Открыть сервис

SIEM-система

SIEM-система (от англ. Security Information and Event Management, управление информацией о безопасности и событиями) — это класс программного обеспечения, предназначенный для сбора, агрегации, нормализации, корреляции и анализа данных о событиях безопасности из различных источников в информационной системе, а также для долгосрочного хранения этих данных и генерации отчетности. SIEM-системы являются ключевым компонентом современных центров мониторинга информационной безопасности (SOC, Security Operations Center) и используются для обнаружения инцидентов, расследования кибератак и обеспечения соответствия требованиям регуляторов.

История развития

Предшественники (SIM и SEM)

Концепция SIEM возникла в начале 2000-х годов как объединение двух более ранних классов решений:

Формирование рынка

В 2005 году аналитическая компания Gartner впервые ввела термин «SIEM», объединив функциональность SIM и SEM. Пионерами рынка стали компании ArcSight (основана в 2000 году, позже приобретена Hewlett-Packard), Splunk (основана в 2003 году) и Q1 Labs (позже вошла в IBM). В России первые SIEM-решения начали разрабатываться в конце 2000-х годов, в частности компанией Positive Technologies (продукт MaxPatrol SIEM).

Современный этап

С 2010-х годов SIEM-системы эволюционировали в сторону обработки больших данных (Big Data), использования машинного обучения для выявления аномалий, интеграции с облачными средами и автоматизации реагирования на инциденты (SOAR — Security Orchestration, Automation and Response). Современные решения также включают элементы User and Entity Behavior Analytics (UEBA).

Архитектура и принцип работы

Основные компоненты

Типичная SIEM-система состоит из следующих модулей:

  1. Сборщики (Collectors/Agents) — программные или аппаратные компоненты, устанавливаемые на источники данных (серверы, сетевое оборудование, базы данных, приложения) для сбора логов и событий.
  2. Транспортный уровень — протоколы и каналы передачи данных (Syslog, SNMP, NetFlow, API, базы данных).
  3. Ядро обработки — включает:
  1. Хранилище данных — долговременное хранилище (обычно на базе реляционных или NoSQL баз данных, а также поисковых движков, например Elasticsearch).
  2. Интерфейс управления и отчетности — веб-панель для настройки правил, визуализации событий, построения дашбордов и генерации отчетов.

Процесс обработки событий

  1. Сбор — получение логов от источников (Windows Event Log, Syslog, журналы приложений, трафик сетевых устройств).
  2. Нормализацияпреобразование в единую схему (например, Common Event Format — CEF или собственный формат).
  3. Обогащение — добавление данных из внешних источников (базы уязвимостей, геоIP, списки угроз).
  4. Корреляция — анализ на основе правил (например, «5 неудачных попыток входа за 1 минуту с разных IP»).
  5. Генерация оповещения — создание инцидента при срабатывании правила.
  6. Реагирование — автоматическое или ручное выполнение действий (блокировка IP, уведомление администратора).

Функциональные возможности

Обнаружение угроз

SIEM-системы позволяют выявлять:

Соответствие требованиям (Compliance)

SIEM-системы используются для автоматизации сбора данных и генерации отчетов в соответствии с требованиями:

Расследование инцидентов

Система предоставляет:

Классификация SIEM-систем

По типу развертывания

По масштабу

Российские SIEM-решения

В связи с политикой импортозамещения и требованиями к использованию отечественного ПО в государственных и критически важных информационных инфраструктурах (КИИ) в России активно развиваются собственные SIEM-системы. К числу наиболее известных относятся:

Преимущества и ограничения

Преимущества

Ограничения

Критика и проблемы

Критики SIEM-систем отмечают, что традиционные решения не всегда эффективны против современных сложных атак (APT, zero-day), так как основаны на правилах и известных паттернах. Для повышения точности требуется интеграция с инструментами Threat Intelligence и машинным обучением. Также существует проблема «усталости от оповещений» (alert fatigue), когда аналитики игнорируют предупреждения из-за их большого количества.

Перспективы развития

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →