Контакты
Подписка 2023
music-opera-musician-stage-recording-orchestra-1080584-pxhere_web

SIEM: управление событиями безопасности

 

Специальный проект журнала "Информационная безопасность" в сентябре 2022 г.

Содержание

  1. Зачем нужны SIEM?
  2. Как оценить количество и специализацию сотрудников, необходимых для эффективной работы SIEM в организации?
  3. Пойдут ли российские решения по пути NG-SIEM и в облака?
  4. Обзор решений класса SIEM
  5. Производители SIEM-решений

Зачем нужны SIEM?

Системы безопасности информации и управления событиями (SIEM) используются для обнаружения и реагирования на угрозы информационной безопасности в компьютерных сетях и системах.

SIEM позволяет собирать и анализировать информацию из различных источников, таких как логи сетевых устройств, приложений и операционных систем, а также информацию о пользовательской активности. Эти данные затем обрабатываются и сравниваются с заданными параметрами безопасности, чтобы обнаружить потенциальные угрозы и необычное поведение пользователей.

За последние годы SIEM-система из нишевого решения превратилась в “мастхэв”-продукт для многих компаний. Подстегивали этот процесс ФЗ-187 и постоянный рост киберугроз, которые невозможно контролировать вручную в большой ИТ-инфраструктуре. В 2022 г. компаниям добавляет проблем экстренное импортозамещение.

С ИТ-рынка уже ушли ключевые вендоры (IBM, HP, Microsoft, Oracle, Fortinet), и до сих пор сохраняется риск того, что и некоторые другие зарубежные разработчики свернут свою деятельность в РФ. Эта ситуация создает для российских пользователей множество рисков, ведь у зарубежных поставщиков остается возможность удаленно отключать программный функционал. Другими словами, предоставление услуг может быть остановлено в одностороннем порядке, до истечения сроков лицензий.

Из-за активного использования VPN-сервисов, загрузка которых увеличилась на 1268%, наблюдается рост инсайдерских рисков. Кроме того, актуальными являются проблемы контроля обновления ПО в сочетании с риском, что это же обновление сделает из оборудования бесполезный кусок железа.

За что хвататься ИТ- и ИБ-специалисту? Сколько времени он должен тратить, переключаясь из консоли в консоль различных защитных решений?

В этой ситуации SIEM-системы приобретают особую актуальность, потому что позволяют объединить в себе функционал различных решений: работать со всеми логами из одного окна, видеть взаимосвязи между этими логами, распознавая в их цепочке инцидент и оповещая о нем ИБ-специалиста.

Как оценить количество и специализацию сотрудников, необходимых для эффективной работы SIEM в организации?

Специалистов, работающих с SIEM, надо разделять по функционалу: администрирующий персонал (поддержание работоспособности, управление пользователями и т.д.), операторов, работающих с событиями (подключение источников, написание правил корреляции, нормализации и т.д.) и SOC/CERT (расследование инцидентов, реагирование). И уже отталкиваясь от такого разделения, следует определять требования по количеству и подготовке персонала.

Инженер занимается поддержкой работоспособности SIEM, внесением изменений. Минимальное количество SIEM-инженеров – 2, для обеспечения отказоустойчивости. Аналитики разбирают срабатывания SIEM, их потребуется от 2 до 5, в зависимости от режима работы (8х5 или 24х7), а далее количество масштабируется в зависимости от потока алертов и инцидентов. Исследователь занимается разработкой новых и отладкой существующих методов детектирования. Для начала хватит одного исследователя.

Пойдут ли российские решения по пути NG-SIEM и в облака?

Эволюция SIEM в России происходит под влиянием нескольких важных факторов. В их числе - поиск путей для перехода к Next Generation SIEM. Что об этом говорят производители и интеграторы SIEM:

Роман Ванерке, ДиалогНаука: Безусловно, движение в сторону NG-SIEM будет. Наверное, ключевой вопрос в сроках и терминологии, ведь NG-SIEM можно трактовать по-разному. SIEM в своем базовом исполнении производит множество алертов, и требуется постоянная работа, чтобы снизить долю ложных срабатываний. Стоит также отметить, что рынок требует продвинутой аналитики на больших объемах данных и на больших скоростях, чего зачастую можно достигнуть только в облачной реализации.
 
Сергей Кривошеин, NGR Softlab: NG-SIEM в текущей парадигме – это мультикомбайн. Некоторые отечественные SIEM уже полным ходом движутся к этому статусу: функционал обогащается встроенными IRP, NDR, UEBA и прочими подсистемами, востребованными в SOC. На мой взгляд, эпитет Next Generation можно применять к SIEM, только если подключение нестандартных источников станет интуитивным, а способы обнаружения уйдут от сигнатурной модели. Что касается облачных SIEM, то они направлены на небольшой сегмент бизнеса, где службы ИБ еще не доросли до осознания востребованности SIEM.
 
Максим Степченков, RuSIEM: Если подразумевать под NG-SIEM переход от классического выявления инцидентов через правила корреляции к использованию искусственного интеллекта и машинного обучения для выявления угроз, то этот процесс среди российских вендоров уже начался. Мы тоже стремимся к тому, чтобы SIEM-система подсвечивала заказчику моменты, которые еще не охвачены правилами корреляции. Если же в термин NG-SIEM закладывать обработку еще большего объема и типов данных для прогнозирования вероятности того, что определенные события или инциденты произойдут в будущем, то это более сложная задача, требующая больших вычислительных ресурсов. Оптимальным вариантом для решения этой задачи может стать использование облаков, ведь далеко не каждый заказчик способен найти нужные мощности в своей инфраструктуре. Но, несмотря на привлекательность облачных сервисов, в России заказчики по-прежнему предпочитают варианты установки SIEM-решений on-premise. И в среднесрочной перспективе ситуация вряд ли изменится.
 
Иван Чернов, UserGate: Однозначно российские решения пойдут по перспективному пути NG-SIEM: она комплексная и более гибкая для заказчика. Это выражается в повышении комфорта использования систем специалистами, снижении порога входа в уверенное владение продуктом. Используя NG-SIEM, легче и проще управлять периметром безопасности компании и обеспечением тем самым процессов повышения эффективности бизнеса. Кроме того, NG-SIEM аккумулируют в себе дополнительные функции, становятся более многофункциональными и универсальными, представляют собой комплексный инструмент полного цикла работы с инцидентами, от первичного сбора информации до способов реагирования и финального формирования отчетности для информирования специалистов и компетентных органов.
 
Анна Андреева, Лаборатория информационной безопасности: Решения NG уже появляются на рынке, это логичное развитие класса SIEM. Когда-то подобный этап прошли межсетевые экраны и антивирусы. В облако имеет смысл переходить, когда затраты на поддержку инфраструктуры превышают стоимость облачного решения либо когда инфраструктуры вовсе нет. Такой вариант определенно заинтересует небольшие компании из-за простоты подключения, а крупных заказчиков – из-за возможности быстро масштабировать вычислительные ресурсы под растущие потребности.
 
Павел Пугач, СёрчИнформ: Если есть спрос, будут и предложения. По факту NG-SIEM обычно называют систему, в которой реализован функционал еще трех-четырех смежных классов, например сканер уязвимостей, Vulnerability Management, EDR. Такая система будет полезна в условиях нехватки ресурсов на внедрение отдельных продуктов. Интерес к SIEM в облаках пока по инерции сохраняется, но будет планомерно снижаться. Заказчикам удобно, когда провайдер берет на себя вопрос обеспечения железа. Но и вендорам, и облачным провайдерам также сложно закупать и обслуживать новые серверные мощности – а их потребуется больше. К тому же сейчас снизилось доверие к хранению данных где бы то ни было, кроме как in-house. Это подчеркнул и уход иностранных вендоров, когда заказчики лишались оплаченных лицензий, сервисов, а вместе с ними и данных, которые хранились в этих сервисах.

Обзор решений класса SIEM

Данные актуальны на октябрь 2022 г.

Название решения

Kaspersky Unified Monitoring and Analysis Platform (KUMA)

MaxPatrol SIEM

RuSIEM

SearchInform SIEM

Alertix

Компания-разработчик

Лаборатория Касперского, Россия

Positive Technologies, Россия

ООО "РуСИЕМ" (RuSIEM), Россия

"СёрчИнформ", Росия

NGR Softlab, Россия

Компания, предоставившая информацию

Лаборатория Касперского

Positive Technologies

ООО "РуСИЕМ"

"СёрчИнформ"

NGR Softlab

Год появления на российском рынке

2019

2015

2014

2016

2019

Поддержка интерфейса на русском языке

Да

Да

Да

Да

Да

Поддержка интерфейса на других языках

Английский

Английский

Английский

Английский

Нет

Сертификаты, патенты и лицензии

Реестр российского ПО; сертификат ФСТЭК по 4 УД, свидетельство о государственной регистрации программ для ЭВМ

Реестр российского ПО; сертификаты соответствия ФСТЭК России, Республики Казахстан, Республики Беларусь

Реестр российского ПО;
сертификат ФСТЭК России по 4 УД; сертификат ОАЦ Республики Беларусь

Реестр российского ПО; сертификат ФСТЭК; лицензия ФСБ; лицензии ФСТЭК

 

Позиционирование

SIEM-система, центральный элемент единой платформы безопасности, взаимодействует с продуктами "Лаборатории Касперского" и др. поставщиков

MaxPatrol SIEM дает полную видимость ИТ-инфраструктуры и выявляет инциденты информационной безопасности

Решение для области мониторинга
и управления событиями информационной безопасности на основе анализа данных
в реальном времени

Простая в управлении "коробочная" SIEM со сканером уязвимостей, incident manage- ment и ГосСОПКА. Для компаний любой структуры и масштаба

Платформа сбора, обработки и поиска по данным с набором инструментов, достаточным для выстраивания SOC
с нуля

Актуальная версия

2.0

7.0

3.6.0

3.0

3.4

Актуальная сертифицированная версия

1.5

6.2

RuSIEM

3.0

 

Централизованный сбор и хранение событий

Единый интерфейс для контроля и управления источниками событий

Да

Да

Да

Да

Да

Количество поддерживаемых источников из коробки

Более 100

Более 300

Более 350

Более 30

76

Автообнаружение источников

Да

Да

Да

Да

Да

Возможность самостоятельной разработки парсеров для нестандартных источников

Есть конструктор

Есть конструктор, или интегратор / вендор сделают по запросу

Есть конструктор, или вендор сделает по запросу

Конструктор либо PowerShell

Есть редактор

Подключение другой SIEM в качестве источника

Да

Да

Да

Да

Да

Перенаправление потока событий в другую SIEM

Да

Да

Да

Да

Да

Поддерживаемые протоколы и форматы

Syslog, Syslog-ng, SNMPv2, HTTP(S), SQL, ODBC, WMI, FTP, SFTP, xFlow, sFlow, IPFIX, CEF, RPC (WMI), Windows Event Log, Windows File log, SNMP Traps, SSH File Log, Telnet File Log, Kafka, NATS, TCP, UDP

Syslog (TCP/UDP), SNMP (Trap), Cisco NetFlow, DCE/RPC (WMI), CIFS/SMB (RPC), DCOM (RPC), SSH, Telnet, OPSEC LEA, VMware API, ODBC API, CEF, REST API, Custom Event Collector

Syslog, Syslog-ng, HTTP(S), SQL, ODBC, WMI, FTP, SFTP, SSH, SCP, OPsec, CEF, MEF, RPC, Windows Event Log, Windows File log, Checkpoint LEA, SSH File Log, Telnet

File Log

Syslog, Syslog-ng, SNMPv2, SQL, ODBC, xFlow, CEF, Windows Event Log, Checkpoint LEA, SNMP Traps и др.

Syslog, HTTP(S), JDBC, netFlow, CEF, LEEF, WEF, Windows Event Log, File log, SNMP Traps, ODATA, SOAP, Beats

Метод сбора событий с источников

Агентский и безагентский

Агентский и безагентский

Агентский и безагентский

Агентский и безагентский

Агентский и безагентский

Хранение сырых событий

Да

Да

Да

Нет

Да

Возможность указания срока хранения событий

Да

Да

Да

Да

Да

Коэффициент сжатия при хранении сырых событий

До 40%

1:7 (LogSpace), 1:3 (Elasticsearch)

20–30%

Динамический

50–70%

Нормализация и обогащение событий

Единый интерфейс для контроля и управления нормализацией

Да

Да

Да

Да

Да

Автоматическая нормализация

При сборе и отображении

При сборе и отображении

При сборе и отображении

При сборе и отображении

При сборе и отображении

Поддерживаемые форматы нормализации

CEF / RFC 5424 / RFC 3164 / EVTX / JSON / CSV / Key-Value / XML / *flow / SQL / Regexp

TEXT / TABULAR / JSON / XML

CEF / RFC 5424 / RFC 3164 / EVTX

CEF / RFC 5424 / RFC 3164

Своя схема данных / CEF / RFC 5424 / RFC 3164 / EVTX

Использование регулярных выражений для нормализации

Да

Да

В разработке

Да

Да

Приведение событий к единой временной зоне

Да

Да

Да

Нет

Да

Коэффициент сжатия при хранении нормализованных событий

До 40%

1:10 (LogSpace), 1:3 (Elasticsearch)

20–30%

Динамический

50–70%

Корреляция и применение правил

Единый интерфейс для анализа событий

Да

Да

Да

Да

Да

Потоковая корреляция в реальном времени

Да

Да

Да

Да

Да

Количество предустановленных правил корреляции

Более 200

Более 500

Более 400

Более 350

Более 150

Возможность добавления новых правил корреляции

Визуальный режим

Визуальный режим и скриптовый язык

Визуальный режим и скриптовый язык

Визуальный режим

Скриптовый язык

Автоматическая приоритизация инцидентов

Да

Да

Да

Да

Да

Управление активами

Единый интерфейс для управления активами

Да

Да

Да

Нет

Да

Автоматическое добавление активов

Да

Да

Да

Да

Да

Ручное создание активов

Да

Да

Да

Нет

Да

Просмотр истории изменений актива

Да

Да

В разработке

Нет

Нет

Автоматическое построение топологии сети

Нет

Да

В разработке

Нет

Нет

Привязка поступивших в систему событий к активам

Да

Да

В разработке

Да

Да

Оповещения и расследования

Автоматическое оповещение об инциденте

SMTP, API, E-mail, скрипты

SMTP, webhook, API

SMTP, API, E-mail, скрипты

E-mail, Telegram

SMTP, API, file, webhook, Telegram

Инструменты для проведения расследований

Да

Да

Да

Да

Да

Анализ действий пользователей

Да

Да

Да

Да

Да

Отчеты, поиск и аналитика

Предустановленные отчеты

Да

Да

Да

Да

Да

Встроенный конструктор отчетов

Да

Да

Да

Да

Да

Рассылка отчетов по расписанию

Да

Да

Да

Нет

Да

Оперативный поиск событий

Да

Да

Да

Да

Да

Группировка событий

Да

Да

Да

Да

Да

Интеграции

Коробочная интеграция с ИБ-системами

IRP, SOAR, TIP

IRP, SOAR

IRP

IRP, DLP, DCAP

IRP, SOAR, TIP, SD

Интеграция с MITRE ATT&CK

Да

Да

В разработке

Нет

Да

Интеграция с ГосСОПКА

Да

Да

Да

Да

Да

Архитектура и сопровождение

Поддерживаемые ОС

Astra Linux Special Edition, Oracle Linux

Windows Server 2012, 2012 R2, 2016, 2019, Debian 10, Astra Linux Special Edition 1.7

Ubuntu Server 18.04 amd64, Astra Linux

Для работы – Windows Server 2012 или новее, сбор данных – Windows Server 2008 R2 SP3 или новее, Linux после 2011 г.

Ubuntu Linux

Поддерживаемые СУБД

 ClickHouse

 Elasticsearch, LogSpace, Postgres

 

Для хранения событий MongoDB, вспомогательная рабочая – MS SQL (Express-версия) или PostgreSQL 

 PostgreSQL, Elasticsearch

Необходимость приобретения лицензий сторонних вендоров (кроме ОС и СУБД)

 Нет

 Нет

Нет 

 Нет

 Нет

Ролевая модель разграничения доступа

Да 

Да 

 Да

 Да

 Да

Минимальное количество серверов для установки

 1

 1

 1

 1

 1

Возможности по резервированию

 Active-Active

 Active-Passive

Active-Passive / Active-Active

Active-Passive / Active-Active

Active-Active 

Журналирование изменений объектов в системе

От пользователей и от системы

От пользователей и от системы

От пользователей и от системы

От системы

От пользователей и от системы

Дополнительные модули системы

Модули поддержки *flow, интеграции данных о киберугрозах, интеграции с ГосСОПКА

M-Scan (многопоточный антивирус), NAD (глубокий анализ сетевого трафика)

Аналитика, индикаторы компрометации, мониторинг

 

UEBA, IOC watcher (поточная и ретро проверка по IOC, прием TI feed), MSAD sync (импорт и синхронизация инвентаризационной информации), Census (автоинвентаризация по потоку)

SLA техподдержки

24х7

8x5 / 24х7

8x5 / 24х7

8x5 / по условиям договора

8x5 

Формат техподдержки

Телефон, E-mail, веб-портал

Телефон, E-mail, онлайн

Телефон, E-mail, онлайн

По условиям договора

Телефон, E-mail, онлайн

 Приобретение

Модель тарификации

Срочные лицензии от 1 года

Срочная или бессрочная лицензия

Приобретение или подписная модель

Приобретение или подписная модель

Приобретение или подписная модель для MSS-провайдеров

Факторы влияющие на стоимость

Объем обрабатываемых событий в секунду (EPS), дополнительные модули

Количество активов, объем обрабатываемых событий в секунду (EPS), дополнительные модули

Фиксированная стоимость

Количество контролируемых узлов

 

Пробный период или пилот

Обсуждается индивидуально

Пилотный проект до 3 месяцев

Пилотный проект до 2 месяцев

Пробный период 1 месяц

Пилотный проект до 3 месяцев

Сайт с подробностями решения

https://rusiem.com 

https://searchinform.ru 

https://ngrsoftlab.ru/alertix 

Производители SIEM-решений

РУСИЕМ

Тел.: +7 (495) 748-8311
E-mail: info@rusiem.com
www.rusiem.com 

 

СЁРЧИНФОРМ

121069, Москва, Скатертный пер., 8/1, стр. 1, этаж 2
Тел.: +7 (495) 721-8406, +7 (495) 721-8406, доб. 125 (техническая поддержка)
E-mail: info@searchinform.ru
www.searchinform.ru

POSITIVE TECHNOLOGIES

107061, Москва, Преображенская пл., 8
Тел.: +7 (495) 744-0144
E-mail: pt@ptsecurity.com
www.ptsecurity.com/ru-ru/ 

 

USERGATE

630090, Новосибирск, Центр Информационных Технологий, Технопарк Академгородка, ул. Николаева, 11, 6 этаж
Тел.: 8 (800) 500-4032, +7 (383) 286-2913
E-mail: sales@usergate.ru
www.usergate.ru 

 

NGR SOFTLAB

121087, Москва, ул. Барклая, 6, стр. 5, БЦ "Барклай Плаза", 3 этаж, офис 306
Тел.: +7 (495) 269-29-59
E-mail: info@ngrsoftlab.ru      
www.ngrsoftlab.ru