Что такое SIEM - системы управления событиями информационной безопасности
selectel.ru В панель
selectel.ru В панель
описание картинки

Что такое SIEM

Тирекс
Тирекс Самый зубастый автор
26 февраля 2025

Рассказываем про SIEM — интеллектуальный щит от киберугроз, который следит за информационными потоками и предугадывает действия злоумышленников.

Изображение записи

За последние десятилетия стоимость данных значительно возросла, что привело к преумножению киберпреступников и их оснащенности. В этом нет ничего неожиданного. Чем ценнее становится ресурс — тем больше желающих им завладеть. Спрос на системы для обеспечения защиты информации привел к активному росту их числа. В какой-то момент специалисты столкнулись с излишним количеством разнородных инструментов. Возникла необходимость в механимзме, который помогал бы справляться с непомерным потоком данных, порождаемых различными утилитами.

В этой статье мы рассмотрим решение в области защиты информации, популярность которого в последние годы неизменно растет.

Что такое SIEM-система

SIEM — это аббревиатура полного названия Security Information and Event Management. Дословно — управление информацией и событиями безопасности. Российские пользователи иногда называют ее просто «SIEM’кой».

Схема архитектуры SIEM.
Архитектура SIEM. Источник.

SIEM-система — решение для централизованного сбора, анализа и корреляции событий информационной безопасности, которое помогает организациям выявлять угрозы и оперативно на них реагировать.

Позаботимся о безопасности ваших систем

Подберем IT-инфраструктуру, организуем сеть, защитим серверы и возьмем все трудности миграции на себя.

Как работает SIEM

SIEM-система обобщает данные и выискивает в них в них признаки нарушения безопасности защищаемой инфраструктуры. Если рассматривать работу SIEM как алгоритм, получится следующая цепочка действий.

  1. Используемые в компании средства защиты информации отправляют данные в SIEM. Агрегироваться могут как общие, так и специфические журналы. Кроме того, SIEM умеет работать с логами и операционных систем, и прикладного программного обеспечения. В них зачастую также содержится знание о важных для информационной безопасности событиях — например, попытках входа или обращающих на себя внимание инцидентах, таких как повышение привилегий.
  2. В SIEM все собираемые данные проходят нормализацию (упорядочивание), то есть разбиваются по типам и категориям. Например, можно просмотреть все попытки аутентификации определенного пользователя в разных системах.
  3. Самый важный шаг — корреляция событий. SIEM может не только выявить простое нарушение безопасности — скажем, найденный на одном из серверов вирус. Ее алгоритмы способны выстраивать невероятно сложные связи между наблюдаемыми явлениями в разрозненных компонентах. Так обнаруживаются не только уже случившиеся инциденты, но и предугадываются надвигающиеся риски.
  4. Итак, каждое средство защиты информации отчиталось о наблюдаемых процессах. SIEM обобщила все обрывочные сведения и по созданным правилам корреляции выявила новую угрозу. Тогда посылаются соответствующие сообщения администратору по всем доступным каналам: начиная от письма на электронную почту и заканчивая всплывающим окном на мониторе. Система уведомлений может быть многоуровневой: каждая группа специалистов получит что‑то, релевантное их области ответственности.

Выше мы описали так называемые «активные» функции: они направлены на выявление угроз и противодействие инцидентам информационной безопасности. Кроме того, SIEM-cистема выполняет и ряд «пассивных» задач.

  1. Ведет учет событий. Помимо уведомления ответственных лиц, система управляет инцидентами безопасности, отслеживает их статус, соотносит с другими происшествиями.
  2. Предоставляет аналитику: статистику, отчеты, инфографику. Благодаря большому количеству информации от всевозможных источников можно получить сводку по самым разным событиям или по отдельно взятой задаче. К примеру, ничто не помешает узнать о самых уязвимых за последний год хостах или же пользователе, который чаще других вводил неверный пароль, а то и загружал подозрительные файлы из интернета. Многие SIEM-cистемы делятся данными не только в статичном виде, но и в динамике, раскладывая информацию на дашбордах.
  3. Хранит историю. Без преувеличения, это основополагающая функция, на которой построена вся SIEM. Можно сократить срок хранения логов в каждом источнике — все беспокойство SIEM берет на себя. От администраторов понадобится лишь проконтролировать физическую надежность и безопасность хранилища.
Скриншот с графиками.
Скриншот аналитического модуля одной из российских систем SIEM. Источник.

Преимущества и недостатки SIEM

Индустрия SIEM быстро развивается. На рынке появился уже целый класс подобных решений. Поскольку их всех объединяют описанные выше функции, то каждая из представленных систем обладает схожим набором достоинств и недостатков. Перечислим основные из них.

Преимущества

  • Единая точка агрегации и обработки событий упрощает будни специалистов.
  • Продуманные правила корреляции позволяют анализировать и выявлять на первый взгляд разрозненные события ИБ, взаимосвязь которых человек может и упустить.
  • SIEM‑система быстро обрабатывает практически неограниченное количество источников данных — что непосильно для оператора. При этом благодаря тем же правилам корреляции важные маркеры, свидетельствующие о готовящейся атаке или другой угрозе, не останутся незамеченными.
  • Сбор статистики или составления подробного отчета превращается в легкую задачу.

Недостатки

  • SIEM-системы, если рассматривать лицензируемое ПО, — дорогостоящие решения. Не каждая организация готова заложить в бюджет подобные расходы.
  • Сложность внедрения потребует немалых затрат времени и ресурсов. Необходимо подключить все источники событий, каждый из которых индивидуален.
  • Написание правил корреляции — сама по себе нетривиальная высокоуровневая задача, с которой справится не каждый специалист. Требуется осведомленность об инфраструктуре компании, возможных угрозах и атаках, которым она может быть подвержена, а также немалое количество специфических знаний,
  • Сосредоточив все события ИБ в одном месте, компания вынуждена предпринять меры для безотказности выстроенной SIEM. Потребуется с особой тщательностью позаботиться о надежности хранения данных и защищенности ресурсов, от функционирования которых зависит жизнеспособность всей системы целиком.

Отличия SIEM от XDR и SOAR

SIEM — это лишь один из классов высокоуровневых решений в сфере информационной безопасности. Существует и несколько других современных систем защиты, таких как XDR и SOAR. Остановимся на них чуть подробнее и отметим ключевые моменты.

SIEM‑система (напомним — Security Information and Event Management) собирает и анализирует журналы событий. Когда она выявляет подозрительную активность, то ее задача — предупредить и предоставить полную информацию о событии ИБ. Функционал системы не выходит за рамки сбора, хранения и агрегации полученных данных. Предотвращение угроз и инцидентов осуществляется исключительно путем оповещения ответственных лиц. Иными словами, работа SIEM — сбор, анализ и выдача информации. Никакие другие самостоятельные действия система не предпринимает.

SOAR (Security Orchestration, Automation, and Response) автоматизирует реакцию на угрозы и инциденты, тем самым помогает командам ИБ оперативно их устранять. Мы здесь также видим централизованное управление всеми инструментами и средствами безопасности. Однако в отличие от рассматриваемой SIEM, это решение является активным — оно использует заранее подготовленные сценарии (плэйбуки) для быстрого устранения возникших угроз и инцидентов. Система SOAR — отличный напарник для SIEM. Одна — собирает, анализирует данные и, при необходимости, предоставляет их другой. Та, в свою очередь, получив уведомления и подробную информацию, запускает цепочку действий по реагированию на происходящее.

XDR (Extended Detection and Response) охватывает полный цикл управления угрозами: от обнаружения до реагирования и восстановления. Решения данного класса также являются активными. Система XDR имеет агентов на подключенных хостах. Когда угроза возникает, принимаются действенные меры для ее нейтрализации: от запуска на хосте антивирусной проверки до полного его отключения. Также система самостоятельно принимает решение по блокировке отдельных пользователей, активность которых может трактоваться как действия злоумышленника.

Как и SOAR, XDR опирается на подготовленные сценарии реагирования (плейбуки). Именно XDR сочетает в себе и аналитику, и механизмы противодействия. Таким образом, она и выявляет инциденты, и автоматизирует ответные действия на события ИБ. Также XDR, в отличие от предыдущих решений, работает не только с данными из журналов, но и, например, с трафиком. Дополнительная информация и глубокий анализ позволяют выявлять более изощренные атаки.

Рассмотренные выше решения разноплановые. Выбор в пользу того или иного из них будет зависеть от уровня угроз, которые актуальны для конкретной компании и особенностей её инфраструктуры. Кроме того, придётся учесть количество и степень подготовленности специалистов по информационной безопасности. Разумеется, не последнюю роль сыграют и финансовые возможности компании.

Кому нужно внедрять SIEM

До сих пор мы говорили о SIEM лишь в контексте ее функционального назначения, как инструмента. Предпосылки для внедрения подобных систем могут далеко выходить за рамки технологических особенностей. Часто необходимость развертывания SIEM‑системы на предприятии обусловлена требованиями нормативных документов и других сущностей в юридической плоскости.

Перечислим некоторые маркеры, сигнализирующие о том, что организации нужна своя SIEM-система.

  • В компании используется множество разнородных IT‑решений, а значит, требуется единая точка агрегации событий с разрозненных источников.
  • Недопустимость простоя, который сразу ведет к финансовым и репутационным потерям. В таких случаях команда ИБ получает прямую задачу по предотвращению угроз, которые могут стать причиной остановки бизнес-процессов.
  • Уже существующая система информационной безопасности достигла определенного уровня зрелости. В таком случае наступает момент, когда специалисты и руководители приходят к пониманию необходимости более глубокого анализа информации о событиях ИБ, причем поступающих с разных источников.
  • Нормативно-правовыми актами установлено требование по внедрению SIEM. Как правило, такая система обязана либо иметь соответствующий сертификат ФСТЭК РФ, либо находиться в реестре российского ПО. Использование подобных решений обязательно для организаций банковской сферы (федеральный закон № 161‑ФЗ от 27.06.2011, ГОСТ Р 57580.1‑2017) и субъектов критической информационной инфраструктуры (федеральный закон № 187‑ФЗ от 26.07.2017, приказ ФСТЭК № 239 от 25.12.207). Кроме того, SIEM может быть использована в государственных информационных системах (приказ ФСТЭК № 17  от 11.02.2013) и для защиты персональных данных (Федеральный закон № 152‑ФЗ от 27.07.2006, приказ ФСТЭК № 21 от 18.02.2013).

Внедрение SIEM-систем в организациях

Если решение о внедрении системы SIEM принято, то с чего же начать и каков порядок действий? Приведем общий алгоритм, который не будет зависеть ни от разработчика выбранной системы, ни от имеющихся инфраструктурных особенностей.

Этап подготовки

  1. Определить цели и задачи внедрения SIEM. 
  2. Сформировать критерии, которым должна соответствовать проектируемая система. 
  3. Оценить достаточность собственных ресурсов, в том числе будущего сопровождения. Иногда оптимально передавать какую-то часть работ на аутсорсинг. 
  4. Проанализировать рынок существующих решений. Изучить презентации, стендовые демонстрации, характеристики, условия и особенности. 
  5. Отобрать варианты, удовлетворяющие составленным критериям. 
  6. Провести их пилотное тестирование и зафиксировать результаты.

Этап внедрения

  1. Подготовить план действий, определить ответственных за каждую стадию работ, в том числе за подключение к системе источников данных. 
  2. Если выбранный продукт коммерческий, приобрести лицензии на его эксплуатацию. В некоторых случаях отдельные модули тарифицируются изолированно — такая бизнес-модель может оказаться как преимуществом, так и недостатком, в зависимости от требуемой конфигурации. Ниже мы рассмотрим альтернативные решения, не предполагающие приобретение лицензии. 
  3. Обучить группу специалистов ИБ. 
  4. Выделить вычислительные мощности для SIEM-системы — не каждая из них может быть развернута в виртуальной инфраструктуре. 
  5. Установить все необходимое ПО, активировать лицензию, обновить до последней версии. 
  6. Интегрировать смежные системы — например, службу каталогов Active Directory. Настроить взаимосвязь со всеми компонентами: почтой, инструментами мониторинга, антивирусным ПО, межсетевым экраном и другими подобными. 
  7. Подключить источники событий — это могут быть, как устройства (автоматизированные рабочие места, ноутбуки сотрудников, виртуальные машины), так и отдельные подсистемы (СУБД, инструменты виртуализации). Уже имеющиеся средства безопасности — хостовые или с централизованным управлением — также являются источниками событий ИБ. 
  8. Составить собственные правила нормализации, если полученных от производителя недостаточно. 
  9. Разработать правила корреляции, учитывающие особенности инфраструктуры и используемых решений, в том числе для уменьшения количества ложноположительных срабатываний системы.
  10. Протестировать отправку уведомлений и работоспособность всех компонентов в совокупности.

Этап эксплуатации

  1. Регламентировать процесс реагирования на инциденты, который должен предусматривать их периодический анализ как для устранения ложных срабатываний, так и для выявления новых закономерностей. 
  2. Регулярно оценивать качество работы SIEM-системы в целом, и правил корреляции в отдельности, в том числе с точки зрения их актуальности и поиска необходимых новых источников данных. 
  3. Контролировать сроки устранения инцидентов и порядок работы с ними. 
  4. Обеспечивать работоспособность ресурсов, а также их достаточность.

Обзор решений

Мы не будем давать оценку тем или иным программным продуктам, а лишь отметим особенности некоторых из них. Все SIEM-системы, условно, можно разделить на два больших класса решений: российские и open‑source.

Скриншот с диаграммами.
Скриншот интерфейса SIEM с открытым исходным кодом. Источник.

Первая группа — отечественные сертифицированные системы мониторинга событий информационной безопасности — отлично подойдут для выполнения требований нормативно-правовых актов. Примером может послужить реализация мер подсистемы РСБ для ГИС. Программные же продукты второй группы, open‑source, будут востребованы компаниями, которые хотят решить задачи по внедрению системы мониторинга событий информационной безопасности без дополнительных финансовых вложений.

Несмотря на свою стоимость, российские разработки зачастую требуют меньше затрат на этапе внедрения, так как в них уже встроены коннекторы — небольшие программы для подключения источников. Эти элементы — важная часть, поскольку позволяют присоединить к SIEM много основных распространенных IT‑систем и продуктов.

При выборе SIEM из мира open-source, коннекторы придется писать самостоятельно. Можно будет, конечно, находить готовые фрагменты кода в интернете. Однако затраты на поиск, тестирование и перебор бесконечных вариантов не только перевесят мнимую выгоду, но и чреваты серьезными рисками — никто не гарантирует качество кода и отсутствие закладок. Кроме того, затраты на необходимость собственноручного создания коннекторов — не единственные. Потребуется самостоятельно корректировать правила, возможно подключать дополнительные инструменты графического отображения результатов работы системы мониторинга. Для реализации вороха возникающих задач потребуется наем в штат высококлассных специалистов. 

Российские же производители SIEM‑систем не только берут на себя всю заботу по разработке базовых компонентов, но и готовы оказать услуги как по внедрению, так и по технической поддержке. 

В некоторых случаях для минимизации затрат есть смысл рассмотреть передачу SIEM-системы на аутсорсинг или подключение к полноценному SOC‑центру. Такой подход поможет разгрузить своих специалистов, избавив от постоянного решения сложных задач по интеграции, мониторингу и анализу событий ИБ. 

Как мы уже говорили ранее, выбор будет определяться задачами и количеством имеющихся ресурсов. Каждый случай индивидуален, но мы обрисовали базовый алгоритм.

Чем может помочь Selectel

В Selectel можно создать облачный сервер с готовым приложением Wazuh. Это решение open-source, соответственно, не потребуются траты на лицензирование. К созданному серверу подключаются источники событий ИБ и объекты мониторинга. Это могут быть множественные ресурсы вашей компании, как размещенные в дата‑центрах Selectel, так и находящиеся на собственных площадках. Осуществима децентрализованая схема работы.

Если требуется система с сертификатом соответствия, то мы можем предоставить лицензию на отечественную сертифицированную по всем требованиям безопасности RuSIEM. Также наши специалисты помогут определиться с конфигурацией сервера для ее развертывания. Все услуги оказываются в рамках комплексного проекта по аттестации информационных систем.

Интерфейс программы.
Скриншот российской системы SIEM. Источник.

Кроме того, в ЦОД Selectel вы можете разместить и любую свою SIEM. В облаке легко масштабировать растущую систему и оптимизировать ее работу. Мы берем на себя обеспечение работоспособности инфраструктуры и некоторые функции безопасности — их набор зависит от выбранной зоны доступности и вида услуги. 

Еще наши материалы о безопасности инфраструктуры
Информационная безопасность и 152-ФЗ

Читайте также:

Изображение записи
Обзоры

Кабели на дне морском: что скрывают подводные линии связи

Лев Дубовиков
Лев Дубовиков Специалист продуктовой поддержки
Изображение записи
Обзоры

Деплой генератора картинок от команды DeepSeek: тесты и сравнения

Антон Дятлов
Антон Дятлов Инженер по ИБ
Изображение записи
Обзоры

Как аргументировать дизайн-решение без исследований и конфликтов

Дарья Хуторянская
Дарья Хуторянская Проектировщик интерфейсов