Открыть сервис

Система управления информацией и событиями безопасности

Система управления информацией и событиями безопасности (Security Information and Event Management, SIEM) — это класс программного обеспечения и аппаратно-программных комплексов, предназначенный для централизованного сбора, хранения, анализа и корреляции данных о событиях информационной безопасности (ИБ) из различных источников, а также для выявления инцидентов, генерации оповещений и обеспечения соответствия нормативным требованиям.

SIEM-системы объединяют функциональность двух ранее существовавших категорий решений: управления журналами и событиями (Security Event Management, SEM) и управления информацией безопасности (Security Information Management, SIM). Первая отвечает за мониторинг в реальном времени и корреляцию событий, вторая — за долгосрочное хранение, отчетность и анализ исторических данных.

История развития

Концепция SIEM возникла в начале 2000-х годов как ответ на растущую сложность корпоративных сетей и увеличение количества угроз. До этого организации использовали разрозненные инструменты: системы обнаружения вторжений (IDS), антивирусы, файрволы и средства анализа логов, которые не обменивались данными друг с другом.

В 2005 году аналитическая компания Gartner ввела термин Security Information and Event Management, объединив два направления — SEM и SIM. Первыми коммерческими продуктами стали решения ArcSight (основана в 2000 году), enVision (от компании Network Intelligence, позже поглощена RSA) и NitroView (от компании NitroSecurity, позже поглощена McAfee). В 2010-х годах рынок SIEM активно развивался: появились open-source-решения (например, OSSIM от AlienVault, а затем OSSEC), а также облачные и гибридные модели развертывания. В 2020-х годах SIEM-системы начали интегрировать технологии машинного обучения и искусственного интеллекта для улучшения обнаружения аномалий и снижения числа ложных срабатываний.

В России разработка SIEM-систем активизировалась после 2014 года в рамках политики импортозамещения. Ключевыми отечественными продуктами стали MaxPatrol SIEM (Positive Technologies), KUMA (Solar, входит в ГК «Ростех»), Security Capsule (InfoWatch) и R-Vision SIEM. Эти решения сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК России) и используются в государственных органах и критически важных объектах.

Архитектура и компоненты

SIEM-система состоит из нескольких ключевых компонентов, работающих в связке:

  • Агенты сбора данных (коллекторы) — программные или аппаратные модули, устанавливаемые на источники событий (серверы, сетевые устройства, базы данных, приложения). Они собирают логи, журналы аудита, трафик и другие данные, нормализуют их (приводят к единому формату) и передают на центральный сервер.
  • Центральный сервер (менеджер) — ядро системы, которое принимает потоки событий, выполняет корреляцию (сопоставление событий по заданным правилам), хранит данные в базе и генерирует оповещения.
  • База данных (хранилище) — предназначена для долгосрочного хранения событий (от нескольких месяцев до нескольких лет) в сжатом и индексированном виде. Используются как реляционные (PostgreSQL, Oracle), так и специализированные NoSQL-решения (Elasticsearch, Apache Hadoop).
  • Консоль управленияграфический интерфейс, через который администраторы ИБ настраивают правила корреляции, просматривают оповещения, строят отчеты и анализируют инциденты.
  • Модуль отчетности — генерирует отчеты по заданным шаблонам (например, для соответствия стандартам PCI DSS, ISO 27001, 152-ФЗ «О персональных данных»).

Принцип работы

Работа SIEM-системы включает несколько этапов:

  1. Сбор данных — агенты или коллекторы собирают события из различных источников: операционные системы (Windows Event Log, syslog), сетевые устройства (логи файрволов, маршрутизаторов), системы защиты (антивирусы, DLP-системы, IDS/IPS), приложения (веб-серверы, базы данных), облачные сервисы.
  2. Нормализация — разрозненные события приводятся к единому формату (например, Common Event Format, CEF или собственный формат вендора). Это позволяет коррелировать данные из разных источников.
  3. Корреляция — центральный сервер анализирует поток событий по заранее заданным правилам (корреляционным правилам). Правила описывают последовательности или комбинации событий, указывающие на возможную атаку. Например: «Если в течение 5 минут с одного IP-адреса зафиксировано 10 неудачных попыток входа в систему, а затем успешный вход — сгенерировать оповещение о возможной атаке методом подбора пароля».
  4. Генерация оповещений — при совпадении с правилом система создает инцидент (alert), который отображается в консоли управления. Оповещение может быть отправлено по электронной почте, в мессенджер или через API в другие системы (например, в систему управления инцидентами).
  5. Хранение и анализ — все события (включая те, что не вызвали оповещений) сохраняются в базе данных для последующего ретроспективного анализа, расследования инцидентов и подготовки отчетов.

Классификация SIEM-систем

SIEM-системы можно классифицировать по нескольким признакам:

По модели развертывания

  • Локальные (on-premise) — развертываются на серверах заказчика. Обеспечивают полный контроль над данными, но требуют затрат на оборудование и обслуживание.
  • Облачные (SaaS) — предоставляются как услуга через интернет. Примеры: Microsoft Sentinel, Splunk Cloud, Sumo Logic. Снижают нагрузку на ИТ-инфраструктуру, но требуют передачи данных в облако.
  • Гибридные — сочетают локальные и облачные компоненты, позволяя обрабатывать чувствительные данные локально, а остальные — в облаке.

По масштабу

  • Корпоративные — предназначены для крупных организаций с тысячами источников событий. Отличаются высокой производительностью, масштабируемостью и поддержкой сложных правил корреляции.
  • Для малого и среднего бизнеса — упрощенные версии с ограниченным функционалом, часто в облачной модели.

По типу источников

  • Универсальные — поддерживают широкий спектр источников (Windows, Linux, сетевые устройства, базы данных, приложения).
  • Специализированные — ориентированы на конкретные типы данных (например, только на логи сетевых устройств или только на события от систем контроля доступа).

Применение

SIEM-системы используются в различных сферах:

  • Мониторинг информационной безопасности — круглосуточный контроль событий в реальном времени для выявления атак, вредоносной активности и нарушений политик безопасности.
  • Расследование инцидентов — предоставление полного контекста (источники, временные метки, последовательность событий) для анализа и реагирования на инциденты.
  • Соответствие нормативным требованиям — автоматическая генерация отчетов для аудиторов по стандартам PCI DSS, HIPAA, SOX, 152-ФЗ, ГОСТ Р 57580.1-2017 и другим.
  • Управление уязвимостями — интеграция с системами сканирования уязвимостей для приоритизации и отслеживания устранения.
  • Анализ поведения пользователей (UEBA) — современные SIEM-системы включают модули User and Entity Behavior Analytics, которые выявляют аномалии в поведении пользователей и устройств с помощью машинного обучения.

Преимущества и ограничения

Преимущества

  • Централизация и унификация данных о безопасности из множества источников.
  • Автоматизация выявления инцидентов за счет корреляции событий.
  • Ускорение расследования инцидентов благодаря полному контексту.
  • Соответствие требованиям регуляторов и стандартов.
  • Возможность интеграции с другими системами ИБ (SOAR, EDR, NGFW).

Ограничения

  • Высокая стоимость внедрения и лицензирования (особенно для корпоративных решений).
  • Сложность настройки правил корреляции и фильтрации ложных срабатываний.
  • Необходимость в квалифицированных специалистах (администраторах SIEM и аналитиках ИБ).
  • Большие объемы хранимых данных требуют значительных ресурсов хранения и вычислительных мощностей.
  • Неспособность обнаруживать неизвестные угрозы (zero-day) без обновления правил и моделей.

Рынок и вендоры

На мировом рынке SIEM доминируют несколько крупных вендоров:

  • Splunk — лидер по доле рынка, предлагает как облачную, так и локальную версии.
  • IBM QRadar — одно из старейших решений, поддерживает широкий спектр интеграций.
  • Microsoft Sentinel — облачная SIEM-система, интегрированная с экосистемой Azure.
  • ArcSight (Micro Focus) — корпоративная платформа для крупных организаций.
  • LogRhythm — решение для среднего и крупного бизнеса.
  • AlienVault OSSIM — открытое решение с базовым функционалом.

В России, помимо упомянутых MaxPatrol SIEM, KUMA, Security Capsule и R-Vision SIEM, также присутствуют продукты от компаний «Код Безопасности» (Secret Net Studio), «Лаборатория Касперского» (Kaspersky Unified Monitoring and Analysis Platform) и «Газинформсервис» (СИЕМ «Гарда»). Все они внесены в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Интересные факты

  • Первая коммерческая SIEM-система, ArcSight, была создана в 2000 году и первоначально называлась «ArcSight ESM» (Enterprise Security Manager).
  • По данным исследований, среднее время обнаружения инцидента (Mean Time to Detect, MTTD) в организациях, использующих SIEM, сокращается с нескольких недель до нескольких часов.
  • В 2023 году объем мирового рынка SIEM оценивался в 4,5 миллиарда долларов США, а прогнозируемый среднегодовой темп роста (CAGR) до 2030 года составляет около 10-12%.
  • Некоторые SIEM-системы способны обрабатывать до 1 миллиона событий в секунду (EPS) на одном сервере.

Источники

  • Gartner. «Magic Quadrant for Security Information and Event Management» (2005, 2023).
  • ФСТЭК России. «Методический документ. Меры защиты информации в государственных информационных системах» (2020).
  • ISO/IEC 27001:2013. «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности».
  • PCI Security Standards Council. «PCI DSS v4.0» (2022).
  • Positive Technologies. «MaxPatrol SIEM: архитектура и возможности» (2021).
  • Solar. «KUMA: платформа управления информацией и событиями безопасности» (2022).
  • Statista. «Security Information and Event Management (SIEM) market size worldwide 2020-2030» (2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →