Открыть сервис

SIEM

SIEM (от англ. Security Information and Event Management) — класс программного обеспечения и аппаратно-программных комплексов, предназначенных для сбора, агрегации, нормализации, корреляции и анализа данных о событиях информационной безопасности из различных источников, а также для обеспечения их долговременного хранения, визуализации и генерации отчетов.

SIEM-системы объединяют функциональность двух ранее самостоятельных категорий: SIM (Security Information Management) и SEM (Security Event Management). SIM отвечает за долгосрочное хранение и анализ логов, а SEM — за мониторинг событий в реальном времени и реагирование на инциденты. Современные SIEM-решения обеспечивают централизованный взгляд на состояние защищенности информационной инфраструктуры организации, позволяя выявлять сложные атаки и нарушения политик безопасности, которые невозможно обнаружить с помощью отдельных средств защиты (например, межсетевых экранов или антивирусов).

История и развитие

Предпосылки появления (1990-е — начало 2000-х)

До появления SIEM системы управления информационной безопасностью были фрагментированными. Различные устройства (серверы, сетевые устройства, системы обнаружения вторжений) генерировали собственные журналы событий (логи) в разных форматах. Администраторы безопасности вынуждены были вручную просматривать эти логи, что было крайне неэффективно, особенно в крупных организациях. Первые попытки централизации заключались в создании систем управления логами (Log Management), которые просто собирали и хранили данные, но не анализировали их.

Появление термина и первые продукты (2005—2010)

Термин SIEM был введен в 2005 году аналитиком Gartner Марком Никколеттом (Mark Nicolett) и Амритом Уильямсом (Amrit Williams). Они объединили концепции SIM и SEM в единую категорию. В этот период начали появляться первые коммерческие продукты, такие как ArcSight (основана в 2000 году, позже приобретена Hewlett-Packard), IBM Security QRadar (изначально продукт компании Q1 Labs) и Splunk (изначально позиционировался как поисковая система по машинным данным, но быстро стал использоваться для задач безопасности). Пионерами на российском рынке были разработки компаний «Инфосистемы Джет» и Positive Technologies.

Эволюция и зрелость (2010 — настоящее время)

Со временем SIEM-системы эволюционировали от простых консолидаторов логов до мощных аналитических платформ. Ключевыми этапами развития стали:

Архитектура и компоненты

Типовая архитектура SIEM-системы включает следующие ключевые компоненты:

  1. Агенты сбора данных (Collectors/Agents): Программное обеспечение, устанавливаемое на источники событий (серверы, рабочие станции, сетевое оборудование) или взаимодействующее с ними по протоколам Syslog, SNMP, API и др. Агенты отвечают за захват, фильтрацию и первичную обработку событий.
  2. Транспортный уровень (Message Bus/Queue): Обеспечивает надежную доставку сообщений от агентов к центральному серверу, способен буферизовать данные при перегрузках сети.
  3. Сервер корреляции (Correlation Engine): Ядро системы. Анализирует поток нормализованных событий в реальном времени, применяя набор правил корреляции. Правила описывают последовательности событий, которые указывают на инцидент. Например, правило «три неудачных попытки входа в систему в течение одной минуты с последующим успешным входом» может свидетельствовать о подборе пароля (брутфорс).
  4. Хранилище данных (Data Storage/Database): Обеспечивает долговременное хранение всех собранных событий и метаданных. Обычно используются специализированные базы данных (например, Elasticsearch) или хранилища на основе Hadoop/Spark для обеспечения высокой производительности поиска и масштабирования.
  5. Панель управления (Dashboard/UI): Визуальный интерфейс для работы аналитиков безопасности. Отображает сводную информацию по инцидентам, алертам, статусу инфраструктуры. Позволяет выполнять ad-hoc-запросы к хранилищу данных, строить отчеты и графики.

Ключевые функции

  1. Сбор и нормализация событий: Приведение разнородных записей логов (Windows Event Log, журнал syslog от Cisco, логи Apache) к единому формату с унифицированными полями (источник, тип события, время, пользователь, IP-адрес).
  2. Корреляция событий: Сопоставление связанных по времени и контексту событий из разных источников для выявления признаков атаки. Пример: событие «скан портов» от системы IDS + событие «успешный вход под учетной записью администратора» + событие «отправка большого объема данных на внешний IP» = вероятная атака.
  3. Мониторинг в реальном времени: Отображение текущей ситуации с безопасностью на дашбордах, выдача alert’ов (оповещений) об инцидентах, требующих немедленной реакции (например, «обнаружена активность C2-сервера ботнета»).
  4. Анализ журналов и расследование: Глубокий поиск по истории событий для восстановления хронологии инцидента, выявления коренной причины (root cause analysis). Владелец системы может ответить на вопросы «Что произошло?», «Когда?», «Кто?» и «Какие данные затронуты?».
  5. Управление соответствием требованиям (Compliance): Генерация автоматизированных отчетов для прохождения аудитов по стандартам информационной безопасности: PCI DSS, ISO 27001, 152-ФЗ «О персональных данных» (ПДн), ФЗ-187 «О безопасности критической информационной инфраструктуры РФ» (КИИ), приказы ФСТЭК России.
  6. Обнаружение аномалий и UEBA: Выявление нетипичного поведения пользователей и устройств с помощью машинного обучения (например, пользователь, который обычно работает днем из офиса, вдруг получил доступ к серверу ночью с IP-адреса из другой страны).

Применение

Крупный бизнес и государственные организации

SIEM является обязательным элементом систем защиты информации для большинства крупных компаний и государственных учреждений. Особенно это актуально для субъектов критической информационной инфраструктуры (КИИ) — энергетика, финансы, транспорт, связь, здравоохранение. В России нормативные документы ФСТЭК России (Приказ № 31, Приказ № 239) прямо предписывают использование средств анализа событий безопасности для выполнения требований по защите информации.

Центры мониторинга и реагирования (SOC)

SIEM является технологическим фундаментом для работы SOC (Security Operations Center). Аналитики SOC круглосуточно мониторят панели SIEM, обрабатывают алерты, проводят расследования инцидентов и эскалируют наиболее серьезные угрозы. Внедрение SIEM позволяет повысить эффективность работы SOC, снизить время обнаружения и реагирования на угрозы.

Малый и средний бизнес

Традиционно сложность и стоимость SIEM-систем ограничивали их использование крупными организациями. Однако с развитием облачных решений (SIEM-as-a-Service) и появлением open-source-продуктов (например, Wazuh, OSSEC) они становятся доступными и для среднего бизнеса, позволяя автоматизировать базовую защиту и соответствие требованиям регуляторов.}

Критика и ограничения

Несмотря на широкое распространение, SIEM-системы имеют ряд недостатков:

Популярные решения

Проприетарные (коммерческие):

Открытые (Open Source):

В России

В связи с политикой импортозамещения и требованиями к сертификации по линии ФСТЭК России (наличие действующего сертификата соответствия) использование зарубежных SIEM (Splunk, QRadar) в государственных и критически важных информационных системах постепенно сокращается. На российском рынке активно развиваются и сертифицируются собственные решения, такие как MaxPatrol SIEM (Positive Technologies), R-Vision SIEM, Solar JSOC (Rostelecom), KUMA (Лаборатория Касперского), и другие. Внедрение сертифицированных SIEM-систем является обязательным требованием для большинства объектов КИИ и органов государственной власти.

Источники

  1. Никколетт, М. (2005). «Magic Quadrant for Security Information and Event Management». Gartner, Inc.
  2. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к системе защиты информации в государственных информационных системах».
  3. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований к системе защиты информации, обрабатываемой в значимых объектах критической информационной инфраструктуры Российской Федерации».
  4. Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» (утвержден 11.02.2014).
  5. Материалы официальных веб-сайтов производителей SIEM-систем: Positive Technologies, R-Vision, Kaspersky, Splunk, IBM.
  6. Книга «The Practice of Network Security Monitoring» (Richard Bejtlich).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →