Найти тему
TS Solution
531 подписчик

Задача — мониторинг сети: знакомимся с российскими SIEM

137
5 мин
Оглавление

Сегодня использование SIEM-систем не только решает задачи по защите бизнеса, но и входит в число обязательных систем информационной безопасности по целому ряду стандартов и требований регуляторов:

  • Стандарт ГОСТ Р ИСО/МЭК 27002-2021 (с 30.11.2021);
  • ФЗ-187;
  • Приказ ФСТЭК 21, 31;
  • ГОСТ Р 57580.1 и другие.

Чтобы плодотворно решать задачи, связанные с SIEM, давайте разберемся:

  • что такое SIEM-система,
  • какую миссию выполняет,
  • познакомимся с ведущими вендорами,
  • узнаем с чего все начиналось.

Задачи и миссия SIEM-систем

В любой организации большое количество различных систем, которые генерируют еще большее количество логов: миллионы, десятки миллионов, сотни миллионов событий. И требуется каким-то образом отслеживать и обрабатывать эти события.

SIEM (Security Information and Event Management) представляет собой инструмент мониторинга, который собирает максимум информации со всех систем, интересных для специалиста информационной безопасности.

SIEM-системы используются для построения центров оперативного управления (Security Operations Center, SOC), основными задачами которых являются консолидация событий из множества источников, аналитика и оповещение уполномоченных сотрудников об инцидентах информационной безопасности.

На первом этапе SIEM-система собирает все данные, нормализует, приводит в понятный для администратора безопасности вид. Вторым пунктом она фильтрует данные, отсеивая ненужную информацию. Затем происходит агрегация событий, то есть события назначенным образом объединяются между собой. И на последнем этапе идет корреляция событий. Берутся события с разных систем, коррелируются и на выходе получаются только важные события. Число событий на входе и на выходе системы отличается на порядок, а то и больше.

При корректном внедрении SIEM существенно повышается общий уровень защищенности и выявления инцидентов информационной безопасности. Администратор безопасности может сфокусироваться на тех событиях, которые представляют угрозы, а не отслеживать огромное количество записей, большая часть которых бесполезна.

Задачи, решаемые SIEM-системой

  1. Улучшение эффективности контроля процессов информационной безопасности;
  2. Обнаружение в режиме реального времени атак и нарушения критериев политик безопасности;
  3. Сбор, обработка и анализ событий безопасности, поступающих в систему из множества источников;
  4. Оценка защищенности критически важных ресурсов Формирование отчетных документов.

Игроки отечественного рынка

Большие корпорации нуждаются в решении, которое отвечало бы их требованиям по производительности, масштабируемости и отказоустойчивости. Коммерческий сектор отдает свое предпочтение продуктам с лучшим соотношением «цена-качество».

Государственные учреждения в дополнение ко всему перечисленному обращают внимание на сертификаты соответствия требованиям регуляторов.

Мы выделили трёх вендоров с наивысшими показателями по уровню технологий/эффективности и числу заказчиков:

  • KOMRAD Enterprise SIEM
  • RUSIEM
  • MaxPatrol SIEM

КОМРАД

Отечественная SIEM-система компании НПО «Эшелон», которая осуществляет централизованный мониторинг событий ИБ, выявляет инциденты ИБ, реагирует на возникающие угрозы и выполняет требования, предъявляемые регуляторами к защите персональных данных.

Преимуществами использования данной системы можно считать:

  • Поддержку большого количества платформ;
  • Своевременное информирование и реагирование на различные виды угроз;
  • Возможность гибкой настройки;
  • Удаленное управление конфигурациями;
  • Сбор информации с нестандартных источников событий.
Архитектура ПК «Комрад»
Архитектура ПК «Комрад»
Актуальная сертифицированная версия — KOMRAD Enterprise SIEM (КОМРАД 4)

RUSIEM

Основное преимущество RUSIEM мы видим в невысокой стоимости внедрения и поддержки, а также богатой функциональности. Существует три версии продукта: RuSIEM free, RuSIEM и RuSIEM Analytics.

  • RuSIEM free — бесплатно распространяемая версия с урезанным функционалом.
  • RuSIEM — версия, имеющая расширенные возможности корреляции, инцидент-менеджмента и риск-менеджмента, то есть являющаяся полноценной системой класса SIEM.
  • RuSIEM Analytics дополняет RuSIEM возможностями по управлению активами и выявлению аномалий на базе машинного обучения.

Видимыми отличиями от конкурирующих компаний являются: сохранение исходных RAW-событий, собственные модульные агенты и высокая производительность (более 90000 событий на одну ноду). Также стоит отметить безлимитное количество источников информации и событий.

Архитектура RuSIEM
Архитектура RuSIEM
Актуальная сертифицированная версия — «Система управления событиями «RuSIEM»». Сертификат соответствия №4402.

MAXPATROL SIEM

Cистема, которая дает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.

Особенностью MaxPatrol SIEM является актив-ориентированный подход, который обеспечивает устойчивость работы системы к изменениям в ИТ-инфраструктуре компании. В продукте активы разбиваются по динамическим группам согласно сформулированным при создании групп критериям.

В отличие от классических SIEM-систем, она не нуждается в установке программных компонентов на узлах, что существенно облегчает процесс использования и снижает конечную стоимость владения. MaxPatrol SIEM обладает легко настраиваемой системой и разграничением прав доступа, что даёт возможность формировать мониторинг ИБ на каждом из уровней иерархии.

Архитектура MaxPatrol SIEM
Архитектура MaxPatrol SIEM
Актуальная сертифицированная версия — MaxPatrol SIEM 23.0. Сертификат соответствия №3734


Выводы

К менеджменту инцидентов информационной безопасности предъявляются все большие требования бизнеса и регуляторов. SIEM-системы помогают обеспечить последовательный и эффективный подход к работе с инцидентами ИБ, чем значительно облегчают жизнь администраторов по безопасности.

Российские SIEM-системы развиваются стремительными шагами и меньше, чем за 10 лет догнали и перегнали зарубежных вендоров во многих аспектах. С тремя из них мы познакомились в этой статье. Подбор и тестирование SIEM на своей инфраструктуре, задача не из простых. Задать вопросы, понять какая система решит ваши задачи и будет соответствовать всем требованиям вы можете бесплатно, обратившись к нашим инженерам и специалистам по технической защите информации.

В следующей статье будет подробно рассмотрено развитие RUSIEM. Подписывайтесь, чтобы не пропустить.

#информационная безопасность #it #Siem #it-технологии #информационные технологии #сетевые технологии #системное администрирование

1
Взгляните на эти темы
Экономика
Технологии и IT
Найти тему
Гаджеты и электроника
Бизнес и финансы
Недвижимость
Энергетика и электросети
Экономическая аналитика
Инвестиции
Банковские услуги
Бизнес и предпринимательство
Рынок труда
Цифровая экономика
Промышленность
Товары и цены
Налоги и вычеты
Льготы и пособия
Центральный банк
Предприниматели
Социальные сети и мессенджеры
Языки программирования
Экономика
10,02 млн интересуются