Обзор российского рынка SIEM-систем

Обзор российского рынка SIEM-систем
30.03.2022

SIEM (Security Information and Event Management) - решения, которые осуществляют мониторинг информационных систем и анализируют в режиме реального времени события по безопасности от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем, приложений и прочих источников. 

Как пишет издание Anti-Malware.ru, SIEM предоставляются провайдерами в качестве аппаратных устройств, программного обеспечения или SaaS и применяются для сбора и обработки событий, отправки оповещений, генерации отчётов и визуализации нарушений ИБ, помогая обнаруживать инциденты. В данном материале рассмотрен ряд отечественных SIEM-систем.

«Газинформсервис» - Ankey SIEM

Ankey SIEM - система от компании «Газинформсервис», разработанная в тесном сотрудничестве с компанией HPE. Ankey SIEM автоматизирует определение приоритетов угроз безопасности и нарушений требований по ИБ на основе анализа и корреляции событий. В настоящий момент активно развивается OEM при поддержке компаний Micro Focus и Positive Technologies. 

Основными компонентами Ankey SIEM являются: 

  • сервер сбора событий, обеспечивающий централизованный сбор, фильтрацию, нормализацию, агрегацию, приоритизацию, обогащение (за счет категоризации и контекста) данных из журналов регистрации от различных источников; 

  • сервер корреляции, предназначенный для выявления нарушений ИБ, анализа и обобщения сведений вкупе с управлением обработанными событиями по информационной безопасности; 

  • автоматизированное рабочее место администратора, предназначенное для работы с компонентами Ankey SIEM через графические консоли. 

Также в программном комплексе присутствуют дополнительные компоненты для решения задач ИБ: модули балансировки событий и сбора данных, модули выявления инцидентов, шина данных, сервер хранения, сервер аналитики.

Преимущества Ankey SIEM: 

  • сбор, хранение и анализ событий из любого источника, в том числе АСУ ТП; 

  • персонализированные панели мониторинга и отчеты, в том числе о соответствии стандартам безопасности; 

  • интеграция c CMDB, бизнес-аналитикой, кадровыми системами и прочими сервисами. 

«Лаборатория Касперского» - Kaspersky Unified Monitoring and Analysis Platform 

Kaspersky Unified Monitoring and Analysis Platform (KUMA) - это центральный элемент единой платформы безопасности от «Лаборатории Касперского», который взаимодействует как с решениями самого вендора, так и с разработками сторонних поставщиков. Решение имеет встроенные сценарии автореагирования на выявленные события по безопасности и благодаря модулю ГосСОПКА полностью интегрировано с технической инфраструктурой Национального координационного центра по компьютерным инцидентам (НКЦКИ), помогая обеспечить соответствие законодательству РФ в сфере защиты объектов критической информационной инфраструктуры, в частности требованиям 187-ФЗ и приказа ФСТЭК России № 239. 

С появлением новых версий решений KATA/KEDR 4.0 с KUMA можно автоматически реагировать на события следующим образом: создавать задания изоляции и снимать изоляцию с хоста, формировать правила блокировки на хосте или всех хостах сразу по хеш-сумме MD5 и SHA256, создавать задачи запуска произвольного файла на хосте.

Преимущества KUMA: 

  • обеспечение централизованного рабочего пространства специалиста-аналитика для выявления угроз, анализа и реагирования на них за счёт интеграций с продуктами «Лаборатории Касперского» и сторонних производителей (VM-сканеры, SOAR-системы), что позволяет реализовать концепцию XDR; 

  • использование высокопроизводительной, горизонтально масштабируемой и поддерживающей при этом компрессию данных БД ClickHouse; 

  • поддержка мультиарендности для поставщиков услуг безопасности и крупных предприятий; 

  • производительность свыше 300 тысяч событий в секунду (EPS) на один узел системы (корреляторы, базы данных и т. д.); 

  • интеграция с платформой Kaspersky CyberTrace для агрегации и управления потоками данных об угрозах, а также с Kaspersky Security Center для автоматической инвентаризации активов. 

НПО Эшелон - KOMRAD Enterprise SIEM 

KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий по ИБ, выявлять инциденты и оперативно на них реагировать. Применение комплекса позволяет выполнять требования регуляторов к защите персональных данных, к обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры. На KOMRAD Enterprise SIEM выдан сертификат ФСТЭК России № 3498, подтверждающий соответствие требованиям регулятора по 4-му уровню доверия. 

KOMRAD Enterprise SIEM поддерживает как установку на один сервер (all-in-one), так и распределённое развёртывание. Взаимодействие с источниками событий возможно по протоколам Syslog, SNMP, SQL, FTP, SFTP, SSH, xFlow. Для Windows разработан специальный WMI-агент. События в форматах CEF, RFC 5424, RFC 3164, EVTX нормализуются автоматически, на случай нестандартного формата предусмотрен механизм разбора с помощью регулярных выражений (RE2). Правила фильтрации и директивы корреляции создаются с помощью удобного визуального конструктора. В качестве СУБД для хранения событий по информационной безопасности используется ClickHouse.

Преимущества KOMRAD Enterprise SIEM: 

  • высокая производительность при минимальных требованиях к аппаратному обеспечению, возможность распределенной установки и масштабирования; 

  • интеграция со всеми отечественными СЗИ, интеграция API ГосСОПКА «из коробки», передача инцидентов в формате CEF в другие системы; 

  • визуальный графический интерфейс для создания фильтров и правил корреляции; 

  • управление инцидентами; 

  • обучение специалистов на базе собственного учебного центра. Подробнее с информацией о KOMRAD Enterprise SIEM можно ознакомиться на сайте производителя.

Positive Technologies - MaxPatrol SIEM 

Осенью 2021 года MaxPatrol SIEM вошел в топ-20 мировых SIEM-систем, показав годовой прирост в 85%. Вендор оценивает его долю на отечественном рынке как превышающую 40%. Продукт внедрен в более чем 250 промышленных, транспортных, финансовых компаниях, частных и государственных, в органах власти; обеспечивает соответствие требованиям законов № 152-ФЗ, 161-ФЗ, 187-ФЗ, приказов ФСТЭК № 21, 17 и 31, СТО БР ИББС, РС БР ИББС-2.5-2014, ГОСТ Р 57580.1-2017, международного стандарта PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России, а также в системе сертификации Республики Беларусь и Республики Казахстан; входит в реестр отечественного ПО. 

В версии продукта 6.2, выпущенной летом 2021 года, скорость обработки данных достигает 60 000 EP. Возможности новой версии особенно актуальны для организаций с крупной территориально распределенной инфраструктурой, поскольку 6.2 позволяет оперативно проводить расследования по всем инсталляциям и распределять этапы сбора событий и их последующую обработку между несколькими системами MaxPatrol SIEM. База знаний PT Knowledge Base, применяемая в MaxPatrol SIEM, регулярно пополняется пакетами экспертизы благодаря работе специалистов PT Expert Security Center и R&D-подразделений Positive Technologies, исследующих новые угрозы и способы их выявления. 

Пакеты содержат новые правила корреляции, обновления параметров сбора и обработки событий по ИБ, рекомендации по реагированию и репутационные списки. На январь 2022 года было загружено более 30 пакетов экспертизы.

Преимущества MaxPatrol SIEM: 

  • регулярное получение экспертизы от ведущих специалистов Positive Technologies, которые постоянно расследуют сложные атаки, изучают новые методы взлома компаний, следят за деятельностью хакерских группировок и на основе этого создают способы выявления самых актуальных угроз; 

  • технология управления активами (Security Asset Management), которая собирает подробные данные о каждом IT-активе; 

  • с каждым релизом продукт становится проще, чтобы развернуть MaxPatrol SIEM, работать с ним и выявлять угрозы мог даже новичок; 

  • сбор сведений с более чем 300 систем, в том числе популярных комплексов от российских вендоров - «1С», InfoWatch, «Код Безопасности». Подключение любых других бизнес-систем, в том числе специфических и самописных, бесплатно.

RuSIEM 

Компания RuSIEM за последний год показала рост доли на рынке практически во всех отраслях. В новой версии SIEM-системы RuSIEM, вышедшей в 2021 году, была расширена функциональность, проведена оптимизация ресурсов, добавлены полноценные функции подгрузки индикаторов компрометации (IoC). 

Разработчик добавил возможность актуализировать информацию об активах компаний в удобном интерфейсе и коррелировать их с уязвимостями. Также реализована возможность писать и выполнять автоматизированные скрипты, создавать разветвленные структуры реагирования на инциденты. Продукт обеспечивает соответствие требованиям законов № 152-ФЗ, 161-ФЗ, 187-ФЗ, приказов ФСБ России № 282, ФСТЭК России № 17, 21, 31, 239, приказа ФСБ России и ФСТЭК России № 416/489, СТО БР ИББС, РС БР ИББС-2.5-2014, ГОСТ Р 57580.1-2017, международного стандарта PCI DSS.

Благодаря комплексному подходу к управлению информационной безопасностью и возможности значительно автоматизировать процессы RuSIEM может использоваться как ядро SOC-центра. Система дополнена модулем НКЦКИ, что дает полноценную интеграцию с ГосСОПКА в части обмена информацией. 

Система перешла на удобную, актуализируемую онлайн-документацию в формате Wiki. RuSIEM поддерживает выгрузку событий во внешнее сетевое хранилище с возможностью быстрого подключения к системе. EDR в рамках агента RuSIEM предназначен для выявления угроз на рабочих станциях (с поддержкой MITRE ATT&CK). Разработан модуль для построения мультиарендной иерархической структуры.

Преимущества RuSIEM: 

  • гибкие корреляционные правила позволяют описать любой сложный кейс, а применение современных аналитических подходов без облачных сервисов, на стороне заказчика, позволяет обнаруживать угрозы и аномалии даже без созданных для этих случаев правил корреляции; 

  • универсальные коннекторы позволяют подключать новые источники в кратчайшие сроки, а модульные варианты развертывания - применять систему даже с минимальным бюджетом; 

  • безлимитное горизонтальное и вертикальное масштабирование, управляемая пользователем критическая значимость событий и аналитика; 

  • встроенный инцидент-менеджмент, в т. ч. постановка задач, ограничение видимости и эскалация инцидентов; 

  • подтверждение достоверности прихода всех событий без потерь (100 %) вне зависимости от протокола передачи.

SearchInform - «СерчИнформ SIEM»

SIEM-система российской компании «СерчИнформ», резидента Сколково. Первый релиз вышел в ноябре 2016 года. Система осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса. Сервер SIEM обеспечивает обработку, корреляцию событий и реагирование на них. В системе предустановлено более 300 готовых правил корреляции, которые охватывают события изо всех подключенных источников. Для сопоставления большего числа событий при разных условиях реализован графический конструктор правил кросс-корреляции, так что для их настройки не требуется написания алгоритмов на языке программирования.

«СерчИнформ SIEM» соответствует требованиям приказов ФСТЭК России № 31, № 17, № 21 и № 27, интегрирована с ГосСОПКА, что позволяет удобно направлять отчетность по инцидентам в НКЦКИ во исполнение федерального закона № 187-ФЗ «О критической информационной инфраструктуре».

Преимущества «СерчИнформ SIEM»: 

  • простота внедрения, детектирование ряда угроз и инцидентов «из коробки»; 

  • подходит для внедрения на предприятиях малого и среднего бизнеса, благодаря графическим элементам управления не требует высокого уровня квалификации; 

  • интеграция с DLP-системой «СерчИнформ КИБ»; 

  • лицензирование осуществляется по узлам, с которых происходит сбор данных.

Автор: Анастасия Сапрыкина


Комментарии 0