Обзор российских SIEM-систем

SIEM — что это такое? 

SIEM — это система, которая в режиме нон-стоп ведет мониторинг состояния ИТ-инфраструктуры: анализирует действия пользователей, оценивает работу всех систем, а также аккумулирует все данные со средств защиты информации. Благодаря этому SIEM-система может оперативно оповещать сотрудников Службы безопасности об инцидентах, что позволяет специалистам реагировать на инциденты до наступления ущерба.  

Такие решения объединяют два класса: SEM (Security Event Management, «управление событиями безопасности»), которые отвечают за мониторинг событий в реальном времени и SIM (Security Information Management, «управление информацией о безопасности»), которые необходимы для анализа данных с разных объектов ИТ-инфраструктуры. 

Функции SIEM-системы

Изначально SIEM-системы только обрабатывали данные и уведомляли сотрудников Службы безопасности об инцидентах. Но со временем требования к такому ПО расширились и теперь нередко можно услышать мнение, что комплексы «должны‎» реагировать на собранную информацию и предпринимать активные действия. 

Тем не менее, в большинстве случаев к функциям SIEM-системы относится: 

• в режиме реального времени мониторить состояние ИТ-инфраструктуры, отслеживать сигналы тревоги
• обрабатывать данные и выявлять отклонения в работе систем
• уведомлять сотрудников службы безопасности о ЧП

Отличие DLP от SIEM

Задача DLP-системы и SIEM-системы обеспечить информационную безопасность организации, но у решений разные функции, поэтому часто их используют вместе. Если основная задача DLP-системы — предотвратить утечку информации, то «должностные обязанности‎»‎ SIEM-системы шире: такие комплексы собирают и анализируют все события безопасности с разных источников. Это позволяет сотрудникам СБ сформировать более полную картину и многие компании используют такие решения как дополнительный элемент защиты.

Российский рынок SIEM-систем

До 2022 года львиная доля российского рынка SIEM-систем принадлежала зарубежным компаниям, но затем расклад сил изменился и место ушедших решений заняли отечественные SIEM. По итогам 2023 года российский рынок SIEM-систем эксперты оценивали от 20 млрд до 24 млрд рублей, а по итогам 2024-го года — в диапазоне 18-20 млрд рублей. По прогнозам, в ближайшие годы это направление может ежегодно расти на 10%, а количество российских вендоров увеличиться более чем в полтора раза. 

В этом обзоре мы рассмотрим российские SIEM-системы и расскажем про их функции.

MaxPatrol SIEM

Решение от Positive Technologies занимает львиную долю российского рынка SIEM-систем: комплекс используют более 700 компаний.

MaxPatrol SIEM способно обрабатывать более 540 тысяч событий в секунду на одном ядре с полной экспертизой. При этом решение покрывает 310 различных источников и «из коробки» содержит более 8000 правил нормализации.

Компания развивает analyst experience, благодаря чему сотрудник СБ в одном окне может просматривать связанные события, проверять потенциально опасные файлы и реагировать на инциденты. 

Лицензия на MaxPatrol SIEM продается по подписочной модели, цена зависит от количества активов и потока EPS. 

Решение входит в реестр российского ПО, имеет сертификат ФСТЭК по четвертому уровню доверия.

SIEM-система KUMA

Несмотря на то, что «Лаборатория Касперского» представила SEIM-систему только в 2020 году, она уже заняла место среди лидеров по числу внедрений в enterprise-сегмент. 

Высокопроизводительный комплекс способен обрабатывать сотни тысяч событий в секунду, при этом решение предъявляет низкие системные требования.

SIEM-система KUMA поставляется с готовым набором правил корреляции, а также интегрировано с богатым портфолио сервисов Kaspersky Threat Intelligence, что позволяет выявлять и приоритизировать угрозы и получать доступ к контекстной информации по новым атакам.

Высокопроизводительный комплекс способен обрабатывать сотни тысяч событий в секунду/

Комплекс позволяет объединить все системы в организации в единую платформу, чтобы увеличить эффективность анализа данных. Что немаловажно — это могут быть продукты сторонних вендоров.

SIEM-система KUMA распространяется по подписочной модели. Продукт представлен в реестре отечественного ПО, имеет сертификат ФСТЭК России.

SIEM-система Alertix

Еще одна «молодая» SIEM-система: разработчик, компания NGR Softlab, представила продукт в 2019 году. 

Alertix собирает и обрабатывает данные из различных источников, автоматизирует выявление и учет инцидентов ИБ/

Компания предлагает как продукт «из коробки», в котором предусмотрено 75 источников событий, так и SIEM-систему «под запрос» с изменением модели данных, подключением внешних хранилищ и другими возможностями.  

В коробочную версию входят инструменты поддержки полного цикла мониторинга, расследования и учета инцидентов из единого окна. 

Комплекс распространяется по срочным и бессрочным лицензиям, цена зависит от количества EPS, модулей и параметров инсталляции.

Alertix зарегистрирован в реестре российского ПО, имеет сертификат ФСТЭК по четвертому уровню доверия.

Ankey SIEM NG

Ankey SIEM NG — продукт компании «Газинформсервис». SIEM-система адаптируется практически к любой инфраструктуре и работает для всех уровней управления.

Комплекс в режиме нон-стоп отслеживает изменения в инфраструктуре организации благодаря автоматической сетевой инвентаризации. При этом возможности решения позволяют построить  топологию сети на основе модели инфраструктуры организации. Это позволяет лучше оценивать угрозы ИБ и облегчает расследование инцидентов.

Система состоит в реестре отечественного ПО, имеет сертификат ФСТЭК.

SIEM-система адаптируется практически к любой инфраструктуре и работает для всех уровней управления.

RuSIEM

Флагманский продукт компании RuSIEM, которая создает решения в области мониторинга и управления событиями информационной безопасности с 2014 года. 

Отличительной особенностью RuSiem является высокая производительность — 90 тыс. событий на одну ноду, кроме этого у системы нет ограничений по количеству событий и источникам, есть вертикальная и горизонтальная масштабируемость и распределение нагрузки на несколько серверов или виртуальных машин. 

Gанель мониторинга RuSIEM с гибко настраиваемыми виджетами.

Управление инцидентами в RuSIEM построено по стандарту ITIL. Инциденты формируются автоматически в результате срабатывания правил корреляции.

Можно приобрести как срочные, так и бессрочные лицензии — цена зависит от общего потока обрабатываемых событий.  

RuSIEM включена в реестр отечественного ПО, имеет сертификат ФСТЭК России.

Komrad Enterprise SIEM

SIEM-система, которую отличают гибкость и низкие требования к аппаратному обеспечению. Продукт разработан компанией АО «Эшелон Технологии».  

У Komrad Enterprise SIEM есть вертикальное и горизонтальное масштабирование, визуальный конструктор правил корреляции, возможность создавать запросы для выявления угроз по накопленным данным. 

У комплекса удобный пользовательский интерфейс и данные отображаются в интерактивных панелях и графиках. 

KOMRAD Enterprise SIEM распространяется по бессрочным лицензиям, на цену влияют состав коллекторов и особенности масштабирования. Отметим, что компания распространяет дистрибутив с демолицензией.

Продукт есть в реестре отечественного ПО, имеет сертификаты ФСТЭК и Минобороны России.

У комплекса удобный пользовательский интерфейс и данные отображаются в интерактивных панелях и графиках.

Что нужно учесть при выборе SIEM?

SIEM-система дорогостоящее ПО, от которого во многом зависит уровень обеспечения информационной безопасности. Внедрение SIEM-системы может занять от пары месяцев до нескольких лет, что зависит от масштаба проекта. Поэтому на старте реализации проекта необходимо определить задачи компании, бюджет, а также обратить внимание на следующие характеристики:

1. Интеграция с ИТ-инфраструктурой компании
2. Объем собираемых данных 
3. Производительность системы
4. Возможности масштабируемости
5. Стоимость владения и техническая поддержка

Как мы уже отметили выше, организации часто используют SIEM в тандеме с DLP-решениями, чтобы обеспечить лучшую защиту данных. Поэтому на этапе выбора СУБД стоит обратить внимание и на совместимость с вашей DLP-системой. Одна из популярных российских DLP-систем «‎Стахановец»‎ не только официально совместима с такими SIEM как RuSIEM и Komrad Enterprise SIEM, но и благодаря возможности передавать сообщения о событиях безопасности во внешнюю систему по syslog-протоколу, может гибко интегрироваться с любыми SIEM-системами.

Протестировать комплекс вы можете уже сейчас бесплатно, установив пилотную версию на 30 дней.