Почему покупка SIEM-системы так актуальна?

Во-первых, система необходима всем компаниям, которые используют современный софт, ПК, серверы и другое оборудование. За этим «зоопарком» ПО и железа нужно пристально следить — оборудование ломается, ПО устаревает и может быть источником уязвимости, серверы перегреваются и выходят из строя. Все эти проблемы мониторит SIEM и вовремя сигнализирует об инцидентах.

Во-вторых, ФСТЭК и другие регуляторы рекомендуют вооружаться SIEM-системами субъектам КИИ и операторам персданных. А в некоторых отраслях это прямые требования, которые нельзя игнорировать.

В-третьих, с 2025 г. в госструктурах и на объектах КИИ нельзя будет пользоваться уже внедренными иностранными решениями.

Несмотря на то, что рынок покинули ключевые зарубежные вендорыIBM, HP, Microsoft, Oracle и Fortinet — волноваться за российских заказчиков не стоит. Еще до кризиса отечественные SIEM занимали до 40% рынка РФ. Есть из чего выбрать.

Какой функционал точно нужен «из коробки»

SIEM-система — многофункциональный софт, заказчикам бывает сложно разобраться, какие из функций точно нужны. Вот на что нужно обращать внимание.

Достаточность коннекторов на старте и легкий механизм подключения новых. При выборе системы нужно определиться, какие источники данных в ИТ-инфраструктуре точно нужно контролировать. SIEM стоит подключить к максимально возможному их числу.

Вот список наиболее критичных коннекторов, которые должны быть у вендора «из коробки», чтобы система заработала с первых дней:

— EventLog, который контролирует инфраструктуру MS (Active Directory, СУБД Microsoft SQL).

— Коннекторы для почтовых серверов, чтобы контролировать доступ к почтовым ящикам.

— Коннекторы для СУБД, чтобы держать под контролем базы данных.

— Коннекторы Syslog, чтобы мониторить события сетевых устройств и операционных систем на базе Linux.

— Коннекторы среды виртуализации для контроля событий входа/выхода VMview/VMware.

Кроме того, нужно учитывать, что роутеры, маршрутизаторы, сетевые экраны и прочее сетевое «железо» чаще всего попадают в поле зрения хакеров. Поэтому пригодятся коннекторы для сетевых экранов и устройств комплексной сетевой безопасности (это мониторинг событий маршрутизации локального/ запрещенного/ разрешенного трафика, изменения конфигураций брандмауэра, события VPN-соединений).

В «СёрчИнформ SIEM» предусмотрены все эти коннекторы, а также есть пользовательский Custom Connector, который позволяет с помощью простых скриптов подключить любой источник. Их образцы на PowerShell script, также можно найти в «коробке».

А потянет ли?

Производительность системы — количество событий, которые SIEM может обработать в секунду. Вендоры могут измерять производительность в EPS, которые система получает (входящий поток) или числом событий, которые она регистрирует в базе данных. Эти две цифры могут отличаться на порядок. Зачастую вендор, указывая производительность системы, не конкретизирует, какой именно EPS он имеет в виду.

Поэтому лучше не верить на слово, а проверять производительность на тесте. Он покажет, сколько система реально может принять событий и записать в базу данных. Так вы сможете сделать однозначный вывод, достаточно ли производительности под вашу инфраструктуру.

Настройки визуализации

Все SIEM-системы так или иначе визуализируют данные о состоянии ИТ-инфраструктуры. Как правило, программа в одном окне собирает и показывает аномальные всплески событий на ПО и оборудовании (вирусные или DDoS-атаки), какое ПО требует обновления с отключением функционала, у какого софта истекает лицензия и какие порты открыты на оборудовании.

Но важно, чтобы администратор системы имел возможность настроить представление так, чтобы оно было максимально информативным именно для него. Чтобы сам пользователь мог в удобном для него виде увидеть, что именно происходит в данный момент.

Интеграция с ГосСОПКА

SIEM — техническое средство выполнения ФЗ-187, а с 2022 г. — и помощь в выполнении ФЗ-152.

Многим заказчикам нужно, чтобы система умела передавать данные об инцидентах в Национальный координационный центр по компьютерным инцидентам.

Как выбрать SIEM, которую потянут ваши сотрудники

Большинство SIEM-систем сложны в эксплуатации и требуют специальной подготовки сотрудников. Для работы с некоторыми программами администратор должен знать два-три языка программирования.

Чтобы избежать таких подводных камней, желательно изначально выбирать систему с понятным интерфейсом, не требующую навыков программирования. «СёрчИнформ SIEM» понятна любому, кто хоть раз открывал Word или Excel, а создание правил вынесено в графический интерфейс. Универсальные предустановленные правила корреляции помогают организовать работу с первого дня внедрения. Администратор SIEM покажет результат руководству, а затем продолжит настройку под нужды своей компании (из «коробки» доступно больше 350 правил).

Как сэкономить на лицензировании

При покупке нужно обращать внимание на варианты лицензирования SIEM.

Так, в одних системах учитывается максимальная пиковая производительность (EPS — сколько событий в секунду может обработать система). В других учитывают и функционал, и производительность, и количество пользователей, работающих с SIEM. Некоторые SIEM даже предлагают ограниченную по времени лицензию, и она полноценно работает только пока заказчик оплачивает техническую поддержку.

Желательно, чтобы лицензирование было максимально простым, чтобы заказчик сам понимал, от чего зависит цена. В идеале — по узлам, которые генерируют логи. Так, разработчики «СёрчИнформ SIEM» в итоге остановились на лицензировании по хостам. Это удобнее, так как сразу понятно, в какую сумму обойдется первичное развертывание и приобретение дополнительных лицензий для масштабирования. Кроме того, заказчик не будет зависеть от количества обрабатываемых событий, даже если оно увеличится, дополнительных трат не понадобится (как в случае с лицензированием по EPS).

Поддержка вендора

Как бы ни был продуман функционал «из коробки», рано или поздно заказчик столкнется с необходимостью поддержки от вендора. К примеру, предустановленных правил недостаточно и необходимо кастомизировать их, дописать новые.

При выборе системы здраво оцените ресурсы своих ИБ- и ИТ-отделов и уточните у разработчика, на каких этапах он готов помогать бесплатно, а за что придется доплачивать. Поставщики решений здесь ведут себя по-разному: помощь в настройке корреляций бывает платной или ее может не быть вовсе.

В «СёрчИнформ» стандарт для всех решений — бесплатная расширенная техподдержка. Это значит, специалисты не только помогут с настройкой правил, но и окажут помощь при кастомизации и настройке системы, обучат работе с SIEM новых сотрудников, предоставят доступ к базе знаний, отраслевым кейсам.

Подведем итог

Широкое внедрение SIEM пока тормозит репутация этого класса продуктов как дорогих, сложных и предназначенных исключительно для крупных компаний. На деле же все зависит от конкретного решения — главное, тщательно подойти к выбору, протестировать систему и задать все вопросы вендору. Идеальной SIEM, может, и не существует. Однако вполне реально выбрать недорогую на старте и в эксплуатации, с хорошим функционалом, чтобы она соответствовала и вашим запросам, и требованиям регуляторов.

Запросить презентацию «СёрчИнформ SIEM» можно по ссылке.

erid:JapBIXDRe