Эволюция SIEM в России происходит под влиянием нескольких важных факторов. В их числе - поиск путей для перехода к Next Generation SIEM. Что об этом говорят производители и интеграторы SIEM:
Системы безопасности информации и управления событиями (SIEM) используются для обнаружения и реагирования на угрозы информационной безопасности в компьютерных сетях и системах.
SIEM позволяет собирать и анализировать информацию из различных источников, таких как логи сетевых устройств, приложений и операционных систем, а также информацию о пользовательской активности. Эти данные затем обрабатываются и сравниваются с заданными параметрами безопасности, чтобы обнаружить потенциальные угрозы и необычное поведение пользователей.
За последние годы SIEM-система из нишевого решения превратилась в “мастхэв”-продукт для многих компаний. Подстегивали этот процесс ФЗ-187 и постоянный рост киберугроз, которые невозможно контролировать вручную в большой ИТ-инфраструктуре. В 2022 г. компаниям добавляет проблем экстренное импортозамещение.
С ИТ-рынка уже ушли ключевые вендоры (IBM, HP, Microsoft, Oracle, Fortinet), и до сих пор сохраняется риск того, что и некоторые другие зарубежные разработчики свернут свою деятельность в РФ. Эта ситуация создает для российских пользователей множество рисков, ведь у зарубежных поставщиков остается возможность удаленно отключать программный функционал. Другими словами, предоставление услуг может быть остановлено в одностороннем порядке, до истечения сроков лицензий.
Из-за активного использования VPN-сервисов, загрузка которых увеличилась на 1268%, наблюдается рост инсайдерских рисков. Кроме того, актуальными являются проблемы контроля обновления ПО в сочетании с риском, что это же обновление сделает из оборудования бесполезный кусок железа.
За что хвататься ИТ- и ИБ-специалисту? Сколько времени он должен тратить, переключаясь из консоли в консоль различных защитных решений?
В этой ситуации SIEM-системы приобретают особую актуальность, потому что позволяют объединить в себе функционал различных решений: работать со всеми логами из одного окна, видеть взаимосвязи между этими логами, распознавая в их цепочке инцидент и оповещая о нем ИБ-специалиста.
Специалистов, работающих с SIEM, надо разделять по функционалу: администрирующий персонал (поддержание работоспособности, управление пользователями и т.д.), операторов, работающих с событиями (подключение источников, написание правил корреляции, нормализации и т.д.) и SOC/CERT (расследование инцидентов, реагирование). И уже отталкиваясь от такого разделения, следует определять требования по количеству и подготовке персонала.
Инженер занимается поддержкой работоспособности SIEM, внесением изменений. Минимальное количество SIEM-инженеров – 2, для обеспечения отказоустойчивости. Аналитики разбирают срабатывания SIEM, их потребуется от 2 до 5, в зависимости от режима работы (8х5 или 24х7), а далее количество масштабируется в зависимости от потока алертов и инцидентов. Исследователь занимается разработкой новых и отладкой существующих методов детектирования. Для начала хватит одного исследователя.
Эволюция SIEM в России происходит под влиянием нескольких важных факторов. В их числе - поиск путей для перехода к Next Generation SIEM. Что об этом говорят производители и интеграторы SIEM:
Название решения |
Kaspersky Unified Monitoring and Analysis Platform (KUMA) |
MaxPatrol SIEM |
RuSIEM |
SearchInform SIEM |
Alertix |
---|---|---|---|---|---|
Компания-разработчик |
Лаборатория Касперского, Россия |
Positive Technologies, Россия |
ООО "РуСИЕМ" (RuSIEM), Россия |
"СёрчИнформ", Росия |
NGR Softlab, Россия |
Компания, предоставившая информацию |
Лаборатория Касперского |
Positive Technologies |
ООО "РуСИЕМ" |
"СёрчИнформ" |
NGR Softlab |
Год появления на российском рынке |
2019 |
2015 |
2014 |
2016 |
2019 |
Поддержка интерфейса на русском языке |
Да |
Да |
Да |
Да |
Да |
Поддержка интерфейса на других языках |
Английский |
Английский |
Английский |
Английский |
Нет |
Сертификаты, патенты и лицензии |
Реестр российского ПО; сертификат ФСТЭК по 4 УД, свидетельство о государственной регистрации программ для ЭВМ |
Реестр российского ПО; сертификаты соответствия ФСТЭК России, Республики Казахстан, Республики Беларусь |
Реестр российского ПО; |
Реестр российского ПО; сертификат ФСТЭК; лицензия ФСБ; лицензии ФСТЭК |
|
Позиционирование |
SIEM-система, центральный элемент единой платформы безопасности, взаимодействует с продуктами "Лаборатории Касперского" и др. поставщиков |
MaxPatrol SIEM дает полную видимость ИТ-инфраструктуры и выявляет инциденты информационной безопасности |
Решение для области мониторинга |
Простая в управлении "коробочная" SIEM со сканером уязвимостей, incident manage- ment и ГосСОПКА. Для компаний любой структуры и масштаба |
Платформа сбора, обработки и поиска по данным с набором инструментов, достаточным для выстраивания SOC |
Актуальная версия |
2.0 |
7.0 |
3.6.0 |
3.0 |
3.4 |
Актуальная сертифицированная версия |
1.5 |
6.2 |
RuSIEM |
3.0 |
|
Централизованный сбор и хранение событий |
|||||
Единый интерфейс для контроля и управления источниками событий |
Да |
Да |
Да |
Да |
Да |
Количество поддерживаемых источников из коробки |
Более 100 |
Более 300 |
Более 350 |
Более 30 |
76 |
Автообнаружение источников |
Да |
Да |
Да |
Да |
Да |
Возможность самостоятельной разработки парсеров для нестандартных источников |
Есть конструктор |
Есть конструктор, или интегратор / вендор сделают по запросу |
Есть конструктор, или вендор сделает по запросу |
Конструктор либо PowerShell |
Есть редактор |
Подключение другой SIEM в качестве источника |
Да |
Да |
Да |
Да |
Да |
Перенаправление потока событий в другую SIEM |
Да |
Да |
Да |
Да |
Да |
Поддерживаемые протоколы и форматы |
Syslog, Syslog-ng, SNMPv2, HTTP(S), SQL, ODBC, WMI, FTP, SFTP, xFlow, sFlow, IPFIX, CEF, RPC (WMI), Windows Event Log, Windows File log, SNMP Traps, SSH File Log, Telnet File Log, Kafka, NATS, TCP, UDP |
Syslog (TCP/UDP), SNMP (Trap), Cisco NetFlow, DCE/RPC (WMI), CIFS/SMB (RPC), DCOM (RPC), SSH, Telnet, OPSEC LEA, VMware API, ODBC API, CEF, REST API, Custom Event Collector |
Syslog, Syslog-ng, HTTP(S), SQL, ODBC, WMI, FTP, SFTP, SSH, SCP, OPsec, CEF, MEF, RPC, Windows Event Log, Windows File log, Checkpoint LEA, SSH File Log, Telnet File Log |
Syslog, Syslog-ng, SNMPv2, SQL, ODBC, xFlow, CEF, Windows Event Log, Checkpoint LEA, SNMP Traps и др. |
Syslog, HTTP(S), JDBC, netFlow, CEF, LEEF, WEF, Windows Event Log, File log, SNMP Traps, ODATA, SOAP, Beats |
Метод сбора событий с источников |
Агентский и безагентский |
Агентский и безагентский |
Агентский и безагентский |
Агентский и безагентский |
Агентский и безагентский |
Хранение сырых событий |
Да |
Да |
Да |
Нет |
Да |
Возможность указания срока хранения событий |
Да |
Да |
Да |
Да |
Да |
Коэффициент сжатия при хранении сырых событий |
До 40% |
1:7 (LogSpace), 1:3 (Elasticsearch) |
20–30% |
Динамический |
50–70% |
Нормализация и обогащение событий |
|||||
Единый интерфейс для контроля и управления нормализацией |
Да |
Да |
Да |
Да |
Да |
Автоматическая нормализация |
При сборе и отображении |
При сборе и отображении |
При сборе и отображении |
При сборе и отображении |
При сборе и отображении |
Поддерживаемые форматы нормализации |
CEF / RFC 5424 / RFC 3164 / EVTX / JSON / CSV / Key-Value / XML / *flow / SQL / Regexp |
TEXT / TABULAR / JSON / XML |
CEF / RFC 5424 / RFC 3164 / EVTX |
CEF / RFC 5424 / RFC 3164 |
Своя схема данных / CEF / RFC 5424 / RFC 3164 / EVTX |
Использование регулярных выражений для нормализации |
Да |
Да |
В разработке |
Да |
Да |
Приведение событий к единой временной зоне |
Да |
Да |
Да |
Нет |
Да |
Коэффициент сжатия при хранении нормализованных событий |
До 40% |
1:10 (LogSpace), 1:3 (Elasticsearch) |
20–30% |
Динамический |
50–70% |
Корреляция и применение правил |
|||||
Единый интерфейс для анализа событий |
Да |
Да |
Да |
Да |
Да |
Потоковая корреляция в реальном времени |
Да |
Да |
Да |
Да |
Да |
Количество предустановленных правил корреляции |
Более 200 |
Более 500 |
Более 400 |
Более 350 |
Более 150 |
Возможность добавления новых правил корреляции |
Визуальный режим |
Визуальный режим и скриптовый язык |
Визуальный режим и скриптовый язык |
Визуальный режим |
Скриптовый язык |
Автоматическая приоритизация инцидентов |
Да |
Да |
Да |
Да |
Да |
Управление активами |
|||||
Единый интерфейс для управления активами |
Да |
Да |
Да |
Нет |
Да |
Автоматическое добавление активов |
Да |
Да |
Да |
Да |
Да |
Ручное создание активов |
Да |
Да |
Да |
Нет |
Да |
Просмотр истории изменений актива |
Да |
Да |
В разработке |
Нет |
Нет |
Автоматическое построение топологии сети |
Нет |
Да |
В разработке |
Нет |
Нет |
Привязка поступивших в систему событий к активам |
Да |
Да |
В разработке |
Да |
Да |
Оповещения и расследования |
|||||
Автоматическое оповещение об инциденте |
SMTP, API, E-mail, скрипты |
SMTP, webhook, API |
SMTP, API, E-mail, скрипты |
E-mail, Telegram |
SMTP, API, file, webhook, Telegram |
Инструменты для проведения расследований |
Да |
Да |
Да |
Да |
Да |
Анализ действий пользователей |
Да |
Да |
Да |
Да |
Да |
Отчеты, поиск и аналитика |
|||||
Предустановленные отчеты |
Да |
Да |
Да |
Да |
Да |
Встроенный конструктор отчетов |
Да |
Да |
Да |
Да |
Да |
Рассылка отчетов по расписанию |
Да |
Да |
Да |
Нет |
Да |
Оперативный поиск событий |
Да |
Да |
Да |
Да |
Да |
Группировка событий |
Да |
Да |
Да |
Да |
Да |
Интеграции |
|||||
Коробочная интеграция с ИБ-системами |
IRP, SOAR, TIP |
IRP, SOAR |
IRP |
IRP, DLP, DCAP |
IRP, SOAR, TIP, SD |
Интеграция с MITRE ATT&CK |
Да |
Да |
В разработке |
Нет |
Да |
Интеграция с ГосСОПКА |
Да |
Да |
Да |
Да |
Да |
Архитектура и сопровождение |
|||||
Поддерживаемые ОС |
Astra Linux Special Edition, Oracle Linux |
Windows Server 2012, 2012 R2, 2016, 2019, Debian 10, Astra Linux Special Edition 1.7 |
Ubuntu Server 18.04 amd64, Astra Linux |
Для работы – Windows Server 2012 или новее, сбор данных – Windows Server 2008 R2 SP3 или новее, Linux после 2011 г. |
Ubuntu Linux |
Поддерживаемые СУБД |
ClickHouse |
Elasticsearch, LogSpace, Postgres |
|
Для хранения событий MongoDB, вспомогательная рабочая – MS SQL (Express-версия) или PostgreSQL |
PostgreSQL, Elasticsearch |
Необходимость приобретения лицензий сторонних вендоров (кроме ОС и СУБД) |
Нет |
Нет |
Нет |
Нет |
Нет |
Ролевая модель разграничения доступа |
Да |
Да |
Да |
Да |
Да |
Минимальное количество серверов для установки |
1 |
1 |
1 |
1 |
1 |
Возможности по резервированию |
Active-Active |
Active-Passive |
Active-Passive / Active-Active |
Active-Passive / Active-Active |
Active-Active |
Журналирование изменений объектов в системе |
От пользователей и от системы |
От пользователей и от системы |
От пользователей и от системы |
От системы |
От пользователей и от системы |
Дополнительные модули системы |
Модули поддержки *flow, интеграции данных о киберугрозах, интеграции с ГосСОПКА |
M-Scan (многопоточный антивирус), NAD (глубокий анализ сетевого трафика) |
Аналитика, индикаторы компрометации, мониторинг |
|
UEBA, IOC watcher (поточная и ретро проверка по IOC, прием TI feed), MSAD sync (импорт и синхронизация инвентаризационной информации), Census (автоинвентаризация по потоку) |
SLA техподдержки |
24х7 |
8x5 / 24х7 |
8x5 / 24х7 |
8x5 / по условиям договора |
8x5 |
Формат техподдержки |
Телефон, E-mail, веб-портал |
Телефон, E-mail, онлайн |
Телефон, E-mail, онлайн |
По условиям договора |
Телефон, E-mail, онлайн |
Приобретение |
|||||
Модель тарификации |
Срочные лицензии от 1 года |
Срочная или бессрочная лицензия |
Приобретение или подписная модель |
Приобретение или подписная модель |
Приобретение или подписная модель для MSS-провайдеров |
Факторы влияющие на стоимость |
Объем обрабатываемых событий в секунду (EPS), дополнительные модули |
Количество активов, объем обрабатываемых событий в секунду (EPS), дополнительные модули |
Фиксированная стоимость |
Количество контролируемых узлов |
|
Пробный период или пилот |
Обсуждается индивидуально |
Пилотный проект до 3 месяцев |
Пилотный проект до 2 месяцев |
Пробный период 1 месяц |
Пилотный проект до 3 месяцев |
Сайт с подробностями решения |
РУСИЕМ
Тел.: +7 (495) 748-8311
E-mail: info@rusiem.com
www.rusiem.com
СЁРЧИНФОРМ
121069, Москва, Скатертный пер., 8/1, стр. 1, этаж 2
Тел.: +7 (495) 721-8406, +7 (495) 721-8406, доб. 125 (техническая поддержка)
E-mail: info@searchinform.ru
www.searchinform.ru
POSITIVE TECHNOLOGIES
107061, Москва, Преображенская пл., 8
Тел.: +7 (495) 744-0144
E-mail: pt@ptsecurity.com
www.ptsecurity.com/ru-ru/
USERGATE
630090, Новосибирск, Центр Информационных Технологий, Технопарк Академгородка, ул. Николаева, 11, 6 этаж
Тел.: 8 (800) 500-4032, +7 (383) 286-2913
E-mail: sales@usergate.ru
www.usergate.ru
NGR SOFTLAB
121087, Москва, ул. Барклая, 6, стр. 5, БЦ "Барклай Плаза", 3 этаж, офис 306
Тел.: +7 (495) 269-29-59
E-mail: info@ngrsoftlab.ru
www.ngrsoftlab.ru
Copyright © 2023, ООО "ГРОТЕК"