Открыть сервис

Система управления событиями безопасности

Система управления событиями безопасности (Security Information and Event Management, SIEM) — это класс программных решений, предназначенных для централизованного сбора, хранения, корреляции и анализа данных о событиях безопасности из различных источников в информационной системе. SIEM-системы обеспечивают выявление инцидентов информационной безопасности, генерацию оповещений, построение отчётов и поддержку процессов реагирования на угрозы в реальном времени или в режиме, близком к реальному.

История развития

Концепция SIEM возникла в начале 2000-х годов как результат слияния двух предшествующих технологий: систем управления журналами событий (Log Management, LM) и систем управления информацией о безопасности (Security Information Management, SIM). Первые коммерческие продукты, такие как ArcSight (основана в 2000 году), начали предлагать централизованный сбор логов и базовые механизмы корреляции. К середине 2000-х годов рынок SIEM значительно расширился: появились решения от IBM (IBM Security QRadar), Splunk (изначально позиционировавшийся как платформа для работы с машинными данными), McAfee (Enterprise Security Manager) и других вендоров. В 2010-х годах SIEM-системы стали обязательным элементом compliance-требований (например, PCI DSS, SOX, GDPR), что стимулировало их внедрение в коммерческих и государственных организациях. В России с 2010-х годов активно развиваются отечественные SIEM-решения, такие как MaxPatrol SIEM (Positive Technologies), Kuber SIEM (Код Безопасности), R-Vision SIEM и другие, что связано с политикой импортозамещения в сфере информационной безопасности.

Архитектура и компоненты

Типичная SIEM-система состоит из нескольких ключевых компонентов:

Основные функции

Сбор и нормализация данных

SIEM-системы собирают данные из множества источников: межсетевые экраны, антивирусное ПО, системы обнаружения вторжений (IDS/IPS), серверы аутентификации (Active Directory, LDAP), базы данных, облачные сервисы (AWS, Azure, Google Cloud), а также из систем управления уязвимостями и DLP-систем. Собранные события нормализуются в единую схему, что позволяет сопоставлять данные из разных форматов.

Корреляция событий

Ключевая функция SIEM — выявление аномалий и атак путём анализа взаимосвязей между событиями. Правила корреляции могут быть как простыми (например, «более 10 неудачных попыток входа за 5 минут»), так и сложными, использующими временные окна, пороговые значения и контекстную информацию (например, геолокация, время суток, роль пользователя). Пример: если в течение 3 минут на одном сервере зафиксированы неудачные попытки входа с трёх разных IP-адресов, а затем успешный вход с четвёртого — система может квалифицировать это как атаку методом подбора пароля.

Оповещение и уведомления

При срабатывании правила корреляции SIEM генерирует оповещение (alert), которое может быть отправлено по электронной почте, через мессенджеры (например, Telegram, Slack) или в систему управления инцидентами (SOAR). Важным параметром является уровень критичности оповещения (низкий, средний, высокий, критический), который определяет приоритет обработки.

Отчётность и compliance

SIEM-системы позволяют формировать отчётность по требованиям регуляторов: например, для стандарта PCI DSS требуется ведение логов доступа к данным держателей карт и их регулярный анализ. В России SIEM-системы используются для выполнения требований Федерального закона № 152-ФЗ «О персональных данных», а также приказов ФСТЭК России (например, приказ № 21 по защите информации в государственных информационных системах).

Классификация SIEM-систем

SIEM-решения можно классифицировать по нескольким критериям:

Применение

SIEM-системы находят применение в следующих областях:

Ограничения и критика

Несмотря на широкое распространение, SIEM-системы имеют ряд недостатков. Основные из них:

Тенденции развития

Современные SIEM-системы эволюционируют в сторону интеграции с технологиями искусственного интеллекта и машинного обучения (ML) для снижения числа ложных срабатываний и выявления неизвестных угроз (аномалий). Развивается концепция XDR (Extended Detection and Response), которая объединяет SIEM с системами EDR (Endpoint Detection and Response) и сетевыми сенсорами. Также растёт популярность облачных SIEM-решений, снижающих затраты на инфраструктуру. В России наблюдается активное развитие реестра отечественного ПО (Минцифры России) и импортозамещение в государственном секторе, что стимулирует разработку собственных SIEM-продуктов.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →