- Что представляет собой система и какую миссию выполняет;
- Основные технические характеристики трех ведущих систем российского рынка;
- Актуальные версии, сертифицированные ФСТЭК;
- Знаковые события в исторической справке.
Сегодня использование SIEM-систем не только решает задачи по защите бизнеса, но и входит в число обязательных систем информационной безопасности по целому ряду стандартов и требований регуляторов:
Чтобы плодотворно решать задачи, связанные с SIEM, давайте разберемся что такое SIEM-система, какую миссию выполняет, познакомимся с ведущими вендорами и узнаем с чего все начиналось.
- Стандарт ГОСТ Р ИСО/МЭК 27002-2021 (с 30.11.2021);
- ФЗ-187;
- Приказ ФСТЭК 21, 31;
- ГОСТ Р 57580.1 и другие.
Чтобы плодотворно решать задачи, связанные с SIEM, давайте разберемся что такое SIEM-система, какую миссию выполняет, познакомимся с ведущими вендорами и узнаем с чего все начиналось.
Задачи и миссия SIEM-систем
В любой организации большое количество различных систем, которые генерируют еще большее количество логов: миллионы, десятки миллионов, сотни миллионов событий. И требуется каким-то образом отслеживать и обрабатывать эти события.
SIEM-системы используются для построения центров оперативного управления (Security Operations Center, SOC), основными задачами которых являются консолидация событий из множества источников, аналитика и оповещение уполномоченных сотрудников об инцидентах информационной безопасности.
На первом этапе SIEM-система собирает все данные, нормализует, приводит в понятный для администратора безопасности вид. Вторым пунктом она фильтрует данные, отсеивая ненужную информацию. Затем происходит агрегация событий, то есть события назначенным образом объединяются между собой. И на последнем этапе идет корреляция событий. Берутся события с разных систем, коррелируются и на выходе получаются только важные события. Число событий на входе и на выходе системы отличается на порядок, а то и больше.
При корректном внедрении SIEM существенно повышается общий уровень защищенности и выявления инцидентов информационной безопасности. Администратор безопасности может сфокусироваться на тех событиях, которые представляют угрозы, а не отслеживать огромное количество записей, большая часть которых бесполезна.
SIEM-системы используются для построения центров оперативного управления (Security Operations Center, SOC), основными задачами которых являются консолидация событий из множества источников, аналитика и оповещение уполномоченных сотрудников об инцидентах информационной безопасности.
На первом этапе SIEM-система собирает все данные, нормализует, приводит в понятный для администратора безопасности вид. Вторым пунктом она фильтрует данные, отсеивая ненужную информацию. Затем происходит агрегация событий, то есть события назначенным образом объединяются между собой. И на последнем этапе идет корреляция событий. Берутся события с разных систем, коррелируются и на выходе получаются только важные события. Число событий на входе и на выходе системы отличается на порядок, а то и больше.
При корректном внедрении SIEM существенно повышается общий уровень защищенности и выявления инцидентов информационной безопасности. Администратор безопасности может сфокусироваться на тех событиях, которые представляют угрозы, а не отслеживать огромное количество записей, большая часть которых бесполезна.
Задачи, решаемые SIEM-системой
- Улучшение эффективности контроля процессов информационной безопасности;
- Обнаружение в режиме реального времени атак и нарушения критериев политик безопасности;
- Сбор, обработка и анализ событий безопасности, поступающих в систему из множества источников;
- Оценка защищенности критически важных ресурсов Формирование отчетных документов.
Игроки отечественного рынка
Большие корпорации нуждаются в решении, которое отвечало бы их требованиям по производительности, масштабируемости и отказоустойчивости. Коммерческий сектор отдает свое предпочтение продуктам с лучшим соотношением «цена-качество».
Государственные учреждения в дополнение ко всему перечисленному обращают внимание на сертификаты соответствия требованиям регуляторов.
Мы выделили трёх вендоров с наивысшими показателями по уровню технологий/эффективности и числу заказчиков:
Государственные учреждения в дополнение ко всему перечисленному обращают внимание на сертификаты соответствия требованиям регуляторов.
Мы выделили трёх вендоров с наивысшими показателями по уровню технологий/эффективности и числу заказчиков:
- KOMRAD Enterprise SIEM
- RUSIEM
- MaxPatrol SIEM
RUSIEM
Основное преимущество RUSIEM мы видим в невысокой стоимости внедрения и поддержки, а также богатой функциональности. Существует три версии продукта: RuSIEM free, RuSIEM и RuSIEM Analytics.
Видимыми отличиями от конкурирующих компаний являются: сохранение исходных RAW-событий, собственные модульные агенты и высокая производительность (более 90000 событий на одну ноду). Также стоит отметить безлимитное количество источников информации и событий.
Подробную историю развития RuSIEM можно прочитать здесь.
- RuSIEM free — бесплатно распространяемая версия с урезанным функционалом.
- RuSIEM — версия, имеющая расширенные возможности корреляции, инцидент-менеджмента и риск-менеджмента, то есть являющаяся полноценной системой класса SIEM.
- RuSIEM Analytics дополняет RuSIEM возможностями по управлению активами и выявлению аномалий на базе машинного обучения.
Видимыми отличиями от конкурирующих компаний являются: сохранение исходных RAW-событий, собственные модульные агенты и высокая производительность (более 90000 событий на одну ноду). Также стоит отметить безлимитное количество источников информации и событий.
Подробную историю развития RuSIEM можно прочитать здесь.
Выводы
К менеджменту инцидентов информационной безопасности предъявляются все большие требования бизнеса и регуляторов. SIEM-системы помогают обеспечить последовательный и эффективный подход к работе с инцидентами ИБ, чем значительно облегчают жизнь администраторов по безопасности.
Российские SIEM-системы развиваются стремительными шагами и меньше, чем за 10 лет догнали и перегнали зарубежных вендоров во многих аспектах. С тремя из них мы познакомились в этой статье. Подбор и тестирование SIEM на своей инфраструктуре, задача не из простых. Задать вопросы, понять какая система решит ваши задачи и будет соответствовать всем требованиям вы можете бесплатно, обратившись к нашим инженерам и специалистам по технической защите информации.
Российские SIEM-системы развиваются стремительными шагами и меньше, чем за 10 лет догнали и перегнали зарубежных вендоров во многих аспектах. С тремя из них мы познакомились в этой статье. Подбор и тестирование SIEM на своей инфраструктуре, задача не из простых. Задать вопросы, понять какая система решит ваши задачи и будет соответствовать всем требованиям вы можете бесплатно, обратившись к нашим инженерам и специалистам по технической защите информации.
