В средней компании события безопасности одновременно поступают с десятков источников: серверы, рабочие станции, межсетевые экраны, антивирусы, базы данных, облачные сервисы. По отдельности эти журналы почти никто не читает — их слишком много. В результате попытка подбора паролей, доступ уволенного сотрудника или странная активность администратора растворяются в общем потоке и всплывают только после инцидента.

SIEM-система собирает эти разрозненные данные в одном месте, приводит к единому виду и связывает события между собой, чтобы за отдельными записями журналов проявилась картина атаки. Ниже разберём, что такое SIEM, как она работает, какие функции выполняет, кому нужна и по каким критериям её выбирать — с учётом российского рынка и требований регуляторов.

Что такое SIEM-система и для чего она нужна

SIEM (Security Information and Event Management — управление информацией и событиями безопасности) — это класс систем, которые собирают журналы событий со всей ИТ-инфраструктуры, анализируют их в реальном времени и выявляют признаки атак и нарушений. Иначе говоря, SIEM — это центр мониторинга, который видит всю инфраструктуру сразу и сигнализирует, когда происходит что-то опасное.

Аббревиатура объединяет две технологии, которые исторически развивались отдельно. SEM (Security Event Management) отвечала за сбор и анализ событий в реальном времени, SIM (Security Information Management) — за длительное хранение журналов и отчётность. В начале 2000-х их объединили в единый класс решений, и так появился термин SIEM, который сегодня используют как обозначение системы управления событиями информационной безопасности.

У SIEM есть чёткая граница. Это не антивирус и не межсетевой экран — система сама не блокирует трафик и не удаляет вредоносные файлы. SIEM работает уровнем выше: она собирает данные от всех средств защиты и инфраструктуры, сопоставляет их и показывает специалисту цельную картину происходящего.

Как работает SIEM: принцип работы по шагам

Принцип работы SIEM строится на конвейере обработки данных. Сырые записи журналов на входе превращаются в понятные инциденты на выходе. Процесс проходит несколько этапов.

Схема работы SIEM-системы: сбор, нормализация, обогащение, корреляция и регистрация инцидента
  1. Сбор данных. Система собирает события из десятков источников: операционных систем, сетевого оборудования, средств защиты, баз данных, приложений, облачных сервисов. Сбор идёт через агентов на конечных устройствах и без агентов — по протоколам Syslog, через API, WMI и подключение к базам данных.
  2. Нормализация. Каждый источник пишет журналы в своём формате. SIEM приводит их к единой структуре: унифицирует временные метки, IP-адреса, имена пользователей. Без этого шага события из разных систем невозможно сравнивать между собой.
  3. Обогащение. К событию добавляется контекст — кому принадлежит учётная запись, что это за устройство, откуда географически идёт подключение, числится ли адрес в списках известных угроз. Контекст помогает отличить рядовое действие от подозрительного.
  4. Корреляция. Ядро системы сопоставляет разрозненные события по правилам и моделям поведения. Отдельная неудачная попытка входа — это шум. Сотня попыток за минуту, а затем успешный вход и обращение к файловому хранилищу — это уже сценарий атаки, который SIEM собирает в один инцидент.
  5. Оповещение и регистрация инцидента. Когда правило срабатывает, система регистрирует инцидент, присваивает ему уровень критичности и уведомляет специалистов. События с дашборда попадают в очередь на разбор.
  6. Реагирование и расследование. Аналитик разбирает инцидент, поднимает историю событий, восстанавливает хронологию атаки. Если SIEM работает в связке с SOAR, часть реакций запускается автоматически по заранее заданным сценариям.

Ключевая ценность здесь — корреляция. Именно она превращает терабайты журналов, которые человек физически не способен прочитать, в короткий список инцидентов, требующих внимания.

Читайте также Межсетевой экран: что это такое простыми словами и чем отличается NGFW от традиционного firewall

Функции и задачи SIEM-системы

SIEM решает одну общую задачу — даёт службе безопасности видимость всего, что происходит в инфраструктуре. Из этой задачи вырастают конкретные функции.

  • Централизованный сбор и хранение журналов. Все события собираются в одном месте и хранятся столько, сколько требуют регламенты и регуляторы. Это основа для расследований и аудита.
  • Нормализация и обогащение событий. Приведение данных к единому виду и добавление контекста, без которых анализ разнородных источников невозможен.
  • Корреляция и выявление инцидентов. Связывание событий по правилам и поведенческим моделям, обнаружение атак, которые незаметны на уровне отдельного источника.
  • Оповещение о событиях. Уведомления специалистов в реальном времени с приоритетом по критичности, чтобы реакция шла не на весь поток, а на действительно опасные ситуации.
  • Расследование инцидентов. Поиск по истории событий, визуализация цепочки атаки, выгрузка доказательной базы.
  • Отчётность и поддержка соответствия. Готовые отчёты для руководства и регуляторов, подтверждение того, что мониторинг ведётся и журналы сохраняются.
  • Интеграция со средствами защиты. Обмен данными с антивирусами, EDR, NGFW, DLP и платформами SOAR для автоматического реагирования.

Для бизнеса все эти функции сводятся к одному результату: SIEM сокращает время между началом атаки и моментом, когда о ней узнали. По данным IBM, в среднем компании обнаруживают вторжение спустя месяцы — SIEM сжимает этот срок до часов и минут.

Архитектура и компоненты SIEM

SIEM состоит из нескольких компонентов, и каждый отвечает за свой этап обработки данных. Понимание архитектуры помогает оценить, потянет ли система объёмы конкретной инфраструктуры.

Архитектура и компоненты SIEM
  • Источники данных и коннекторы. Агенты и коннекторы, которые подключаются к серверам, сетевому оборудованию, средствам защиты, приложениям и облакам. Чем больше готовых коннекторов, тем быстрее запускается система.
  • Коллектор событий. Принимает потоки журналов, выполняет первичную нормализацию и фильтрацию, разгружая ядро системы.
  • Ядро корреляции. Сервер обработки, где события сопоставляются по правилам и моделям и превращаются в инциденты. Это самый ресурсоёмкий узел.
  • Хранилище. База событий, рассчитанная на большие объёмы и длительное хранение. От неё зависят скорость поиска при расследовании и глубина истории.
  • Консоль управления. Веб-интерфейс с дашбордами, очередью инцидентов, конструктором правил и отчётами — рабочее место аналитика.

Производительность архитектуры измеряют в EPS (events per second — количество событий в секунду, которое система обрабатывает без потерь). EPS — один из главных параметров при подборе системы: он должен покрывать текущий поток событий с запасом на рост инфраструктуры.

Какие угрозы обнаруживает SIEM

SIEM ловит не конкретный вирус, а аномальное поведение и подозрительные цепочки действий. Это позволяет замечать атаки, против которых сигнатурные средства защиты бессильны.

  • Подбор паролей и брутфорс — серии неудачных входов, особенно из необычных мест или в нерабочее время.
  • Несанкционированный доступ — вход под учётной записью уволенного сотрудника, обращение к системам, к которым у пользователя нет рабочей необходимости.
  • Инсайдерские угрозы — массовое копирование данных, доступ к чувствительной информации в обход обычных сценариев работы.
  • Горизонтальное перемещение — последовательные подключения злоумышленника от одного узла к другому в поисках ценных систем.
  • Аномальная активность администраторов — изменение прав, отключение журналирования, запуск нетипичных команд.
  • Активность вредоносного ПО — обращения к управляющим серверам, подозрительные сетевые соединения, нестандартные процессы.

Вот характерный пример корреляции. Сотрудник вводит неверный пароль двадцать раз, затем входит успешно, сразу подключается к файловому серверу и начинает выгружать большие объёмы данных. Каждое событие по отдельности выглядит безобидно. SIEM связывает их в один инцидент и поднимает тревогу до того, как данные покинут периметр.

Кому нужна SIEM-система

SIEM окупается там, где инфраструктура достаточно велика, чтобы её невозможно было контролировать вручную, и где цена инцидента высока. Это не универсальный инструмент для любой компании.

Система нужна, если выполняется хотя бы одно условие:

  • десятки и сотни источников событий, за которыми не уследить вручную;
  • распределённая инфраструктура — филиалы, облака, удалённые сотрудники;
  • есть собственная служба ИБ или планируется центр мониторинга (SOC);
  • компания обрабатывает критичные данные — финансовые, персональные, медицинские;
  • деятельность регулируется требованиями по защите информации.

По отраслям SIEM чаще всего внедряют банки и финтех, государственные организации, телеком, промышленность и крупный бизнес. Малой компании с простой инфраструктурой и без выделенных специалистов по ИБ полноценная SIEM обычно избыточна — ей разумнее начать с базовых средств защиты и сервисов мониторинга. SIEM не работает сама по себе: системе нужны люди, которые разбирают инциденты и обновляют правила корреляции.

Решение
Внедрение SIEM и SOAR-систем
Подберём и развернём систему сбора и корреляции событий безопасности, настроим правила и сценарии реагирования, обучим команду работе с инцидентами.

SIEM, SOAR, XDR и SOC: в чём разница

Вокруг SIEM сложилась группа смежных понятий, которые часто путают. Разберём, чем они отличаются и как связаны между собой.

Класс решения

Что делает

Связь с SIEM

SIEM

Собирает события со всей инфраструктуры, коррелирует их и выявляет инциденты

Основа мониторинга

SOAR

Автоматизирует реагирование на инциденты по сценариям-плейбукам

Надстройка: получает инциденты от SIEM и реагирует

XDR

Объединяет обнаружение и реагирование на уровне устройств, сети и почты в одном продукте

Альтернативный подход с упором на конечные точки

SOC

Центр мониторинга безопасности — команда, процессы и технологии вместе

SIEM — ядро SOC, его рабочий инструмент

Если коротко: SIEM видит и выявляет, SOAR реагирует, XDR делает то же самое внутри одного продукта с фокусом на конечных точках, а SOC — это люди и процессы, которые работают с SIEM. Эти классы не конкурируют, а дополняют друг друга. Современные SIEM всё чаще поставляются в связке с SOAR как единая платформа.

SIEM и требования регуляторов: 187-ФЗ, ФСТЭК, ГосСОПКА

Для многих компаний SIEM — не только инструмент защиты, но и способ выполнить требования законодательства. Журналирование событий, их хранение и мониторинг инцидентов прямо или косвенно требуются рядом нормативов.

  • 187-ФЗ и защита КИИ. Субъекты критической информационной инфраструктуры обязаны выявлять компьютерные инциденты и передавать сведения о них в ГосСОПКА. SIEM обнаруживает и регистрирует такие события.
  • Приказы ФСТЭК. Требования к защите значимых объектов КИИ и государственных систем включают регистрацию событий безопасности и контроль за ними — функции, которые реализует SIEM.
  • ГосСОПКА. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак требует от подключённых организаций мониторинга и передачи данных об инцидентах.
  • Отраслевые стандарты. Для банков действует ГОСТ Р 57580, для операторов персональных данных — 152-ФЗ и приказ ФСТЭК №21. Все они предполагают учёт и анализ событий безопасности.

Отдельный фактор российского рынка — импортозамещение. Для субъектов КИИ и госсектора важно, чтобы система входила в реестр отечественного ПО Минцифры и имела сертификат ФСТЭК. Это сужает выбор до российских решений и делает наличие сертификации одним из ключевых критериев.

Российские SIEM-системы: обзор решений

После ухода зарубежных вендоров рынок SIEM в России почти полностью занят отечественными продуктами. В наших проектах мы внедряем решения партнёров — выбор конкретной системы зависит от размера инфраструктуры, требований регуляторов и бюджета.

Решение

Чем характерно

MaxPatrol SIEM (Positive Technologies)

Одна из самых распространённых систем на рынке, большой набор готовых правил корреляции и поддерживаемых источников.

Kaspersky KUMA

Платформа мониторинга и анализа от Лаборатории Касперского, тесно интегрируется с другими продуктами вендора.

RuSIEM

Российская система с гибким лицензированием, рассчитанная на высокие потоки событий.

Security Vision

Платформа с акцентом на автоматизацию реагирования и связку SIEM с SOAR в едином продукте.

UserGate SIEM

Часть экосистемы сетевой безопасности UserGate, удобна при использовании других решений вендора.

KOMRAD (Эшелон)

Сертифицированное решение, ориентированное на госсектор и субъектов КИИ с жёсткими требованиями.

Универсально лучшего продукта нет — система подбирается под конкретную инфраструктуру и задачи. Выбор начинается не с названия, а с критериев, по которым решение оценивают.

Читайте также Управление информационной безопасностью в компании: от стратегии к работающей системе

Критерии выбора SIEM-системы

Выбор SIEM — это не сравнение строчек в маркетинговых таблицах, а оценка того, насколько система подходит конкретной инфраструктуре и команде. На что смотреть в первую очередь:

  • Производительность (EPS). Система должна обрабатывать текущий поток событий с запасом на рост. Заниженный EPS приведёт к потере событий, завышенный — к лишним расходам.
  • Поддерживаемые источники. Наличие готовых коннекторов к вашему оборудованию и софту. Если коннектора нет, его придётся разрабатывать, а это время и деньги.
  • Качество корреляции. Набор правил из коробки и удобство их настройки. От этого напрямую зависит количество ложных срабатываний.
  • Масштабируемость. Возможность нарастить мощность и подключить новые площадки без замены системы.
  • Модель развёртывания. На своей площадке, в облаке или гибридно — выбор зависит от требований к данным и наличия собственной инфраструктуры.
  • Интеграции. Связка с SOAR, EDR, NGFW, DLP и системами управления доступом — без неё SIEM остаётся изолированным.
  • Сертификация и реестр. Для КИИ и госсектора — сертификат ФСТЭК и наличие в реестре отечественного ПО.
  • Стоимость владения (TCO). Помимо лицензий учитывайте инфраструктуру под хранилище, внедрение, поддержку и зарплату специалистов.
  • Поддержка вендора. Скорость реакции, обновление правил корреляции, доступность экспертизы на русском языке.

Современные системы дополнительно предлагают поведенческую аналитику (UEBA), элементы машинного обучения для поиска аномалий и облачные варианты развёртывания. Эти возможности полезны, но не должны заменять базовые критерии — без достаточного EPS и нужных коннекторов даже самая умная аналитика останется без данных.

Что проверить перед выбором:

  • посчитайте реальный поток событий со всех источников и заложите запас на рост;
  • составьте список источников и сверьте его с поддерживаемыми коннекторами;
  • проведите пилотный проект на части инфраструктуры до полной закупки;
  • оцените, хватает ли у вас людей для разбора инцидентов и поддержки правил.

Этапы внедрения SIEM и типичные ошибки

Внедрение SIEM — это проект, а не установка одной программы. Логика этапов одинакова почти для любой системы.

Этапы внедрения SIEM и типичные ошибки
  1. Определение целей и требований. Какие системы защищаем, какие требования регуляторов выполняем, какой поток событий ожидаем.
  2. Выбор решения и пилот. Подбор системы под задачи и обкатка на части инфраструктуры перед полным развёртыванием.
  3. Развёртывание и подключение источников. Установка компонентов, настройка коллекторов, подключение журналов от оборудования и сервисов.
  4. Настройка правил корреляции. Адаптация готовых правил под инфраструктуру и создание собственных под характерные для компании риски.
  5. Настройка реагирования и отчётности. Сценарии оповещений, маршруты эскалации, отчёты для руководства и регуляторов.
  6. Эксплуатация и развитие. Постоянный разбор инцидентов, доработка правил, подключение новых источников.

Большинство неудачных проектов спотыкаются об одни и те же ошибки:

  • Шквал ложных срабатываний. Правила не адаптированы под инфраструктуру, и команда тонет в бесполезных алертах. Лечится тонкой настройкой корреляции под реальные процессы.
  • Пропущенная нормализация. Без приведения событий к единому виду корреляция работает плохо, а часть данных не учитывается вовсе.
  • Нехватка специалистов. SIEM закуплена, но разбирать инциденты некому. Систему либо обслуживает подготовленная команда, либо мониторинг отдают на аутсорс.
  • Отношение к SIEM как к разовому проекту. Инфраструктура и угрозы меняются, а правила остаются прежними. Система требует постоянного сопровождения.
Решение
Защита данных и системы мониторинга
Выстроим мониторинг событий безопасности и защиту данных под требования регуляторов — от подбора средств до сопровождения.

С чего начать выбор SIEM-системы

SIEM-система превращает разрозненные журналы со всей инфраструктуры в управляемый поток инцидентов и сокращает время обнаружения атаки с месяцев до минут. Но это инструмент, который работает только в связке с людьми, процессами и другими средствами защиты. Выбор решения начинается не с названия продукта, а с расчёта потока событий, списка источников, требований регуляторов и оценки того, кто будет разбирать инциденты.

Если вы оцениваете, нужна ли компании SIEM и какое решение подойдёт под вашу инфраструктуру, — специалисты ОБИТ помогут разобраться. Мы внедряем SIEM и SOAR на базе российских решений: подберём систему под задачи, проведём пилот, развернём и настроим под ваши процессы. Расскажите о своей инфраструктуре — предложим подходящий вариант и оценим объём работ.

Часто задаваемые вопросы (FAQ)

  • Чем SIEM отличается от антивируса и межсетевого экрана?
    Антивирус и межсетевой экран защищают конкретную точку: один ищет вредоносные файлы на устройстве, другой фильтрует трафик. SIEM работает уровнем выше — она собирает события со всех средств защиты и инфраструктуры сразу и связывает их между собой. Антивирус увидит вредоносный файл, а SIEM заметит цепочку из подбора пароля, входа и выгрузки данных, которую по отдельности не видит ни одно средство.
  • Заменяет ли SIEM другие средства защиты?
    Нет. SIEM — это аналитическая надстройка над существующими средствами защиты, а не их замена. Системе нужны источники данных: антивирусы, межсетевые экраны, EDR, журналы серверов и приложений. SIEM собирает от них события и выявляет инциденты, но саму защиту обеспечивают эти средства. Без них SIEM остаётся без данных для анализа.
  • В чём разница между SIEM и SOAR?
    SIEM выявляет инциденты, SOAR на них реагирует. SIEM собирает и коррелирует события, а SOAR запускает по готовым сценариям ответные действия: блокирует учётную запись, изолирует устройство, создаёт заявку. Эти классы дополняют друг друга, поэтому современные решения часто поставляются как единая платформа SIEM + SOAR.
  • Что такое EPS и почему этот параметр важен?
    EPS (events per second) — количество событий в секунду, которое система обрабатывает без потерь. Это главный показатель производительности SIEM. Если реальный поток событий превышает заявленный EPS, часть данных теряется, и атака может остаться незамеченной. При выборе системы поток событий считают по всем источникам и закладывают запас на рост инфраструктуры.
  • Нужна ли SIEM малому бизнесу?
    Чаще всего нет. У небольшой компании поток событий невелик, а разбирать инциденты и держать правила корреляции в рабочем виде обычно некому — без этого система превращается в дорогое хранилище журналов. Малому бизнесу разумнее обеспечить базовую защиту: антивирус, межсетевой экран, резервные копии. Мониторинг при необходимости отдают на аутсорс. SIEM становится оправданной, когда инфраструктура и число источников вырастают настолько, что уследить за ними вручную уже нельзя.
  • Обязательна ли SIEM для выполнения требований 187-ФЗ?
    Прямого требования установить именно SIEM в законе нет. Но субъекты критической информационной инфраструктуры обязаны выявлять компьютерные инциденты, регистрировать события безопасности и передавать данные в ГосСОПКА. На практике эти задачи решает именно SIEM, поэтому для субъектов КИИ она становится фактически необходимой. Для таких организаций важны сертификат ФСТЭК и наличие системы в реестре отечественного ПО.
  • Сколько времени занимает внедрение SIEM?
    Срок зависит от размера инфраструктуры и числа источников. Пилот на части систем можно запустить за несколько недель, полноценное внедрение с подключением всех источников и настройкой правил под конкретную компанию занимает от одного-двух месяцев. Запуск — это не финал: правила корреляции дорабатывают постоянно по мере появления новых источников и угроз.
Информационная безопасность
Поделиться: