Вы когда‑нибудь тратили дни на то, чтобы заставить межсетевой экран одного производителя «говорить» с SIEM‑системой другого? Если вы занимаетесь внедрением IT‑решений, скорее всего — да.
Интеграция разнородных систем безопасности — одна из самых болезненных задач для интеграторов. Представьте: заказчик хочет видеть логи межсетевого экрана в своей SIEM‑системе, но решения выпущены разными вендорами. Что происходит дальше?
Типичные сложности интеграции
1. Несовместимые форматы логов. Каждый производитель использует свои схемы и структуры данных. SIEM не может автоматически распознать и обработать информацию, если она не соответствует ожидаемому формату.
2. Отсутствие готовых коннекторов. Часто приходится писать собственные скрипты для парсинга и нормализации логов — это требует глубоких знаний обеих систем и навыков программирования.
3. Долгая настройка и отладка. Даже после написания коннектора нужно проверить все сценарии, выявить и исправить ошибки. Процесс может растянуться на недели.
4. Проблемы с обновлениями. При выпуске новых версий межсетевого экрана или SIEM скрипт может перестать работать — его придётся дорабатывать заново.
5. Ресурсоёмкость. На интеграцию уходят часы работы высококвалифицированных специалистов. Это увеличивает стоимость проекта и сроки внедрения.
6. Риск ошибок и пропусков. Ручная настройка повышает вероятность пропустить важные события безопасности или исказить данные.
В итоге вместо того, чтобы сосредоточиться на стратегических задачах, команда интегратора вынуждена «возиться» с форматами данных и скриптами.
Решение есть: ИКС и KUMA
К счастью, есть вариант, который снимает большинство этих проблем: связка межсетевого экрана «Интернет Контроль Сервер» (ИКС) и KUMA (российская SIEM‑система).
Kaspersky Unified Monitoring and Analysis Platform (KUMA) разработана «Лабораторией Касперского». Это не просто SIEM‑система, а комплексная платформа для мониторинга, обнаружения и реагирования на киберугрозы, созданная с учётом специфики российского рынка и требований регуляторов (в т. ч. соответствия 152‑ФЗ, 187‑ФЗ и др.).
ИКС («Интернет Контроль Сервер») — это российский межсетевой экран нового поколения (NGFW), разработанный компанией «А‑Реал Консалтинг». Продукт включён в Единый реестр российского программного обеспечения (№ 322) и подходит для программ импортозамещения. Есть сертифицированная ФСТЭК версия межсетевого экрана (сертификат №4832).
ИКС предназначен для:
· защиты корпоративных и государственных сетей;
· управления интернет‑доступом и фильтрации трафика;
· построения VPN‑соединений;
· организации удалённого доступа для пользователей;
· контент‑фильтрации (в т. ч. по реестрам Роскомнадзора и Минюста).
«А-Реал Консалтинг» и «Лаборатория Касперского» - технологические партнеры. Антивирус и Антиспам Касперского используются в качестве модулей в межсетевом экране нового поколения (NGFW) ИКС. Разработчики предусмотрели и совместимость межсетевого экрана и SIEM-системы. И вот какие преимущества это даёт интегратору:
1. Готовые коннекторы и поддержка форматов. KUMA понимает логи ИКС, не требует написания дополнительных скриптов для парсинга. Передача логов осуществляется по протоколу Syslog (в т. ч. с поддержкой защищённого варианта Syslog over TLS).
2. Быстрая настройка. Процесс подключения занимает минуты: достаточно указать источник логов и выбрать готовый шаблон. Нет необходимости в длительной отладке.
3. Автоматическая нормализация данных. Все события безопасности приводятся к единому стандарту, что упрощает анализ и корреляцию.
4. Актуальность при обновлениях. При выпуске новых версий ИКС и KUMA вендоры гарантируют сохранение совместимости. Интегратору не нужно тратить время на доработку коннекторов после апдейтов.
5. Надёжность и полнота данных. Исключается человеческий фактор при настройке — все события фиксируются корректно, без пропусков.
6. Снижение затрат на внедрение. Сокращается время на интеграцию, уменьшается нагрузка на специалистов. Проект становится более предсказуемым по срокам и бюджету.
7. Удобство для заказчика. Клиент получает единую панель мониторинга, где видны все события безопасности, связанные с работой межсетевого экрана. Это повышает прозрачность и управляемость инфраструктуры.
Итог
Выбирая ИКС и KUMA, интегратор получает не два отдельных продукта, а готовое комплексное решение, экономит время, снижаете риски и может сосредоточиться на более сложных и интересных задачах.