SIEM-системы – надежный защитник информации любой компании

С развитием IT-технологий предприятия могут вести бизнес более эффективно, но чем больше данных появляется в корпоративных системах, тем труднее контролировать безопасность и обеспечивать предотвращение утечек информации. Администраторам информационной безопасности сложно вручную отслеживать и блокировать угрозы, и без постоянного мониторинга защита информации теряет смысл.

Чтобы упростить управление информационной безопасностью (ИБ), на помощь приходят SIEM-системы (Security Information and Event Management) – решения, которые помогают отслеживать и анализировать все события в IT-инфраструктуре, чтобы вовремя обнаружить подозрительные действия.

Современные киберпреступники стали хитрее: вместо прямых атак они находят уязвимости в системе информационной защиты предприятия, чтобы действовать скрытно. Такие атаки часто не распознаются сразу, так как отдельные события могут не казаться угрозой для инфраструктуры компании. SIEM-системы решают эту проблему, предоставляя возможность отслеживать и анализировать весь массив событий в системе, чтобы выявить инциденты даже по малейшим отклонениям.

Что такое SIEM и как она работает

SIEM-системы объединяют возможности двух типов решений: SEM и SIM:

• SEM (Security Event Management) – система, работающая в реальном времени, собирает и анализирует события, выявляет подозрительные действия и отправляет предупреждения.
• SIM (Security Information Management) – система, анализирующая данные по установленным правилам безопасности, выявляя отклонения и потенциальные угрозы.

SIEM-система безопасности незаменима для бизнеса, особенно если у компании уже есть решения, как, например, DLP-системы. SIEM усиливает общую защиту и позволяет ИБ-специалистам видеть полную картину происходящего в корпоративной сети.

Как работает SIEM: простыми словами

Система мониторинга SIEM работает по циклу действий, который помогает защитить различные предприятия от угроз. Сначала система собирает данные из множества источников, анализирует их в реальном времени, выявляет подозрительные действия и при необходимости предупреждает об инцидентах. Затем данные сохраняются и обрабатываются для создания отчетов и уведомлений о важных событиях.

Ключевые элементы SIEM:

• Агенты собирают данные из различных источников.
• Серверы сбора и анализа обрабатывают и объединяют информацию.
• Сервер базы данных хранит полученные данные.
• Сервер корреляции отслеживает и анализирует события, связывая отдельные инциденты в целостную картину.

SIEM-системы получают данные из самых разных корпоративных источников:

• Системы контроля доступа фиксируют действия при входе в систему.
• DLP-системы выявляют утечки данных или злоупотребление правами.
• IDS/IPS указывают на попытки сетевых атак.
• Антивирусные системы сигнализируют о вредоносных программах и изменениях в настройках безопасности.
• Журналы событий серверов — отслеживают соблюдение правил доступа.
• Межсетевые экраны — фиксируют подозрительные сетевые действия.
• Оборудование сети и веб-фильтры — анализируют сетевой трафик и выявляют попытки доступа к запрещенным сайтам.

Как SIEM выявляет угрозы? SIEM анализирует данные на основе заданных правил. Например, если кто-то несколько раз подряд пытается войти в систему с одним логином, это может указывать на попытку взлома, и система информационной защиты отправит уведомление.

SIEM может обнаружить:

• внешние и внутренние атаки;
• вирусные заражения;
• несанкционированный доступ к данным предприятия;
• корпоративное мошенничество;
• уязвимости в системе;
• ошибки и сбои в безопасности;
• хищения данных.

SIEM-системы позволяют компании не только оперативно реагировать на угрозы, но и строить долгосрочную стратегию защиты ИБ предприятия.

SIEM – мощный инструмент для обнаружения угроз

SIEM-системы помогают не только фиксировать отдельные события. Анализ SIEM-систем дает более полное представление о безопасности сети. Обычные средства защиты информации часто не видят угрозы, так как каждый компонент анализирует только свой участок. SIEM объединяет данные из разных источников, выявляя подозрительную активность, которую сложно заметить в разрозненных отчетах. Поэтому часто SIEM используются как дополнительный барьер для защиты от целенаправленных атак на предприятия.

Основные сценарии использования SIEM:

1. Контроль аутентификации и защита аккаунтов. SIEM отслеживает подозрительные попытки входа и защищает от компрометации учетных записей.
2. Выявление вредоносного ПО. Система анализирует журналы брандмауэра, веб-прокси и сетевые потоки, чтобы обнаружить вредоносные программы.
3. Мониторинг подозрительного трафика. SIEM фиксирует странные исходящие соединения, что помогает обнаружить возможные утечки данных.
4. Предотвращение кражи данных. SIEM выявляет подозрительные внешние соединения, чтобы вовремя блокировать утечку информации.
5. Контроль системных изменений. SIEM следит за всеми административными изменениями и проверяет их соответствие внутренним правилам.
6. Защита веб-приложений. Анализируя журналы веб-сервера, экраны WAF и логи приложений, SIEM помогает отслеживать попытки атак на веб-приложения и их последствия.

Эти сценарии позволяют компании оперативно реагировать на угрозы и поддерживать высокий уровень безопасности, предотвращая утечки данных и защищая свою инфраструктуру.

Нужна ли SIEM-система?

Некоторые компании сомневаются, нужна ли им SIEM-система или это уже устаревший подход. Чтобы понять, актуальна ли SIEM для бизнеса, важно осознать, что это инструмент для мониторинга, а не для активной защиты от хакеров.

SIEM не остановит атаку, но она необходима для создания центра мониторинга и реагирования, как, например, SOC (Security Operation Center), а также для подключения к FinCert или ГосСОПКА. SIEM помогает решать несколько важных задач:

• собирать и хранить логи в едином хранилище;
• предоставлять аудиторам отчеты для соблюдения стандартов и требований;
• коррелировать события из разных источников, чтобы выделять важные инциденты.

Ключ к эффективности SIEM – правильная настройка под конкретную инфраструктуру. Если правила корреляции и фильтры настроены грамотно, система будет показывать только важные сообщения и брать на себя рутину, облегчая работу операторам.

Как выбрать SIEM-систему

На рынке представлено множество SIEM-решений, все они связаны с информационной безопасностью, но различаются по функциям, масштабируемости и набору задач. Чтобы найти подходящую систему, важно оценить ключевые характеристики.

1. Источники событий и их обработка

Чем больше различных источников событий поддерживает SIEM, тем выше уровень защиты ИБ предприятия. Важно, чтобы система могла настраивать обработку каждого события под конкретные потребности.

События обычно разбиваются по категориям, что упрощает анализ данных. Хорошие системы класса SIEM регулярно обновляют свои модули для парсинга, добавляя новые функции при обновлениях.

Автообновление источников – важная опция, но некоторые производители ограничивают его, чтобы сохранить контроль за логикой анализа. Это требует участия специалистов в настройке, что может увеличить затраты.

Что стоит учитывать:

• SIEM должна поддерживать как можно больше источников событий, используемых в вашей компании.
• Платформа с многоуровневой обработкой инцидентов облегчит адаптацию и упростит интеграцию с другими программами.
• Низкие требования к оборудованию будут дополнительным плюсом.
• Для российских компаний важным бонусом будет поддержка отечественных источников событий, которой у многих зарубежных аналогов нет.

2. Сбор и обработка инцидентов

Хорошая SIEM-система умеет собирать инциденты, нормализовать, объединять и фильтровать их, чтобы не перегружать специалистов лишней информацией. Полезной функцией будет хранение «сырых» (raw) событий – исходных данных до обработки, которые можно использовать для детального анализа при необходимости. Важные дополнительные функции, такие как маскирование данных и мониторинг трафика, могут облегчить защиту, даже если они не всегда играют ключевую роль.

Совет: проверить, как система справляется с нормализацией, фильтрацией и объединением инцидентов, можно на этапе тестирования. SIEM, предлагающие полнофункциональный тест-драйв, позволяют увидеть, как она работает в реальных условиях.

3. Корреляция событий

Эффективная SIEM-система связывает события в режиме реального времени, проводит анализ поведения пользователей и сравнивает данные с историческими записями. Гибкие настройки корреляции и возможность обогащения данных прямо в консоли управления или коннекторе – большой плюс. Возможность ручной проверки и параллельной работы со всеми механизмами корреляции делает систему еще более универсальной и надежной.

4. Визуализация данных

SIEM-системы представляют отчетность в виде наглядных графиков, гистограмм и таблиц, которые можно экспортировать в форматы Excel, RTF, PDF, CSV и HTML. Наличие русифицированного интерфейса не обязательно, но делает работу комфортнее для ИБ-специалистов.

Эти функции делают SIEM-систему незаменимым инструментом для защиты корпоративных данных. Выбирая SIEM, ориентируйтесь на гибкость настроек, поддержку тестирования и наличие инструментов для комплексного анализа событий.

5. Общие настройки и встроенные функции

Удобство работы с SIEM-системой во многом зависит от наличия предустановленных правил корреляции, графических панелей и шаблонов отчетов. Чем больше встроенных функций и готовых настроек, тем меньше понадобится помощь внешних специалистов. Это экономит время и деньги на обслуживание.

Например, при создании «СёрчИнформ SIEM» разработчики учли типовые задачи бизнеса в России и СНГ. Благодаря этому система имеет предустановленные политики, которые начинают работать сразу после установки – без длительных настроек. При добавлении новых источников система автоматически обновляет набор правил, облегчая задачу по настройке.

6. Удобство использования

Важный показатель удобства – возможность централизованного управления всеми компонентами SIEM через единую консоль и автоматическое обновление политик и шаблонов отчетов. Это значительно облегчает работу ИБ-специалиста, экономя его время на рутинных задачах.

Кроме того, оперативная и качественная техническая поддержка играет важную роль, и здесь отечественные решения часто выигрывают за счет быстрой реакции и доступной стоимости.

Итак, оценка SIEM по ключевым характеристикам позволяет выбрать подходящее решение уже на этапе тестирования. Потребности у разных компаний могут отличаться, поэтому при выборе SIEM важно учитывать особенности своей IT-инфраструктуры. В процессе тестирования заказчик может определить, какие функции и настройки наиболее важны, а окончательная настройка системы станет понятной только в ходе ежедневной работы.

Как работает «СёрчИнформ SIEM»

SIEM-систем от СёрчИнформ обеспечивает всесторонний контроль за безопасностью, получая данные из различных систем:

• контроллеры домена Active Directory;
• доступ к файловым ресурсам;
• активность пользователей;
• почтовые серверы (например, Exchange);
• антивирусные системы (Kaspersky);
• базы данных (MS SQL);
• syslog устройств и приложений;
• система DLP «СёрчИнформ КИБ».

В разработке также поддержка:

• трафика от сетевого оборудования и Proxy-серверов;
• виртуальных сред и терминальных серверов;
• почты, перехваченной через серверы;
• NetFlow для отслеживания сетевой активности и DDoS-атак;
• динамических дашбордов;
• поддержки дополнительных антивирусов, СУБД и почтовых серверов.

Сбор данных для сервера SIEM, их нормализацию и взаимосвязь между собой обеспечивают коннекторы:

1. Microsoft
   • AzureConnector – чтение логов серверов Microsoft Azure SQL.
   • ESEventConnector и SQLAuditConnector – сбор логов серверов Microsoft SQL.
   • ExchangeConnector – логирование событий почтового сервера Exchange.
   • IISConnector – сбор данных Microsoft IIS.
2. Антивирусы
   • KasperskyConnector – чтение базы данных Kaspersky Anti-Virus.
   • DrWebConnector – данные из базы Dr.Web.
   • ESETConnector – события из ESET.
   • McAfeeConnector – подключение к базе McAfee.
   • SymantecConnector – данные из базы Symantec EPM.
3. Системы управления доступом и сетевое оборудование
   • RusGuardConnector – подключение к СКУД RusGuard.
   • CiscoConnector – события сетевых устройств Cisco.
   • FortigateConnector – события комплексной безопасности FortiGate.
   • VipNetConnector – данные VipNet.
   • UserGateConnector – события от межсетевых экранов UserGate.
   • SNMPTrapConnector – trap-события SNMP.
   • NetFlowConnector – трафик по протоколу NetFlow.
   • PaloAltoConnector и CheckPointConnector – события межсетевых экранов Palo Alto и Check Point.
4. Базы данных и приложения
   • OracleConnector – чтение таблиц и логов Oracle.
   • PostgreSQLConnector – данные из PostgreSQL.
   • 1CConnector и 1CTechlogConnector – события «1С».
   • MongoDBConnector – логи MongoDB.
   • RedCheckConnector – сканер безопасности RedCheck.
5. Операционные системы и сервисы
   • LinuxConnector – сбор событий из Linux, Apache, Postfix и FTP-сервера.
   • SyslogConnector – события Syslog.
   • DHCPConnector – логи DHCP через PowerShell.
6. Прочие системы и приложения
   • SIDLPConnector – события из «СёрчИнформ КИБ».
   • DominoConnector – логи IBM Domino.
   • ADMonitoringConnector – мониторинг Active Directory.
   • GPOConnector – события из журналов групповых политик.

Эти коннекторы обеспечивают комплексный сбор и анализ данных, позволяя «СёрчИнформ SIEM» глубже интегрироваться в IT-инфраструктуру и отслеживать события по множеству направлений.

Логика работы: инциденты и анализ

Система работает с огромным объемом событий, автоматически связывая их в цепочки инцидентов, что позволяет выявлять угрозы через комплексный анализ. На входе система получает множество разрозненных событий, а на выходе выдает обоснованные данные: статистику, уведомления об аномалиях, сбоях, попытках несанкционированного доступа, отключениях защиты, вирусах, подозрительных транзакциях и возможных утечках данных. Главная цель – сократить время на реагирование и повысить эффективность мониторинга информации и бизнес-процессов.

Алгоритмы анализа в «СёрчИнформ SIEM» используют разные подходы – от соблюдения стандартов безопасности до поиска статистических аномалий с помощью интеллектуальных алгоритмов. Система обеспечивает стабильный и непрерывный контроль за всей корпоративной инфраструктурой.

Кому подойдет «СёрчИнформ SIEM»

• Банкам и финансовым организациям

  Решение для мониторинга распределенных сетей с множеством пользователей и устройств, а также логирования событий и выявления инцидентов.

• Мобильным операторам и телеком-компаниям

  Обеспечивает контроль над собственной инфраструктурой, соблюдение внутренних политик и стандартизацию логов с тысяч разных источников.

• Компаниям с DLP, IDS, IDM системами

  Интеграция с SIEM значительно расширяет возможности этих систем, повышая эффективность каждого элемента безопасности.

• Малому и среднему бизнесу

  SIEM-система поможет контролировать работу сети и соблюдение политик безопасности, с возможностью масштабирования под бюджеты и рост компании.

• Крупным компаниям с более чем 1000 устройствами

  Обрабатывает огромные объемы событий, выделяя инциденты, требующие быстрого реагирования.

• Географически распределенным предприятиям

  Обеспечивает централизованный контроль над сетью и поддержание стабильной работы всей инфраструктуры, независимо от расположения филиалов.

Работать с «СёрчИнформ SIEM», настраивать ее и быстро реагировать на инциденты может любой ИБ- или IT-специалист. Для этого были добавлены готовые политики безопасности, процесс подключения источников стал проще, а также был создан интуитивно понятный интерфейс – все, чтобы задачи, которые ставит перед собой информационная безопасность, решались максимально эффективно.

Примеры готовых политик в «СёрчИнформ SIEM»

Контроллеры домена Active Directory

• Переименование учетной записи временно.
• Попытки подбора паролей.
• Использование нескольких учетных записей на одном ПК.
• Смена пароля администратором домена.
• Старые и неактивные пароли и учетные записи.
• Статистика входов и активности в системе.
• Одна учетная запись на нескольких устройствах.
• Временная выдача прав и добавление в группы.
• Очистка журнала событий и изменение политики аудита.

Доступ к файловым ресурсам

• Временная выдача доступа к файлам/папкам.
• Обращение к критическим файлам.
• Повышенная активность вокруг определенных типов файлов.
• Изменения прав доступа к файлам/папкам.

Базы данных MS SQL

• Создание временных учетных записей.
• Включение учетных записей и назначение ролей безопасности.
• Изменение прав доступа и установка паролей администратора.

Антивирус Kaspersky

• Самозащита антивируса и блокировка выполнения программ.
• Отключение компонентов защиты и критические статусы системы.
• Уведомления об обнаружении угроз и лицензии.
• Выявление вирусных эпидемий и зараженных программ.

Почтовый сервер Exchange

• Изменение аудита и состава ролей управления.
• Доступ к почтовым ящикам не владельцами.
• Изменение статуса и прав почтовых ящиков.

Активность пользователей

• Активность вне рабочего времени.
• Активность пользователей, долго отсутствующих.

Syslog

• Пользовательские правила Syslog.
• События системы безопасности, авторизации и демонов.
• События протоколов печати и почтовых систем.
• Логирование событий и предупреждений.

Внедрение «СёрчИнформ SIEM»: от 6 часов до 8 дней

Процесс внедрения, запуска и администрирования «СёрчИнформ SIEM» осуществляется совместно командой «СёрчИнформ» и IT-специалистами заказчика. Важным преимуществом является то, что в этом процессе не требуется участие сотрудников из других отделов, что упрощает координацию и ускоряет работу.

После завершения внедрения заказчик получает постоянную техническую поддержку. ПО обновляется на регулярной основе в рамках этой поддержки, что позволяет расширять функционал системы и поддерживать ее актуальность.

Этапы внедрения «СёрчИнформ SIEM»

Этап 1: Обследование инфраструктуры и инвентаризация

Срок: от 2 до 4 недель

Ответственные: команда заказчика

Первым шагом проводится полное обследование инфраструктуры заказчика: составляется карта сети, создается список оборудования и ПО, а также фиксируются активные пользователи. На основании полученных данных заполняется анкета «СёрчИнформ», что помогает учесть все особенности сетевой инфраструктуры клиента.

Этап 2: Формирование рекомендаций и утверждение ТЗ

Срок: от 2 часов до 2 дней

Ответственные: команда «СёрчИнформ»

После заполнения анкеты специалисты анализируют активы клиента и на основе этого предлагают рекомендации для подготовки к внедрению. На данном этапе формируется и согласовывается техническое задание (ТЗ), чтобы настроить продукт под конкретные потребности компании.

Этап 3: Установка и базовая настройка SIEM

Срок: от 1 часа до 2 дней

Ответственные: команда «СёрчИнформ» и IT-служба заказчика

Продукт инсталлируется и выполняется базовая настройка, что позволяет SIEM начать принимать данные. Установка проводится командой «СёрчИнформ» с поддержкой IT-специалистов заказчика для учета всех технических аспектов.

Этап 4: Настройка и подключение источников событий

Срок: от 2 часов до 3 дней

Ответственные: IT-служба заказчика и команда «СёрчИнформ»

На этом этапе настраивается оборудование и программные источники данных, которые будут передавать информацию в SIEM. Подключение источников данных – важный этап для обеспечения полноты и точности данных.

Этап 5: Донастройка решения

Срок: от 1 часа до 1 дня

Ответственные: IT-служба заказчика и специалисты отдела внедрения

Финальная настройка по запросу клиента: специалисты могут добавить новые правила, скорректировать существующие, а также настроить оповещения о критических событиях.

Преимущества «СёрчИнформ SIEM»

1. Легкое внедрение

   «СёрчИнформ SIEM» готова к работе сразу после установки, благодаря предустановленным политикам, которые позволяют обнаруживать угрозы и инциденты «из коробки». Система не требует длительных предварительных настроек.

2. Простота в использовании

   В отличие от многих аналогичных решений, «СёрчИнформ SIEM» проста и интуитивно понятна. Для работы с ней не нужно привлекать дорогостоящих специалистов с узкой квалификацией.

3. Подходит для малого и среднего бизнеса

   Благодаря низким программно-аппаратным требованиям и доступной цене, «СёрчИнформ SIEM» оптимально подходит для малых и средних предприятий, предоставляя качественную защиту, не превышая бюджет.

4. Учтены лучшие практики тысяч клиентов

   Опыт более 4 000 клиентов из 20 стран был учтен при разработке. Мы выявили основные потребности компаний и лучшие практики, которые были интегрированы в «СёрчИнформ SIEM».

5. Тандем SIEM и DLP

   В связке с «СёрчИнформ КИБ», SIEM-система значительно усиливает информационную безопасность компании. SIEM выявляет аномалии и отслеживает доступ к данным, а DLP анализирует содержимое коммуникаций. Совместная работа этих решений повышает эффективность каждого компонента.

6. Поддержка и сопровождение

   Инженеры техподдержки помогают с установкой, настройкой и решением технических вопросов. Специалист отдела внедрения обучит работе с системой, настраивает правила и поддерживает связь по вопросам обновлений. Персональный менеджер поможет с административными вопросами.

7. Российская разработка

   «СёрчИнформ SIEM» – система российская, значит, она полностью соответствует требованиям законодательства об импортозамещении.

8. Гибкое лицензирование

   Лицензии выдаются по количеству узлов, с которых собираются данные. Узлом считается любой сетевой актив, идентифицированный по имени хоста или IP-адресу, что делает лицензирование гибким и прозрачным.

«СёрчИнформ» уже обеспечивает защиту информации таких гигантов, как:

«СёрчИнформ SIEM» предоставляет готовые настройки «из коробки» – результаты видны сразу после установки. Система не требует привлечения узкопрофильных специалистов для создания правил или корреляций и легко интегрируется в существующую IT-инфраструктуру компании.