Открыть сервис

Kuber SIEM

Kuber SIEM — это российская система управления информацией и событиями безопасности (Security Information and Event Management, SIEM), предназначенная для сбора, нормализации, корреляции и анализа данных о событиях информационной безопасности из различных источников в режиме реального времени. Разработчиком и правообладателем продукта является компания ООО «КУБЕР» (Россия, г. Москва). Система входит в Единый реестр российских программ для электронных вычислительных машин и баз данных (запись № 12899 от 17.06.2022).

История

Разработка Kuber SIEM началась в 2020 году как инициативная группа специалистов по информационной безопасности, ранее работавших в других российских вендорах SIEM-систем. Первая публичная версия продукта была выпущена в 2021 году. В 2022 году, после ужесточения требований к импортозамещению в сфере информационной безопасности в Российской Федерации, Kuber SIEM был включён в реестр отечественного программного обеспечения, что позволило государственным и муниципальным организациям использовать его в рамках программ импортозамещения.

Ключевым этапом развития стало получение сертификата Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на соответствие требованиям по 4-му уровню доверия (УД4) и 6-му уровню контроля отсутствия недекларированных возможностей (НДВ). Это позволило применять Kuber SIEM в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) и объектах критической информационной инфраструктуры (КИИ) Российской Федерации.

Архитектура и компоненты

Kuber SIEM построена на модульной архитектуре, что позволяет масштабировать систему в зависимости от объёмов обрабатываемых данных и количества контролируемых объектов.

Основные компоненты

Функциональные возможности

Сбор и нормализация событий

Kuber SIEM поддерживает более 300 встроенных парсеров для популярных источников: межсетевые экраны (UserGate, Ideco, D-Link), антивирусы (Kaspersky, Dr.Web, ESET), системы обнаружения вторжений (СОВ), средства защиты веб-приложений (WAF), серверы баз данных (PostgreSQL, MySQL, Oracle), операционные системы (Windows Event Log, Syslog на Linux). Нормализация осуществляется в реальном времени с минимальной задержкой.

Корреляция и выявление инцидентов

Система использует механизм корреляции на основе правил, написанных на языке, близком к SQL. Доступен графический редактор правил для пользователей без навыков программирования. Примеры предустановленных правил:

Реагирование на инциденты

Kuber SIEM поддерживает интеграцию с системами класса SOAR (Security Orchestration, Automation and Response) для автоматизации реагирования. Встроенные механизмы позволяют:

Отчётность и аудит

Система предоставляет набор готовых отчётов, соответствующих требованиям регуляторов (ФСТЭК России, Банка России, Минцифры). Возможно создание пользовательских отчётов с произвольными фильтрами и группировками. Отчёты могут быть сгенерированы в форматах PDF, XLSX, HTML.

Классификация и лицензирование

Kuber SIEM распространяется по модели подписки (SaaS) или в виде коробочного решения (On-Premise). Лицензирование осуществляется по одному из двух принципов:

Выделяют три редакции продукта:

Применение

Kuber SIEM применяется в следующих сценариях:

Критика и ограничения

Несмотря на положительные отзывы пользователей, Kuber SIEM имеет ряд ограничений:

Сравнение с аналогами

ХарактеристикаKuber SIEMMaxPatrol SIEM (Positive Technologies)Splunk Enterprise Security
РазработчикООО «КУБЕР» (Россия)Positive Technologies (Россия)Splunk Inc. (США)
Сертификация ФСТЭКУД4, НДВ 6УД4, НДВ 6Отсутствует (импортный)
Максимальная производительностьдо 50 000 EPSдо 100 000 EPSдо 1 000 000 EPS
Количество встроенных парсеров~300~500~1000
Цена (годовая подписка, 1000 EPS)от 500 000 руб.от 1 500 000 руб.от 3 000 000 руб. (недоступен в РФ)

Перспективы развития

По заявлениям разработчика, в планах компании на 2024–2025 годы:

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →