлений – десятки? Спросили у экспертов: во что стоит инвестировать в 2025 г., если выбирать придется только одно направление – рантайм, цепочка поставок, харденинг или что-то еще?
  • Почему Shift Left не работает в контейнерах?
    DevSecOps-инструменты зрелы, автоматизация доступна, сканеры интегрируются в CI/CD – но 70–75% контейнерных образов по-прежнему содержат уязвимости высокого уровня. Что мешает реальному "сдвигу влево"? Мы собрали мнения инженеров и ИБ-специалистов, чтобы разобраться: где именно срывается безопасность – в культуре, инфраструктуре или ожиданиях.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 
  • Нужна ли 100%-ная автоматизация в управлении конфигурациями?
    Автоматизация управления конфигурациями давно рассматривается как способ снизить риски и упростить работу администраторов. Но в реальных условиях у каждой инфраструктуры — свои ограничения, риски и приоритеты. Где проходит граница между разумной автоматизацией и опасной самодеятельностью? 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...