Kuber SIEM
Kuber SIEM — это российская система управления информацией и событиями безопасности (Security Information and Event Management, SIEM), предназначенная для сбора, нормализации, корреляции и анализа данных о событиях информационной безопасности из различных источников в режиме реального времени. Разработчиком и правообладателем продукта является компания ООО «КУБЕР» (Россия, г. Москва). Система входит в Единый реестр российских программ для электронных вычислительных машин и баз данных (запись № 12899 от 17.06.2022).
История
Разработка Kuber SIEM началась в 2020 году как инициативная группа специалистов по информационной безопасности, ранее работавших в других российских вендорах SIEM-систем. Первая публичная версия продукта была выпущена в 2021 году. В 2022 году, после ужесточения требований к импортозамещению в сфере информационной безопасности в Российской Федерации, Kuber SIEM был включён в реестр отечественного программного обеспечения, что позволило государственным и муниципальным организациям использовать его в рамках программ импортозамещения.
Ключевым этапом развития стало получение сертификата Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на соответствие требованиям по 4-му уровню доверия (УД4) и 6-му уровню контроля отсутствия недекларированных возможностей (НДВ). Это позволило применять Kuber SIEM в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) и объектах критической информационной инфраструктуры (КИИ) Российской Федерации.
Архитектура и компоненты
Kuber SIEM построена на модульной архитектуре, что позволяет масштабировать систему в зависимости от объёмов обрабатываемых данных и количества контролируемых объектов.
Основные компоненты
- Сервер сбора (Collector) — отвечает за приём событий от различных источников (сетевые устройства, серверы, системы защиты, приложения). Поддерживает протоколы Syslog, SNMP, NetFlow, а также API для интеграции с облачными сервисами.
- Сервер нормализации (Normalizer) — преобразует сырые события в единый формат (Common Event Format, CEF), выделяя ключевые атрибуты: время, источник, тип события, уровень критичности.
- Сервер корреляции (Correlator) — выполняет анализ событий в реальном времени на основе правил корреляции (корреляционных сценариев). Позволяет выявлять многоступенчатые атаки, аномалии и инциденты.
- Сервер хранения (Storage) — обеспечивает долговременное хранение нормализованных событий и инцидентов. Поддерживает ротацию данных и сжатие для оптимизации дискового пространства.
- Консоль управления (Management Console) — веб-интерфейс для администрирования системы, настройки правил, просмотра дашбордов, отчётов и расследования инцидентов.
- Агенты (Agents) — программные модули, устанавливаемые на конечные устройства (Windows, Linux, macOS) для сбора событий из операционной системы и приложений.
Функциональные возможности
Сбор и нормализация событий
Kuber SIEM поддерживает более 300 встроенных парсеров для популярных источников: межсетевые экраны (UserGate, Ideco, D-Link), антивирусы (Kaspersky, Dr.Web, ESET), системы обнаружения вторжений (СОВ), средства защиты веб-приложений (WAF), серверы баз данных (PostgreSQL, MySQL, Oracle), операционные системы (Windows Event Log, Syslog на Linux). Нормализация осуществляется в реальном времени с минимальной задержкой.
Корреляция и выявление инцидентов
Система использует механизм корреляции на основе правил, написанных на языке, близком к SQL. Доступен графический редактор правил для пользователей без навыков программирования. Примеры предустановленных правил:
- множественные неудачные попытки входа в систему (брутфорс);
- обнаружение известных вредоносных IP-адресов (по спискам блокировки);
- аномальный сетевой трафик (превышение порогов);
- изменение конфигурации критических серверов.
Реагирование на инциденты
Kuber SIEM поддерживает интеграцию с системами класса SOAR (Security Orchestration, Automation and Response) для автоматизации реагирования. Встроенные механизмы позволяют:
- отправлять уведомления по электронной почте, в Telegram, через Syslog;
- блокировать IP-адреса на межсетевых экранах;
- запускать скрипты на конечных устройствах;
- создавать заявки в системах Service Desk (например, GLPI, OTRS).
Отчётность и аудит
Система предоставляет набор готовых отчётов, соответствующих требованиям регуляторов (ФСТЭК России, Банка России, Минцифры). Возможно создание пользовательских отчётов с произвольными фильтрами и группировками. Отчёты могут быть сгенерированы в форматах PDF, XLSX, HTML.
Классификация и лицензирование
Kuber SIEM распространяется по модели подписки (SaaS) или в виде коробочного решения (On-Premise). Лицензирование осуществляется по одному из двух принципов:
- По количеству событий в секунду (EPS) — для организаций с прогнозируемым объёмом данных.
- По количеству контролируемых устройств (Device License) — для небольших и средних предприятий.
Выделяют три редакции продукта:
- Community Edition — бесплатная версия с ограничением на 100 событий в секунду и 10 устройств.
- Standard — для коммерческих организаций, включает полный функционал и техническую поддержку.
- Enterprise — для крупных предприятий и объектов КИИ, включает кластеризацию, резервирование, расширенные возможности интеграции.
Применение
Kuber SIEM применяется в следующих сценариях:
- Мониторинг информационной безопасности — централизованный сбор и анализ событий безопасности в масштабах организации.
- Расследование инцидентов — ретроспективный анализ событий для выявления первопричины и масштаба атаки.
- Соответствие требованиям регуляторов — автоматизация сбора данных для прохождения аудитов (ФСТЭК, 152-ФЗ, PCI DSS, ISO 27001).
- Защита объектов КИИ — обязательное применение в соответствии с Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Мониторинг АСУ ТП — интеграция с промышленными протоколами (Modbus, OPC UA) для выявления аномалий в технологических процессах.
Критика и ограничения
Несмотря на положительные отзывы пользователей, Kuber SIEM имеет ряд ограничений:
- Относительно молодой продукт — первые версии (2021–2022 гг.) содержали значительное количество ошибок и нестабильную работу при высоких нагрузках (более 5000 EPS).
- Ограниченная база парсеров — по сравнению с зрелыми зарубежными аналогами (Splunk, IBM QRadar) количество поддерживаемых источников меньше (около 300 против 1000+).
- Сложность настройки корреляционных правил — для создания сложных сценариев требуется знание внутреннего языка запросов.
- Зависимость от импортных компонентов — в архитектуре используются открытые библиотеки, часть из которых может иметь ограничения при использовании на объектах КИИ.
Сравнение с аналогами
| Характеристика | Kuber SIEM | MaxPatrol SIEM (Positive Technologies) | Splunk Enterprise Security |
|---|---|---|---|
| Разработчик | ООО «КУБЕР» (Россия) | Positive Technologies (Россия) | Splunk Inc. (США) |
| Сертификация ФСТЭК | УД4, НДВ 6 | УД4, НДВ 6 | Отсутствует (импортный) |
| Максимальная производительность | до 50 000 EPS | до 100 000 EPS | до 1 000 000 EPS |
| Количество встроенных парсеров | ~300 | ~500 | ~1000 |
| Цена (годовая подписка, 1000 EPS) | от 500 000 руб. | от 1 500 000 руб. | от 3 000 000 руб. (недоступен в РФ) |
Перспективы развития
По заявлениям разработчика, в планах компании на 2024–2025 годы:
- увеличение количества поддерживаемых парсеров до 500;
- внедрение модуля машинного обучения для выявления аномалий без правил;
- интеграция с системами класса TI (Threat Intelligence) для автоматического обновления списков угроз;
- получение сертификата ФСТЭК по 3-му уровню доверия для применения в государственных информационных системах (ГИС).
Источники
- Единый реестр российских программ для электронных вычислительных машин и баз данных. Запись № 12899 от 17.06.2022.
- Официальный сайт разработчика ООО «КУБЕР» (kuber.ru). Раздел «Продукты» и «Документация».
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к системам управления информацией и событиями безопасности».
- Отзывы пользователей на портале «Хабр Карьера» и «Отзовик» (2022–2024 гг.).
- Материалы конференций по информационной безопасности (Positive Hack Days, InfoSecurity Russia, 2022–2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →